歐盟警務(wù)執(zhí)法數(shù)據(jù)流動機制研究

林海文，劉宏松

（1.浙江警察學(xué)院，浙江 杭州 310053；2.上海交通大學(xué)，上海 200030）

隨著大數(shù)據(jù)時代的到來，互聯(lián)網(wǎng)服務(wù)數(shù)據(jù)的指數(shù)級增長導(dǎo)致執(zhí)法當局越來越多地依靠電子信息來調(diào)查和起訴犯罪，電子證據(jù)（E-evidence）應(yīng)用已成為犯罪調(diào)查的關(guān)鍵［1］。由于網(wǎng)絡(luò)空間的弱地域性特征，可以用于證明案件事實的電子數(shù)據(jù)呈現(xiàn)出全球分布和高速傳輸?shù)奶卣?，跨境電子取證已成為網(wǎng)絡(luò)信息時代打擊犯罪的新常態(tài)［2］。根據(jù)歐盟委員會調(diào)查，85%的犯罪案件需要電子證據(jù)，其中65%的數(shù)據(jù)來自私人（互聯(lián)網(wǎng)）服務(wù)提供商（private service provider）［3］。因此，犯罪的調(diào)查（不僅僅指網(wǎng)絡(luò)犯罪）通常要求獲得儲存在司法機關(guān)掌握范圍之外的數(shù)據(jù)和電子證據(jù)。然而，許多數(shù)據(jù)通常是由跨國公司或外國公司掌握。針對存儲于境外的數(shù)據(jù)，一國應(yīng)該采取怎樣的措施或方案獲取域外電子證據(jù)管轄權(quán)？

通常來講，為獲取位于境外的數(shù)據(jù)，執(zhí)法機構(gòu)（Law Enforcement Agency， 簡稱LEA） 要么通過向數(shù)據(jù)所在的外國執(zhí)法當局發(fā)出司法合作請求，間接獲取執(zhí)法相關(guān)數(shù)據(jù)；要么通過打通雙邊法律監(jiān)管機制，直接接觸控制該數(shù)據(jù)的服務(wù)提供商［4］。前者主要在雙邊或多邊法律互助條約（Mutual Legal Assistance Treaty，簡稱MLAT）框架下獲取存儲在本國以外的數(shù)據(jù)，從數(shù)據(jù)獲取的角度來看是一種間接形式的合作，是刑事訴訟中用于引導(dǎo)跨國收集證據(jù)請求的“經(jīng)典”國際法工具；后者主要通過國家執(zhí)法部門與私人行為體（主要指企業(yè)）的直接合作，通常被稱為公私伙伴關(guān)系（Public-Private Partnership，簡稱PPP）［5］，典型代表是美國云法案（Cloud Act）。歐洲調(diào)查令（EIO）是兩種模式的過渡機制，建立在司法判決相互承認的原則基礎(chǔ)上，用于歐盟內(nèi)部執(zhí)行調(diào)查措施。

本文聚焦于歐盟警務(wù)執(zhí)法數(shù)據(jù)流動的機制，分以下四部分對這一問題進行探討：第一部分對警務(wù)執(zhí)法數(shù)據(jù)跨境流動進行界定，第二部分梳理歐盟跨境警務(wù)執(zhí)法數(shù)據(jù)流動的方案，第三部分總結(jié)歐盟警務(wù)執(zhí)法數(shù)據(jù)流動與數(shù)據(jù)保護的內(nèi)部規(guī)范性協(xié)調(diào)，第四部分分析歐盟警務(wù)執(zhí)法數(shù)據(jù)“充分性保護”的評估機制及其實踐困境，最后總結(jié)反思。

一、警務(wù)執(zhí)法數(shù)據(jù)流動的界定

由于規(guī)則相對分散，需要對基本概念進一步明確。作為協(xié)調(diào)不同國家立場的國際組織，歐盟尚未對警務(wù)執(zhí)法數(shù)據(jù)流動的基本概念給予官方界定。就此，歐洲數(shù)據(jù)保護專員（European Data Protection Supervisor，簡稱EDPS）呼吁對數(shù)據(jù)跨境流動進行清晰界定［6］。為解決基本概念的界定問題，約翰·弗雷爾（John Forrer）等從公私伙伴關(guān)系（PPP）的角度加以定義，認為這是政府和私營部門組織之間的協(xié)定，其中私營組織參與傳統(tǒng)上由公共部門提供的公共商品或服務(wù)的決策與生產(chǎn)，并且私營部門分擔(dān)這種生產(chǎn)的風(fēng)險［7］。跨國公私伙伴關(guān)系本質(zhì)上是國家之間的合作。關(guān)于警務(wù)執(zhí)法數(shù)據(jù)流動，本文采用勞拉·德雷克斯勒（Laura Drechsler）的定義：“警務(wù)執(zhí)法數(shù)據(jù)跨國流動是指第三方國家的執(zhí)法部門或者相關(guān)國際組織獲得位于歐盟的數(shù)據(jù)的過程?！保?］本文將從歐盟視角，結(jié)合LED（Law Enforcement Directive 的簡稱）的有關(guān)規(guī)定，①LED 通常為《警務(wù)與執(zhí)法數(shù)據(jù)保護指令》， 參見： EU Directive 2016/680 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to The Processing of Personal Data by Competent Authorities for the Purposes of the Prevention， Investigation， Detection or Prosecution of Criminal Offences or the Execution of Criminal Penalties， and on the Free Movement of such Data， and Repealing Council Framework Decision 2008/977/JHA［DB/0L］.［2022-03-21］.https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.為獲取歐盟的警務(wù)執(zhí)法數(shù)據(jù)的可行路徑提供理論解讀。

首先，關(guān)于數(shù)據(jù)的表現(xiàn)形式。本文認為，在執(zhí)法領(lǐng)域所指的數(shù)據(jù)表現(xiàn)為“電子證據(jù)”。“電子證據(jù)”是電子形式的數(shù)據(jù)或計算機數(shù)據(jù)，即以二進制形式存儲或傳輸?shù)氖聦?、概念或信息?］。如果證據(jù)數(shù)字化或者變成能夠被訪問、查看或通過自動手段處理的二進制形式，就有可能成為電子證據(jù)。歐盟認為，“電子證據(jù)”不僅包括“由服務(wù)提供商以電子形式存儲的證據(jù)，諸如存儲的訂閱者數(shù)據(jù)、訪問數(shù)據(jù)、交易數(shù)據(jù)和內(nèi)容數(shù)據(jù)”，還包括“與電子通信服務(wù)、電信和其他互聯(lián)網(wǎng)或基于應(yīng)用程序的服務(wù)相關(guān)的活動產(chǎn)生的電子存儲數(shù)據(jù)，諸如連接、流量、位置數(shù)據(jù)等內(nèi)容的用戶信息”［4］。

其次，關(guān)于數(shù)據(jù)的應(yīng)用主體。界定警務(wù)執(zhí)法數(shù)據(jù)傳輸?shù)年P(guān)鍵是明確提出數(shù)據(jù)傳輸要求的主體。歐盟對“主體”提出全新定義，LED 第3（7）條規(guī)定，“主管當局（competent authority）”包括兩類行為者：公共部門和私人部門。第3（7）a 條規(guī)定，主管當局是任何主管第1（1）條規(guī)定的執(zhí)法目的的公共機構(gòu)。根據(jù)TFEU 第87 條關(guān)于歐盟內(nèi)部警察合作的規(guī)定，這不僅指“傳統(tǒng)的”執(zhí)法機構(gòu)，如警察、法院、檢察院、海關(guān)和其他專門的執(zhí)法機構(gòu)，②參見： https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A12012E%2FTXT.還包括邊境警衛(wèi)、金融情報單位和任何其他負有執(zhí)法任務(wù)的私人行為體［5］。LED 第3（7）b 條規(guī)定，主管機構(gòu)還可以是“受國家法律委托為第1（1）條規(guī)定的執(zhí)法目的而行使公共權(quán)力和公權(quán)力的任何其他機構(gòu)或?qū)嶓w”，包括公私伙伴關(guān)系中的私人當事方，私人機構(gòu)從公共機構(gòu)手中接管傳統(tǒng)上被認為屬于國家壟斷的執(zhí)法任務(wù)的情況。因此，LED 第3（7）b 條中提到的“其他機構(gòu)或?qū)嶓w”似乎著眼于未來，預(yù)計國家的執(zhí)法方式將沿著當前的私有化和公私伙伴關(guān)系的趨勢變化，特別是警務(wù)私有化［10］。

再次，關(guān)于數(shù)據(jù)的應(yīng)用范圍。歐盟對于基于預(yù)防、調(diào)查、偵查、起訴刑事犯罪行為以及執(zhí)行刑法等有關(guān)的請求向第三方（國家或國際組織）的數(shù)據(jù)傳輸積極認可。③EU Directive（2016/680）， para4。參見：https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.LED 第1（1）條規(guī)定，本指令就主管部門為預(yù)防、調(diào)查、偵查、起訴刑事罪行或執(zhí)行刑事處罰的目的而保護處理個人數(shù)據(jù)的規(guī)則，包括對公共安全威脅的防范和預(yù)防。然而，在實踐中，歐盟成員國對什么構(gòu)成刑事犯罪有不同的看法，一些成員國將這一概念理解為包括最終可能導(dǎo)致刑事指控的行政違法行為［11］。LED 前言第12 條（Recital 12）明確指出，指令的實質(zhì)范圍包括“警方在事先不知道某一事件是否屬于刑事犯罪的情況下進行的活動”。LED 前言第27 條（Recital 27）進一步指出，“數(shù)據(jù)處理不必完全在預(yù)防、調(diào)查、偵查或起訴具體刑事犯罪的有限范圍內(nèi)進行”，還包括為了“發(fā)展對犯罪活動的理解和在所發(fā)現(xiàn)的不同刑事犯罪之間建立聯(lián)系”的處理。衡量一個真實或潛在的網(wǎng)絡(luò)安全事件的規(guī)模和威脅程度，原則上應(yīng)屬于LED 框架下的處理活動；但是主管當局在其他授權(quán)任務(wù)中為其他目的進行的任何數(shù)據(jù)處理，包括為公共利益、科學(xué)或歷史研究或統(tǒng)計目的的存檔，則屬于GDPR 規(guī)制范疇。①Article 9（2） and Recital 12 of LED.

最后，關(guān)于數(shù)據(jù)傳輸主體“充分保護”的認定。由于個人數(shù)據(jù)是個人隱私權(quán)和身份權(quán)的重要體現(xiàn)，受到《歐盟基本權(quán)利憲章》規(guī)制。2015 年，歐盟法院（Court of Jusitc of European Union， 簡稱CJEU）判決的Schrems I 案中提出，“數(shù)據(jù)傳輸需求的第三方國家應(yīng)執(zhí)行具有同樣的基本數(shù)據(jù)權(quán)利保護標準的機制。”②參見：https：//eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX：62014CJ0362.在此背景下，歐盟委員會于2016 年提出了關(guān)于電子證據(jù)和信息獲取的新規(guī)則，以更快、更有效地保護并獲取電子證據(jù)，確保歐盟內(nèi)所有提供服務(wù)的供應(yīng)商遵守同樣的義務(wù)。該提案包括歐盟2016/679 條例（GDPR）③《通用數(shù)據(jù)保護條例》（General Data Protection Regulation），簡稱GDPR。參見：https：//eur-lex.europa.eu/eli/reg/2016/679/oj.和歐盟2016/680 指令（LED），旨在為與服務(wù)提供商合作建立一個共同框架并提高法律的確定性和清晰度。獲得充分性認定將使個人數(shù)據(jù)可以從歐盟流向第三國，無須任何進一步的保護，否則會導(dǎo)致跨境數(shù)據(jù)傳輸?shù)碾y題。歐盟正是借此牢牢掌握了美歐之間數(shù)據(jù)流動博弈的主動權(quán)。④參見：李絲默. 中美歐博弈背景下的中歐跨境數(shù)據(jù)流動合作［J］. 歐洲研究，2021（6）：1-24.

二、歐盟警務(wù)執(zhí)法數(shù)據(jù)流動方案

關(guān)于電子數(shù)據(jù)跨境取證管轄，在國別層次形成了數(shù)據(jù)存儲地模式和數(shù)據(jù)控制者模式兩大方案。以數(shù)據(jù)存儲地模式為依托的跨境執(zhí)法數(shù)據(jù)傳輸采用“刑事司法互助”模式，以數(shù)據(jù)控制者模式為依托的跨境執(zhí)法數(shù)據(jù)傳輸采用“充分性認定”的方式。其中，傳統(tǒng)的數(shù)據(jù)存儲地模式以國家疆域為基礎(chǔ)，因其適用困難、取證效率低下而有所松動，數(shù)據(jù)控制者模式依托跨境云服務(wù)提供者，實現(xiàn)了對前一模式的部分取代［12］。為了提升警務(wù)執(zhí)法數(shù)據(jù)應(yīng)用的效用，歐盟正在由傳統(tǒng)的依賴“刑事司法互助”的間接數(shù)據(jù)傳輸模式向依賴“充分性認定”的直接數(shù)據(jù)傳輸模式轉(zhuǎn)型，該轉(zhuǎn)型過程經(jīng)歷了數(shù)據(jù)保留機制的廢止、刑事司法互助機制作用的弱化、“相互承認”機制的加強以及“充分性保護”認定機制的啟動等過程?？傮w來看，隨著數(shù)字社會的全面到來，私營企業(yè)和公共執(zhí)法機構(gòu)直接合作的趨勢愈發(fā)強烈［13］，“相互承認”機制與“充分保護”認定機制將成為歐盟對外數(shù)據(jù)傳輸合作的主要模式。

（一）數(shù)據(jù)保留機制的廢止

九·一一事件后，歐盟執(zhí)法機構(gòu)開始加強執(zhí)法數(shù)據(jù)方面的合作。2004 年西班牙恐怖襲擊發(fā)生后不久，歐盟的四個成員國（法國、愛爾蘭、瑞典和英國）共同起草并公布了《歐盟數(shù)據(jù)保留指令》（簡稱《指令》）草案。⑤草案全稱：Draft Framework Decision on the retention of data processed and stored in connection with the provision of publicly available electronic communications services or data on public communications networks for the purpose of prevention，investigation， detection and prosecution of crime and criminal offence including terrorism， Council doc. 8958/04， Brussels， 28 April 2004［DB/OL］. Database eurocrim（2004-04-28）［2022-03-21］.https：//db.eurocrim.org/db/en/vorgang/81/.2006 年，歐盟正式頒布《指令》?！吨噶睢肥状我?guī)定了公共電子網(wǎng)絡(luò)與電信領(lǐng)域數(shù)據(jù)保留時間（由六個月到兩年不等）、數(shù)據(jù)保留的類型，并要求通信公司⑥通信公司或通信運營商是指經(jīng)監(jiān)管機構(gòu)授權(quán)運行電信系統(tǒng)的公司。（電子通信服務(wù)Electronic Communications Services 或公共通信網(wǎng)絡(luò)Public Communications Networks 的提供者）保留屬于個人或法人實體的數(shù)據(jù)，包括：名單數(shù)據(jù)、流量數(shù)據(jù)⑦流量數(shù)據(jù)是指在電子通信網(wǎng)絡(luò)上為通信而傳輸?shù)娜魏螖?shù)據(jù)或進行計費而處理的任何數(shù)據(jù)。、位置數(shù)據(jù)⑧位置數(shù)據(jù)是指在電子通信網(wǎng)絡(luò)中或通過電子通信服務(wù)處理的，表明公開電子通信用戶的終端設(shè)備地理位置的任何數(shù)據(jù)，包括IP 地址等信息。。該指令要求保留數(shù)據(jù)以供執(zhí)法機構(gòu)使用，目的是促進刑事調(diào)查和反恐合作。但該指令對于數(shù)據(jù)持有及監(jiān)管的要求十分粗略，僅僅在數(shù)據(jù)的獲取、保護責(zé)任上有部分規(guī)定，因此后來飽受質(zhì)疑。⑨參見：Franziska Boehm and Mark D. Cole. Data Retention after the Judgement of the Court of Justice of the European Union.https：//www.zar.kit.edu/DATA/veroeffentlichungen/237_237_Boehm_Cole-Data_Retention_Study-June_2014_1a1c2f6_9906a8c.pdf.

對于《指令》的爭議，主要集中于《指令》應(yīng)當以歐盟為第一支柱還是第三支柱為立法依據(jù)。①關(guān)于歐盟三大支柱的具體內(nèi)容，參見：Three Pillars of the European Union， http：//self.gutenberg.org/articles/Three_pillars_of_the_European_Union.《指令》的出臺使移動電話運營商的數(shù)據(jù)保留規(guī)范化，因此，可以認為該指令涉及經(jīng)濟政策，符合以第一支柱為支撐的條件。同時，該指令的出臺是為了擴大執(zhí)法機構(gòu)的數(shù)據(jù)權(quán)限，主要目的是刑事領(lǐng)域的合作，因此也符合以第三支柱為法律支撐的條件。然而，第一支柱和第三支柱政策的出臺要求不同，第一支柱的政策必須由歐盟委員會提出，需要獲得大多數(shù)同意才可通過；而第三支柱的政策則由歐盟某一具體國家提出，需要所有國家同意才可通過?！吨噶睢吠ㄟ^后不久，愛爾蘭和斯洛伐克向歐盟法院提起訴訟，②愛爾蘭和斯洛伐克的具體起訴狀和歐洲法院的判決，參見：Judgment of the Court（Grand Chamber）， Ireland v Parliament and Council， C-301/06，10 February 2009， http：//curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130 d5ef438a96eaae4a758e64c4539c3fa658.e34KaxiLc3eQc40LaxqMbN4OahmTe0?text=&docid=72843&pageIndex=0&doclang=en&mod e=lst&dir=&occ=first&part=1&cid=615870.質(zhì)疑《指令》的法律依據(jù)。例如，愛爾蘭認為該指令應(yīng)當以第三支柱為立法依據(jù)，因為《指令》的目的是警務(wù)執(zhí)法合作?！吨噶睢返谝粭l中提到要“確保電子信息服務(wù)商有義務(wù)保留客戶數(shù)據(jù)的規(guī)定，確保有關(guān)信息可供調(diào)查、偵查和起訴嚴重的犯罪行為?！雹劬唧w內(nèi)容參見：EU Data Retention Act Article 1.因此，愛爾蘭認為該指令的主要目的并非保證電子信息服務(wù)商的單一市場運作，最主要的目的是賦權(quán)執(zhí)法機構(gòu)獲取已保留的電子數(shù)據(jù)。

歐盟法院認為，《指令》不僅規(guī)范了執(zhí)法合作的數(shù)據(jù)保留行為，還規(guī)范了執(zhí)法需求以外其他的行為，④具體內(nèi)容參見： CJEU Case C-301/06 Ireland v. Parliament and Council，para 83， https：//curia.europa.eu/juris/liste.jsf?n um=C-301/06.認定了《指令》以第一支柱為立法依據(jù)的合理性，駁回了愛爾蘭和斯洛伐克的起訴。歐盟法院的裁定依據(jù)以下推斷：假如歐洲法院裁定不應(yīng)當以第一支柱為法律依據(jù)，那么指令將會以第三支柱為法律依據(jù)通過；若是以第三支柱為立法依據(jù)，歐洲議會及其監(jiān)督機構(gòu)歐洲數(shù)據(jù)保護專員（EDPS）將無法參與到《指令》的立法過程。在歐洲法院看來，立法過程中歐洲議會的缺失可能會讓用戶的權(quán)益保護受到影響。

總體來看，由于《指令》涉及了大量無關(guān)嫌疑人的數(shù)據(jù)，因此《指令》一直受人詬病。一些歐盟成員國法院紛紛裁決國內(nèi)化后的《指令》違反本國憲法。2014 年的4 月8 日，歐盟法院作出了一個里程碑的裁判，認為《指令》違反了《歐盟基本權(quán)利憲章》第7 條和第8 條內(nèi)容，整部《指令》被宣布無效。

（二）通過“刑事司法互助”機制間接獲取

“刑事司法互助”制代表了經(jīng)典的基于條約的機制，允許外國執(zhí)法機構(gòu)在尊重刑事司法管轄權(quán)和國家主權(quán)的基礎(chǔ)上，為進行中的刑事調(diào)查和訴訟提供合作和協(xié)助。傳統(tǒng)上，刑事司法互助是跨境收集刑事證據(jù)的最主要渠道，是一種“請求模式”（request model）。根據(jù)MLAT 程序，國家司法機構(gòu)可以通過提交一份司法申請向另一主管（外國）國家當局請求法律援助，由接受國司法審查機構(gòu)核實，然后決定是否實施或協(xié)助履行該請求。［4］MLAT 實施依據(jù)既可以在國際協(xié)議（如《歐洲理事會關(guān)于網(wǎng)絡(luò)犯罪的公約》）中找到，也可以在歐盟成員國或歐盟與美國等第三國簽署的雙邊協(xié)議中找到。例如，歐盟與美國當局提出的電子數(shù)據(jù)要求，仍須受雙方于2003 年簽署的《法律互助協(xié)定》規(guī)限。⑤European Union and United States of America. Agreement on Mutual Legal Assistance between the European Union and the United States of America， OJ L181//41. EUR-Lex. https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex：22003A0719（02）.

2000 年5 月29 日，歐盟理事會依據(jù)《歐洲聯(lián)盟條約》第34 條制定了《歐盟成員國間刑事司法協(xié)助公約》（2001 年又進一步簽訂《附加議定書》），這是歐盟層面的第一個司法協(xié)助文書。⑥就刑事司法協(xié)助而言，還簽有《歐洲刑事司法協(xié)助公約》，并于后續(xù)簽署了《歐洲刑事司法協(xié)助公約附加議定書》。這些屬于國家間協(xié)議，而歐盟層面的公約具有超國家性質(zhì)。參見：肖軍. 歐盟領(lǐng)域內(nèi)追逃追贓的經(jīng)驗與啟示：以歐洲偵查令為切入點［J］. 中國人民公安大學(xué)（社會科學(xué)版），2016（3）：62-74.《歐盟刑事互助公約》提供了一個以傳統(tǒng)的刑事司法援助辦法為基礎(chǔ)的框架［3］。與以往的國際MLAT 協(xié)議不同，歐盟MLAT 公約包含了對電信攔截的明確規(guī)定。①Artical 17 to 22 of EU MLA Convention.但歐盟委員會也同時認識到，這種機制表現(xiàn)出許多問題：

首先，國際刑事司法協(xié)助制度“極其復(fù)雜、耗時”，這很大程度上阻礙了犯罪的有效控制和偵查。②Progress Report Following the Conclusions of the Council of the European Union on Improving Criminal Justice in Cyberspace， 15072/1/16 REV 1， Brussels， 7 December 2016， pp： 4-5， https：//data.consilium.europa.eu/doc/document/ST-15072-2016-REV-1/en/pdf.就國際刑事司法協(xié)助而言，在實踐中往往發(fā)現(xiàn)，目標電子數(shù)據(jù)的地理位置難以快速查明，被請求國缺少必要的電子取證措施，被請求響應(yīng)機制過于緩慢以至于容易導(dǎo)致數(shù)據(jù)的損毀、滅失，甚至被請求國可能直接拒絕提供協(xié)助［14］。即使按照國際司法協(xié)助的流程順利開展，一般也需要10個月左右的時間才能完成，到司法協(xié)助請求最終被具體執(zhí)行時，相應(yīng)的數(shù)據(jù)極有可能早已遭到更改或者破壞［15］。

其次，隨著表層網(wǎng)絡(luò)（surface web）治理強度的不斷上升，犯罪分子越來越多地向深網(wǎng)（deep web）甚至暗網(wǎng)（dark web）下潛，以隱匿身份或隱藏行蹤，在無法準確定位犯罪分子及其活動對應(yīng)地理坐標的情況下，刑事司法協(xié)助機制基本上癱瘓［16］。國際刑事司法協(xié)助制度的強地域性與網(wǎng)絡(luò)空間的弱地域性相矛盾，促成了傳統(tǒng)的跨境數(shù)據(jù)傳輸?shù)摹懊堋保焊咝Й@取電子證據(jù)以有效打擊犯罪的現(xiàn)實需求與漫長、低效的刑事司法協(xié)助機制之間的矛盾。

最后，請求事項很可能因政治因素不符合國際法上的“雙重犯罪原則”（principle of double criminality）而被請求國所拒絕［15］。國際法原則上，一國的執(zhí)法管轄權(quán)受到嚴格的地域限制［2］。因此，即便一國有權(quán)將某種域外行為納入本國刑法體系的管轄范圍，也并不意味著該國的執(zhí)法機關(guān)有權(quán)跨越邊界線直接對該行為開展調(diào)查取證和后續(xù)的司法活動［16］?；趫?zhí)法管轄權(quán)的強地域性限制，原則上一國的跨境執(zhí)法活動需要建立在相對國承認或同意的基礎(chǔ)上。原先基于物理場域系統(tǒng)構(gòu)建的針對傳統(tǒng)犯罪的刑事訴訟制度難以及時有效地應(yīng)對如此大規(guī)模的犯罪轉(zhuǎn)型，犯罪形勢與犯罪治理之間錯位日益明顯［17］。

根據(jù)MLAT 一般程序要求，申請執(zhí)法數(shù)據(jù)將面臨冗長的司法審查程序，導(dǎo)致案件偵查缺乏效率［4］。繞過MLAT，執(zhí)法機構(gòu)與國外服務(wù)提供商之間的非正式合作逐漸成為獲取非內(nèi)容數(shù)據(jù)的重要渠道。③Vanessa Franssen， The European Commission’s E-Evidence Proposal：Towards an EU-wide obligation for Service Providers to cooperate with Law Enforcement? European Law Blog， 12 October 2018， http：//europeanlawblog.eu/2018/10/12/the-european-commissions-e-evidence-proposal-toward-an-eu-wide-obligation-forservice-providers-to-cooperate-with-lawenforcement/.

（三）“相互承認”機制下的有限獲取

為使跨境數(shù)據(jù)調(diào)查更快、更有效，歐盟通過刑事司法領(lǐng)域跨國公私合作——歐洲調(diào)查指令（European Investigation Order，簡稱EIO）推動歐盟成員國及域外國家在相互承認（mutual recognition）的基礎(chǔ)上收集、處理和傳輸數(shù)據(jù)與電子證據(jù)。④這一相較新的歐盟文書取代了適用于歐盟成員國間的雙邊或多邊協(xié)議，對歐盟的外部成員合作仍然適用原有的雙邊或多邊協(xié)議。Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 regarding the European Investigation Order， https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX：32014L0041&from=FR.

相互承認機制最早應(yīng)用于刑事訴訟或執(zhí)行判決的請求者的構(gòu)想，其制度代表是關(guān)于歐洲逮捕令的框架決定，至今已經(jīng)運作近20 年［3］。歐洲逮捕令是一項司法決定，它是由某一成員國頒發(fā)（簽發(fā)）的關(guān)于逮捕和移交在另一成員國的被請求人的決定，目的是為了起訴或執(zhí)行監(jiān)禁和羈押［19］。2008 年，歐盟理事會第2008/978/JHA20 號框架決定設(shè)立歐洲證據(jù)令（European Evidence Warrant，簡稱EEW），目的是獲取用于刑事訴訟的物品、文件和數(shù)據(jù)，以進一步加強在收集證據(jù)領(lǐng)域的互助。它補充了2003 年《關(guān)于在歐盟執(zhí)行凍結(jié)財產(chǎn)和證據(jù)命令的框架決定》。⑤Council Framework Decision 2003/577/JHA of 22 July 2003 on the Execution in the European Union of Orders Freezing Property or Evidence. https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32003F0577.該決定是第一個在獲取證據(jù)領(lǐng)域?qū)嵤┫嗷コ姓J原則的文書。但是歐洲證據(jù)令（EEW）適用范圍有限，歐盟理事會第2008/978/JHA20 號框架決定僅僅適用于歐盟成員國之間。①EU Directive（2016/680），para4，https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016L0680.

隨著2009 年《里斯本條約》的生效，歐盟電子證據(jù)傳輸從法律互助機制逐步走向資格互認機制?！独锼贡緱l約》生效后，歐盟制定了一整套涵蓋數(shù)據(jù)保護、刑事司法、警察執(zhí)法合作和網(wǎng)絡(luò)犯罪的歐盟法律［20］。其中，《里斯本條約》第67（3）條和第82 條具體規(guī)定了相互承認原則。相互承認原則建立在成員國之間的相互信任的基礎(chǔ)上，即一個成員國的司法裁決應(yīng)在另一個成員國得到承認。因此，根據(jù)新規(guī)，一項請求的合法性、必要性和相稱性由提出請求的成員國的司法機構(gòu)加以核實，而無須在接受國通過額外的承認程序。相互承認要求各國法律協(xié)調(diào)一致，這意味著在一個成員國的刑事犯罪也必須在其他成員國構(gòu)成刑事犯罪。在相互承認機制下，發(fā)出國的請求在接收國或執(zhí)行國的管轄范圍內(nèi)具有“準法律效力”（quasi-automatic legal effect）［21］。

2014 年，EIO 進一步推動相互承認機制的發(fā)展與完善。該指令為所有類型的證據(jù)提供單一標準的指令，允許一個成員國的執(zhí)法機構(gòu)請求另一個成員國執(zhí)法當局執(zhí)行調(diào)查措施，其中，包括電子證據(jù)的生成和保存。EIO 也是基于相互承認的原則，旨在促進成員國之間刑事案件證據(jù)的收集和傳輸。②Directive 2014/41/EU of the European Parliament and of the Council of 3 April 2014 Regarding the European Investigation Order in Criminal Matters， https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX：32014L0041&from=FR.同時，EIO 是一項司法決定，由一個成員國發(fā)出或確認在另一個成員國執(zhí)行一項或幾項具體調(diào)查措施以獲取電子證據(jù)。③Article 1（1） of the EIO Directive.EIO 擴大了EEW的適用范圍，涵蓋了從凍結(jié)證據(jù)到轉(zhuǎn)移現(xiàn)有證據(jù)的整個過程，其主要目標是減少收集證據(jù)的碎片化程度，并建立一個更連貫的工具，適用于其他類型的證據(jù)。④Lorena Bachmaier Winter， European Investigation Order for Obtaining Evidence in the Criminal Proceedings. Study of the Proposal for a European Directive， in： Zeitschrift für Internationale Strafrechtsdogmatik， No. 9/2010， p. 581. https：//zis-online.com/dat/artikel/2010_9_490.pdf.a此外，它還規(guī)定了答復(fù)請求的最后期限，限制了拒絕請求的理由，并且為克服語言障礙引入了提交請求的標準格式。⑤European Commission Press Release， As of Today the European Investigation Order will Help Authorities to Fight Crime and Terrorism. http：//europa.eu/rapid/press-release_IP-17-1388_en.htm.

EIO 標志著歐洲立法者在獲取證據(jù)方面從MLAT 原則進一步走向相互承認。相比“一事一申請”的MLAT 制度，相互承認機制大大節(jié)約了警務(wù)執(zhí)法數(shù)據(jù)跨境獲取的成本，提高了傳輸?shù)男?，從而有利于打擊犯罪的整體效能。但是當面對存儲于歐盟之外的第三方的數(shù)據(jù)需求（尤其是歐盟公民的數(shù)據(jù)主要由總部設(shè)在美國的服務(wù)提供商和數(shù)字平臺處理）時，EIO 制度存在適用的局限。⑥它的存儲和位置通常取決于業(yè)務(wù)架構(gòu)選擇，而不是傳統(tǒng)的調(diào)查權(quán)限。這些挑戰(zhàn)主要來自電子數(shù)據(jù)信息的“波動性”，因此，執(zhí)法機構(gòu)對另一個國家管轄下的數(shù)據(jù)的訪問因請求的跨國和跨管轄性質(zhì)而延遲。⑦European Commission， ‘Impact Assessment accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European Production and Preservation Orders for Electronic Evidence in Criminal Matters and Proposal for a Directive of the European Parliament and of the Council Laying Down Harmonised Rules on the Appointment of Legal Representatives for the Purpose of Gathering Evidence in Criminal Proceedings， SWD/2018/118 final-2018/0108 （COD）， p.20.https：//eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD%3A2018%3A118%3AFIN.

盡管MLAT 機制功能弱化，但相互承認機制并非完全替代法律互助機制［22］，法律互助原則與相互承認原則仍相輔相成。值得注意的是，這些措施的效率和基本權(quán)利的保護都取決于相關(guān)國家和行為者之間的相互信任［23］。這不僅涉及對數(shù)據(jù)質(zhì)量本身和合法性等方面的相互信任，還涉及對數(shù)據(jù)和隱私保護等方面的信任［24］。電子通信的擴散和越來越多的應(yīng)用推動執(zhí)法機構(gòu)在司法協(xié)助的合作渠道之外獲得屬于歐盟管轄的私人公司控制的數(shù)據(jù)［20］。

（四）通過“充分性保護”向網(wǎng)絡(luò)信息者直接調(diào)取

網(wǎng)絡(luò)空間的弱地域性與刑事執(zhí)法管轄權(quán)的強地域性之間形成鮮明反差，而程序煩冗且漫長，強地域性的傳統(tǒng)國際刑事司法協(xié)助機制已經(jīng)難以有效滿足司法實踐的要求［18］。目前，對MLAT 和EIO 模型的批評集中于將跨國界數(shù)據(jù)請求交由外國司法審查而導(dǎo)致案件辦理延誤［25］。人們多次呼吁消除網(wǎng)絡(luò)空間中的“刑事調(diào)查障礙”，特別是關(guān)于獲取服務(wù)提供商持有的電子信息的司法合作規(guī)則的障礙［26］。什么樣的機制能夠更好地滿足當下執(zhí)法機構(gòu)對數(shù)字證據(jù)的需求？在傳統(tǒng)國際刑事司法協(xié)助難以及時有效滿足取證需求的背景下，向網(wǎng)絡(luò)信息業(yè)者直接調(diào)取數(shù)據(jù)成為代表性改革模式［18］。在執(zhí)法人員可以直接從持有電子信息的服務(wù)提供商那里獲得電子信息的情況下，犯罪的起訴可能會大幅提高，而且無須首先獲得持有數(shù)據(jù)的公司所在國家司法當局的授權(quán)。在此情況下，直接向網(wǎng)絡(luò)服務(wù)業(yè)跨境取證的模式應(yīng)運而生。

網(wǎng)絡(luò)服務(wù)者，主要是數(shù)據(jù)占有者或者控制者，基于所掌握的技術(shù)和資源優(yōu)勢，越來越多地成為執(zhí)法機關(guān)調(diào)取證據(jù)的對象。歐盟委員會于2016 年提出了關(guān)于電子證據(jù)和信息獲取的新規(guī)則，以更快、更有效地保護并獲取電子證據(jù)，確保歐盟內(nèi)所有提供服務(wù)的提供商遵守同樣的義務(wù)。該提案包括歐盟2016/679 條例（GDPR）和歐盟2016/680 指令（LED），服務(wù)提供商對一般個人數(shù)據(jù)的處理歸屬于GDPR的規(guī)制范圍，而執(zhí)法機構(gòu)（LEA）為預(yù)防、調(diào)查、偵查和起訴犯罪的目的進行的個人數(shù)據(jù)處理則受LED 規(guī)則的規(guī)制。2018 年5 月6 日，理事會關(guān)于保護在警察和刑事司法合作框架內(nèi)處理的個人數(shù)據(jù)的2008/977/JHA 框架決定被2016/680 指令（LED）取代。與前者不同，第2016/680 指令既涵蓋了成員國內(nèi)部數(shù)據(jù)流動，又涵蓋了與第三方（國家或國際組織）之間的數(shù)據(jù)交流。因此，就范圍而言，LED 比之前的歐盟規(guī)范有所拓展。為擴大歐盟成員國打擊犯罪的效率，提升數(shù)據(jù)保護水平，在歐盟“相互承認”的制度的基礎(chǔ)上發(fā)展為“充分性決定”（adequacy decision），①Article 36 of LED.并不斷改進和完善。

LED 確定了允許將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織的條件。這種轉(zhuǎn)移的理由之一是歐盟委員會決定有關(guān)的第三國或國際組織擁有“適當水平的保護”制度。例如，根據(jù)LED 第36 條，如果第三國或國際組織內(nèi)的一個或多個特定部門確保有足夠的保護水平，則可以向第三國或國際組織傳輸數(shù)據(jù)。另外，如歐盟委員會已決定確保上述適當程度的保護，則可將個人資料轉(zhuǎn)移至該第三國或地區(qū)執(zhí)法部門或國際組織，而無須取得任何具體授權(quán)。根據(jù)CJEU 的規(guī)定，第三國的保護水平必須與歐盟保證的水平基本相等，在這方面，第三國須有監(jiān)督與問責(zé)的手段，盡管某種程度的保護的目的可能不同于歐盟內(nèi)部的保護，但這些手段必須在實踐中證明是有效的。因此，充分性標準并不要求逐條反映歐盟立法，而是要確立該立法的本質(zhì)，即核心要求。

歐盟委員會于2018 年又起草了《刑事調(diào)查證據(jù)提取和存留命令條例》，其核心措施是在特定條件下由被請求國的適格機關(guān)直接向相關(guān)信息或網(wǎng)絡(luò)服務(wù)提供者或其在歐盟境內(nèi)的代理人發(fā)出針對特定數(shù)據(jù)的“歐洲提取令”（European Production Order）或“歐洲留存令”（European Preservation Order）。根據(jù)該《條例》，只要網(wǎng)絡(luò)服務(wù)提供者在歐盟境內(nèi)提供服務(wù)，成員國相關(guān)機關(guān)可以直接向其發(fā)出電子證據(jù)提取和留存指令。該背景下，在尋求服務(wù)提供者有效的資源合作的基礎(chǔ)上，通過提取令、留存令制度而轉(zhuǎn)向跨境數(shù)據(jù)的強制披露［26］，克服了服務(wù)提供商與執(zhí)法部門數(shù)據(jù)交流的低效困境，促進了基于電子數(shù)據(jù)的調(diào)查和起訴，為跨境犯罪調(diào)查提供了更加有利條件。

三、歐盟警務(wù)執(zhí)法數(shù)據(jù)流動與數(shù)據(jù)保護規(guī)范的融合

在規(guī)則建構(gòu)層面，GDPR 確立了跨境數(shù)據(jù)流動的歐盟立法范式，數(shù)據(jù)跨境流動融入歐盟個人數(shù)據(jù)保護的標準規(guī)范體系。②例如，數(shù)據(jù)傳輸?shù)囊话阍瓌t（GDPR 第44 條）是針對出境數(shù)據(jù)的永久最低保護標準；充分性決定（GDPR 第45 條）是針對特定國家“整體適用”歐盟個人數(shù)據(jù)保護標準的法律方案；標準數(shù)據(jù)保護條款（GDPR 第46 條）是針對特定商事主體“個別適用”歐盟個人數(shù)據(jù)保護標準的法律工具。參見：金晶. 個人數(shù)據(jù)跨境傳輸?shù)臍W盟標準——規(guī)則建構(gòu)、司法推動與范式擴張［J］. 歐洲研究， 2021（4）：89-109.目前，歐盟的數(shù)據(jù)保護法律框架已發(fā)展到承認兩種不同的數(shù)據(jù)保護制度適用于公私伙伴關(guān)系中的信息共享：一種是通用性數(shù)據(jù)保護制度（GDPR），一種是執(zhí)法當局為執(zhí)法目的進行的數(shù)據(jù)處理制度（LED）。在數(shù)據(jù)保護改革過程中，前者繼承了《數(shù)據(jù)保護指令》（95/46/EC）規(guī)范，后者繼承了《框架決定》（2008/977/JHA）規(guī)范。①European Commission， Explanatory Memorandum to the Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention， investigation， detection or prosecution of criminal offences or the execution of criminal penalties， and the free movement of such data， COM /2012/010 final -2012/0010 （COD）， para 3.4.1. https：//eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX：52012PC0010&from=ES.通過普通法與特別法相結(jié)合的方式，歐盟實現(xiàn)了數(shù)據(jù)保護規(guī)范的整體適用與個別適用相融合。歐盟修正了原有數(shù)據(jù)保護法律框架中對私營部門向執(zhí)法當局傳輸數(shù)據(jù)規(guī)制空白的缺點，實現(xiàn)了對刑事執(zhí)法數(shù)據(jù)處理的全面監(jiān)管［27］。

（一）整體適用

GDPR 是規(guī)范數(shù)據(jù)主體（即數(shù)據(jù)被收集和處理的個人）和數(shù)據(jù)控制者（即收集和處理這些個人數(shù)據(jù)的公司和政府）權(quán)利和義務(wù)的關(guān)鍵法律來源［28］。歐盟立法者認為，一旦超出GDPR 的適用范圍，就存在數(shù)據(jù)接收國（第三國）無限制使用個人數(shù)據(jù)的風(fēng)險，因此，GDPR 對數(shù)據(jù)跨境傳輸采取了“原則禁止+例外允許”的基本模式［29］。這種雙重制度的出現(xiàn)是由于執(zhí)法部門在預(yù)防和調(diào)查犯罪方面的特殊需要。例如，在某些情況下，通知嫌疑人收集數(shù)據(jù)會損害刑事調(diào)查的利益。②Recital 10 of the LED.當警察和刑事司法當局處理個人數(shù)據(jù)時，對他們的保護由另一個來源的法律所規(guī)范，即LED，③Directive （EU） 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention， investigation，detection or prosecution of criminal offences or the execution of criminal penalties， and on the free movement of such data，and repealing Council Framework Decision 2008/977/JHA， pp. 89-131， https：//eur-lex.europa.eu/legalcontent/EN/TXT/HTML/?uri=CELEX：32016L0680&from=EN， accessed on 28.08.2020.其目的是通過促進歐盟成員國與域外國家的警察和刑事司法當局之間更有效地交流來改善歐盟在打擊恐怖主義和跨境犯罪領(lǐng)域的合作。④Protecting Personal Data When Being Used by Police and Criminal Justice Authorities （from 2018）， https：//eurlex.europa.eu/legal-content/EN/TXT/HTML/?uri=LEGISSUM：310401_3&from=EN， accessed on 28.08.2020.GDPR 和LED 確立了歐盟個人數(shù)據(jù)處理的基本原則和最低標準，目的是確保對個人權(quán)利，特別是隱私權(quán)的尊重。

如前所述，LED 適用于主管當局為預(yù)防、調(diào)查、發(fā)現(xiàn)或起訴刑事犯罪或執(zhí)行刑事處罰的目的而處理個人數(shù)據(jù)，包括防范和預(yù)防公共安全威脅。但凡主管當局處理個人資料的目的并非為該指示的目的，例如雇用、人員培訓(xùn)、存檔及警察指示第9（2）條所列的目的，⑤Article 1（1） of the LED.即使這些任務(wù)是由法律賦予的，要適用GDPR。同樣，如果主管當局以外的機構(gòu)或?qū)嶓w最初為其他目的收集個人數(shù)據(jù)，并為調(diào)查、偵查或起訴刑事犯罪的目的進一步處理這些數(shù)據(jù)，即使是根據(jù)法律義務(wù)，這種處理也將受到GDPR的約束。

但是，LED 與GDPR 有所不同。歐盟頒布的GDPR 是一項規(guī)章（regulation），適用于個人數(shù)據(jù)處理的一般規(guī)則，LED 是一項指令，規(guī)定適用于個人數(shù)據(jù)處理執(zhí)法目的的具體規(guī)則，統(tǒng)一數(shù)據(jù)保護規(guī)則并不適用于所有的歐盟法律領(lǐng)域［30］。事實上，在實現(xiàn)國家間協(xié)調(diào)方面，規(guī)章比指令更有效。因為指令約束力的選擇權(quán)留給成員國，特別是當指令僅規(guī)定了最低限度的協(xié)調(diào)時，協(xié)調(diào)的程度就較小。而在指令的范圍內(nèi)，協(xié)調(diào)取決于成員國之間的一致解釋和應(yīng)用。就隱私權(quán)利保護而言，GDPR 著重解決雇主代表的企業(yè)利益與個人的隱私權(quán)利；而LED 著重解決國家機關(guān)代表的公共安全利益與個人隱私保護。就人的尊嚴標準而言，GDPR 以人的尊嚴為標準，對為了“更高的”利益而侵犯隱私的行為做出了可接受和不可接受的區(qū)分，而LED 中沒有任何條款明確提到人的尊嚴權(quán)。在解決沖突方面，GDPR 強調(diào)“犧牲”雇主的利益，而在LED 所規(guī)范的情況下，國家機構(gòu)代表的公共利益具有優(yōu)先性。

（二）個別適用

雖然GDPR 規(guī)定了一般的數(shù)據(jù)保護規(guī)則，但LED 作為特別法運作，承認執(zhí)法活動的特殊性質(zhì)，是歐盟立法者考慮警務(wù)與刑事執(zhí)法中數(shù)據(jù)保護的特殊規(guī)定，專門為執(zhí)法部門在數(shù)字時代處理個人數(shù)據(jù)而設(shè)計［31］。

一般來說，屬于GDPR 范圍內(nèi)的事項受到了更多的實質(zhì)性限制，而在LED 范圍內(nèi)的處理受到的實質(zhì)性限制較少，但也有更嚴格的合規(guī)性的要求。例如，與GDPR 第6 條規(guī)定的允許控制者有選擇最合適的合法處理的六個一般理由相比，LED只有一個合法處理的理由，這就是“主管當局為執(zhí)法目的執(zhí)行任務(wù)”的必要性，而該要求是基于國家或歐盟的法律（LED 第8（1）條）。此外，指令規(guī)定了“處理的目標、要處理的個人數(shù)據(jù)和處理的目的”（LED 第8（2）條），根據(jù)該指令，執(zhí)法當局在數(shù)據(jù)方面擁有的“權(quán)力”更大，也更具侵入性。

GDPR 第9 條明確禁止處理“敏感”數(shù)據(jù)，除非列出一個或多個適用例外的情況，而LED 第10條沒有使用禁止性語言。相反，它只是說處理特殊類別的個人數(shù)據(jù)應(yīng)該是“絕對必要的，要對數(shù)據(jù)主體的權(quán)利和自由采取適當?shù)谋Ｕ洗胧?，并依靠其中的一個法律理由。根據(jù)GDPR 第13 條，必須提供關(guān)于自動決策的存在或為不同目的進一步處理的意圖，以及跨境數(shù)據(jù)轉(zhuǎn)移的可能性的信息，但根據(jù)LED 則不需要。與GDPR 第13 條相比，LED 第13（1）和（2）條規(guī)定的數(shù)據(jù)主體的信息權(quán)利是有限的：關(guān)于數(shù)據(jù)接收者和國際數(shù)據(jù)轉(zhuǎn)移的信息只能在“特定情況”下提供；關(guān)于存在自動決策或為不同目的進一步處理的信息，在GDPR 第13 條下必須提供，而在LED 下則沒有。根據(jù)LED 第13 條第3 款，國家法律可以進一步限制信息權(quán)，其中包括避免妨礙官方或法律查詢、調(diào)查或程序；保護公共或國家安全以及他人的權(quán)利和自由。上述內(nèi)容表明，確定信息共享的具體范圍對數(shù)據(jù)主體的權(quán)利、信息共享伙伴的（限制）權(quán)力以及信息共享的合法性具有重大影響。有兩個因素是界定指令的實質(zhì)范圍和確定兩個數(shù)據(jù)保護文書中哪一個適用的關(guān)鍵：處理個人數(shù)據(jù)的行為者必須是警察指令第3（7）條意義上的“主管當局”以及處理必須是為了第1（1）條規(guī)定的“執(zhí)法”目的而進行的。

事實證明，LED 和GDPR 之間的劃界焦點在于隱私權(quán)的保護程度，盡管隱私權(quán)受到國家和國際法律框架的規(guī)范，但隱私權(quán)的保護仍不斷面臨新的挑戰(zhàn)［32］。作為國際和國家承認的基本人權(quán)，隱私和人的尊嚴密切相關(guān)，由于現(xiàn)代技術(shù)的發(fā)展，特別是在其與保護安全和預(yù)防犯罪的公共利益相沖突的情況下，兩者都受到了嚴重威脅。一個詳細而全面的立法框架不僅規(guī)定了個人數(shù)據(jù)保護的基本標準，而且還規(guī)定了監(jiān)測機制和對其違反行為的有效制裁，這是有效保護隱私權(quán)和人類尊嚴的一個關(guān)鍵前提條件。然而，實際的保護并不僅僅取決于立法框架，還取決于數(shù)據(jù)保護的評估監(jiān)督機構(gòu)應(yīng)用這些條款的方式［30］。

四、歐盟警務(wù)執(zhí)法數(shù)據(jù)“充分性保護”的評估及其實踐困境

通過結(jié)合數(shù)據(jù)主體的權(quán)利和處理數(shù)據(jù)者的義務(wù)，由獨立機構(gòu)對此類處理和監(jiān)督行使控制，可以實現(xiàn)充分性。然而，數(shù)據(jù)保護規(guī)則只有在可執(zhí)行和在實踐中遵守時才有效。因此，不僅需要考慮適用于轉(zhuǎn)移到第三國或國際組織的個人數(shù)據(jù)規(guī)則的內(nèi)容，而且還要考慮確保這些規(guī)則的有效性的現(xiàn)有制度。根據(jù)歐盟的數(shù)據(jù)保護機制，個人數(shù)據(jù)不會被自由地傳送到其境外。相反，歐盟為這些目的引入了一個特殊的“過濾器”，即充分性保護機制。作為一般規(guī)則，只有當接收方保證“充分”的保護水平時，歐盟成員國才允許將個人信息傳輸?shù)降谌龂?。根?jù)歐盟法院的規(guī)定，第三國的保護水平必須與歐盟的保護水平基本相當。為了達到這種保護水平的目的，第三國所訴諸的手段和方式，可能與歐洲聯(lián)盟內(nèi)所采用的有所不同，但“這些手段必須反應(yīng)歐盟數(shù)據(jù)保護的本質(zhì)要求，并在實踐中證明是有效的”。①參見：https：//eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX：62014CJ0362.第三國應(yīng)提供保證，確?；鞠喈斢跉W洲聯(lián)盟內(nèi)所確保的適當保護水平，特別是在數(shù)據(jù)由一個或幾個具體部門共同處理的情況下，更應(yīng)當如此。②Recital 67 of the LED.如果歐盟委員會已決定評估第三國具有確保提供足夠的保護機制，可將個人資料轉(zhuǎn)移至該第三國執(zhí)法機構(gòu)或國際組織，而無須取得任何特別授權(quán)。歐盟委員會作出充分認定的目的是正式確認對第三國或國際組織的數(shù)據(jù)保護水平基本上等同于歐盟的數(shù)據(jù)保護水平。

（一）評估機制

評估是實現(xiàn)數(shù)據(jù)保護機制中的一個重要組成部分。①參見：https：//www.europeansources.info/record/judgment-in-case-c-362-14-maximillian-schrems-v-data-protectioncommissioner/.高效的評估執(zhí)行機制對數(shù)據(jù)保護規(guī)則的有效性至關(guān)重要。②Recommendations 01/2021 on the adequacy referential under the Law Enforcement Directive， https：//edpb.europa.eu/sites/default/files/files/file1/recommendations012021onart.36led.pdf_en.pdf.1995 年，歐盟第95/46 號指令初次引入數(shù)據(jù)保護局（Data Protection Agency，簡稱DPA），成為歐盟執(zhí)法和跨境數(shù)據(jù)傳輸?shù)闹饕O(jiān)督機制。在歐盟第95/46 號指令之后，歐盟第2016/680 號指令（LED）第41（3）條規(guī)定，成員國有義務(wù)建立獨立監(jiān)督機構(gòu)（Independent Supervisory Authority，簡稱ISA），以促進該指令在歐盟范圍內(nèi)的一致應(yīng)用。

就評估的具體標準和要求而言，LED 第36（2）條確定了歐盟委員會在評估第三國或國際組織保護水平的充分性時應(yīng)考慮的要素。具體而言，委員會應(yīng)考慮法治、對人權(quán)和基本自由的尊重、有關(guān)立法以及此類立法的實施情況，為其個人數(shù)據(jù)被轉(zhuǎn)移的數(shù)據(jù)主體提供有效和可強制執(zhí)行的行政和司法補救等方面的內(nèi)容。為評估LED 第36（2）a 條是否滿足，EDPB 認為，評估LED 在監(jiān)測領(lǐng)域的充分性時，必須考慮這些建議中列出的保證，并考慮監(jiān)測領(lǐng)域的具體情況。關(guān)于LED 第36（2）b 條的要求，第三國不僅應(yīng)確保有效的獨立數(shù)據(jù)保護監(jiān)督，還應(yīng)與成員國的數(shù)據(jù)保護當局建立合作機制。③Recital 67 of the LED.LED 第36（3）條規(guī)定至少每四年必須進行一次定期審查。LED 第36（4）條規(guī)定，歐盟委員會有責(zé)任持續(xù)監(jiān)督可能影響充分性決定功能的發(fā)展。值得注意的是，根據(jù)LED 第36（5）條，當?shù)谌龂驀H組織不再確保適當水平的保護時，歐盟委員會有權(quán)廢除、修改或暫?，F(xiàn)有的充分性保護決定。

此外，LED 第45（1）條規(guī)定，每個成員國的數(shù)據(jù)監(jiān)督機構(gòu)應(yīng)有權(quán)在其成員國的領(lǐng)土上執(zhí)行根據(jù)該指令分配給它的任務(wù)，并行使賦予它的權(quán)力。同時，第45（2）條規(guī)定，成員國應(yīng)規(guī)定每個監(jiān)督機構(gòu)在以其司法身份行事時，無權(quán)監(jiān)督法院的處理業(yè)務(wù)。

為履行其根據(jù)LED 第51（1）條向歐盟委員會提供意見的任務(wù)，歐洲數(shù)據(jù)保護委員會（European Data Protection Board，簡稱EDPB）應(yīng)收集所有有關(guān)文件，包括有關(guān)函件和歐盟委員會作出的調(diào)查結(jié)果。無論如何，歐盟委員會提供的資料應(yīng)詳盡無遺，并使EDPB 有能力評估第三國執(zhí)法機構(gòu)或國際組織的資料保護水平。EDPB 將在適當?shù)臅r候就歐盟委員會的調(diào)查結(jié)果提供意見，識別適當框架中的不足之處（如果有的話），并在必要時提供可能的建議。

（二）實踐困境

在實踐中，執(zhí)法行為者可以要求甚至命令服務(wù)提供商披露存儲在國外的數(shù)據(jù)。然而，風(fēng)險在于，執(zhí)行這樣一項請求或命令可能違反有關(guān)國家適用的（國家或超國家）法律。在微軟愛爾蘭案的長期糾紛中，直接（即非司法調(diào)解）請求訪問服務(wù)提供商持有的電子信息所帶來的司法、法律和實踐挑戰(zhàn)得到了體現(xiàn)。④參見：https：//harvardlawreview.org/2015/01/in-re-warrant-to-search-a-certain-email-account-controlled-maintainedby-microsoft-corp/.警務(wù)執(zhí)法數(shù)據(jù)流動與數(shù)據(jù)保護形成沖突，包括了數(shù)據(jù)主權(quán)管轄沖突、訴訟規(guī)則沖突、數(shù)據(jù)控制者合規(guī)沖突等。

具體而言，外國執(zhí)法當局單方面獲取私人公司持有的個人數(shù)據(jù)，在超出現(xiàn)有的跨國司法合作法律渠道的情況下，造成了一些困境和法律不確定性。2019 年歐洲刑警組織（Europol）和歐檢署（Eurojust）在聯(lián)合報告中總結(jié)了當前打擊網(wǎng)絡(luò)犯罪的主要障礙，包括：數(shù)據(jù)的丟失或滅失、位置缺失、國內(nèi)法律框架障礙、國際合作障礙以及公私合作障礙［33］。2020 年，國際刑警組織報告指出，犯罪分子利用執(zhí)法管轄的地域限制，通過在全球范圍內(nèi)開展犯罪活動來躲避偵查，導(dǎo)致在未經(jīng)調(diào)解的第三國訪問數(shù)據(jù)和基于國家領(lǐng)土的管轄權(quán)概念之間存在固有的緊張關(guān)系［34］。在刑事司法制度中，管轄權(quán)的概念要求建立民事訴訟制度來處理法律沖突，第三國非法訪問數(shù)據(jù)繞過現(xiàn)有的法律約束渠道，會導(dǎo)致法律不安全和不信任。在直接合作模式下，LEA 直接聯(lián)系服務(wù)提供商，而不受請求國當局的任何干預(yù)。然而，正如2016 年歐盟委員會關(guān)于改善網(wǎng)絡(luò)空間刑事司法的問卷調(diào)查所指出的那樣，直接請求的有效履行仍不確定：一方面由于其法律框架不明確；另一方面，由于難以確保國內(nèi)生產(chǎn)指令的域外執(zhí)行。目前，歐盟內(nèi)部對于直接合作的合法性沒有共同立場，出現(xiàn)這種情況有兩個主要原因：第一，成員國對國內(nèi)和國外服務(wù)提供商的監(jiān)管存在差異；第二，對于正在處理的服務(wù)提供商來說，沒有關(guān)于直接向另一個國家的服務(wù)提供商發(fā)出的請求是自愿的還是強制性的規(guī)則［4］。

五、總結(jié)與反思

為解決支離破碎的數(shù)據(jù)傳輸監(jiān)管框架，歐盟的數(shù)據(jù)立法保護呈現(xiàn)出統(tǒng)一標準和范式擴張的趨勢［31］。2012 年的《在互聯(lián)世界中保護隱私：面向21 世紀的歐盟數(shù)據(jù)保護框架》表明，個人數(shù)據(jù)傳輸時，無論控制者地理位置或者其數(shù)據(jù)處理設(shè)備是否位于歐盟，應(yīng)適用歐盟的標準和規(guī)則，創(chuàng)建高水平的歐洲數(shù)據(jù)保護標準［35］。2017 年，《全球化世界中個人數(shù)據(jù)的交換和保護》提出，GDPR 提供多種數(shù)據(jù)傳輸機制，將國際數(shù)據(jù)流動和個人保護最高水準相結(jié)合，推廣歐盟高水平的數(shù)據(jù)保護標準。 以馮德萊恩（Ursula Gertrud von der Leyen）為主席的新一屆歐盟委員會在發(fā)展歐盟數(shù)據(jù)法律標準上更為積極［32］。2020 年，歐盟委員會在《人工智能白皮書》 《歐洲數(shù)據(jù)戰(zhàn)略》 以及《塑造歐洲的數(shù)字未來》 中均提出，推廣歐洲方法，制定全球標準。歐盟個人數(shù)據(jù)保護的基本價值隨著“充分性決定”工具的應(yīng)用融入日本、韓國的數(shù)據(jù)立法改革，東亞乃至全球多國的數(shù)據(jù)立法進程都奉GDPR 為圭臬。

面對越發(fā)頻繁的跨國網(wǎng)絡(luò)犯罪，數(shù)據(jù)的獲取和應(yīng)用已成為遏制網(wǎng)絡(luò)犯罪上升的關(guān)鍵，歐盟基于充分性認定的警務(wù)執(zhí)法數(shù)據(jù)跨境傳輸機制，為我國對外警務(wù)執(zhí)法數(shù)據(jù)跨境傳輸?shù)恼勁刑峁┝四Ｊ絽⒖肌Ｎ覈鴳?yīng)當在數(shù)據(jù)主權(quán)國家戰(zhàn)略的基礎(chǔ)上，著力探索刑事跨境數(shù)據(jù)取證管轄模式的中國方案。具體而言，在堅持數(shù)據(jù)存儲地模式的同時，有必要設(shè)定例外情形; 在把握數(shù)據(jù)控制者模式之優(yōu)勢的同時，亦需針對他國采取該模式給我國帶來的危害予以對等回應(yīng)；在程序主義數(shù)據(jù)主權(quán)的框架下，加強與其他國家的平等協(xié)商與合作，構(gòu)建適用于電子數(shù)據(jù)的刑事取證管轄互惠模式［12］。

為了在常規(guī)數(shù)據(jù)提取措施之外設(shè)置配套的網(wǎng)絡(luò)在線提取和遠程勘驗，我國于2016 年制定了《電子數(shù)據(jù)規(guī)定》，試圖通過制定“網(wǎng)絡(luò)在線提取與遠程勘驗”措施，回避執(zhí)法管轄權(quán)的強地域限制，但沒有解決正當性缺失的問題［2］。在此背景下，2019 年公安部制定了《公安機關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》，將網(wǎng)絡(luò)在線提取措施的適用范圍進行了大幅度限縮，即僅限于境內(nèi)遠程計算機信息系統(tǒng)中的電子數(shù)據(jù)和境外公開發(fā)布的電子證據(jù)［36］。這在一定程度上化解了執(zhí)法管轄沖突的問題［37］。但是網(wǎng)絡(luò)遠程勘驗措施仍然可能突破執(zhí)法管轄權(quán)的地域限制，可能出現(xiàn)干預(yù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全以及個人信息保護制度等情況，有觸發(fā)他國法律責(zé)任的風(fēng)險［2］。

近年來，我國高發(fā)的電信網(wǎng)絡(luò)詐騙案件、網(wǎng)絡(luò)賭博案件等表現(xiàn)出犯罪鏈條向境外轉(zhuǎn)移的特征［38］，上述困境也成為困擾我國公安機關(guān)打擊涉外新型犯罪的瓶頸。從執(zhí)法管轄權(quán)的強地域限制出發(fā)，在具體的措施設(shè)計上無論是采用傳統(tǒng)的刑事司法協(xié)助機制，還是創(chuàng)新變通式的取證途徑，正當性原則意味著一方面這些措施應(yīng)當具有國內(nèi)法的明確授權(quán)，另一方面應(yīng)當建立在相對國同意的基礎(chǔ)上［2］。后者則要求跨境偵查取證措施的實施原則上不應(yīng)當是一種單邊行為，而是通常需要以國際公約、條約、雙邊或多邊協(xié)議或機制為基礎(chǔ)。2021 年，我國《最高人民檢察院工作報告》已提出要“規(guī)范境外取證”，努力避免出現(xiàn)妨礙相對國的協(xié)助意愿以及影響取證實際效果的情況出現(xiàn)。

相較于立法管轄權(quán)的不斷擴張，近些年來我國國際執(zhí)法管轄權(quán)的相關(guān)規(guī)定沒有多少突破性變化。公安部為適應(yīng)打擊犯罪的現(xiàn)實需要，就國際犯罪偵查活動補充規(guī)定了國際警務(wù)協(xié)作機制，但許多國際警務(wù)合作機制還有待于進行細化規(guī)定［2］。對未來網(wǎng)絡(luò)犯罪的治理，首先要解決的是如何有效利用多節(jié)點治理資源和能力，優(yōu)化犯罪治理效果，而網(wǎng)絡(luò)犯罪多節(jié)點的協(xié)同共治，關(guān)鍵在于程序性規(guī)則的有效銜接［39］。這一方面需要在犯罪治理的不同階段，基于信息生命周期管理的一般理論，建立信息管理和審查的統(tǒng)一或示范性規(guī)范；另一方面，需要在一定程度上打破傳統(tǒng)的公私界分，探索犯罪治理的公共資源和私人資源之間的有效融合。