作者:鍾宏彬

本文引用自rechtsgut - EU | 歐盟網路隱私保護的現狀-簡述

一、歐盟立法過程

  在2006年之前,一方面歐盟並沒有法令要求網路和電信業者收集使用者在通信之際的個人資料,另一方面如果業者自行收集了這類資料,將違反各國的憲法以及歐洲人權公約(通信自由或隱私權)。所以在歐盟各國的商業實務上,當時的電信、網路業者只收集為了定期結帳所必須的客戶資料和通聯紀錄,並且往往負有義務,在結帳後幾個月內必須刪除(例如:德國規定6個月,見:§ 97 III TKG)。

  但進入21世紀後,網路的發達和頻傳恐怖份子、犯罪集團利用網路聯絡而脫離治安機關監控,導致這類管制的呼聲漸烈。2004年3月西班牙馬德里炸彈案後,就有意見說,如果當時允許政府監控網路,應該可以提早發現恐怖攻擊計畫,避免如此慘重的死傷。因此歐洲理事會(European Council:地位是歐盟兩院制立法機關的上議院,由歐盟各國掌行政實權的總理或總統組成)旋即委託歐盟委員會(European Commission:由歐盟各國政府各派一位代表組成的執行機構)起草關於預先儲存個人網路活動資訊(德文:Vorratsdatenspeicherung,直譯為預先資料儲存)的條文。

  2005年12月14日,歐洲議會(European Parliament:地位是歐盟兩院制立法機關的下議院,議員由各國人民選出)通過了歐盟委員會的提案。2006年2月,歐洲理事會(歐盟上議院)也通過了此提案:歐盟指令2006/24/EC定於2006年3月15日生效

規範主旨(見德文維基百科:Richtlinie 2006/24/EC über die Vorratsspeicherung von Daten):

1. 各會員國有義務制訂法律,要求通訊與網路業者紀錄特定的資訊,以供會員國預防、偵查、追訴重大犯罪使用。

2. 資訊保存期限至少6個月,最多2年。

3. 特定資訊是指:足以反查使用者位置與身分的資料

(1) 對於電話(含手機):電話號碼和發話位置,號碼持有人的姓名、地址。通話雙方的號碼、姓名、地址。手機的ID(每支手機獨一無二的編號)。
(2) 對於網路連線服務和Email服務:使用者的帳號、帳號持有人的姓名地址,配給的IP、若網路服務有配給電話號碼則亦包含此號碼。Email發收雙方電子信箱、姓名、地址。
(3) 通訊的日期、時分、時區、長度。

 4. 通訊的內容(e.g. Email 內文和附件、對話影音)不被紀錄。

  這個歐盟指令雖然通過,但是由於引起各國內部廣大爭議,一共被16個會員國(當時歐盟也只有25國)行使「延後落實權」(right to postpone application),延後執行全部或一部的指令。例如波蘭和德國延後了18個月,比利時延後36個月(上限)。

 

二、各會員國與歐盟的爭訟

1. 奧地利

  奧地利於2010年7月,因為遲遲未遵照此歐盟指令制訂內國法,被歐盟法院判決為不履行歐盟條約,若限期內再不履行,將面臨上百萬歐元的罰款。奧地利國會雖於2011年5月通過了相關法律,但由奧地利Kärtner邦政府、電信業者和11,000名私人提起的憲法團體訴訟進到奧地利的憲法法院,該法院為了此案,於2012年11月28日向歐盟法院(EuGH)提起解釋案,爭執歐盟指令2006/24/EC 與2009年12月(亦即在該指令生效後3年半)生效的歐盟基本權利憲章所保障之資料隱私權是否相容。本案於2013年7月9日,與愛爾蘭的案件一同第一次開庭審理,判決預計還要好幾個月才會出爐

2. 瑞典

  瑞典於2013年5月30日,被歐盟法院(EuGH)判決因未及時履行條約義務(轉化2006/24/EC指令為內國法),罰款300萬歐元

3. 愛爾蘭

  愛爾蘭於2006年和2010年兩次針對這個歐盟指令向歐洲法院提起訴訟,第一次以歐盟無此項目的立法權限為由,但敗訴;第二次以此指令違反歐盟基本權利憲章為由(2009年12月才生效,是新的訴訟理由),本案於2013年7月9日,與奧地利的案件一同第一次開庭審理,判決預計還要好幾個月才會出爐

4. 德國

  德國在宣告的延後期滿後,乖乖落實歐盟指令,於2007年底通過了「為落實歐盟2006/24/EC指令的電信監察與其他隱密偵查措施新法案」(Das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG),2008年1月1日生效。但在生效之前,由一些邦政府與電信業者、民間團體共同發起的憲法團體訴訟,訴狀就遞進了德國聯邦憲法法院。

  2008年3月11日,德國聯邦憲法法院以暫時處分(BverfG, 1 BvR 256/08 - Beschl. vom 11. März 2008)限制了該法案的適用範圍(僅限於德國刑事訴訟法 § 100a StPO的情況允許政府調取資料,其他的授權條文暫停適用),並命聯邦政府於同年9月1日前向聯邦憲法法院報告此法案的利弊評估。此後又延長處分(BVerfG, 1 BvR 256/08 - Beschl. vom 28. Oktober 2008),直到--

  2010年3月2日,德國聯邦憲法法院判決(BVerfG, 1 BvR 256/08 - Urteil vom 2. März 2010)上述落實歐盟指令的電信監察法案過度侵犯人民的資訊自主權,違憲,除相關條文立即失效外,所有依該等條文已儲存的資料應立即刪除,不得轉交給包括政府的任何他人。法院認為,為了預防、偵查、追訴重大犯罪和恐怖活動之目的,而預先儲存電信使用者資料,雖然原則上是容許的,但該法案的儲存範圍、給政府的調取資料授權都太廣,對業者要求的資料保密程度也不足,所以違反比例原則。
  --簡評:在這樣的理由中,預埋了如果修法得宜,仍可取得合憲性的伏筆。

  2011年3月,德國聯邦法務部發表委託學者進行的研究,網路通訊資訊的儲存對於犯罪破案幾乎沒有貢獻。德國每年多破幾百件網路詐欺和散布兒童情色圖影罪,整體刑事破案率增加不到萬分之一,對比於極大的成本和廣泛的隱私權侵害,完全不成比例。歐盟各國也是差不多的情況。因此該研究報告建議不需要浪費資源發展這方面的法律管制。

  2011年底,在挪威的爆炸和掃射事件之後,德國政界又有聲音支持通過電信監察法,以及早從網路發現預謀中的重大犯罪。但未成案。

  2012年1月24日,德國聯邦憲法法院在另一個判決中(BVerfG, 1 BvR 1299/05 - Beschl. vom 24.1.2012)宣告:德國目前於電信法 §§ 111, 112, 113 TKG這幾條中關於儲存使用者IP資訊與政府調取此等資料的規定太寬鬆,在修法完成之前政府不得調取。

  2012年5月,歐洲部長理事會向歐洲法院提起訴訟,被告是德國,內容是德國不履行歐盟條約之義務:轉化歐盟2006/24/EC指令為內國法。依該訴之請求,若德國敗訴,將面臨每延宕一天31萬5千歐元的罰款。此案預計2013年年底宣判

  2012年9月,德國的第69屆法律人大會(69. Juristentag)會議決議:法學界支持有限度的電信監察,反對「網路活動無限制的匿名權」,當使用者在網路上增添內容時,至少要以假名或代碼的方式留下紀錄,才能在涉及違法時追蹤法律責任。網路服務業者必須登記使用者的真名和連線紀錄。

 

三、歐盟修法反應...慢慢等

  在被多個會員國抵制和爭訟之後,歐盟也不斷有聲音說要修改這指令,以更符合言論自由、網路隱私的保護。然而修法計畫一延再延,現狀是在2014歐洲議會改選之前大概都不會修改。 (參考資料11,12)

 

四、小結

  儘管憲法法院開了小門,儘管面臨上百萬歐元罰款的訴訟,但德國迄今(2013年6月底)仍未再次通過相關法案,乍看之下似乎打定主意要跟歐洲法院、跟歐盟賭一把。也因此,目前德國的網路活動相較於他國,尤其相較於美國、英國而言,處於隱密程度更佳的狀態。在美國、英國於2013年6月相繼爆出政府濫用網路監察的醜聞後(關鍵字:Edward Snowden),德國的通訊隱私保護程度一時之間熱門了起來,德國一些資訊安全的雜誌也開始宣揚德國雲端服務的安全性、隱密性。然而這會不會也只是暫時的現象?德國有著捍衛人權傳統的法律人卻是支持(有限度的)網路活動資料收集;此外,德國、奧地利、愛爾蘭等國與歐盟的爭訟未結,究竟從歐盟基本權利憲章的角度看,先前的指令2006/24/EC是否違憲?因此仍是未定論。一旦被歐洲法院宣告合憲,德國便有義務以內國法落實資料收集。所以至少要等到2013年7月9日,奧地利、愛爾蘭 vs. 歐盟 的判決出來,情勢才可望明朗一點。

參考資料:

沒有時間詳細引註,因此只於文末列出寫作此篇時的參考資料網址,主要是:歐盟法令、德國法律、德國法院判決、德國的新聞媒體報導、德文維基百科。反芻、摘要之際容有舛誤,請自行參閱原始資料。

  1. 德國聯邦法務部:聯邦資料保護法 (BDSG: Bundesdatenschutzgesetz)
  2. 德國聯邦法務部:電信法(TKG: Telekommunikationsgesetz)
  3. 歐盟官方公報(英文):2006/24/EC (L 105/54, 13. Apr. 2006)
  4. 德文維基百科:Vorratsdatenspeicherung(預先資料儲存)
  5. 德文維基百科:Richtlinie 2006/24/EC, über die Vorratsspeicherung von Daten(歐盟指令 2006/24/EC,關於資料的預先儲存)
  6. 德文維基百科:Anonymität im Internet(網際網路的匿名性)
  7. 明鏡日報線上版(Spiegel Online)(德文),30. May 2013:Schweden: EU-Millionenstrafe für späte Vorratsdatenspeicherung
  8. Verfassungsblog(憲法部落格)(德文),30. May 2013:Vorratsdatenspeicherung: Schweden ist nicht Deutschland
  9. 德國聯邦眾議院委託研究報告(德文),18. Mar. 2011:Die praktischen Auswirkungen der Vorratsdatenspeicherung auf die Entwicklung der Aufklärungsquoten in den EU-Mitgliedsstaaten
  10. crn.de(德文),25. June 2013:Probleme mit Sicherheit und Datenschutz im Internet - SID empfiehlt deutsche Cloud-Anbieter(德國軟體協會推薦使用德國公司的雲端服務)
  11. Netpolitik.org,: EU-Innenkommissarin Malmström: Dieses Jahr keine überarbeite Vorratsdatenspeicherungs-Richtlinie mehr(歐盟內政執行委員會:今年不會修改預存資料指令)
  12. Netpolitik.org, 13. July 2012: EU-Kommission: Überarbeitung der Richtlinie zur Vorratsdatenspeicherung wird noch weiter verschoben(歐盟執委會:預存資料指令的修改再延)

  就在本文寫完後12小時,德國的前三大報之一 《南德日報》貼出了類似的文章:
  Süddeutsche Zeitung, 26.06.2013: Europäischer Gerichtshof zu Datenspeicherung - Die alles wissen wollen; "Schwerer Eingriff in die Bürgerrechte"

  大意:德國不敢為了網路監察的指令告歐盟,奧地利和愛爾蘭卻敢。剛好就在美國、英國的政府濫權監視網路事件爆發後不久,2013年7月9日,歐洲法院將審理奧地利與愛爾蘭的案件。大家都在等著看歐盟的標準;以安全為由就能正當化一切作為嗎?

本篇出自:

  披星戴月:EU | 歐盟網路隱私保護的現狀-簡述(2013.06.25)

arrow
arrow
    文章標籤
    通訊秘密 網路隱私 通信監察 對抗恐怖主義 打擊犯罪 資訊自主權 歐盟 德國 奧地利 瑞典 英國 愛爾蘭
    全站熱搜

    發表在 痞客邦 留言(2) 人氣()

    E-mail轉寄