法律翻译 | 欧盟和美国就执法部门获取数据的谈判：分歧、挑战以及欧盟法律程序和选择（下）

公众号新闻

2023-06-11 04:06

译者 | 巩海璐华东政法大学硕士

审稿 | 左亦惟中南财经政法大学LL.B.

陈飞越爱丁堡LL.M

编辑 | 李薇浙江工商大学本科

李建云湖南师范大学本科

责编 | 王有蓉中国政法大学硕士

CHINA AMERICA LAW REVIEW

欧盟和美国就执法部门获取数据的谈判：分歧、挑战以及欧盟法律程序和选择

作者：西奥多·克里斯塔基斯（Theodore Christakis）

法比恩·特潘（Fabien Terpan）

一、引言

二、背景介绍

三、管辖权限问题

四、可能的协定框架

五、欧盟对国际协定的通过：一个包含多阶段、多参与主体的过程

六、欧盟法院的最终作用

七、结论

结论

从上述分析中可得出七大结论：

结论一

刑事司法合作中电子证据跨境获取的跨大西洋协定可以有三种框架。

第一种框架是单一的全面自主欧美协定，即PNR或TFTP模式。欧盟会优先选择该框架。毫无疑问，至少从欧盟法律的角度来看，该框架协定可以最快达成。但该框架会给美国造成诸多难题，且在《云法案》是否可授权美国仅和欧盟缔结此协定上具有不确定性。这意味着该欧美自主协定可能也需要在《云法案》框架之外达成，但这会造成协定延期缔结，此外需要美国国会特别多数（qualified majorities）成员的参与。

第二种欧美框架性协定下，美国和各欧盟成员国之间要先达成双边协定，该欧美框架性协定即采用MLA或“引渡条约”模式。美国会优先选择该框架，但该框架会给欧盟造成政治上的难题，即欧盟各成员国会受到不平等的对待。此外，该协定的达成很费时。“MLA或引渡协定”需历经八年时间才生效。跨大西洋电子证据数据获取上的合作能等待如此之久吗？对执法机构和服务供应商来说，贯穿整个阶段的无数法律冲突会造成什么后果？有可以加速这一进程的办法吗？

第三种是理论上可能的框架，即在谈判后期使协定草案采用“混合协定”模式。该架构可满足《云法案》中和他国政府缔结“行政协定”的正式要求。但这也给欧盟造成了一些法律、制度等难题，且似乎不会达成双方的期待。比如，基于先例，该框架未赋予美国对欧盟成员国进行单边认证的权力，不允许美国对欧盟成员国“挑挑拣拣”从而决定有哪些成员国可以加入该协定。

（图片来源于网络）

结论二

欧盟管辖权限规则表明，在欧盟同美国就协定进行谈判期间，各欧盟成员国不能与美国进行双边协定的谈判，也不能与美国缔结双边协定。如若违反了该规定，各欧盟成员国则面临侵权诉讼程序。欧美协定通过之后，美国和各欧盟成员国在欧美协定的授权之下才可以达成双边协定。

结论三

无论欧美协定采用了何种框架，必须强调的是，欧盟不能缔结以下种类的“行政协定”：该“行政协定”是由行政机构批准缔结的条约，未经立法部门的正式审批。在一个国家，通常只有得到正式审批之后才会批准条约。“行政协定”仅在一国国内具有法律效力。[1]必须强调的是，如果欧盟委员会被认为是欧盟的行政部门，欧盟委员会便可就国际协定发起谈判，但其并无协定缔约权。[2]正如“欧盟对国际协定的通过：一个包含多阶段、多参与主体的过程”这一部分所阐述的那样，欧盟通过对外协定的过程很复杂，欧盟委员会、欧盟理事会和欧洲议会都参与其中。欧洲议会需要对欧美协定的缔结予以同意。

结论四

上述欧盟达成协定的方法和美国通过缔结“行政协定”达成协定的方法虽然一致，但实际上，（双方）完全可以通过其他不同的方式来达成协定，这得看该方在大西洋的哪一边。比如，英美协定就是通过不同程序达成的。英国国内审批程序是由议会批准的。[3]而《云法案》规定的美国审批程序为，行政部门须向国会提交协定，国会在180天的审查期内对协定进行审查。如果国会参议院和众议院均未在审查期内提出反对，则协定生效。[4]同样，之前的欧美执法协定也遵循了各自不同的内部审批程序。

结论五

欧洲议会需要对欧美电子证据协定予以同意，这引发了关于议会影响力（及其最终否决权）的问题。过去的先例（特别是TFTP协定）表明议会或许会使用否决权以设定予以同意的条件。尽管议会还未在持续进行的欧美谈判中通过任何决议，但有些议会成员强调，议会将在协定中添加重要的基本权利保护内容、其他保障措施以及条件。这些成员已就这些内容向欧洲数据保护委员会提请了意见。[5]

然而，过去的经验也显示，欧洲议会讲求实效，也理解欧盟委员会需要将欧盟理事会和议会的期待考虑在内，但同时也要和美国谈判者达成相互都满意的妥协方案，这对欧盟理事会来说很难把握分寸。过去，如果议会选择对协定予以临时否决甚至撤销，解决问题会更迅速。目前尚无欧美执法协定因遭到欧洲议会反对而无法达成的先例。

结论六

在谈判结束后和协定缔结前，欧盟成员国、欧洲议会、欧盟理事会或欧盟委员会可能会向欧盟法院寻求意见，询问其所设想的但尚未生效的协定是否符合《维也纳条约法公约》的规定。最有可能采取该行动的是欧洲议会，就像其在欧加PNR协定中所发挥的作用那样。然而，议会并未按照正常流程或程序向欧盟法院寻求此类意见。例如，尽管欧美伞协定遭到了一些批评，其中包括来自欧洲数据保护委员会的批评，但议会未就该协定向欧盟法院寻求意见。

无论如何，考虑到议会最终可能会向欧盟法院寻求意见，欧美双方都应努力推进跨大西洋电子证据协定的拟定，使其能够在欧盟法院得以通过。欧盟法院曾对欧加PNR协定作出意见书，称欧盟理事会就该协定的缔结予以同意的决定不符合欧盟法律，该协定程序因而被大大拖延。谈判授权令于2010年12月2日发出，所拟定的协定于2013年5月6日签字，而意见书于2017年7月作出，该意见书导致缔约方于2017年12月至2019年7月再次就协定进行谈判，2017年12月，欧盟理事会向欧盟委员会作出新的授权；2019年7月举行了确认谈判阶段结束的欧加峰会。

由于欧盟法院的干涉，程序持续时间翻了两倍。在双方迫切想要达成欧美协定以解决法律冲突的情况下，该延误损害了欧美执法机构和服务供应商的利益。

结论七

欧美协定生效之后，理论上欧盟法院仍有可能会通过撤销程序或先行裁决程序对协定施加控制。非政府组织或私人当事方可直接通过提起撤销协定的诉讼对协定提出质疑，前提是法院认为该诉讼可被采纳，这种涉及非特权诉讼人的情况不太常发生，间接通过先行裁决的情况则更有可能发生。但欧美协定生效之后再被判定无效的情况不太可能出现。这不仅会给所有利益相关方造成重大的政治和实际操作难题，同时也会引发国际法难题：原则上，欧盟无法以某一国际协定最终与欧盟法律不相容为由，质疑该协定的有效性。要想使符合国际法原则的对外协定无效，欧盟法院可对其作出否定判决，要求欧盟理事会单方面解除或终止该协定，该法律行为的效力从作出之时即生效，效力无追溯力。卡迪案这一里程碑式的判决表明欧盟法院有时会使欧盟法律优先于国家法，且愿意保留欧盟法律秩序的自主权。然而，之前的判例法（比如“西撒哈拉运动”一案）表明，欧盟法院如果没有对欧盟缔结的国际协定的有效性提出质疑，则会试图对欧盟法律采取“解释性和解”的办法。如果欧盟法院采取了这一办法，美国是否会接受其解释还尚未可知。如果接受的话，协定会在符合缔约方共同意志的情况下以非正式的方式进行修改；如果不接受的话，缔约方则有必要再次就其进行谈判。

附录1：欧盟法院“Schrems II号”判决之影响

在提交本文后，欧盟法院于2020年7月16日对“Schrems II案”作出了一项极其重要的判决，该判决判定《隐私盾协议》失效，并强调个人数据从欧盟传输至他国时，要对其进行充分保护。[6]已经有太多文章对该合宪性判决进行了分析[7]，我们在此只是作些简洁评价，阐述Scherms II案是否会影响欧美执法机构数据获取协定的谈判，以及是如何影响的。

首先，再次强调欧美谈判内容（本文核心所在）和Schrems II案事项之间的差异。前者关乎执法机构在刑事调查上对服务供应商所有数据的获取，该获取无关数据所处地点。后者则关乎数据国际传输可以进行商用的条件，特别是关乎针对政府（尤其是情报机构）跨司法管辖区获取某一公司数据的保护措施。[8]从形式上来看，前者试图根据国际法达成一项具有法律约束力的协定；后者则不涉及国际条约的利害关系：欧盟委员会第2016/1250号决定是《隐私盾协议》的法律基础所在，也是一项欧盟内部法案，尽管该法案已经产生重要的国际影响，但欧盟法院仍裁定该法案无效。[9]

也有学者表示，应当强调上述两种情况之间潜在的相似性。毕竟二者均关乎政府对数据的获取，且法律体系下须对该数据获取给予保护和救济。在这两种情况下，执法机构或情报机构的政府官员需要迅速获取信息，同时隐私和数据还要被予以充分保护（包括有效的司法救济在内），在二者之间找到合适的平衡是挑战所在。

形式上，虽然《安全港协议》和《隐私盾协议》都采用了欧盟委员会“充分决定”的形式，但理论上没有什么可以阻止欧美就这些问题缔结一项具有国际约束力的协定。实际上，正如之前提到的[10]，有些作者强烈批评判定这两项协议无效的行为，因为欧盟法院的这一行为导致美国无法就这些问题从欧盟方获取具有法律约束力的保证，他们认为对美国来说，唯一的解决办法是和欧盟在未来缔结一项具有法律约束力的国际协定。

综上所述，理论上可行的方案是扩大对欧美电子证据和《云法案》的讨论，以实现Schrems式的解决办法，即达成一项有关政府获取数据及跨境数据传输的全面国际条约。

（图片来源于网络）

然而，关于执法数据获取的持续谈判本就十分复杂且极具挑战性，上述方案使谈判变得更为复杂。历史表明，多年来，欧美在就这些问题谈判达成规模适中的PNR, SWIFT, Umbrella等协定时都极其困难且耗时，更别提《安全港协议》和《隐私盾协议》。进一步说，任何情况下，考虑到若要解决欧盟法院在“Schrems II”案中强调的问题需要对美国法律进行修改（包括司法救济问题或相称性问题），则我们可以预料到，把欧美电子证据和《云法案》所涉问题联系在一起会导致谈判费时且麻烦。在（双方）达成这样一个全面性条约/协定之前，“Schrems II案”之后向美国进行数据传输上的法律不确定性仍然存在，前文所讨论的法律冲突也是如此。[11]

因此，将欧美电子证据和《云法案》所涉问题联系起来可能不现实。也不符合跨大西洋数据传输和执法合作的利益。两个谈判最好同时分别进行。[12]但是，两个谈判是否会相互影响还尚未可知，谈判方是否会利用其实力来妨碍另一方谈判从而获取（对方）让步也仍然有待观察。能够确定的是，未来几年将是跨大西洋数据传输谈判最重要的时期。

附录2：2020年10月“数据保留或收集”判决之影响

2020年10月6日，欧盟法院发布了一系列有关政府获取数据通讯数据（流量、位置、订阅者）的重要判决。[13]其中三个判决关乎法国和比利时的国家立法，这两个国家的立法要求电子通讯供应商保留数据以打击犯罪和保障国家安全；第四个判决关乎英国立法，其要求电子通讯供应商直接向英国情报机构传输大量通讯数据。这些判决（以下称为“2020数据保留或收集判决”）非常复杂，需要进行详细的研究。我们将再次从两个方面思考这些判决对本文所涉事项的影响。

一方面，欧盟法院将要求各欧盟成员国采用其在“Schrems I”和“Schrems II”案中适用于美国的类似标准，鉴于此，以上这些判决最终会支持就欧盟成员国政府获取数据方面所进行得跨大西洋谈判之协议。更为具体地说，在“2020数据保留或收集判决”中，欧盟法院驳回了法国和英国在诉讼中提出的主张，即欧盟应减少其（对于数据获取的）管辖权范围，其他一些欧盟成员国亦对该主张予以支持并进行了有利干预，因为相关的数据保留或收集法律关乎国家安全，且属于TEU第4（2）条[14]和“电子隐私指令”[15]（ePrivacy Directive）第1（3）条[16]规定的豁免范围。欧盟法院判定，虽然这些豁免在其他情况下仍适用（比如情报机构自身处理数据时），但其并不适用于国家当局向处理数据的服务供应商提出要求之时。这意味着欧盟成员国只能在背离“电子隐私指令”第15（1）条[17]的基础上向服务供应商提出此类请求，且无论他们发出的此类请求是否出于对国家安全的考量，都会受到所有欧盟法律要求和保护措施的约束。

理论上，欧盟法院的这一立场对跨大西洋关系有利。欧盟法院因“国家安全”豁免权无法对欧盟成员国的监听法进行管辖，因此其过去在处理“Schrems I”和“Schrems II”案所涉的外国监听法时曾遭到过控诉。[18]该等观点也仍待商榷，因为即使在“2020数据保留或收集判决”之前，欧盟法院就已经对各成员国所拥有的回旋余地和所使用的国家安全豁免权的范围予以限制。[19]新判决作出时，该观点就不再有效了。通过申明在“充分性”评估决定范围内对各欧盟成员国和他国适用同一保护制度，欧盟法院可以驳回对其使用“双重标准”的指控。这在理论上通常也会迫使欧盟和美国共同达成关乎必要标准的跨大西洋法律文件，该等必要标准应用于管理国家当局（情报机构和执法机构）对数据的获取。

另一方面，基于上述思考，“2020数据保留或收集判决”阐释了国家向服务供应商提出关乎通讯数据的要求时，欧盟法院应当适用何种国际保护措施。这应当考虑先前的授权要求、必要性和相称性等因素，以及（服务供应商）在何时或以何种方式通知用户。在制定欧美执法机构数据获取协定草案时都要把所有这些因素考虑在内，从而使欧盟法院对协定无异议。本文无意[20]讨论欧美谈判中众多重要且具有挑战性的实质性问题，但我们的确希望能在后续研究中对该等问题进行分析，并阐释“2020数据保留或收集判决”的确切相关性。

致谢

我们要向Karine Bannelier、Paul James Cardwell、Elaine Fahey、Kenneth Propp、Peter Swire、Juan Santos Vara、Ramses Wessel等同事表示感谢，他们对本文的先前版本提出了有价值的意见。我们还要衷心感谢Peter-Jozsef Csonka、Mark-Stephen Gray、Tania Schroeter等欧盟委员会谈判小组的成员，他们的意见和洞察力令我们受益良多。最后，我们要感谢国际数据隐私法的审稿人和编辑，感谢他们提供了非常有价值的意见，感谢他们同意我们对文章进行修改和更新。所有不足都由我们自己承担。本文涵盖了截至2020年6月17日的谈判情况。两个附录涵盖内容截至2020年10月6日。

doi:10.1093/idpl/ipaa022

2021年2月12日预授权出版

- 原文引用内容------------------------------------

* Theodore Christakis, Professor of Law, University Grenoble Alpes, Grenoble, France

*Fabien Terpan, Senior Lecturer in Law, Sciences Po Grenoble, University Grenoble Alpes, Grenoble, France

We would like to express our gratitude to all the colleagues who contrib- uted useful comments on previous versions of this article: Karine Bannelier, Paul James Cardwell, Elaine Fahey, Kenneth Propp, Peter Swire, Juan Santos Vara, Ramses Wessel. We would also like to warmly thank warmly the members of the European Commission’s Negotiating Team Peter-Jozsef Csonka, Mark-Stephen Gray and Tania Schroeter for their helpful comments and insights. We would finally like to thank the anonymous reviewers of the International Data Privacy Law as well as the Editors for their very useful comments and for permitting to improve and updateenabling the improvement and updating of the article. All errors are ours. This article covers developments till the 17th June 2020. The two post-scriptum cover developments till the 6th October 2020.

[1]Christakis and Propp (n 16).

[2]There is one area—the Common Foreign and Security Policy—where the Council can be seen as the ‘executive branch’ and can conclude an agreement alone, but this is not relevant here.

[3]Explanatory Memorandum to the Agreement between the Government of the United Kingdom of Great Britain and Northern Ireland and the Government of the United States of America on Access to Electronic Data for the Purpose of Countering Serious Crime, UK Command Paper No 178, Policy Consideration (v).

[4]CLOUD Act, above s 105 (adding 18 USC s 2523).

[5]See EDPB Letter (n 29).

[6]See n 117.

[7]See inter alia: Christopher Kuner, ‘The Schrems II Judgment of the Court of Justice and the Future of Data Transfer Regulation’ (European Law Blog, 17 July 2020,accessed 10 October 2020); Kenneth Propp and Peter Swire, ‘Geopolitical Implications of the European Court’s Schrems II Decision’ (Lawfare, 17 July 2020),accessed 10 October 2020; Jennifer Daskal, ‘What Comes Next: The Aftermath of European Court’s Blow to Transatlantic Data Transfers’ (Just Security, 17 July 2020, accessed 10 October 2020); Theodore Christakis, ‘After Schrems II : Uncertainties on the Legal Basis for Data Transfers and Constitutional Implications for Europe’ (European Law Blog, 21 July 2020,accessed 10 October 2020); Christopher Kuner, ‘Schrems II Re-Examined’ (VerfBlog, 25 August 2020,accessed 10 October 2020).

[8]Seen8.

[9]See nn 116–18 and accompanying text.

[10]See n 122.

[11]See the subsection ‘The Need for an EU–US agreement on cross border access to electronic evidence’.

[12]There is no sign of any willingness to link the two issues in the statements published by the US and EU authorities since the Schrems II judgment. See for instance the Joint Press Statement from US Secretary of Commerce Wilbur Ross and European Commissioner for Justice Didier Reynders published on 10 August 2020 and announcing that the two sides have initiated discussions to evaluate the potential for an enhanced EU–US Privacy Shield framework—where no reference is made to the separate negotiations of the two parties on LEA access to data (accessed 10 October 2020).

[13]Judgments in Case C-623/17, Privacy International, and in Joined Cases C-511/18, La Quadrature du Net and Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others.

[14]Accordingtowhich:‘TheUnionshallrespectthe...essentialStatefunc- tions [of Member States], including...national security. In particular, national security remains the sole responsibility of each Member State’.

[15]According to which:‘This Directive shall not apply to activities which fall outside the scope of the Treaty establishing the European Community, ... and in any case to activities concerning public security, defence, State security . . .’.

[16]Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).

[17]According to which: ‘Member States may adopt legislative measures to re- strict the scope of the rights and obligations provided for in [this directive]. . . when such restriction constitutes a necessary, appropriate and proportionate measure within a democratic society to safeguard national security (i.e. State security), defence, public security, and the prevention, investigation, detection and prosecution of criminal offences ...’.

[18]This argument was raised, once again, in the recent US Department of Commerce/Department of Justice, White Paper, ‘Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU- U.S. Data Transfers after Schrems II’, September 2020. See p 15 (‘The EU itself has no competence over national security matters, which are the sole responsibility of the EU Member States’) or p 18 (affirming that the CJEU ‘may not have jurisdiction’ to rule on issues related to national security ‘given restrictions in the EU treaties’).

[19]cf Case C-203/15, Tele2 Sverige (n 104), para 72–73.

[20]Seen5.

原文链接：https://academic.oup.com/idpl/article/11/2/81/6133744

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章