2024年2月,欧洲人权法院发布了Podchasov诉俄罗斯一案判决,支持了原告(申请人)确认被告俄罗斯(政府)违反《人权与基本自由保护公约》(“《公约》”)的请求,并赔偿一万欧元非财产损失。
本案案情并不复杂,一句话概括就是:被告要求社交应用提供者Telegram提供原告涉嫌犯罪活动的个人数据,Telegram表示因为原告启用了端到端加密所以无法提供,但原告仍认为其隐私权益受到侵害而起诉。虽然法官们并未在所有诉请的说理上达成一致,但整体上可以认为是重复了欧洲司法界对包括端到端加密在内的密码技术保障个人隐私和使用电子通讯服务安全的价值认识,也说明在2020年备受争议的《加密保障安全和加密的安全问题》决议通过之后的持续争议中,司法界与欧洲数据保护委员会(EDPB)等行政机构观点仍保持了一致性:“所提议的议案中的任何内容都不应被解释为禁止或削弱加密”。
从法官的案件阐述、理解和适用上看,对端到端加密的隐私价值认可,和对被告政府机构的否定,主要还是来源于(或针对)基础法律(本案中主要为俄罗斯《信息法》)中对运营者主体(本案中为Telegram)的法律义务设计,以及要求运营者履行法律义务的程序限制(或者说规范)问题——法院将这些问题统称为一个“法律(立法)质量”问题。
通过对这些法律质量问题的梳理和分析,可以得出一个具有普遍适用意义的立法技术选择,和一个不具有普遍意义的立法价值选择的结论。
01 对运营者的宽泛又差异化的界定
本案中,围绕运营者主体的概念和范围,法官们展开了一些讨论,整体上的观点认为俄罗斯的《信息法》定义的“互联网通讯组织”(ICO)是一个可能装入任何通讯服务的宽泛概念。不仅如此,又针对ICO特别设计登记注册,超出了一般意义上对互联网运营者的主体要求。
当然我们知道,对运营者进行分类并施加不同的义务和责任,是包括《数字市场法》等在内欧盟立法技术的重要特点,并在全球范围内上升到“守门人”义务的职责高度。只是在本案中,这一义务指向的是要求运营者提供个人数据,而非《数字市场法》《数字服务法》,以及更早的GDPR等所体现的保护个人数据。
02 运营者的数据留存和解密义务
本案中援引和评价的主要法律条款,也即义务条款的正当性,主要是指“Telegram应存储所有通讯数据1年(其中通讯内容(the contents of all communications)6个月),并按照法律规定将解密电子消息所需与密钥相关的数据(data relating to the [encryption] keys)一并提交执法机关或安全机构”。
在全球范围内,这么明显、直接的要求提供解密密钥的立法似不多见(澳大利亚《2018年电信和其他法律修正(协助和访问)法案》是一个经常被提及的例外,其内政部专门开辟一栏用于澄(描)清(黑)“关于协助和访问法案的迷思”,并明确声明:“该法没有赋予政府安装后门的权力”)。事实上,包括中国在内大多数国家在法律中基本奉行了“谁加密、谁解密”的原则,并基于这些原则实现了应用提供者和基础运营商等不同角色的义务分化。且即使无解密协助,整体上也不实质性的影响执法机构对个案的侦察和起诉活动。因此《信息法》的这一规定便成为“众矢之的”。
法院认为:涉案立法要求连续自动保留和存储所有互联网通讯内容6个月,以及全部通讯数据1年的规定,适用于所有用于传输语音、文本、视频或其他电子通信的互联网通讯服务,影响到所有互联网用户,但没有就适用范围进行任何地域或时间上的限制,或对可能需要存储其个人数据的人员类别进行限定,因此构成了广泛且严重的干预。
03 运营者的附加高阶义务
除数据留存期限问题之外,《信息法》的问题可能还包括:(1)ICO需要在收到安全机构请求后10日(按照2020年修订,一般为30日)内提交解密电子通信所需信息,且缺少对请求的必要程序限制,例如应通过向法院申请调查令等方式进行;(2)ICO必须向安全机构提供远程访问其信息系统的权限(remote access to its information system)和安装指定设备。
这些附加的额外义务构成了本案压垮性判决的最后“稻草”,法院认为:在获取个人通信数据前向ICO出示授权是防止执法机关滥用权力的重要保障,由于缺少程序监督和缺少预防滥用和任意性风险的足够保证,最终打破了保护个人合法通信安全与打击非法信息利用之间的脆弱平衡,导致了可能的秘密访问、无差别监控等社会风险。而对于这些技术措施的确定性质疑,被告政府一方并未提出有效抗辩,特别是未进行本案所涉及的执法技术措施与传统的卧底行动、元数据分析、基于加密点的访问(如比特币)、云端技术协助以及可以寻求的国际合作等方式的优劣比较,也就最终无法论证这些义务的法定必要性。
由此,注定了该案一开始就呈现出一边倒的倾向性意见情况,而这些法律(立法)质量问题,无疑降低了法官们论证的法理难度,这却也是导致本案乏善可陈,无法成为经典或里程碑案例的原因。
当然本案判决中仍有可圈可点之处。比如法院意味深长的认为:故意削弱技术保护机制以支持执法的解决方案(看似简单),也将本质上削弱对犯罪(目标)的保护能力,这使得本想简单的解决方案变得不可能简单。至于端到端加密是否依然安全?被告没有拿到数据,Telegram闪烁其词,而法官,可能根本不想知道答案。(原浩)
文章所涉观点内容谨代表作者本人
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。