2014年7月12日,星期六

剖析DRIP-紧急数据保留和调查权法案

[更新:DRIP于2014年7月17日星期四成为法律。 这里。事后分析 这里。]

欧盟法院审理三个月后 无效 欧盟 数据保留指令,英国政府已 爆发出狂热的动作 with 紧急立法 取代2009年数据保留规定。  这些规定是根据欧洲 《社区法》名义上仍然存在,但极易受到司法管辖 指令废止后进行审查。

DRIP是什么(数据的必然缩写) 保留和调查权草案已备案)吗?这么多的材料出现在 短时间内通知,考虑分析是困难的。 这是一些第一印象。
DRIP,现在及其随附的临时草案 昨天下午在内政部网站上发布的规定 to square a circle.  理想情况下,它应该使 为解决15项基本权利理由而进行的合理尝试 欧洲法院认为,数据保留指令无效。  但同时DRIP必须继续 Theresa 可能’s 10 七月 下议院声明 它保持 原状直到2016年12月31日,日落条款生效。

实际上,DRIP不能使圈子成平方。确实是新 published 影响评估 认识到立法并不能克服一切 欧洲法院的绊脚石,声称只是为了解决欧洲法院的判决“where possible” and “在可行的范围内”.  它还承认“被忽视欧洲法院的风险 judgment”.

[更新:由内政部出版的内政部人权备忘录 人权联合委员会 2014年7月16日,该法案在第33段(第8页)中说,该法案与现有的国内立法一起解决了“欧洲法院判决中对指令的大多数批评”。委员会已致函内政大臣,要求她向委员会提供“进一步详细的备忘录,其中详细阐述了政府对英国法律如何满足或将满足英国法典第54至68段中每一项要求的准确分析。欧洲法院的判决。]

我们可以提出两个简单的问题。
  1. DRIP是否仅维持现状?
  2. 如果是这样,保持现状有多远 根据欧洲法院的决定是否可以接受?
首先,我们应该认识到DRIP的作用远不止于此 而不是取代2009年数据保留规定。  它对 interception warrants, interception capability and 通讯s data access 《调查权力条例》(RIPA)的规定。  内政大臣为这些修正案辩护 与数据保留法规的依据不同:迫切需要 clarify, in particular, the territorial scope of 里帕's interception and 通讯s 数据采集​​规定。
这些是DRIP的非数据保留方面。
  • 第4条述及政府’s concern that it should be able to apply 里帕 to non-UK companies that provide 通讯s 向英国公众提供的服务。
  • 第5条扩大了RIPA的定义 电信服务。解释性说明说这是为了使网络邮件 提供商显然被抓住了。  改变 由于跨入DRIP,也会对数据保留产生影响。
  • 第3条对 general purposes for which interception warrants and 通讯s data 可以发出收购通知。  这个 将使RIPA与现有的行为准则保持一致。
无论非数据保留修正案有何优点(更多 关于以下内容),为什么其中任何一项都需要紧急立法以辩论是有争议的 以如此惊人的速度迅速通过议会。  他们 似乎背负政府’迫切需要小学 欧洲法院之后的立法’的数据保留决策。

关于数据 保留,DRIP是否仅维持现状?
撇开第3至5条,让我们集中谈谈 用于数据保留DRIP仅维持现状。  这分为三个问题:
  • 是否与以前要求的提供商相同 retain data?  
  • 是否需要保留相同的数据?
  • 保留期限是否相同?
是相同的提供者 像以前一样需要保留数据?
由于政府正在转变,这很难回答 从一组现有的定义到另一组,然后对其进行永久性修改 measure.  阴谋论者会闻到 一只老鼠。甚至更大方的举动也可能是 愚昧主义者的立法 为此,该领域是臭名昭著的。

2009年数据保留法规基于欧盟 definitions of publicly available electronic 通讯s 服务 and networks in 欧盟 通讯s Framework Directive, implemented in the UK by 《 2003年通讯法》。
但是,DRIP放弃了这些欧盟定义, 取而代之的是采用本地RIPA定义的公共电信系统 and service.  然后修改后者, 已经存在14年了。

为什么要继续维持现状,为什么 DRIP不仅会继续使用《 2003年通信法》中的定义吗?  解释性说明(第53段)说, 是为了“确保访问和保留之间的统一定义 regimes".  

在这个阶段,任何人都在猜测这些变化 将会比现有的2009年规定产生更大的影响。  那将需要详细比较 两组定义和大量假设。 但是,很清楚的是它们扩大了RIPA的定义。
现有的 RIPA电信服务的定义是根据服务来定义的 consisting in the “提供访问和使用设施, 电信系统”:两个与 电信系统。 
DRIP条款5表示RIPA定义现在要涵盖 a service that “包含或包括促进创建,管理 or storage of 通讯s transmitted, or that may be transmitted, by means of such a system.”

解释性说明(第71段)说,这样做是为了 确保提供基于Internet的服务(例如Webmail)的公司 caught.  尽管第18段 解释性说明说,修正案是“for the purposes of 通讯s 数据和拦截请求”,它也适用于新的强制性数据 DRIP下的保留制度。  
在脸上 其中的修正案不仅适用于网络邮件,还适用于任何远程存储服务 (请记住,“communication”在RIPA下实际上是任何东西 能够被传输)。这个单词“facilitating” is a red 标志以进行广泛的解释。  这显然有可能涵盖非常广泛的活动。 正是这种类型的规定值得得到议会的全面审查。 

内政部报告在 周日时报 (2014年7月13日,订阅)提及RIPA的这项修正案:“该法案阐明了应如何解释当前定义,但这不能更改或扩展RIPA中定义的含义以捕获新服务。”这是一团糟。 实际上,修正案说“应将A包括在B中。”如果B覆盖了A以外的任何内容,则将捕获新的服务。 即使对于B是否确实涵盖了A内未包含的内容可能存在不同的观点,但建议修改“无法”获取新服务是胡说八道。 
他们是否需要 保留相同的数据?
解释性说明强调指出,DRIP通知(即 国务卿通知公共电信运营商)不能 要求保留现有数据类型以外的其他数据类型 legislation. 这个 is achieved by defining 'relevant 通讯s data' by 参考《 2009年实施细则》的时间表,其中列出了具体的 types of 通讯s data that a CP could be required to retain.

定义还贯穿了重要的 仅在生成数据时才捕获此类数据的资格,或 由英国公共电信运营商在以下过程中处理 提供有关的电信服务。  换句话说,取力器  如果需要,则不需要创建数据 在提供这些服务的过程中不生成或处理它。 
通常,这似乎忠实复制了2009年 Regulations.  但是采用和 RIPA电信服务和系统定义的修订 (请参见上文)可能会影响属于该范围的数据范围 "relevant 通讯s data".

是否保留 periods the same?
现有的2009年法规要求保留12 几个月。 DRIP(有明显的制图缺陷)可提供最大的 保留期为12个月,同时可以指定较短的期限 用于不同的目的。 

缺陷在于,如果没有法规规定 根据S1(4)(b)规定的最长保留期,国务卿显然可以 根据S1(2)(c)发出要求保留超过12个月的通知。它 很难相信政府打算这样做。  暂行条例草案确实规定 最长为12个月。
正在维护 欧洲法院判决后是否允许数据保留的现状?
政府在新政策中的程度 立法解决了欧洲法院使数据保留无效的理由 指令最初还不清楚,因为很多要通过 二级立法,需要下议院和地方政府的肯定决议 Lords.  DRIP和现在发布的 临时法规草案可以解决欧洲法院的判决, 尽管总是很难看到任何形式的一般性强制性数据 保留可以符合在 the ECJ 判断. 

那里 may be room for debate about whether the ECJ intended 断定判决中确定的每个异议都是自立的 国家立法中必须独立解决的问题;如果可以的话 每一个都应该克服。  确实 必须记住:
  • 欧洲法院正在评估欧盟的兼容性 欧盟基本权利和自由宪章》的立法。
  • 国家立法是否存在的问题 还必须遵守欧盟法院未提交的《宪章》(尽管 跟随后续 普莱格 欧洲法院的决定很可能是国家法律必须 出于Steve Peers教授解释的原因而遵守《宪章》 这里)。
  • 国家立法机关可能有一定程度 他们如何遵守《宪章》的自由度(赞赏的余地)。
  • 欧洲法院的判决在某些方面可能具有 根据《宪章》实施了比欧洲人权法院更严格的标准 在斯特拉斯堡,《公约》享有权利。  If so, that could 公开了部长的可能性 可能证明DRIP符合《欧洲人权公约》 同时不遵守欧洲法院判决的所有方面。
无论如何,主要影响评估现在可以容忍 显然,政府并未试图遵守 the ECJ 判断. 

考虑到所有这些,列出欧洲法院的建议是有益的 使数据保留指令无效的具体依据,并考虑DRIP的作用 并且不解决它们。 [更新:政府现在已经发布了 注意 进行比较。]

问题 [中段号 ECJ判决]
国家立法
概论
          Applies to all means of electronic 通讯 (use widespread and 在人们中越来越重要’的日常生活)[56]
          所有订户和注册用户[56]
          干扰几乎整个国家的基本权利 欧洲人口[56]
          All persons, all means of electronic 通讯 与out any 区分,限制或例外[57]
欧洲法院关于普遍性的评论专门提到了 指令第5条中列出的数据类型。  这些被复制到附表中 2009年法规。
 
DRIP中没有更改,它复制了2009年计划/第5条列表。  
毫无怀疑
          甚至适用于那些没有证据能够表明 与严重犯罪有联系,甚至是间接的或远程的[58]
          保留的数据与对公众的威胁之间没有关系 安全性:不限于:
         有关以下数据:
-           特定时间段
-           特定地理区域
-           可能涉及严重犯罪的特定人群 [59]
         其数据由于其他原因可能有助于预防的人, 侦查或起诉严重罪行[59]
这些反对意见都进入了对 通讯 service providers to retain 通讯s data of all 用户。  很难看到如何滴 可以解决这些问题(作为保留问题,而不是访问问题)而无需 从根本上将保留的性质更改为针对特定对象的内容 categories of 通讯s relating to likely suspects and associates.

未解决。
具体权利
      Applies to persons whose 通讯s are subject to professional 保密[58]
同样,很难看到如何解决此问题(因为 保留问题),而无需采用某种针对性的方案。

未解决[更新:由于保留,未解决。目的是要修改有关访问的通信数据业务守则(请参阅 Comms数据简介)]。
访问和使用
      没有客观标准 确定对数据的访问限制以及随后的预防用途, 侦查或起诉足够严重的罪行[60]
      留下严重的犯罪定义 国家法律[60]
      没有实质性和程序性 与获取和随后使用有关的条件
         留给成员国定义程序和条件 符合必要性和相称性[61]
         特别是没有客观标准限制数量 被授权访问并随后使用此绝对必要人员 [62]
应该能够在国家立法中得到解决。 

政府部分依赖RIPA的规定 access to 通讯s data to satisfy these requirements. 
里帕不是唯一可用于要求获得 通讯s data.  使用其他 不鼓励在《通信数据业务守则》中行使权力,但不 禁止的。政府根据DRIP S1(6)通过限制访问权限来解决此问题 强制保留数据到RIPA授权和通知,法院命令 或其他司法授权或手令,或DRIP的规定。 (请参阅“加入 DRIP到RIPA',如下)
独立 监督
      最重要的是,访问权限不取决于法院或法院的事先审查 提出合理要求后的独立行政机构
         MS没有义务建立这样的限制[62]
能够在国家立法中得到解决。

但这要求由法院或独立机构事先审查 is contrary to the scheme of 里帕, whose 通讯s data acquisition 通知(不保存给地方当局)不受任何此类要求的约束。  DRIP或临时草案中没有任何内容 法规解决了这一反对意见。政府也许会寻求 建议欧洲法院设定的门槛高于 《欧洲人权公约》。
保留期
      数据类别之间的区别基于:
         可能 usefulness
         有关人员[63]
      没有客观标准限制为严格必要的基础 确定保留期[64]
能够在国家立法中得到解决。

政府的意图似乎是将这一方面留给 国务卿发出的个人保留通知的条款 一般而言,必须以他认为必要的方式行事 和proportionate.  DRIP本身和 暂定法规草案只规定了最高总数12 保留期。
数据保护问题
欧洲法院就数据等事项提出的各种问题 临时法规草案处理了数据的安全性和破坏, 这也介绍了信息对这些方面的监督 专员。

将DRIP加入RIPA
政府依靠RIPA的必要性,相称性和保障性条款来管理对通信数据的访问。 为了解决欧洲法院判决的某些影响。 

但是,RIPA不是唯一可以使用的立法 to access retained 通讯s data.  其他 存在无法享受RIPA保障的权力。其他非特定用途 《通信数据业务守则》(第1.3段)已弃用了这些权力, but not forbidden.
2012年提出的《通讯数据法案》草案将 have prevented such powers being used to acquire 通讯s data.  第24条的解释性说明草案 stated:

“ 123.本条引入 条例草案附表2,其中载有某些一般资料的废除 权力,只要它们使公共当局能够通过 telecommunications operator of 通讯s data 与out the consent of the 操作员。因此,第24条确保法律不要求运营商 obtain and disclose 通讯s data other than in cases 哪里 the relevant 法律框架明确保证了本条的实质性保护 8和指令2002/58 / EC(隐私和电子指令 communications)."
专用于废除死刑的权力在 1968年《商品说明法》,《 1974年健康与安全法》, 1987年《刑事司法法》,1987年《消费者保护法》, 1990年保护法,1992年社会保障管理法, 1998年《竞争法》,《 2000年金融服务和市场法》以及《企业法》 Act 2002.

关于评估是否遵守欧洲法院的论点 判断DRIP应该与RIPA一起阅读’保障措施很难 维持是否存在其他可能没有类似保障措施的权力。  因此,DRIP通过以下方式在S1(6)中解决此问题: 限制通过RIPA授权和通知访问强制保留的数据, 法院命令或其他司法授权或手令,或根据 DRIP.  暂定草案第3部分 法规也将此限制应用于根据S.102自愿保留的数据 ACSA 2001.
DRIP的RIPA规定

DRIP中的新规定包括第4条和第5条,概述了 简要地在上面。根据解释性说明,这些措施仅 旨在澄清当前立法的意图,因此 RIPA于2000年制定时受到议会的审查。 
里帕的域外管辖权
第4条试图向政府讲话’s concern that 它应该能够应用RIPA拦截功能通知,拦截 warrants and 通讯s data acquisition notices to non-UK companies that provide 通讯s 向英国公众提供的服务。

18个月前,此问题已得到详细解决,因为 regards 通讯s data notices, in the report of the Joint Committee 上 the 2012年12月发布的《通信数据法案》草案(第230至243段)。

DRIP的澄清有两个不同方面。一个是 whether, as a matter of interpretation, the warrantry and 通讯s data RIPA的收购条款可适用于在英国境外进行的行为。第二 是如何向英国境外的实体以及根据RIPA承担相关职责的实体提供RIPA认股权证或通知的。  这很重要,因为在这种情况下,没有人有义务做任何事情 RIPA条款,除非已获得或获得适当的保证或 notice.

关于第一个方面,RIPA现有规定均不存在 在行为地点上包含任何明显的领土限制 authorised or required under a warrant or 通讯s data 注意。  与之相反的是 未经授权的截取,明确地仅限于在 United Kingdom.
但是,行为的地点只是问题的一部分。   英国以外的人可以从事 在英国境内进行。  一个人位于 英国可能在英国境外从事行为;还有一个位于 英国可能在英国境外从事行为。  这些不同方案如何映射 令人恐惧的是,RIPA的各个方面一直而且一直很困难。
联合委员会说:
“ 里帕的术语 起草似乎没有对电信运营商施加任何限制 may be required to disclose 通讯s data, as long as they operate in the United Kingdom i[t] does not matter 哪里 they may be based."
关于行为的地点,现在DRIP明确指出 warrant, a capability maintenance notice and a 通讯s data acquisition 通知可能与英国境外的行为有关。

然后,DRIP规定遵守这些义务 无论该人是否在美国境内,均适用手令和通知 王国。在截取令的情况下,逮捕令知道不遵守 根据RIPA S11(7),该义务可能会导致刑事责任。

然后,DRIP竭尽全力设计服务方式 在英国境内对非英国实体的保证和通知。  For 通讯s data acquisition notices 这甚至可以包括口头通知。  这种阐述是纯粹的实用性问题,还是也许 反映出更深层的关注,即在外部服务政府的手令和通知 英国可能被视为违反领土的行政行为 另一个国家的主权是一个推测的问题。 
至于数据保留通知,DRIP提供了它们可以 通过给出或发布给操作员(或操作员描述) 以国务卿认为适当的方式 引起操作员注意或对其进行描述的操作员 relates.
电信 services
如上所述,修订后的定义 DRIP条款5中的电信服务均适用于数据保留 在DRIP和RIPA下。 

[以较小的修订更新,2014年7月21日21.40,2014年7月13日10.50; 2014年7月12日至17日,考虑到《星期日泰晤士报》报道的内政部关于电信服务的声明; 2014年7月15日14:42有关专业保密性。 2014年7月16日23:11进一步更新,考虑到内政部人权备忘录; 2014年7月22日和09:48,其中包括政府关于遵守ECJ判决以及对已颁布法规的参考的逐点注释。]

2条评论:

  1. 那里'关于第4条,我不知道'不明白,也许您可​​以对此有所了解?即,强迫海外供应商遵守英国法律/手令,并提供政府要求的数据。

    对于拥有英国(实体)业务的海外实体(例如Google,Apple,Amazon等),我可以看到如何通过英国法院强制执行。

    但是,如果海​​外电子邮件提供商(不是大型电子邮件提供商)仅位于英国以外并且没有'没有英国服务器,也没有英国实体或财务机构(I'我想在这里考虑快速邮寄),那么英国政府如何在外国公司不遵守的情况下强迫他们遵守呢?'对英国法律负责吗?

    在这种情况下,如果某人切换到非英国的电子邮件提供商,没有英国的存在,也没有服从其本国以外法院管辖权的意愿,并使用https来使电子邮件的元数据和内容不可见,我们通过英国ISP进行连接,那么英国当局将无法获得任何数据-这意味着通过提议的一般数据扫描,当然,如果情报服务针对的是特定个人,那么所有赌注都将消失。

    有什么想法吗?

    回复删除
    回覆
    1. 在今天早些时候下议院委员会对第4条的讨论中提到了这一点(Dominic Raab和Julian Lewis)。

      http://www.parliament.uk/business/publications/hansard/commons/todays-commons-debates/read/unknown/862/

      删除