2020年10月15日,星期四

关于软限制的硬问题

欧盟法院大法庭的判决 Justice 在 国际隐私 (C-623 / 17)联合案件啦 Quadrature du Net (C-511 / 18和C-512 / 18)和 巴雷克斯 法语和德语 (C-520 / 18)上有回音 2020年10月6日上午。

这些来自英国,法国和比利时的推荐人构成 有关与欧盟国家监督法的法律兼容的问题 在每个国家。尽管在某些方面彼此不同, 他们的共同点是关于保留,处理或传播给 权限不是消息内容,而是上下文‘communications data’ 例如发件人,收件人,发送时间,通信时间和类型, 设备的种类及其位置。

充足性

从英国的角度来看,主要兴趣在于潜力 这些判决对欧盟委员会关于 adequacy – or not – 的 的 UK’的个人数据保护制度。 如果英国要保持不受阻碍的个人流动 data from 的 EU post-Brexit, an 充足性decision will ensure that. Although 英国在很大程度上复制了GDPR,英国’通讯监控 regime will still be relevant to an 充足性decision – as 的 施雷姆斯2 有关“欧盟-美国隐私保护”的诉讼已成为重点。

虽然上周都没有’欧盟法院判决解决了当前 《调查权法》下的英国通讯监视框架 2016年,我们将对这些判断进行仔细审查,并以此为依据。英国 政府已在其政府的H节中描述了当前的监视制度 充分讨论的解释性框架,为谈判目的而生产 with 的 EU.

CJEU转介

欧洲法院的三起案件涉及不同类型的活动 各自的国家立法可以授权并需要服务 提供者承接。尽管一般认为判决是 关于强制保留通信数据,它们不限于此。它们还解决了要求对通讯数据进行自动分析的国家法规, 检测恐怖主义,并实时提供安全和情报 authorities. 

的 案件s also vary between 立法 directly imposing blanket obligations 上 all service providers, 和 立法 conferring 国家当局的酌处权,使他们能够要求 各个服务提供商从事规定的活动。现在,这已成为关键的区别。

英国参考资料涉及电信的第94条 1984年法令。这项授权立法赋予了部长权力 州指示公共电子通讯提供商 为了国家安全或与外国的关系而建立的网络 政府。 2015年11月,英国政府首次公开承认 这种权力曾被用来要求提供者转移某些种类的 向安全和情报机构(GCHQ和 MI5). (S.94自此被废止, for this purpose, is superseded by 的 bulk 通讯数据 acquisition 根据《 2016年调查权力法》)。

比利时参考资料涉及强制性通讯 data retention.  的 Belgian law 在 这个问题强加了所有服务提供商保留, 12个月,各种订户,流量和位置数据(包括 通讯的始发地和目的地)。然后法律规定 各种国家权力机构可以达到的目的和条件 提出要移交数据的要求。数据可用于多种 刑事调查。

与通讯数据有关的法语参考 保留,有关立法直接强加给所有人 服务提供商以调查,检测和起诉为目的 刑事犯罪。该参考资料还涉及一系列全权委托的法定 权力使法国当局能够指示提供者进行各种 of 通讯数据 analysis 和 reporting activities:

-          为了防止恐怖主义, real-time transfer 的 通讯数据 relating to a person previously 被识别为可能与威胁相关联,并与此类威胁相关联 个人有充分理由相信能够提供相关信息。 (L.851-2)

-          为了防止恐怖主义, 由服务提供商设计的自动数据处理 授权中列出的参数,以检测可能构成的链接 恐怖威胁;并且已检测到数据可能指向 存在恐怖威胁,授权识别身份的程序 有关人员并收集相关数据。 (L.851-3)

-          实时传输给当局 有关广泛终端设备位置的技术数据 广泛的与安全性相关的各种目的。 (L.851-4)

原则

欧盟法院阐明了许多原则要点。特别的 relevance are:

-         遵守欧盟法律的相同问题以及 《欧盟基本权利宪章》已在( 数字 Rights IrelandTele2 /沃森 随着数据传输到 第三方以及为了使用数据而访问数据。 (C-623 / 17 [61])

-         可以通过使用 交通数据和位置数据的敏感性不亚于其实际内容 通讯。 (C-623 / 17 [71]; C-511 / 18等[117],[184])

-         交通数据和位置数据的传输 对使用者以外的其他人构成对基本权利的干扰, 无论随后如何使用该数据。 (C-623 / 17 [69]和[70])

-         向公共机构的传播具有 将数据提供给他们的效果。允许一般性的立法 向公共当局不加区别地传输数据意味着普遍 访问。 (C-623 / 17 [79]和[80])

-         《电子隐私指令》要求以下例外情况: 通信保密仍然是例外。立法支持 将流量和位置数据传输到 当局将例外规定为规则。那是不允许的。 (C-623 / 17 [69],C-511 / 18等人[111],[142])

-         宪章要求对 法律规定的基本权利的行使意味着 允许干涉这些权利的法律依据必须自行定义 有关权利行使的限制范围。 (C-623 / 17 [65],C-511 / 18 [175])(引用 施雷姆斯2,[175])

-         通用访问所有保留的数据(包括 不管是否有任何传播) 至少间接地追求目标的链接不能被视为严格 necessary. (C-623 / 17 [78],[80],[81])

-         维护国家安全的目标 能够证明采取措施导致更严重的干扰 基本权利,而其他目标中可能没有规定的理由 ePrivacy Directive第15(1)条。 (C-623 / 17 [75],C-511 / 18等[136])

-         它 is not sufficient for 立法 to specify 行使权力的目的。它必须通过明确和 精确的规则,规定了管理《公约》的实质性和程序性条件 使用数据,从而确保干扰仅限于 绝对必要。 (C-623 / 17 [68],[77]; C-511 / 18等[132],[133],[155], [166]至[168],[176])

运用原则

欧盟法院如何依赖这些原则和其他原则 转化为欧盟法律对以下权力的兼容(或其他) consideration?

首先,注意事项。 CJEU的判断风格趋于 走向所谓的‘opaque clarity’:高原则的铃声声明, 其具体含义还有一天。上诉法院拥有 观测到的: “欧盟法院以发表类似于 the oracle 在 Delphi…”.

本领域的经典例子是禁止 “一般性和不加区分的保留”, contrasted with ‘targeted retention’. 两者之间边界的确切位置尚未发现。 不仅如此,而且先前的欧洲法院判决可能会 现在,禁止通用应用程序具有特定于上下文的异常。

尝试进行CJEU判决时,尤其是与《欧盟宪章》有关的判决,具有这种特点。 将它们推断为不同的事实和上下文。

内部服务提供商的活动与状态访问

在这些判决中,欧洲法院对保留与否之间进行了高层区分。 和处理服务提供商内部的活动,并通过 the 当局。

On 的 service provider side 的 的 boundary, 立法 通常,禁止进行强迫性的,不分青红皂白的活动。 但是,法院指出了立法的一些局限性和目的。 可能要求服务提供商进行一般性和不加区分的保留,或者限于某些类型的通信数据(源IP地址和订户 identity data), or to undertake automated processing 的 all 通讯数据 retained by 的m.

相比之下,在任何情况下–或至少没有考虑 by 的 Court –立法是否可以向当局提供 with 一般和 不加选择 access to 通讯数据 held by 的 服务提供商,包括(与英国一样)’s第94条) to 当局。

Blanket obligations versus enabling 立法

欧盟法院以前毫不犹豫地举行 直接对所有服务施加全面数据保留义务的立法 提供者不符合欧盟法律。它做到了 Tele2 /沃森 该案的瑞典立法。在这些最新情况下, 法国和比利时的一揽子数据保留法规也是如此。

的 position is more nuanced with 立法 conferring 酌处权。欧洲法院 Tele2 /沃森 列出了一系列 principles applicable to data retention 立法, but stopped short 的 认为当时的英国数据保留法规(DRIPA)不兼容 with 欧盟法律。  That assessment was 返回英国法院。 

迪帕 was structured as enabling 立法, empowering 的 国务卿将通知发布给服务提供商长达12个月。 DRIPA要求国务卿考虑发布数据保留 通知对于以下目的之一是必要且相称的 法案。尽管另外要求,当前的《知识产权法》用类似的术语 国务卿应考虑到 立法。 《知识产权法》规定的保留通知也应事先 批准独立的司法专员。

随之而来的问题是,根据欧盟法律,是否 足以使成员国立法要求相关当局 根据需要行使酌处权 相称原则,以及旨在确保 这实现了。还是法规本身必须对 行使权力?

这里有两个不同的观点:第一,权力可以 有问题地以需要服务的方式行使 提供者进行非法的,不分青红皂白的活动? 其次,立法是否主要依赖于遵守 原则和建立保障措施,而不是对 行使权力,满足欧盟法律对清晰准确的要求 rules?

极端到极点,否则可能会受到限制 一般自由裁量权可通过一项规定予以保留 是否按照《欧盟基本权利宪章》行使?如果答案是‘No’,那么立法必须走多远 substantive limits?

明确和精确规则的要求名义上是 与《欧洲人权公约》相同‘prescribed by law’测试。但是,有迹象表明,欧洲法院可能会开放采取更严格的方法 比史特拉斯堡法院高。欧盟法院在第[124]段中 啦 Quadrature 决定是指将《欧洲人权公约》考虑在内 ‘最低保护门槛’.

英国法院的《知识产权法》

到时候 沃森 案件 回到 在英国上诉法院,DRIPA已被《知识产权法》所取代。另外,自由有 提起诉讼,质疑数据保留和大功率规定 of 的 IP Act. 兼容性问题 因此,由欧盟法律决定 自由诉讼。  In 四月 2018 的 地方法院举行 知识产权法的数据保留权是兼容的 with 欧盟法律。

关于第二点(硬性限制),法院没有阅读 the 沃森 决定需要详细的因素(如描述的那样) to be listed 在 domestic 立法.  它 如果立法允许做出以下决定,就足够了: 与所追求的目标充分相关(b)绝对必要 (c)相称([124]),加上保障措施,以达到有效 防止滥用个人数据的风险。 ([125])

国务卿有义务行使 权力只有在她认为既必要又成比例的情况下 该法案中列出的更多目的“将法规的实质 提出的测试 沃森”. ([128])

法院认为,欧洲法院建议的限额在 沃森 (通过提及人员类别和地理区域)不是 详尽的或说明性的。建议的限制是参数的示例 可以根据特定情况的事实来使用。 ([123])它将 不切实际,没有必要在立法中详细列出 根据以下情况可能适用的因素 不同的情况([124])。

关于第一点(一般保留和不加区分的保留),法院说,很难设想包含英国所有通信数据的通知如何能够满足法定必要性和相称性测试([129]);并且不可能说该立法要求或什至允许对通信数据的一般性和不加区分的保留([135])。

会员国必须列出清单吗?

这种方法提示了一个问题: 欧洲法院建议的标准不是规定性的或详尽的,意味着该成员 国家不必在自己的立法中列出一系列限制条件 行使酌处权,使他们严格遵守 必要性可以衡量吗?放下要考虑的因素是否足够 行使权力时算账?后者是否可以使 能否客观地检验其与追求的目标之间的联系的力量?

虽然在欧洲法院 沃森 在[110]观察到 这些条件可能会根据所采取措施的性质而有所不同。 预防,调查,发现和起诉严重的目的 犯罪,它指的是“国家必须满足的实质性条件 legislation”。继续这样的条件必须证明是这样的 实际上是在实践中限制该措施的范围,因此, the public affected.

施雷姆斯2 出现

在地方法院时’s 自由 欧盟法院的判决没有使任何与之相抵触的立法 欧盟法律。现在已经改变了。首先, 施雷姆斯2 决定,尽管 考虑将美国法律与欧盟个人数据保护基本等同, 比成员国的兼容性’的法律认为,某些美国授权条款 没有提供足够的个人数据保护。的限制 个人数据保护不是:“以令人满意的方式限制 基本上等同于欧盟法律要求的要求” ([185]).

施雷姆斯2 强调:

“要求任何 法律必须规定对行使基本权利的限制 implies that 的 法律基础 允许与那些干扰 rights must 本身 确定行使限制的范围 the right concerned…”[175](添加了重点)

像以前的欧洲法院判决一样, 立法本身及其授权采取的措施:

“the 立法 有问题的 这意味着必须放下干扰 清晰准确的规则 规管所涉措施的范围和适用并实施 minimum safeguards …。它必须特别指出在什么情况下 在什么条件下 测量 提供处理 可以采用此类数据,从而确保将干扰限制为 严格需要什么.”[176](添加了重点)

在最近的欧洲法院判决中重复了这些观点, 还强调立法必须在国内法下具有法律约束力 law (正交 [132]).

强调明确和精确的条件 立法本身又提出了一个问题,即一种方法是否主要基于 保障和监督广泛的自由裁量权与 EU law.

如果仍然有可能以某种方式行使自由裁量权,从而导致不容许的普遍性和不分青红皂白的保留,那么就不遵守欧盟法律。 

此外,留给自由裁量权的东西越多,它越不可能 似乎可以满足由实质性条件产生的实际效果的标准:

“实质条件 must be satisfied by national 立法 …必须显示为 实际上是在实践中限制该措施的范围,因此, the public affected.” Tele2 /沃森 [110])。

这可以通过在 施雷姆斯2 关于正在考虑的两个特定的美国监视计划。该计划授权收集通信数据和内容。

欧盟法院认为,S702 FISA本身并未定义范围 限制有关权利的行使并明确规定 控制有关措施的范围和适用的精确规则 施加最低限度的保障)。 S702授权监视程序,而不是 个人监督措施。设计了FISC的监督角色 验证监视程序是否与获取目标有关 外国情报信息,而不是个人是否正确 旨在获取外国情报信息。

同样,它认为PPD‑28, 在基于E.O.的监视程序的背景下, 12333,访问传输到美国的数据,而无需进行访问 在接受任何司法审查的情况下,无论如何均未在 足够清晰和精确的方式来收集此类物品的范围 个人资料。它允许批量收集…相对大量的信号智能 情报界无法提供情报或数据的情况下 使用与特定目标相关联的标识符来关注集合。

在这种情况下,欧洲法院认为 保护来自美国国内法的个人数据 没有关于美国公共当局访问和使用此类数据的国家 满足以下条件的条件: 欧盟法律要求的那些([185])。

第94条-欧盟法律与ECHR

在里面 国际隐私 在此情况下,CJEU的调查结果似乎不可避免地得出结论,即英国S.94授权立法违反了欧盟法律。 有两点值得注意:

首先,第94(2A)条规定:“国务卿不得发出指示… unless he 认为指示所要求的行为与 试图通过这种行为来实现。”知识产权法也包含类似的规定。

第二,不相容性裁定适用于S.94 公开声明,公布处理安排并开始独立 在2015年11月进行了监督。在此之后的IPT坚持认为, 符合ECHR“法律规定”的要求:

“The ICC concluded … that 的 有关机构已按照 处理安排,以确保它们仅获得和保留大量 通信数据,然后访问并对该数据进行分析, 履行其在SSA 1989或ISA 1994下的职能。 根据第94条保护免受潜在权力滥用的保护,即一项要求 因此只能获得BCD并将其用于适当的目的,因此 由法律提供并受到有效监督。” [91]

这种做法(在地方法院的判决中 自由 上面讨论的内容)与欧洲法院形成鲜明对比’s stipulation that:

“立法不能局限 本身就要求该当局’访问数据要与 该立法追求的目标,但还必须规定实质性目标 以及使用该程序的程序条件”. (国际隐私[77],另请参阅 正交 [176])

This suggests that 立法 should specify 的 当局必须满足的标准,并且当局必须决定 在特定情况下是否满足标准–如有必要,支持 由独立机构进行验证和批准。

欧洲法院似乎认为要满足的标准是 要通过的网关,而不是要考虑的因素 由当局行使其酌处权。至少, 判断似乎倾向于要求具体限制 立法中阐明了这一点,而不是留给周围的保障措施。

一个悬而未决的问题是欧洲法院的距离’s approach might 涵盖诸如法定实务守则之类的工具 内‘legislation’。的 答案可能取决于它们是否足够清晰和 精确的规则以及它们是否通过了‘根据国内法具有法律约束力’ 测试。如果是这样,那将是一个问题,即施加的限制是否足以使权力达到联合国所确定的相关实质性界限之内。 CJEU .

调查权法

这种方法如何映射到调查权 法案?展望英国退欧过渡期结束后,重大问题 不会遵守欧盟法律,但是英国制度是否规定 “本质上等效”保护个人数据。但是,两者是 密切相关。此外,《知识产权法》’遵守欧盟法律是一方面 Liberty即将进行的国内司法审查的结果(关于一般和不加区分的数据) retention 在 least) may 在 due course be considered 由法院of Appeal.

知识产权法的两个方面与欧洲法院有重叠 judgments are data retention (Part 4) 和 bulk 通讯数据 购置权证(第6部分第2章)。后者是出于这些目的 知识产权法替代第94 TA条。

However, bulk 通讯数据 (known as secondary data) 也是根据第6章第 1)。如果有可能,即使是有针对性的担保制度也可能是相关的 of obtaining ‘thematic’ warrants.

为了简单起见,我将重点介绍两种功能:数据 保留和大批量通信数据获取保证书。这两个都是授权条款,而不是总括性要求。 

硬限制与软限制

尽管提供了更多的保障措施 DRIPA(用于数据保留)或94节(用于批量通信数据获取)- 包括司法专员事先批准的通知书或手令 分别-两种权力都采用了可行使的广泛权力模型 广泛定义的目的。

数据保留能力 使秘书 如果她认为国家/地区(请经过司法专员批准) 出于一项或多项所列目的而必要且相称的要求 根据该法案,要求电信运营商通过通知保留 certain categories 的 通讯数据. 的 notice must not require 保留时间超过12个月。它可以指定一个运算符或 运营商说明,要保留的数据和保留期限。

不能仅以 数据与工会在不列颠群岛的活动有关。

国务卿必须考虑到 发出保留通知之前的因素数量,包括可能的 通知的好处以及任何电信的潜在用户数量(如果知道) 通知所涉及的服务。  

bulk 通讯数据 acquisition power 是一个 根据IP法案第6部分归类的几个大国。秘书 如果州政府认为,则可以(经司法专员批准) 出于各种国家安全理由的必要,发布情报服务 with a warrant authorising bulk acquisition 的 通讯数据. She must 认为手令授权的行为与 力求通过行为来实现。

她还必须考虑对无罪者的检查 通讯数据对于指定的每个操作目的都是必需的 在手令中,除了她认为手令的理由 to be 必要。

不能基于国家安全的理由 仅基于数据与 不列颠群岛的一个工会。

批量购买认股权证的有效期为6个月, subject to renewal.

电信运营商收到了一份 认股权证有责任采取措施实施认股权证,但须遵守 合理的实用性。

关于使用获取的数据的各种保护措施是 stipulated.

知识产权法的政策

这些权力的结构 反映了制定政策的基本政策 权力广泛,然后采取保障措施。 David 安德森QC(现为安德森勋爵)在2016年8月的观察中 大功率评论:

“我已经思考过 可能会有建议的范围“trimming” 的 some 的 的 bulk 权力,例如通过描述不应被禁止的行为类型 授权或试图限制可能的下游使用 收集的材料。但尤其是在议会的这个后期 在此过程中,我认为不适合从此开始。技术 而且术语的变化不可避免地要比立法者的能力更快 跟上。条例草案的计划不是我的事,而是 具有广泛的面向未来的能力,详细的实践准则以及强大的 vigorous safeguards.”

如前所述,如果欧洲法院判决的效果是, 不允许采取轻重保障措施和限制措施,因此 立法必须阐明行使权力的具体条件 比遵守必要性和相称性的义务以及要 taken 在to account, 的n 的 scheme 的 的 IP Act bulk 通讯数据 保留权和收购权,以及成功的争论 Divisional Court 在 自由,似乎有风险。 2016年的价值 I suggested 可能适用于当时的条例草案的一些限制’s bulk powers.

除此之外,不应忘记英国的大国权力扩展到对通讯内容的大容量拦截。欧洲法院 in 数字 建议数据保留义务 与内容有关的内容可能会对隐私权的实质产生不利影响 根据《宪章》第七条。的 施雷姆斯2 决定,另一方面 hand, drew no distinction between content 和 通讯数据.

泛滥?

做《知识产权法》数据 retention 和 bulk 通讯数据 acquisition powers amount to 一般和 随意保留和传输数据?直接要求 立法对所有提供者施加的强制性显然等于。在上下文中 逐案行使的权力,等于‘general 和 indiscriminate’?

从中可以明显看出 正交 判断([172]) 单一服务提供商的指令具有通用性 如果涉及则不加区分应国家主管部门的要求, 筛选所有交通和位置数据 由提供商保留。的 same is true 的 的 国际隐私 关于传输的判断。 同样,法院赞同只能行使权力的原则 以足够有针对性的方式。

什么不加区别?至少缺乏客观性 在要保留,分析或保留的数据之间建立联系的标准 传递并追求目标。 (正交 [133])

欧盟法院认为,地理标准能够胜任 to 有针对性的保留, if 的re is an objectively justifiable reason for selecting 的 area:

“措施的限制 提供交通和位置数据的保留也可以使用 国家主管当局考虑的地理标准 存在客观和非歧视因素的基础 一个或多个地理区域,这种情况的特征是 准备或犯下严重的刑事罪行… .

这些区域可能包括地方 严重犯罪的发生率很高,特别容易受到伤害的地方 犯下严重的刑事罪行,例如地方或 经常接待大量访客的基础设施,或 重要位置,例如机场,车站或收费站区域。” 啦 Quadrature [150]

如果客观上选择这样一个区域,那么大概 原则上要求纯属 该区域内的本地提供者将被保留。如果有那不是真的 没有客观合理的理由选择该区域,在这种情况下 同样的保留可能是不分青红皂白的。

总体立法方法的合法性如何 如果一个成员国(或英国)希望利用不同的 在某些情况下,欧洲法院拥有的各种权力是允许的, 出于某些目的,某些事实情况(请参见下文)或某些 数据(例如源IP地址或用户身份数据),那么似乎不可避免的是国家应该单独立法 每种功率,列出适用于每种功率的条件。

例如,如下文所述,欧洲法院规定 适用于实时和非实时数据访问的不同条件 由服务提供商持有。英国’第94节(以及现在的批量通信数据) 购置权证)似乎能够涵盖实时,近实时和 非实时传输,但不要区分它们。欧洲法院 评论了 国际隐私 判断:

“这样的数据披露 传输涉及电子通讯方式的所有用户, 指定是否必须实时传输 subsequently.” ([52])

国际隐私正交 欧盟法院认为这种可能性似乎较小 缺乏差异性将导致鼓舞。 

至于所考虑的各种权力, CJEU在法国和德国参考文献中的发现(上文讨论了英国的第94节)如下。

强制数据保留

Permissible 一般性和不加区分的保留 强制性 data retention, 的 Court reaffirmed 的 general rule that 立法 作为预防措施,提供对客户的一般性和不分青红皂白的保留 交通和位置数据是不允许的。

但是,法院确定了某些例外。每一个 在这些情况下,这些措施必须通过明确和精确的规则来确保 保留有争议的数据须遵守适用的规定 实质性和程序性条件,有关人员具有 有效防范滥用风险。

1.       出于目的的严重威胁说明 维护国家安全。为此目的的说明 一般且不加区分地保留交通数据和位置数据是 是允许的,但前提是成员国存在 有关方面面临着对国家安全的严重威胁,即 表示是真实的,并且存在或可以预见。该指令可能是 仅在严格必要的期限内给予,但可能是 如果威胁持续存在,则扩展。施加此类指示的决定必须 受到法院或独立人士的有效审查 具有约束力的行政机关。 

2.      用于以下目的的源IP地址 维护国家安全,打击严重犯罪和预防严重犯罪 对公共安全的威胁。这些目的的立法规定了 分配给源地址的IP地址的一般性和不加区分的保留 如果保留期限有限,则允许互联网连接 limited to what is strictly 必要。

3.      身份数据 出于以下目的 维护国家安全,打击犯罪和维护公众利益 security. Legislation for 的se purposes providing for 的 一般和 不加区别地保留与用户的民事身份有关的数据是 permissible.

目标保留 法院还详细说明了 observations 在 Tele2 /沃森 关于允许的强制保留, 为了打击严重犯罪和防止对公众的严重威胁 安全,根据人员类别和地理条件进行定位。

有针对性的保存 它还加快处理 有针对性的保存。为了打击严重犯罪,并且 为了维护国家安全,允许使用 要求服务提供商通过以下方式做出的决定: 接受有效司法审查的主管当局, 在指定的时间段内,交通和位置的快速保留 拥有的数据。

As with 的 permissible categories 的 一般和 不分青红皂白的保留,这些针对性措施必须遵守 要求制定清晰,准确的规则和有效的防范措施 risks 的 abuse.

自动分析交通和位置数据

法院的这一部分’的判决与法国L.851-3有关, 强制服务自动处理交通数据和位置数据 提供程序,以检测可能构成恐怖分子的链接 威胁。法院认为,这种自动分析虽然具有普遍意义, 允许无差别的(见第[172]段) 有关会员国面临着严重威胁 被证明是真实的,存在的或可预见的国家安全; 求助于自动分析可能是有效的主题 由法院或独立行政机构进行审查, decision is binding.

法院在其判决过程中扩大了 法国立法的背景下,应采取哪些步骤以确保 预先建立的模型,标准和数据库是:

-特定且可靠,有可能实现 结果确定可能受到合理怀疑的个人 参与恐怖主义罪行;

-非歧视性的;

-并非孤立地基于敏感的个人数据;和

-接受定期复查以确保符合要求 可靠且最新。

此外,任何积极成果应视个人情况而定 采取行动之前,请进行人工重新检查。 

实时访问

法国措施L.851-2和L.851-4均已启用 实时访问交通和位置数据: 用于预防恐怖主义的L.851-2和技术设备的位置 L.851-4的数据广泛用于广泛的安全目的。

根据L.851-2可以收集的数据将使 当局监督“连续实时地 这些人正在与谁交流,他们使用的方式,持续时间 他们的交流以及他们的住所和迁徙地点。也可能 揭示在线咨询的信息类型。” [184].

关于L.851-4,技术数据似乎允许 “负责部门,在整个过程中的任何时候 授权连续不断地实时定位终端设备 使用,例如移动电话。”

法院强调干预的严重性 具有实时收集交通和位置数据的隐私权:

“必须强调的是 实时数据收集构成的干扰 要定位的终端设备显得特别严重,因为该数据 为国家主管部门提供准确而永久的手段 跟踪移动电话用户的动向。在某种程度上 因此,必须将数据视为特别敏感的实时数据 主管当局对此类数据的访问必须与 对数据的非实时访问,第一个更具侵入性 允许监视几乎全部用户… 。的 这种干扰的严重性进一步加剧了实时性。 收集还扩展到有关人员的交通数据。” [187]

因此,法院区分了限制和 适用于实时和非实时数据访问的安全措施。即时的 对于有有效证件的人,不排除收取 怀疑他们以某种方式参与恐怖分子活动的理由 activities.  

对此必须接受以下人员的事先审查: 具有约束力的法院或独立行政机构 为了确保此类实时收集仅在 严格必要的限制。在紧急情况下, 审查必须在短时间内进行。

在这种情况下,法院使用了‘prior’ 评论,而不是‘effective’ review.

法院在其判决书中还强调, 决定授权实时收集路况和位置数据的决定 必须基于《服务条款》中规定的客观和非歧视性标准 national 立法 和 requiring 的 court or other 在dependent 进行事先审查以使自己满意的行政机构, 除其他外,此类实时收集仅在以下范围内被授权 what is strictly 必要。

非实时访问

尽管不属于执行部分 判决,法院对应适用于非真实财产的条件发表了评论 时间收集。如中所述 Tele2 /沃森: “一般而言,访问可以 就打击犯罪的目的而言,仅授予 涉嫌计划,实施或实施过的个人的数据 严重犯罪或以某种方式牵涉到这种犯罪”.

然而:“在特定情况下,例如至关重要 国家安全,国防或公共安全利益受到威胁 恐怖活动,也可能会允许访问其他人的数据 有客观证据可以从中推断出该数据 在特定情况下可能会为打击此类行为做出有效贡献 activities.”

因此,法院在本案中认为,非实时 涉嫌不涉嫌涉嫌涉嫌涉嫌涉嫌非法捕捞的人可以被允许 恐怖活动中的其他方式,但只有在有目标的情况下 从中可以推断出该数据可能在特定情况下的证据, 为打击恐怖主义作出有效贡献。

结论

早在2017年(2020年1月更新),我写了一篇题为‘充足的愿景’, 我建议:

“虽然涉及批量 数据保留,而不是拦截或干扰, 沃森/ Tele2 提供了CJEU决策可能的未来方向的指示。和以前一样 施雷姆斯, 沃森/ Tele2 强调区分,限制和例外的必要性 根据所追求的目标。这表明虽然适当 集中的和粒状的大国力量可以接受,一揽子大国也许不可以 be.

如果那是未来 CJEU判例法的方向,然后是IP法案’的大功率,更长的时间 保障措施超出限制,可能会遇到麻烦。…

法定的大国权力可以是 差异化和有限。例如,可以在 种子和非种子数据挖掘。模式识别和异常检测 对于检测计算机化的网络攻击非常有价值,立法可以重点关注 为此目的使用。这样的限制可能会阻止它用于 试图发现和预测一般人群中的可疑行为, precrime-style.

根据该法案,这些区别 留给部长们评估必要性和相称性, 司法专员在签发和批准认股权证时 事件监督。这些是软限制,而不是硬限制, 将来可能需要大功率通过集合。”

CJEU的最新决定 增强了人们的认识,这确实是其判例法的方向。他们甚至在评估英国的权力是否与欧洲法院现在明确规定的各个类别基本兼容之前,就英国的软限制方法提出了棘手的问题。

[对“内部服务提供商的活动与国家准入的关系”,2020年10月6日;修改以澄清职位下半部分列出的调查结果与2020年10月19日的法文和德文参考文献中的内容相同;关于向上诉法院上诉的更正 自由 诉讼,2020年10月20日。]