欧洲联盟法院（the Court of Justice of the European Union，CJEU）对相关案例做出判决，认为成员国部署的大规模数据保存和收集制度必须受到欧盟法律规定的严格隐私保障措施的约束。10月7日，CJEU宣布，英国2016年有争议的《调查权力法》（IPA）等立法不能在法律上要求互联网服务提供商（ISP）在内的电信公司以国家安全目的无条件地持续保存流量数据和位置数据，以便执法机构在必要时可以获取这些数据。

CJEU判决认为，数据保留做法不符合电子隐私指令和《通用数据保护条例》（GDPR）等立法所规定的隐私、言论自由以及数据保护等基本权利。具体而言，互联网服务提供商的数据处理活动，如传输给公共当局，即使是出于与“国家安全”有关的原因，也是不符合保障基本权利的理念。

在英国的这种制度下收集的通信数据种类包括流量、位置、用户数据，以及任何其他数据，围绕通信的元数据。然而，这些信息可以用来确定联系人的信息以及一个人的行踪和意图。例如，地图搜索、设备信息、搜索引擎结果和位置信息，可以结合起来搜集潜在嫌疑人的信息。通信数据还可以揭示用户在特定时期与特定人群的接触频率。

虽然CJEU的判决明确指出，2016年英国的IPA法案中概述的权力并不符合欧盟法律，但该判决确实为其在特殊情况下的使用打开了大门。CJEU指出，在成员国面临严重迫在眉睫的国家安全威胁的情况下，执法部门可以保留和收集必要的数据。

该判决还提出了关于英国和欧盟未来关系的问题，特别是关于英国保留数据充分性地位的问题。由于2016年《投资促进法》在数据处理方面似乎与欧盟法律不一致，除非进行修正，否则维持英国无条件的数据收集制度可能不会被看好。

来源：ITPro