欧盟《电子证据条例》（草案）研析

◎北京师范大学刑事法律科学研究院暨法学院副教授、中国互联网协会研究中心秘书长 吴沈括

◎华东政法大学 陈柄臣

◎北京师范大学刑事法律科学研究院 甄妮

电子证据是能够证明案件事实的电子数据，其载体具有特殊性。电子证据取证问题产生的背景主要在于电子信息服务日益全球化以及其被滥用作为犯罪的工具或为犯罪提供便利的管道，而互联网无国界性以及数据存储位置不特定性为调查取证活动带来了许多困难。鉴于惩罚犯罪和保护人权的目的，跨境取证电子数据、打击现代化犯罪形式的需要，建立取证合作机制就显得十分必要。

申言之，当下，人际之间的信息交流越来越依靠电子信息工具，诸如电邮、即时通讯、应用程序等等。人们在享受这些工具带来的便利与好处的同时，犯罪分子也在利用这些工具进行犯罪活动。当犯罪发生时，调查人员能够找到线索的唯一地方通常是这些电子工具，以确定犯罪嫌疑人并调取合法证据。鉴于互联网无国界性质、数据存储位置的不特定性，在众多相关的刑事案件中，欧盟成员国当局对取证存储在本国之外的、其他成员国或第三国服务提供商的数据需求不能得到满足。

在此时代背景下，欧盟《电子证据条例》（草案）于2018年4月17日由欧盟委员会正式提出，电子数据取证制度的总体目标在《电子证据条例》（草案）中得以体现，其提出了亟待解决的问题：（1）基于欧盟共同举措提高司法协助效率;（2）改善成员国当局与非欧盟国家服务提供者之间的合作；（3）研讨方案解决网络空间中确定和落实管辖权的问题；（4）建立欧洲法律框架以保护所有利益相关方的权利和自由。

欧盟《电子证据条例》（草案）共五章二十五条。第一章为前三条，内容为主旨事项、定义和范围，确立了立法原则、术语解释以及条例适用范围。第二章为第四到第十二条，内容为“欧洲数据生成令，欧洲数据保全令和认证，法定代理人”。本章内容详细地规定了欧洲数据生成令和欧洲数据保全令的签发机构、条件、接收者、法定表现形式、具体执行方式，除此之外还对接收者和服务提供者负担以保密义务，以及在特定情况下对服务提供者的救济措施。第三章为第十三条到第十四条，内容为制裁措施和强制执行。本章内容规定了成员国违反本条例相关义务的罚金制度；接收者拒绝执行命令的法定事由以及无法定事由拒绝遵守命令，签发机构强制执行命令的程序，以及在此基础上的执行机构的豁免事由；强制执行时，执行机构注意告知接收者的法律事项。第四章为第十五条到十八条，内容为救济。本章详细地规定了基于第三国基本利益引发的义务冲突审查程序、基于其他理由引发的义务冲突审查程序以及补救措施、执行国的法律特权和豁免权。第五章为第十九条到二十五条，内容为最终条款。本章内容规定多为一些补充条款，具体内容包含对条例实施进行监测和报告、数据令认证书和表格修正、欧盟委员会的授权行使、成员国的法定通知事项、欧盟调查令与该条例的法律兼容性、条例实施评估以及条例生效时间。

作为最主要价值指向，该条例目的在于使合作机制适应数字时代，提供司法和执法工具确定犯罪分子合意方式，打击现代化犯罪形式。通过提高当局、服务提供者和相关人的法律确定性，坚持执法高标准，从而确保基本权利、透明度和问责制。同时，该条例关注效率问题，加快了保护和获取在非本国管辖范围内运营的服务提供商存储和保存的电子证据的过程。

作为最主要制度特色，该条例引入了具有约束力的欧洲数据生成令和欧洲数据保全令，并且规定只能用于刑事诉讼，包括预审和审判阶段。鉴于调取数据采取的措施可能在某种程度上被滥用，该条例规定了若干条款和保障措施。同时，在已有保护个人数据的规则下，欧盟立法在刑事诉讼中保护嫌疑人和被告的权利。

总体而言，在政策目标层面，该条例追求成员国在相互承认原则之上建立高效的合作机制。其对于跨境电子数据取证程序的设定，反映出欧盟成员国急需改善当前跨境电子数据取证程序问题的需求以及通力打击现代化犯罪形式的决心。此外，其确立电子服务属地管辖原则，解决了互联网无国界、电子证据存储位置不特定等因素对欧盟成员国当局取证活动造成的不便。与此同时，还设定了有关措施来保障人权。凡此种种，在下文《电子证据条例》（草案）的规范设计中得到了充分的展现。

欧盟《电子证据条例》（草案）正文

第1条

主旨事项

1.本条例规定无论数据位于何处，成员国当局均有权要求在欧盟内提供服务的服务提供者生成或保存电子证据。本条例不影响成员国国家机构要求设立在其领土内的服务提供者遵守相似国家措施的权力。

2.本条例不具有修改尊重TEU第6条所载基本权利和法律原则的义务的效力，包括当事人在刑事诉讼程序中的辩护权以及执法或司法机关在这方面的现存义务。

第2条

定义

为本条例目的，适用以下定义：

（1）“欧洲数据生成令”意指成员国的签发机构要求在欧盟内提供服务的服务提供者或在其他成员国内设立的服务提供者生成电子证据的具有约束力的决定。

（2）“欧洲数据保全令”意指成员国的签发机构基于后续生成电子证据的需要，要求在欧盟内提供服务的服务提供者或在其他成员国内设立的服务提供者保存电子证据的具有约束力的决定。

（3）“服务提供者”意指提供以下一种或多种服务的自然人或法人：

（a）《建立欧洲电子通信规范的指令》第2条第4款规定的电子通信服务。

（b）欧盟第（EU）2015/1535号令第1条（b）中定义的以数据存储为主要内容的信息社会服务，包括社交网络，促进用户与托管服务提供者交易的在线交易平台。

（c）互联网域名和IP编号服务，如IP地址提供者，域名注册机构，域名注册商和相关的隐私和代理服务。

（4）“在欧盟内提供服务”意指：

（a）能够使自然人或者法人在一个或多个成员国使用上述（3）中的服务。

（b）与（a）中所指成员国之间存在实质性联系。

（5）“企业实体”意指通过提供服务来开展长期经济活动的稳定基础设施。

（6）“电子证据”意指在收到欧洲数据生成令或欧洲数据保全令认证书时服务提供者持有的以电子形式存储的数据，包括存储的用户数据、访问数据、交易数据和内容数据。

（7）“用户数据”意指与下列所述有关的任何数据：

（a）用户或客户的身份信息，如姓名、出生日期、邮政地址或地理位置、账单和支付数据、电话号码、邮箱。

（b）服务类型及持续时间，包括用户使用的技术数据和识别数据以及与服务验证相关的数据，不包括用于代替用户提供的密码或其他验证手段，或者应客户的要求创建的密码或其他验证手段。

（8）“访问数据”意指与用户访问会话的开始和终止情况相关的数据，比如使用的日期和时间，服务的登陆和退出，以及互联网接入商分配给用户的IP地址，识别所使用的接口数据和用户ID。此外还包括《电子通信中的个人隐私和个人数据保护条例》第4（3）条第（g）点中所定义的电子通信元数据。

（9）“交易数据”意指与服务提供者提供的服务相关，并由服务提供者的信息系统生成或处理的数据，例如消息的来源地与目的地，或者与其他类型的数据交互，日期，时间，持续时间，大小，路径，格式，使用的协议以及压缩类型，包括《电子通信中的个人隐私和个人数据保护条例》第4（3）条第（g）点中所定义的电子通信元数据。

（10）“内容数据”意指任何以数字格式形式存储的数据，比如除用户数据、访问数据交易数据之外的文本、语音、视频、图像和声音。

（11）“信息系统”意指欧盟第2013/40/EU号令第2条第（a）点中定义的信息系统。

（12）“签发国”意指签发欧洲数据生成令和欧洲数据保全令的成员国。

（13）“执行国”意指欧洲数据生成令或欧洲数据保全令的接收者居住或所在成员国， 生成令或保全令将送达其执行。

（14）“执行机构”意指执行国内的主管机构，负责执行由签发机构签发的数据生成令认证书和数据保全令认证书。

（15）“紧急情况”意指欧盟第 2008/114/EC号令第2（a）条定义的对个人生命安全或者对关键基础设施造成迫切威胁的情况。

第3条

适用范围

1.本条例适用于在欧盟内提供服务的服务提供者。

2.欧洲数据生成令和欧洲数据保全令仅能在刑事诉讼程序中签发，包括预审阶段和审判阶段。如果根据签发国的法律，法人在刑事诉讼中也可能承担责任，在此情况下也可以签发欧洲数据生成令和欧洲数据保全令。

3.本条例中提供的数据生成令和数据保全令的签发仅用于与第2（3）条规定的在欧盟内提供的服务相关的数据。

第4条

签发机构

1.用户数据和访问数据的数据生成令由下列机构签发：

（a）与案件相关的法官、法院、调查法官或检察官。

（b）任何签发国认可的根据其国内法律有权在特定案件的刑事诉讼程序中作为调查机构下令收集证据的其他主管机构。该类数据生成令在经过该条例规定的条件审查后，由签发国的法官、法院、调查法官或检察官进行验证。

2.交易数据和内容数据的数据生成令由下列机构签发：

（a）与案件相关的法官、法院、调查法官。

（b）任何签发国认可的根据其国内法律有权在特定案件的刑事诉讼程序中作为调查机构下令收集证据的其他主管机构。该类欧盟数据生成令在经过该条例规定的条件审查后，由签发国的法官、法院、或调查法官进行验证。

3.欧洲数据保全令由下列机构签发：

（a）与案件相关的法官、法院、调查法官或者检察官。

（b）任何签发国认可的根据其国内法律有权在特定案件的刑事诉讼程序中作为调查机构下令收集证据的其他主管机构。该类欧盟数据保全令在经过该条例规定的条件审查后，由签发国的法官，法院，调查法官或检察官进行验证。

4.如果司法机关根据第 1（b），2（b），3（b）段的内容对该命令进行了验证， 则该机构也可被视为签发机构。

第5条

签发欧洲数据生成令的条件

1.签发机构仅能在符合本条规定的条件下签发欧洲数据生成令。

2.基于第3（2）条所述程序的目的签发欧洲数据生成令需符合必要性和比例性要求，并且只有在签发国在面对相类似情况也可能采取相似措施时才能签发。

3.针对所有刑事犯罪，均可以签发用户数据或访问数据的欧洲数据生成令。

4.只有针对下列犯罪才能签发交易数据或内容数据的欧盟数据生成令：

（a）在签发国被判处至少三年以上监禁刑的刑事犯罪。

（b）全部或部分通过信息系统实施的下列犯罪：

-欧盟委员会框架决定第2001/413/JHA号第3、4、5条界定的犯罪。

-欧盟第2011/93/EU号令第3到7条界定的犯罪。

-欧盟第2013/40/EU号令第3到8条界定的犯罪。

（c）欧盟第 （EU） 2017/541号令第3到12条以及第14条界定的刑事犯罪。

5.欧洲数据生成令应当包括如下信息：

（a）签发机构、适用地、验证机构。

（b）第7条规定的欧洲数据生成令接收者。

（c）数据主体，除非该命令的唯一目的是识别某人。

（d）数据类别（用户数据、访问数据、交易数据或内容数据）。

（e）被请求生成数据的时间范围。

（f）签发国刑法的适用规定条款。

（g）紧急情况下的提前披露及其原因。

（h）在数据作为服务提供者为公司或者除自然人之外的另一个企业实体的基础设施的一部分被存储和处理的情况下，根据第6段的要求制作的确认函。

（i）使用该措施的必要性和比例性说明。

6.在数据作为企业基础设施的一部分被存储和处理的情况下，如果不宜将调查性措施发送给公司或者企业实体时，则只能发送给服务提供者，因为公司或者企业实体可能会妨害调查。

7.如果签发机构有理由认为其所要求的交易数据或内容数据受到服务提供者所在成员国的豁免和特权保护，或者披露可能会影响成员国的国家安全或国防安全等基本利益，则签发机构在签发欧洲数据生成令前应当通过直接向相关成员国主管机关咨询或者访问欧洲司法网站的方式来获得澄清。如果签发机构发现其所要求的访问数据、交易数据或内容数据受到豁免和特权保护，或者披露会损害成员国的基本利益，则不应当签发欧洲数据生成令。

第6条

签发欧洲数据保全令的条件

1.签发机构仅能在符合本条规定的情况下签发欧洲数据保全令。

2.为了防止在司法协作场合下相关数据的移除、删除和更改，针对所有的刑事犯刑事犯罪均可以签发欧洲数据保全令。

3.欧洲数据保全令应当包括如下信息：

（a）签发机构、适用地、验证机构。

（b）第7条规定的欧洲数据保全令接收者。

（c）数据主体，除非该命令的唯一目的是识别某人。

（d）保存的数据类型（用户数据、访问数据、交易数据或内容数据）。

（e）被请求保存数据的时间范围。

（f）签发国的刑法适用条款规定。

（g）使用该措施的必要性和比例性说明。

第7条

接收者

1.欧洲数据生成令和欧洲数据保全令应当直接发送给服务提供者指定的法定代理人以便于在刑事诉讼程序中收集证据。

2.如果服务提供者没有任命专职法定代理人，则欧洲数据生成令和欧洲数据保全令可以发送给服务提供者在欧盟内的任何一家企业实体。

3.如果法定代理人不遵守第9（2）条中紧急情况下EPOC的规定，则EPOC可以被发送给服务提供者在欧盟内的任何一家企业实体。

4.如果法定代理人不遵守第9或第10条规定的义务，且签发机构认为存在数据丢失的严重风险，则欧洲数据生成令和欧洲数据保全令可以发送给服务提供者在欧盟内的任何企业实体。

第8条

认证

1.欧洲数据生成令和欧洲数据保全令应当通过欧洲数据生成令认证书或欧洲数据保全令认证书的形式发送给第7条中规定的接收者。

签发机构或验证机构应当完成附件一中的EPOC或附件二中的EPOC-PR，签署并保证其内容准确无误。

2.EPOC或EPOC-PR应当以能够使接收者确认其真实性的书面形式送达。

如果服务提供者、成员国或联盟机构已经出于执法需要建立了专用传输平台或其他安全渠道，则司法机构、签发机构也可以选择通过这些渠道传输认证书。

3.EPOC应当包含第5（5）条（a）到（h）所列的信息，包括能够使接收者确认和联系签发机构的所有信息。但有关案件调查的必要性和比例性说明以及案件的细节信息不应当包括在内。

4.EPOC-PR应当包含第6（3）条（a）到（f）所列的信息，包括能够使接收者确认和联系签发机关的所有信息。但有关案件调查的必要性和比例性说明以及案件的细节信息不应当包括在内。

5.如果需要，EPOC或EPOC-PR应当被翻译成接收者所在成员国的官方语言，如果没有规定确切的语言，则EPOC或EPOC-PR可以被翻译成法定代理人所在成员国的任何一种官方语言。

第9条

EPOC的执行

1.接收者应当在收到EPOC之日起10日内将被请求数据直接传送给签发机构或者执行机构，除非签发机构表明提前披露数据的原因。

2.在紧急情况下，接收者应当自受到EPOC之日起6小时内发送被请求数据，不得无故拖延。

3.如果接收者因为EPOC信息不完整或有明显错误而无法履行其义务，应当使用附件三中的表格告知签发机构，寻求澄清。接收者应当告知签发机构第6段所述数据识别和数据保全是否具有可行性。签发机构应当在5日内迅速做出回复。第1段和第2段中所规定的最后期限自收到情况说明之日起计算。

4.如果接收者由于不可归因于自身原因的不可抗力或事实上履行不能而不履行其义务，比如所需求的数据主体并非其用户，或者数据在收到EPOC之前已经被删除，则接收者应当立即使用附件三中的表格向签发机构解释原因。如果满足相关的条件，签发机构应当撤回EPOC。

5.如果接收者出于其他原因未提供所需求信息，或者未全面及时地提供所需求信息，应当立即使用附件三中的表格在第1段和第2段规定的最后期限内通知签发机构，说明理由。签发机构应当根据服务提供者提供的信息进行审查，并在必要时为服务提供者设定新的截止期限以生成数据。

如果接收者认为EPOC中包括的信息明显违反了《欧盟基本权利宪章》的规定或出现了明显的权利滥用而不能付诸执行，应当向接收者所在成员国的执行机构发送附件三中的表格。在此情况下，执行机构可直接向欧盟数据生成令的签发机构寻求澄清，也可以通过访问欧洲司法网站了解情况。

6.如果不能立即生成数据， 接收者应当保存所需要的数据，除非EPOC中的信息不允许其识别所需数据，在这种情况下，接收者可以根据第3段的规定要求澄清。在数据生成之前，无论是通过澄清的欧洲数据生成令及其认证书或者其他渠道（如司法协作），都应当对数据进行保存。如果不再需要生成数据以及保全数据，根据第14（8）条的规定，签发机构和执行机构应当立即通知接收者。

第10条

EPOC-PR的执行

1.接收者在收到EPOC-PR后，应当立即保存所需数据。除非签发机构确认已经启动后续的数据生成请求，则数据保全应当在60天后解除。

2.如果签发机构在第1段规定的时间内确认后续的数据生成请求已经启动，则接收者应当在后续的生成请求送达后，尽可能的长期保存数据。

3.如果无需继续保全数据，签发机构应当立即通知接收者。

4.如果接收者因为EPOC-PR信息不完整或有明显错误而无法履行其义务，应当立即使用附件三中的表格告知签发机构，寻求澄清。签发机构应当在5日内迅速做出回复。接收者应当确保收到所需澄清函以履行第1段规定的义务。

5.如果接收者由于不可归因于自身原因的不可抗力或事实上履行不能而不履行其义务，比如所需求的数据主体并非其用户，或者数据在收到EPOC-PR之前已经被删除，则接收者应当立即使用附件三中的表格向签发机构解释原因。如果满足相关的条件，签发机构应当撤回EPOC-PR。

6.如果接收者由于附件三表格所列其他原因未保存所需信息，应当立即使用附件三的表格向签发机构说明原因。签发机构应当根据服务提供者提供的理由审查该命令。

第11条

机密性和用户信息

1.接收者和服务提供者应当采取必要措施来确保EPOC或EPOC-PR以及生成数据和保存数据的秘密性。应签发机构的要求，不得通知数据主体以防止其妨碍刑事诉讼进程。

2.在签发机构要求接收者不得通知数据主体的情况下，签发机构应当立即通知数据主体。

3.在签发机构通知数据主体时，应当告知其第17条中所规定的有效补救措施信息。

第12条

补偿费用

如果服务提供者根据其本国法的规定，与签发国在相似情况下采取的措施相类似，则服务提供者可以向签发国要求补偿其费用。

第13条

制裁措施

在不影响本国法关于刑事制裁规定的情况下，会员国应当制定适用于违反本条例第9、10和11条义务的罚金规则，并采取一切必要措施确保其实施。罚金规则应当具有有效性、比例性和劝诫性。成员国应当立即通知这些规则和措施的制定机关以及影响其实施的后续修正案制定机关。

第14条

执行程序

1.如果接收者在截止期限内未遵守EPOC或者EPOC-PR的规定，且未提供签发机构可以接受的理由，则签发机构可以将附有EPOC的欧洲数据生成令和附有EPOC-PR的欧洲数据保全令以及由接收者填写的附件三中的表格一并传送给执行国的主管机构以确保实施。为此，签发机构应当将欧洲数据生成令、欧洲数据保全令、表格以及其他附带文件翻译成成员国的任何一种官方语言，并通知接收者。

2.在收到第1段所述被传送的欧洲数据生成令或欧洲数据保全令后，执行机构应当立刻作出认可并采取必要措施确保其执行，除非执行机构认为存在第4段或第5段所述理由，或者有关数据受到其本国法豁免权和特权的保护，或者数据披露可能会影响国家安全和国防安全等基本利益。执行机构应当自收到命令后5个工作日内做出认可的决定。

3.如果执行机构认可该命令，则应当正式要求接收者履行相关义务，并告知接收者能够援引第4段或第5段的理由来反对执行命令的权利，以及不履行义务的制裁措施和做出执行或反对决定的最后期限。

4.接收者可以基于以下理由反对执行欧洲数据生成令。

（a）欧洲数据生成令并非第4条所列签发机构签发或验证。

（b）欧洲数据生成令并非因为第5（4）条所列犯罪而签发。

（c）接收者由于不可抗力或事实上履行不能而无法履行义务，或EPOC中含有明显错误。

（d）服务提供者在收到EPOC时并未储存欧盟数据生成令所需数据。

（e）服务并不属于条例所涵盖的服务范围。

（f）EPOC中的信息明显违反宪章或存在明显的权利滥用。

5.接收者可以基于以下理由反对执行欧洲数据保全令：

（a）欧洲数据保全令并非第4条所列签发机构签发或验证。

（b）接收者由于不可抗力或事实上履行不能而无法履行义务，或EPOC-PR中含有明显错误。

（c）服务提供者在收到 EPOC-PR时并未储存欧盟数据保全令所需数据。

（d）服务并不属于条例所涵盖的服务范围。

（e）EPOC-PR中的信息明显违反宪章或存在明显的权利滥用。

6.如果接收者提出异议，执行机构应当根据接收者提供的信息作出是否执行的决定，在必要时可以根据第7条从签发机构获取补充信息。

7.执行机构在根据第2段的规定作出不予认可的决定之前，应当通过适当的方式咨询签发机构。在适当的情况下，应当向签发机构请求进一步的信息。签发机构应当在5个工作日内回复该类请求。

8.所有的决定必须以书面形式通知签发机构和接收者。

9.如果执行机构从接收者处获取数据，应当在2个工作日内传送给签发机构，除非该数据受到其国内法豁免权和特权的保护，或者会影响国家安全和国防安全等基本利益，在此情况下，执行机构应当告知签发机构不进行数据传送的原因。

10.如果接收者不履行所规定的义务，则执行机构应当根据本国法律的规定对其处以罚款处罚。对于判处罚款的决定，应当由有效的司法补救措施。

第15条

基于第三国基本利益引发的义务冲突审查程序

1.如果接收者认为履行欧洲数据生成令的义务与第三国法律基于保护公民基本权利和与国家安全或国防安全有关的基本利益而作出的禁止数据披露的规定相冲突，应当按照第9（5）条所述的程序向签发机构告知不执行欧洲数据生成令的原因。

2.合理的异议应当包括与第三国法律，案件适用规定和义务冲突性质相关的所有细节。不能仅仅因为在第三国法律中不存在有关与签发欧盟数据生成令的条件，手续和程序相类似的条款，或者仅仅因为数据存储在第三国提出异议。

3.签发机构应当根据合理的异议对欧洲数据生成令进行审查，如果签发机构打算维持执行欧洲数据生成令的决定，应当要求成员国的主管法院进行审查，在审查程序结束之前，应当暂停执行。

主管法院应当根据下列事项的审查结果来评估是否存在冲突：

（a）第三国法律是否有针对具体案件的法律规定。

（b）第三国法律在适用于具体案件中时，是否禁止相关数据的披露。

4.在进行该项评估时，法院应考虑第三国法律是否明确寻求保护其他利益或者保护非法活动免受刑事调查中的执法请求，而不是趋于保护与第三国国家安全和国防安全有关的基本权利或利益。

5.如果主管法院认为不存在第1段和第4段所指的相关义务冲突，则应当维持命令。如果主管法院认定存在第1段和第4段所指的义务冲突，应当将包括评估信息在内的与案件有关的所有相关事实信息和法律信息发送给第三国的中央当局，中央当局应当在15日内做出答复，若有合理理由，截止日期可以延长30日。

6.如果第三国中央当局在截止期限内向主管法院提出异议，主管法院应当解除命令并通知签发机构和接收者。如果在截止期限内未收到异议，则主管法院应当给第三国中央当局发送提醒函，要求其在5日内作出回复，并告知其不回复的后果。如果在额外的截止日期前未收到异议，则主管法院应当维持该命令。

7.如果主管法院决定维持命令，应当通知签发机构和接收者，在收到通知后，接收者应当继续执行命令。

第16条

基于其他理由引发的义务冲突审查程序

1.如果接收者认为履行欧洲数据生成令的义务与第三国法律基于第15条中所述之外的原因而做出的禁止数据披露的规定相冲突，应当按照第9（5）条所述的程序向签发机构告知不执行欧洲数据生成令的原因。

2.合理的异议应当包括与第三国法律，案件适用规定和义务冲突性质相关的所有细节。不能仅仅因为在第三国法律中不存在有关与签发欧洲数据生成令的条件，手续和程序相类似的条款，或者仅仅因为数据存储在第三国就提出异议。

3.签发机构应当根据合理的异议对欧洲数据生成令进行审查，如果签发机构打算维持执行欧洲数据生成令的决定，应当要求成员国的主管法院进行审查，在审查程序结束之前，应当暂停执行。

4.主管法院应当根据下列事项的审查结果来评估是否存在冲突：

（a）第三国法律是否有针对具体案件的法律规定。

（a）第三国法律在适用于具体案件中时，是否禁止相关数据的披露。

5.如果主管法院认为不存在第1段和第4段所指的相关义务冲突，则应当维持命令。如果主管法院确认第三国法律在适用于具体案件时具有禁止相关数据披露的规定，应当根据下列因素决定是否维持或者撤回命令：

（a）受到第三国相关法律保护的利益，比如防止数据披露。

（b）该刑事案件与任一司法管辖区之间的关联程度，该关联度可通过数据主体和受害者的地理位置，国籍，住所以及犯罪发生地来判断。

（c）服务提供者与相关第三国之间的关联程度。在此情况下，数据存储位置本身不足以构成实质性连接。

（d）调查国在获取有关证据时所获利益，可综合考虑犯罪的严重性和迅速获取证据的重要性。

（e）接收者或服务提供者履行欧洲数据生成令可能产生的后果，包括可能面临的制裁。

6.如果主管法院决定解除命令，应当通知签发机构和接收者。如果主管法院决定维持命令，应当通知签发机构和接收者，在收到通知后，接收者应当继续执行命令。

第17条

有效补救措施

1.被获取数据的犯罪嫌疑人和被告人有权在签发欧洲数据生成令的刑事诉讼程序中采取有效的补救措施来避免执行，这不影响欧盟第（EU）2016/680号令和欧盟第 （EU）2016/679号条例中补救措施的适用。

2.如果被获取数据的人不是刑事诉讼中的犯罪嫌疑人和被告人，其有权采取有效的补救措施来避免执行，这不影响欧盟第（EU）2016/680号令和欧盟第（EU）2016/679号条例中补救措施的适用。

3.采取有效补救措施的权利应当在签发国法院受理之前行使，且该权利的行使应当符合合法性，必要性和比例性的要求。

4.在不影响第11条适用的情况下，签发机构应当采取合理的措施告知其根据国内法律寻求补救措施的权利并确保该权利的有效行使。

5.对国内相似案件寻求补救的时间限制、条件要求以及确保相关人员有效行使补救权的方式在此同样适用。

6.在不影响国内程序法适用的情况下，成员国应当在评估证据时确保刑事辩护权的行使以及诉讼程序的公正。

第18条

执行国法律中的特权和豁免权

如果所获取的交易数据或内容数据受到接收者所在成员国特权和豁免权的保护， 或者影响成员国的国家安全和国防安全等基本利益， 签发国法院应当在评估相关证据的关联性和可采性时确保对这些因素进行充分的考虑。法院可以咨询相关成员国的主管机构或者访问欧洲刑事司法网站。

第19条

监测和报告

1.不迟于自本条实施之日起，欧盟委员会应当建立详细的条例实施情况监测程序，该程序应当规定收集数据和其他必要证据的方式和时间间隔，明确欧盟委员会和成员国收集和分析数据及其他证据时所采取的行动。

2.在任何活动中，成员国应当全面收集和保存来自相关机构的统计数据。收集的数据应当于每年3月31日提交欧盟委员会，提交内容应当包括：

（a）根据不同的数据类型，服务提供者类型和针对不同情况（紧急或不紧急）而签发的EPOC与RPOC-PR的数量。

（b）EPOC的已履行数量和未履行数量。

（c）从签发EPOC到获取所需数据的平均持续时间。

（d）向执行国传送执行的欧洲数据生成令数量和已履行数量。

（e）针对签发国和执行国的欧洲数据生成令而提出的法律补救数量。

第20条

认证书和表格的修正

欧盟委员会应当根据第21条的规定采取授权行为修订附件一、附件二和附件三以便有效改进EPOC和OPOCPR表格的内容。

第21条

授权的行使

1.本条规定欧盟委员会有权根据情况作出授权。

2.第20条所指授权应当为为自条例实施之日起作出的不定期授权。

3.欧洲议会或欧盟理事会可随时撤销第20条所述授权。 撤销授权的决定将终止授权的效力。撤销决定应在《欧盟官方公报》公布后的第二天或指定时间生效，不影响已作出授权行为的效力。

4.在通过授权行为之前，欧盟委员会应当根据2016年4月13日的《提高立法质量的机构间协定》中规定的基本原则咨询每个成员国的指定专家。

5.欧盟委员会如果通过授权行为，应当立即通知欧洲议会和欧盟理事会。

6.第20条所述授权行为在欧洲议会或欧盟理事会接到通知之日起2个月内未提出反对意见或在此期间内告知其没有反对意见时生效。欧洲议会或欧盟理事会可以提议延长2个月。

第22条

通知

1.自本条例实施之日起，每个成员国应当向欧盟委员会通知下列事项：

（a）根据本国法律有权按照第4条规定签发或验证欧洲数据生成令和欧洲数据保全令的机构。

（b）有权代表另一成员国执行欧洲数据生成令和欧洲数据保全令的执行机构。

（c）有权根据第15条和16条的规定处理接收者提出的合理异议的法院。

2.欧盟委员会应当在专门网站或欧盟理事会第2008/976/JHA号决定第9条所述欧洲司法网站上公布收到的信息。

第23条

与欧盟调查令的关系

成员国机构可以继续根据欧盟第2014/41/EU号令签发欧盟调查令以收集属于本条例规定范围内的证据。

第24条

评估

不迟于自本条例实施之日起5年内，欧盟委员会应向欧洲议会、欧盟理事会提交报告，评估本条例的实施情况。报告应当包括对于是否需要扩大适用范围的评估以及必要情况下的立法提议草案。成员国应当向欧盟委员会提供编纂上述报告的必要信息。

第25条

生效

本条例应在《欧盟官方公报》上公布后的第二十天生效。

本条例自生效之日起六个月后施行。

本条例具有整体约束力，并直接适用于所有成员国。

毕于......，

欧洲议会 欧盟理事会

主席 主席