【编者按】2020年3月12日,欧洲政策研究中心发布《欧盟刑事事项和电子IT数据司法合作手册》(JUD-IT Handbook)。旨在使司法当局、执法人员和辩护律师能够更好地利用复杂的法律和体制框架,管理跨境合作,以获取和交换刑事诉讼中所要求的电子信息。该手册主要由两部分组成:第一部分为欧盟成员国侦查和检控机构和刑事辩护律师在刑事诉讼中采集跨境数据时,可采用的不同欧盟法律文书提供了可视化指南;第二部分是从业人员职责清单,旨在指导他们使用现有的欧盟司法合作文书(尤其是EIO)应对不同法律程序和相关行政管理的挑战。

简介

随着日常通讯和活动中互联网服务的普及,侦查和检控机关越来越多地需要收集电子信息来调查和起诉罪犯,不仅用于打击线上的网络犯罪,还用于调查和起诉线下的刑事犯罪。国家管辖权将在刑法及其执行和公民基本权利法两方面影响刑事诉讼中的证据采集。

JUD-IT项目研究表明,当前执法人员、司法机关和辩护律师仍致力于研究如何在欧盟和其他国家之间依法进行数据交换。不同国家宪法传统、法律术语和概念的不一致常常导致他们“迷失在翻译中”。JUD-IT手册提供了简要指南、数据访问规范。旨在填补一些知识空白,这些知识空白阻碍了欧盟内部和跨大西洋现有的司法合作文书的正确运作,无法用于刑事诉讼背景下的数据收集。利益相关者包括欧盟成员国的法官、检察官和辩护律师,他们是参与跨境刑事证据请求、发布、审查和执行各阶段的重要角色。

法律框架:如何执行?

当前有几种不同的司法合作文书支持欧盟各地的侦查和检控机关提出请求并获取刑事诉讼所需的数据。包括欧洲调查令(European Investigation Order, EIO)、2000年法律互助公约(Mutual Legal Assistance Convention,MLAC)、2013年欧美法律互助协议(EU- US Agreement on Mutual Legal Assistance,MLA)以及和其他国家签署的法律互助条约。司法合作和调解是这些欧盟和国际合作文书的核心。2001年欧洲委员会的《网络犯罪公约》还为执法和刑事司法在数据收集方面的跨境合作开设了论坛。虽然以上文书在很大程度上支持跨境数据获取的合作模式,但是在某些情况下,执法当局可能会直接向服务商提出数据请求。

除上述文书外,其他跨境数据采集文书还为当局提供了(或将提供)向私营公司直接请求数据的可能性。这些文书提出了一种跨境数据收集的替代模型——“无中介访问”(unmediated access),即不依赖于调解机构的介入。JUD-IT手册特别关注了现有的调解模式中以欧盟法律为基础的司法合作文书在获取刑事案件数据和证据方面的功能。

图1 刑事诉讼和跨境数据收集:现有法律文书

2.1 欧盟内部合作:欧洲调查令(EIO)

(1)适用的地理范围

欧盟境内,EIO支持成员国(爱尔兰和丹麦除外)基于互相认可的司法判决原则进行跨境数据请求,取代了以前的刑事司法合作文书,通过法律互助来规范刑事证据的交换流程。对于欧盟内部司法程序发出的数据请求,EIO应该优先于国外服务商提出的“直接合作”。成员国内的国家立法机构、IT和电信服务商不允许直接回应他国发出的侦查和诉讼数据请求。

(2)哪些调查措施允许执行?

EIO支持广泛的跨境调查,虽然没有明确提及“电子证据”,但第13条表明,可以通过该指令进行跨境电子证据收集和交换,包括流量数据和位置通讯数据。基于EIO的调查措施始终有效,这些措施可以从他国获取特定数据,以便识别持有指定电话号码或IP地址的个人。EIO执行国不得以该国法律制度不支持为由拒绝签发国的数据请求。

EIO仅支持有限的双重犯罪调查,且这些罪行不得在请求引渡国判处监禁或三年以上的拘留令。对于发生在请求引渡国境外的刑事犯罪或在被请求引渡国罪行清单外的犯罪,被请求国可能不会承认EIO的法律效用。在一些欧盟国家,只有对“严重犯罪行为”进行调查或起诉时,才被允许跨境收集电子信息。然而这一概念在不同国家法律体系中具有不同含义,目前的欧盟法律缺乏相关定义。

(3)谁可发起和执行EIO?

欧盟成员国国家法律规定司法机构应当负责请求、审查并执行电子信息的调查令。不同机构的职责受以下因素影响:

EIO指定的犯罪类型(有些国家负责发出和审核调查令的机构会因犯罪严重程度而异);

请求的数据类别(例如:内容数据、元数据、用户信息、IP地址等);

调查措施(例如:数据保存、数据生成、搜查电脑装置等EIO规定的强制或非强制措施);

人员类别(例如:律师、法官);

EIO执行阶段(预审阶段、审判阶段)。

虽然检察官有权发起或执行EIO,但是对于不同类型的数据请求,通常需要法官或法院进行独立的司法审核。在诉讼的不同阶段,被告人或其辩护律师在符合国家刑事诉讼程序的辩护框架内有权要求发起EIO。

(4)发起和执行调查令的要求

EIO要求成员国在跨境刑事数据收集时应遵循快速、高效原则。签发国必须在欧盟刑事司法和数据保护法规定下对调查令的合法性、必要性和相称性进行审查。执行国应在不违反本国法律规定的情况下依照合法程序执行调查令,且需要在30天内回应,90天内执行(视罪行严重程度期限可缩减)。EIO在违背言论/新闻自由、国家安全利益、一事不再理原则(ne bis in idem)、欧盟基本权情况下不适用。

图2 发布和执行EIO的步骤

(5)在哪个阶段可以发布/执行EIO?

EIO适用于诉讼程序的预审阶段以及审判阶段的证据收集,部分国家也可适用于判决执行阶段。

2.2 司法互助协议(MLAs)

对于不适用EIO的欧盟国家(爱尔兰或丹麦)和第三国(美国或日本等),欧盟MLAs将为跨境数据获取提供法律渠道。

(1)与爱尔兰的MLAs

对于欧盟成员国发来的跨境数据请求,爱尔兰司法和平等部(Ministry of Justice and Equality)将根据以下条件决定是否受理:

● 数据请求需要爱尔兰协助获取指定的证据材料

● 爱尔兰当局有权就数据请求所涉及的罪行发起搜查令

● 涉及的罪行在爱尔兰和发出请求的欧盟国家均应受到至少6个月的监禁;或该罪行在爱尔兰是刑事罪行,而在请求国是行政罪行,可向在刑事事项上具有管辖权的法院提起诉讼;

目的限制,所请求的数据不得用于调查以外的目的。

除以上条件外,如果MLA被认为会损害爱尔兰主权、安全或其他基本利益,或违反公共秩序、损害本国刑事调查等,爱尔兰将拒绝MLA请求。如果经司法和平等部审查符合要求,则Garda Síochána专员将负责执行MLA请求。

图3 与爱尔兰的MLA合作流程

对于欧盟成员国当局直接向爱尔兰服务商发出数据请求的情况,执行与否取决于接收方私营公司在个案基础上进行的评估。JUD-IT的研究表明,在爱尔兰设有分支机构的美国云服务商通常会以以下方式响应数据请求:

内容数据请求将自动发送到在美国的分公司;

非内容数据请求直接由当地公司自行评估,有些公司依据以下三个条件进行评估:用户受请求国司法机构管辖;基于请求国当局正当法律程序;遵守国际人权标准。

(2)与美国的MLAs

法律互助条约(MLATs)是欧盟和美国进行跨境收集交换电子信息的传统合作渠道,欧美法律互助协议(EU-US MLA Agreement)补充了现有的双边条约,并对其中的一些条款进行了修改。

欧盟成员国直接向美国发出的MLA请求,首先由请求国的中央责任部门进行审查,然后发送到美国司法部国际事务办公室(OIA),内审办根据美国宪法的要求进行审查,并将其发送到持有数据的公司所在的美国检察官办公室。美国检察官办公室将在一名法官和美国联邦调查局(FBI)面前为这一请求辩护。如果获得美国法官批准,那么这项请求就会被发送到这家私营公司。

私营公司产生数据后,FBI首先进行审查,然后通过CD-ROM(光盘只读存储器)发送给OIA,OIA最终将其转发给请求国的中央责任部门(司法部)。一些欧盟国家任命了驻华盛顿联络官,负责在将MLAT提交美国中央机构之前对其进行审查。

图4 与美国的MLA合作

美国不允许服务商直接响应欧盟国家的内容数据请求,受美国管辖的公司可以自愿向外国当局提供非内容数据。JUD-IT研究发现,没有证据表明“无中介”内容数据请求(即不通过MLAT渠道)比通过MLA对相同类型数据发起请求更为成功。

在“紧急请求”方面,美国法律允许美国服务商根据自己制定的政策和标准来响应这些请求。通常的流程是:欧盟成员国执法当局与美国当局保持联系,后者反过来为服务商提供支持。这种机制在紧急情况下可以很好地发挥作用,但是目前没有精简的程序可以遵循。一些美国公司为此制定了内部准则,以应对来自非美国(包括欧盟成员国)当局的此类要求。

基于EIO进行跨境刑事诉讼数据请求-供从业人员参考

3.1 司法实践要求

(1)EIO实践及其与其他法律法规的关系

EIO只能用于发送与搜证相关的数据请求,不包括仅提供程序性目标的请求(例如发送程序性文件),在这些情况下,应该发出MLA请求。如果EIO给两国责任部门带来太多的行政负担(如翻译等),则应避免使用。

(2)涉及的EIO签发国责任部门

EIO已将签发阶段“司法化”,它规定EIO须由一名法官、一间法庭、一名调查官或一名与案件相关的公诉人发出,也可以经由权威司法机构认证发出。签发国司法主管部门的参与至关重要,因为有些经本国认证的具备签发EIO资质的非司法机构并不被其他国认可。在EIO执行端,非司法行为者(例如警察)的数据收集措施也须经过司法审查。

(3)质量要求

EIO的质量把关对于跨境合作顺利进行至关重要,签发机构应确保调查令具备以下内容:

● 犯罪事实和调查所采取的技术措施(数据的产生和保存);

● 嫌疑人、被告或可能牵涉的对象;

● 跨境数据获取的必要性以及预期侦查结果;

● 数据保存时限。

签发机构需说明调查令所涉及的调查措施发生于预审还是审判阶段。在预审阶段,采取保密措施是合理的,并且需要维持到调查结束前。在审判阶段,知情对于被告和第三方权利或特权保障尤为重要。调查令应包括保护被告基本权利的相关规定,并说明在签发国可以使用的司法救济方式。它应指出哪个主管部门可以受理针对该命令的上诉。

(4)评估合法性、必要性和相称性

签发EIO的司法机构应负责评估数据请求的合法性、必要性和相称性。这种评估应基于本国的法律规范和欧盟法律进行。对于轻微罪行,需仔细审查其数据请求与实际所需是否相称,同时也应当考虑到双重犯罪情况下,跨境数据请求可能被拒绝。执行国在必要性和相称性评估方面也发挥着重要作用,当其认为请求不具备必要性和相称性时,两国可以就数据请求的重要性进行磋商。如果某个案件涉及的调查成本很高,可以通过专门的咨询机制调解。

(5)跨国协调和直接司法接触

根据案件的性质、复杂性和紧急程度,签发和执行双方可以使用不同的渠道加强沟通。其中包括欧洲司法组织(Eurojust),欧洲司法联络点(EJN)和联络法官。EIO可以通过Eurojust安全通道进行传递,即在这种情况下,国家司法部门只能通过欧洲电信联盟进行通信。

(6)执行EIO指令

执行国司法部门应承认EIO并确保其执行,强制性要求包括:30天内做出答复,确认执行后90天内采取措施,紧急情况下收到EIO后的24小时内进行处理。

(7)紧急情况

签发当局应列举出能够证明罪行严重性的资料,具体包括与数据丢失风险有关的信息即将对特定人群产生的威胁。在处理该指令时,司法当局应充分考虑以上信息,并及时与其他请求和措施进行协调。

3.2 辩护律师的角色

(1)请求发起MLA或EIO

被告或其辩护律师可以根据国家刑事诉讼程序,在适当的辩护框架内发起EIO。辩方将需要详细说明所请求的数据与案件的相关性,进行辩护是必要且恰当的,并指定需要获取哪些数据,数据存储在何处以及由谁持有。

(2)就MLA或EIO合法性、必要性和相称性提出质疑

辩护律师可以就MLA或EIO的必要性和相称性提出质疑,即使司法当局有权收集电子证据,但是在犯罪事实模糊的情况下,行使权力是不合理的,这可能会对个人或家庭生活产生影响。

(3)对MLA或EIO的执行提出质疑

在传统的司法合作机制中,执行国的司法当局可能会对跨境调查令的合法性进行额外审查,此时辩护律师可以提出不予执行的合理诉求。如果有充分理由认为执行调查令会损害基本人权,那么这项指令可以被拒绝执行。

(4)对MLA或EIO获取的数据在审判中是否具有可采性提出质疑

一旦获取数据,控方可能会将其用于指控被告,辩护律师可以质疑电子证据的公正性和可采性,主动要求披露电子数据及其获取方式。审查电子数据是一项费时且繁重的工作,因此在此阶段辩护律师可以申请法律援助或专业技术支持。

编译 | 李顾元/上海社会科学院信息所研究生

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。