Europaparlamentet 2014-2019 Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor 11.3.2019 FJÄRDE ARBETSDOKUMENTET (B) om förslaget till förordning om europeiska utlämnandeorder och bevarandeorder för elektroniska bevis i straffrättsliga förfaranden (2018/0108(COD)) förhållande till tredjelandslagstiftning Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor Föredragande: Birgit Sippel Medförfattare: Sophia in 't Veld DT\1179238.docx PE636.344v01-00 Förenade i mångfalden
I Cloud Act föreskrivs det även ett hövlighetsförfarande genom villkor för att en leverantör eventuellt ska kunna bestrida en sådan order att lämna ut innehåll som finns utanför Förenta staterna på grund av en lagkonflikt: Ett bestridande måste göras inom 14 dagar a) om innehållet i kommunikationen berör en utländsk person (dvs. inte en amerikansk medborgare eller en person som är bosatt i Förenta staterna), och b) om efterlevnaden av ordern skulle orsaka en väsentlig risk för lagbrott i ett tredjeland. För att lagstiftningen i tredjelandet ska beaktas måste detta land anses vara en kvalificerad utländsk myndighet (qualifying foreign government), och för att kvalificera sig måste landet ha ett ömsesidigt verkställande avtal med Förenta staterna i frågan (se del II nedan). Om ett bestridande görs ges den amerikanska statliga enhet som riktade den ursprungliga begäran en möjlighet att svara inom ramen för förfarandet. Domstolen har tillåtelse (men är inte skyldig) att upphäva ordern a) om utländsk lagstiftning skulle överträdas, b) om ett sådant upphävande ligger i rättvisans intresse baserat på samtliga omständigheter 1, och c) om personen är en utlänning som bor utanför Förenta staterna 2. I del II ( 2523) har ett nytt avsnitt lagts till avseende ömsesidigt verkställande avtal med utländska myndigheter rörande åtkomst till data som lagras i Förenta staterna. Enligt detta avsnitt kan Förenta staternas president ingå ett ömsesidigt verkställande avtal med en utländsk myndighet i syfte att låta leverantörer av elektroniska kommunikationstjänster till allmänheten eller fjärrbearbetningstjänster röja sina kunduppgifter som lagras i Förenta staterna till en sådan utländsk myndighet. Denna möjlighet berör dock enbart data om icke-amerikanska personer. För begäranden om uppgifter om amerikaner måste den utländska myndigheten använda sig av förfarandet enligt avtalet om ömsesidig rättslig hjälp eller erhålla bistånd i en brottsutredning eller ett åtal (28 U.S. Code 1782 och 18 U.S. Code 3512). Dessutom måste ett sorts beslut om adekvat skyddsnivå för det nämnda landet fattas på förhand och 1 För en sådan bedömning används följande kriterier: (A) Förenta staternas intressen, inbegripet de utredningsrelaterade intressena vid den statliga myndighet som söker få till stånd ett utlämnande. (B) Den kvalificerade utländska myndighetens intressen av att förhindra ett eventuellt förbjudet röjande. (C) Sannolikheten för, omfattningen av och karaktären hos påföljderna för leverantören eller leverantörens anställda till följd av inkonsekventa rättsliga krav som påförs leverantören. (D) Belägenhet och nationalitet för abonnenten eller kunden vars kommunikation eftersöks, om dessa uppgifter är kända, och karaktären hos och omfattningen av abonnentens eller kundens koppling till Förenta staterna, eller om rättsprocessen har inletts för en utländsk myndighet i enlighet med avdelning 3512, karaktären hos och omfattningen av abonnentens eller kundens koppling till det land den utländska myndigheten finns i. (E) Karaktären hos och omfattningen av leverantörens band till och närvaro i Förenta staterna. (F) Betydelsen för utredningen av den information som begärs ut. (G) Sannolikheten för snabb och effektiv åtkomst till den information som begärs ut på sätt som skulle orsaka mindre allvarliga negativa konsekvenser. (H) Om rättsprocessen har inletts för en utländsk myndighet i enlighet med avdelning 3512, de utredningsrelaterade intressena vid den utländska myndighet som begär hjälp. 2 Kommissionens förslag till artikel 16 efterliknar förfarandet inom ramen för Cloud Act. PE636.344v01-00 2/5 DT\1179238.docx
ömsesidighet gäller (av justitieministern och överlämnat till kongressen) 3. Följaktligen har Cloud Act extraterritoriella konsekvenser och ger åtkomst till data om amerikanska medborgare och personer bosatta i Förenta staterna, samt icke-amerikanska medborgare, oaktat deras globala belägenhet, om de misstänks för ett brott för vilket de amerikanska myndigheterna har behörighet. När det gäller de uppgifter som eftersöks och åtgärdens karaktär anses åtgärden vara en nationell sådan, och de amerikanska myndigheterna måste följa Förenta staternas lagstiftningsgarantier och konstitutionella garantier. Av detta följer att innehållet i en elektronisk kommunikation som lagras elektroniskt i ett elektroniskt kommunikationssystem i 180 dagar eller mindre alltid kräver att en amerikansk hämtningsorder utfärdas. För handlingar som lagras i molnet och register som gäller en abonnent eller en kund kan det krävas ett avgörande i en amerikansk domstol och att den statliga enheten visar att det finns rimliga skäl att anta att den information som eftersöks är relevant och väsentlig för en pågående brottsutredning. För utlämning av information om en abonnent kan ett administrativt föreläggande användas 4. 2. Kompatibilitet mellan Cloud Act och EU:s förslag avseende elektroniska bevis Baserat på ovan presenterade konsekvenser av den antagna Cloud Act verkar det finnas vissa oförenligheter mellan EU:s och Förenta staternas lagstiftning, vilket skulle kunna leda till lagkonflikter. För det första, när det gäller de tjänsteleverantörer som är baserade i Förenta staterna och samlar in eller lagrar uppgifter i ett tredjeland, bör Cloud Act gälla. Om dessa leverantörer dock även erbjuder tjänster i EU skulle de även omfattas av instrumentet för elektronisk bevisning, om detta antas, eftersom det i kommissionens förslag föreskrivs att ett juridiskt ombud ska utnämnas i EU för tjänsteleverantören som är baserad i Förenta staterna. Dessutom omfattas de redan nu av den allmänna dataskyddsförordningen. För det andra, i fall där de uppgifter som ska lämnas ut finns i Förenta staterna, krävs det enligt Cloud Act att ömsesidigt verkställande avtal sluts förutsatt att det berörda tredjelandet uppfyller ett antal villkor som inte är ömsesidiga. Förslaget till förordning om elektroniska bevis skulle dock tillåta utlämnande av uppgifter som finns i Förenta staterna utan något tidigare ingående av ett ömsesidigt verkställande avtal, och utan hänsyn till nationaliteten för den person som berörs av utlämnandet, så länge tjänsteleverantören erbjuder tjänster i EU. Avslutningsvis gäller att om en tjänsteleverantör tar upp frågan om motstridiga skyldigheter mellan amerikansk lagstiftning och EU-lagstiftning är det oklart vilket prövningsförfarande som skulle gälla. Cloud Act, å ena sidan, sörjer för möjligheten för leverantören att ansöka om 3 I detta avseende måste den utländska myndighetens inhemska lagstiftning, inbegripet genomförandet av denna lag, säkerställa starka materiella och processuella skydd av integriteten och de grundläggande friheterna mot bakgrund av den utländska myndighetens datainsamling och verksamhet. De faktorer som ska kontrolleras när man gör ett sådant avgörande inbegriper huruvida den utländska myndigheten i) har tillräcklig materiell och processuell lagstiftning om it-brottslighet och elektroniska bevis, vilket ska styrkas genom att den är part i Europarådets konvention om it-brottslighet, ii) visar respekt för rättsstatsprincipen och principerna om icke-diskriminering, iii) fullgör tillämpliga internationella skyldigheter och åtaganden som rör mänskliga rättigheter eller visar respekt för internationella universella mänskliga rättigheter, iv) har tydliga rättsliga mandat och förfaranden som styr de enheter i den utländska myndigheten som är bemyndigade att söka uppgifter inom ramen för det ömsesidigt verkställande avtalet, inbegripet förfaranden genom vilka dessa myndigheter samlar in, lagrar, använder och utbyter uppgifter, samt effektiv tillsyn över dessa verksamheter, v) har fullgoda mekanismer för ansvarsskyldighet och tillräcklig insyn avseende den utländska myndighetens insamling och användning av elektroniska data, och vi) uppvisar ett åtagande att främja och skydda det globala fria informationsflödet och internets öppna, distribuerade och sammanlänkade karaktär. 4 Se Stored Communications Act (SCA), som kodifierats som 18 U.S.C. kapitel 121 2703. DT\1179238.docx 3/5 PE636.344v01-00
att ändra eller inställa rättsprocessen (när det gäller utlämnande av uppgifter rörande ickeamerikanska medborgare som inte bor i Förenta staterna) om ett ömsesidigt verkställande avtal mellan den amerikanska regeringen och den berörda EU-medlemsstaten har slutits. Om inget ömsesidigt verkställande avtal har slutits verkar det som att föreläggandet om utlämnande av bevis skulle kunna bestridas på grundval av enbart en analys av hövlighet inom common law. I förslaget till förordning om elektroniska bevis, å andra sidan, föreskrivs det två prövningsförfaranden, oaktat nationaliteten för den berörda personen och som delvis tillåter att den nationella centralmyndigheten i detta tredjeland ingriper (se nedan artiklarna 15 och 16 i utkastet till förordning). EU:s utkast till mandat att förhandla med Förenta staterna angående elektroniska bevis Den 5 februari 2019 utfärdade kommissionen en rekommendation till rådets beslut om bemyndigande att inleda förhandlingar om ett avtal mellan Europeiska unionen och Förenta staterna om gränsöverskridande tillgång till elektroniska bevis för straffrättsligt samarbete 5. Kommissionen motiverar sin behörighet med avseende på det framlagda förslaget avseende elektroniska bevis genom att hävda att kommissionens förslag om elektroniska bevis lägger grunden för en samordnad och konsekvent strategi såväl inom Europeiska unionen som för Europeiska unionen på internationell nivå, samtidigt som EU:s regler om exempelvis icke-diskriminering mellan Europeiska unionens medlemsstater och deras invånare beaktas. Enligt kommissionen skulle ett sådant förslag kunna kompletteras med bilaterala eller multilaterala avtal om gränsöverskridande tillgång till elektroniska bevis med åtföljande säkerhetsåtgärder, och ett avtal mellan EU och Förenta staterna bör sträva efter att undvika motstridiga skyldigheter mellan Europeiska unionen och Förenta staterna. Vidare, efter att ha hänvisat till Cloud Act och möjliga ömsesidigt verkställande avtal mellan de amerikanska myndigheterna och utländska myndigheter, uppger kommissionen att syftet med detta initiativ är att genom gemensamma regler hitta lösningar på den särskilda rättsliga frågan om tillgång till innehållsdata och icke-innehållsdata som innehas av tjänsteleverantörer i Europeiska unionen eller Förenta staterna samt att fungera som ett komplement till EU:s förslag om elektroniska bevis genom att ta upp frågor om lagkonflikter, särskilt med avseende på innehållsdata, samt ge en snabbare tillgång till elektroniska bevis. Baserat på detta drar kommissionen själv slutsatsen att ett sådant avtal skulle innebära ett antal praktiska fördelar, och anger bland annat att det skulle ge rättsliga myndigheter ömsesidig tillgång till innehållsdata samt till icke-innehållsdata på grundval av framställningar från rättsliga myndigheter. De hävdar att det även skulle bidra till att förbättra möjligheterna att snabbt få tillgång till uppgifter, minska risken för lagkonflikter och minska risken för fragmentering av regler och förfaranden. Avslutningsvis uppger kommissionen att avtalet skulle klargöra den bindande naturen hos och verkställigheten av order till tjänsteleverantörer och förtydliga de rättsliga myndigheternas skyldigheter. Ett sådant mandat ger dock upphov till flera frågor, nämligen följande: 5 COM(2019)0070. PE636.344v01-00 4/5 DT\1179238.docx
Först och främst verkar det föreslagna mandatet komplettera ett lagstiftningsförslag som fortfarande är föremål för förhandlingar 6. Man skulle rentav kunna hävda att det föreslagna mandatet inte enbart kompletterar förslaget avseende elektroniska bevis, utan faktiskt skulle vara baserat på det. Därför uppstår frågan huruvida kommissionens faktiska avsikt, när den lade fram förslaget om elektroniska bevis, var att få en motivering till en rättslig grund för ett internationellt avtal med Förenta staterna. Om avtalet antogs innan förslaget om elektroniska bevis lades fram är frågan på vilket sätt avtalet skulle inverka på det rättssystem som ska upprättas genom förslaget om elektroniska bevis. För det andra, som tidigare nämnts, uppstår frågan huruvida ett sådant avtal är nödvändigt om möjligheten att tillhandahålla ökade finansiella, tekniska och mänskliga resurser till rättsliga myndigheter i såväl medlemsstaterna som i Förenta staterna, vilka handlägger framställningar om ömsesidig rättslig hjälp, ännu inte har utforskats och behandlats till fullo. För det tredje måste det klargöras om och hur ett sådant avtal (beroende på dess status) skulle kunna ingås utanför ramen för Cloud Act. Dessa frågor är särskilt viktiga med tanke på att den amerikanska lagstiftningen är väldigt tydlig när det gäller vilka data som utländska myndigheter kan begära (nämligen endast data rörande icke-amerikanska medborgare och utländska medborgare), medan den amerikanska regeringen samtidigt kan begära samtliga data, inbegripet data som lagras eller samlats in utanför Förenta staterna frågan om ömsesidighet rörande ett eventuellt framtida avtal. För det fjärde måste det även klargöras huruvida EU faktiskt inryms i begreppet utländsk myndighet och således kan sluta ett sådant avtal inom ramen för Cloud Act. Det har redan hävdats att ett avtal om elektroniska bevis mellan EU och Förenta staterna endast kan vara ett ramavtal som kräver ytterligare avtal med de enskilda medlemsstaterna 7. Till sist kan man ställa sig den allmänna frågan varför ett sådant avtal är nödvändigt om förslaget om elektroniska bevis tydligt tillhandahåller bestämmelser om åtkomst till data som lagras i tredjeländer, och även sörjer för ett hövlighetsförfarande avseende behörighetskonflikter med ett tredjeland (se art. 15 och 16). Kommissionen har hittills dessvärre inte besvarat dessa frågor på ett fullgott sätt. 6 Förenade kungariket valde inte elektroniska bevis och förhandlar om sitt eget avtal med Förenta staterna inom ramen för Cloud Act. 7 Se J. Daskal och P. Swire, A Possible EU-US Agreement on law enforcement Access to Data?, Lawfare 2018. DT\1179238.docx 5/5 PE636.344v01-00