美国CLOUD法针对执法机构跨境数据获取问题作出了规定,欧盟也开始积极采取行动解决电子证据跨境获取问题。2018年4月17日,欧盟委员会表示正在制定新的立法,以便执法及司法当局能更快速地获取电子证据,不论该数据存储于欧盟境内还是境外。目前该立法尚处于立法建议阶段,全文尚未公布,但欧盟委员会已对其主要内容做出了介绍。本期公众号将对该立法建议的相关内容予以梳理。

主要内容

1. 建立欧洲数据提交令规则

欧盟委员会表示,新规则将创建一个欧洲数据提交令( European Production Order)。依据该令,欧盟成员国的执法或司法当局可直接向在欧盟境内的服务提供商请求提交电子证据,无论数据存储地位于欧盟境内还是境外。并且,该规则将要求服务提供商必须在10天内对数据提交令作出响应。在紧急情况下,6小时内须做出响应。(据悉,现行欧洲调查令规定的响应期间为120天,司法协助程序为10个月)

2. 建立欧洲数据保存令规则

欧盟委员会表示,新规则还将创建一个欧洲数据保存令(European Preservation Order)。依据该令,根据欧盟成员国的执法或司法当局可强制要求欧盟境内的服务提供商保存特定数据,以便主管当局能够获取该数据。

3. 指定法定代表规则

欧盟委员会表示,新规则将要求服务提供商在欧盟指定一名法定代表,以负责接收、遵守和执行成员国主管当局为收集刑事诉讼中的证据而发布的决定和命令。

4. 保障和补救措施

欧盟委员会表示,该新规则将规定提交令和保存令只能在刑事诉讼框架内发布,并受到所有刑事诉讼程序的保障。

义务主体

欧盟新规则下,应当根据执法或司法当局的要求提交数据的义务主体包括三类:

1.通信服务提供商

根据欧盟委员会的解释,这里的“通信服务”包括电信服务和其他电子通信服务。

2.信息社会服务提供商

根据欧盟委员会的解释,信息社会服务(information society services)提供商包括促进用户互动的信息服务提供商,以及提供数据存储的服务提供商(包括提供点对点在线交易市场的服务、云计算服务)。

3.互联网基础设施服务提供商

根据欧盟委员会的解释,互联网基础设施服务提供商(providers of internet infrastructure services )包括域名注册和IP地址注册机构等对互联网运行其重要作用的服务提供商。

此外,需要注意的是,欧盟官方表示作为该法义务主体的“服务提供商”,并不要求在欧盟境内设立机构。未在欧盟境内设立机构,但向欧盟境内提供相关服务的,也将受该法的管辖。

应提交的数据类型

欧盟新规则下,服务提供商应执法或司法机构的要求可能需提交的数据类型包括用户数据、访问数据、业务数据等非内容数据,以及内容数据。具体规则如下:

法律冲突解决机制

欧盟新规则将不以数据存储位置作为确定管辖权的决定因素,只要同时满足以下条件,相关数据均有可能被强制要求披露:(1)被要求提交的数据为刑事诉讼所需 ;(2)被要求提交的数据与服务提供商在欧盟境内提供的服务有关。

针对数据提交令可能导致服务提供商面临欧盟与非欧盟国家法律义务冲突的问题,该新规则将设置一个审查程序来予以明确。最终是否支持数据获取要求将由成员国相应的主管法院裁决。

图文编辑:公安部第三研究所 胡文华

西安交通大学法学院 梁思雨

 

声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。