Phán quyết của tòa án cao nhất Châu Âu dự kiến sẽ dẫn đến những thách thức pháp lý đối với việc sử dụng bằng chứng từ EncroChat và các mạng điện thoại được mã hóa khác bị cơ quan thực thi pháp luật xâm nhập.
Tòa án Công lý Liên minh Châu Âu (CJEU) đã ra phán quyết vào ngày 30 tháng 4 năm 2022 rằng các quốc gia thành viên phải chính thức thông báo cho các quốc gia thành viên khác khi họ chặn liên lạc trong khu vực tài phán của họ.
Luật sư bào chữa người Đức Christian Lödden cho biết trong tuần này rằng phán quyết này mở đường cho những thách thức pháp lý đối với các vụ truy tố EncroChat trong tương lai ở Đức và các quốc gia khác.
Ông nói rằng Pháp đã không cung cấp thông báo chính thức về hoạt động hack cho Đức và các quốc gia thành viên khác theo yêu cầu của luật pháp EU, đồng thời nói thêm rằng Pháp “đã vi phạm (luật)”.
Phán quyết này là phán quyết mới nhất trong một loạt thách thức pháp lý về tính hợp pháp của bằng chứng do cảnh sát Pháp và Hà Lan thu thập trong một hoạt động hack mới vào mạng điện thoại EncroChat, nơi cung cấp dịch vụ nhắn tin được mã hóa.
Cảnh sát Pháp và Hà Lan đã thu thập tin nhắn từ 4.600 người dùng điện thoại EncroChat ở Đức vào năm 2020 và hàng chục nghìn người dùng điện thoại ở các quốc gia khác sau khi xâm nhập vào các máy chủ EncroChat được đặt tại trung tâm dữ liệu OVH ở Roubaix, miền Bắc nước Pháp.
Chiến dịch này đã dẫn đến 6.500 vụ bắt giữ trên toàn thế giới và thu giữ gần 900 triệu euro sau cuộc điều tra kéo dài ba năm của cảnh sát về các nhóm tội phạm có tổ chức và ma túy sử dụng điện thoại EncroChat.
Phán quyết của CJEU tập trung vào việc chia sẻ bằng chứng giữa các quốc gia EU
CJEU đã đưa ra phán quyết vào tháng trước để trả lời một loạt câu hỏi do Tòa án khu vực Berlin đưa ra về tính hợp pháp của hoạt động EncroChat.
Phán quyết này tuân theo ý kiến sơ bộ của tổng bào chữa của Tòa án Công lý Châu Âu vào năm 2023, cho rằng Đức đã lấy dữ liệu EncroChat một cách hợp pháp từ Pháp nhưng để lại các câu hỏi pháp lý quan trọng cho tòa án quốc gia giải quyết.
Quyết định mới nhất của CJEU nhằm mục đích làm rõ liệu Lệnh điều tra Châu Âu (EIO) do Văn phòng Công tố Đức ban hành nhằm thu thập tài liệu bị các nhà điều tra Pháp chặn từ người dùng điện thoại EncroChat ở Đức có hợp pháp theo luật EU hay không.
Tòa án nhận thấy rằng, theo chỉ thị của EIO, Pháp phải thông báo chính thức cho Đức về việc chặn điện thoại EncroChat trên đất Đức và cho chính quyền Đức cơ hội phản đối hoạt động này trong vòng 96 giờ, nếu họ muốn.
Thông báo của Pháp lẽ ra phải bao gồm thông tin chi tiết về các mục tiêu được xác định bằng số điện thoại, địa chỉ IP hoặc email, danh tính của các cá nhân bị nhắm mục tiêu, bao gồm địa chỉ, ngày sinh và số an sinh xã hội, cũng như mô tả về hành vi phạm tội đã thực hiện. thông báo mẫu có trong chỉ thị EIO.
Lödden lập luận rằng nếu Pháp chính thức thông báo trước cho Đức rằng họ đang có kế hoạch xâm nhập hơn 4.600 thiết bị ở Đức bằng phần mềm độc hại, thì thẩm phán Đức có thể sẽ coi hoạt động này là bất hợp pháp theo luật pháp Đức.
Ông nói điều này là do Pháp không thể chứng minh được sự nghi ngờ cụ thể theo yêu cầu của luật pháp Đức rằng mỗi người trong số 4.600 người bị nhắm mục tiêu đều có liên quan đến tội phạm.
Lödden tin rằng các công tố viên Đức đã thay đổi cách tiếp cận của họ. Trong một hoạt động hack năm 2021 nhằm vào mạng điện thoại được mã hóa, Sky ECC, các công tố viên đã đưa ra các EIO riêng lẻ trích dẫn bằng chứng cụ thể về tội phạm đối với từng người dùng điện thoại đang bị điều tra thay vì EIO duy nhất bao trùm tất cả người dùng điện thoại ở Đức, Lödden chỉ ra: “Trong SKY ECC , họ đã chậm lại và phải đưa ra EIO cho mọi người dùng.”
Giờ đây, các tòa án riêng lẻ của Đức sẽ có toàn quyền quyết định xem có thừa nhận bằng chứng EncroChat theo phán quyết của Tòa án Châu Âu trong các vụ kiện trong tương lai hay không.
Lödden khẳng định: “Chúng tôi có những lập luận xác đáng vì giờ đây trên giấy tờ (Pháp) đã vi phạm luật”.
bí mật quốc phòng
Trong một phán quyết quan trọng khác, CJEU nhận thấy rằng tòa án quốc gia của các quốc gia thành viên nên bỏ qua bằng chứng có thể có tác động đáng kể đến kết quả điều tra sự thật nếu bị đơn không có quyền bình luận về bằng chứng đó.
Các luật sư bào chữa có thể sẽ tranh luận trong các vụ việc trong tương lai rằng tòa án Đức nên bỏ qua bằng chứng của EncroChat với lý do Pháp đã từ chối tiết lộ cách họ thu được và xử lý các tin nhắn bị chặn, với lý do “bí mật quốc phòng”.
Tuy nhiên, tùy thuộc vào tòa án quốc gia để giải thích phán quyết của CJEU và quyết định trên cơ sở từng trường hợp cụ thể xem bằng chứng từ EncroChat có được chấp nhận hay không.
Cuộc điều tra bắt đầu vào năm 2018
Cảnh sát bắt đầu điều tra EncroChat vào năm 2018 sau khi điện thoại được mã hóa bị thu giữ trong một số hoạt động ma túy. Các nhà điều tra đã có thể lấy bản sao dữ liệu từ máy chủ EncroChat, được giữ tại trung tâm dữ liệu OVH ở Roubaix vào năm 2018 và một lần nữa vào năm 2019.
Cảnh sát Pháp, làm việc trong một nhóm điều tra chung với người Hà Lan, đã xâm nhập vào mạng điện thoại được mã hóa EncroChat từ tháng 3 đến tháng 6 năm 2000. Họ có thể lây nhiễm khoảng một nửa trong số 66.000 điện thoại trong mạng bằng phần mềm cấy ghép, cho phép cảnh sát truy cập nội dung của điện thoại ở 122 quốc gia.
Văn phòng Cảnh sát Liên bang Đức, BKA, đã biết về hoạt động này trong một cuộc họp video với đại diện từ Pháp, Hà Lan, Anh và các quốc gia khác, do cơ quan hợp tác tư pháp hình sự Châu Âu, Eurojust, tổ chức vào tháng 3 năm 2020.
BKA sau đó thông báo rằng họ đang mở một cuộc điều tra đối với tất cả người dùng EncroChat ở Đức, tuyên bố rằng việc sử dụng dịch vụ EncroChat là cơ sở để nghi ngờ rằng các tội hình sự nghiêm trọng, đặc biệt là buôn bán ma túy, đang được thực hiện.
Vào ngày 7 tháng 3 năm 2020, BKA đã nhận được một tin nhắn an toàn từ Europol mời họ xác nhận bằng văn bản rằng họ đã được thông báo về các phương pháp được sử dụng để nhận tin nhắn EncroChat ở Đức nhằm có quyền truy cập vào tin nhắn EncroChat do Cảnh sát Pháp thu thập từ điện thoại Đức.
BKA đã nhận được lượt tải xuống dữ liệu hàng ngày từ máy chủ Europol trong khoảng thời gian từ ngày 2 tháng 4 đến ngày 28 tháng 6 năm 2020, khi quản trị viên EncroChat đưa ra thông báo cảnh báo người dùng rằng dịch vụ đã bị xâm phạm.
Văn phòng Công tố Frankfurt đã ban hành Lệnh điều tra đầu tiên trong số ba Lệnh điều tra Châu Âu vào ngày 2 tháng 6 năm 2020, yêu cầu chính quyền Pháp cho phép sử dụng dữ liệu EncroChat trong tố tụng hình sự.
Văn phòng Công tố biện minh cho yêu cầu này bằng cách giải thích rằng Europol đã thông báo cho BKA rằng một số lượng lớn tội phạm hình sự nghiêm trọng đã được thực hiện ở Đức bởi những người không rõ danh tính sử dụng điện thoại được mã hóa EncroChat.
Tòa án Đức bất đồng về luật
Tòa án Tối cao Đức, Tòa án Tư pháp Liên bang, đã ra phán quyết vào ngày 2 tháng 3 năm 2022 rằng văn phòng công tố viên là cơ quan có thẩm quyền cấp EIO để chuyển bằng chứng từ Pháp sang Đức
Tòa án Tối cao cũng phát hiện ra rằng bằng chứng EncroChat do Pháp cung cấp cho Đức có thể được sử dụng làm bằng chứng ở Đức để điều tra các tội hình sự nghiêm trọng.
Tòa án khu vực Landgericht ở Berlin lần lượt chuyển một loạt câu hỏi lên Tòa án Công lý Châu Âu vào tháng 10 năm 2022 sau khi không đồng ý với kết luận của Tòa án Tối cao.
Tòa án Berlin lập luận rằng chỉ nghi ngờ rằng nhiều tội phạm hình sự có thể xảy ra ở Đức là không đủ cơ sở để các công tố viên Đức ban hành EIO để lấy dữ liệu của Pháp.
Nó cũng đặt câu hỏi liệu các EIO có tương xứng hay không, vì theo Hiến chương về các quyền cơ bản của EU và Công ước bảo vệ nhân quyền và các quyền tự do cơ bản, các bị cáo bắt buộc phải có “cơ hội thực sự” để bình luận về bằng chứng được đưa ra trước tòa.
Nó cho biết, quyền được xét xử công bằng đã bị suy yếu bởi thực tế là dữ liệu mà EIO yêu cầu không thể được các chuyên gia kỹ thuật ở Đức kiểm tra vì người Pháp đã phân loại kỹ thuật đánh chặn là “bí mật quốc phòng”.
Theo quan điểm của Tòa án Berlin, chính quyền Đức chỉ có thể ban hành EIO để thu thập bằng chứng từ nước thứ ba, trong trường hợp này là Pháp, nếu biện pháp điều tra đó được cho phép ở Đức trong một vụ việc tương tự trong nước.
Tòa án Berlin có quan điểm trái ngược với Tòa án Tư pháp Liên bang rằng các cơ quan điều tra của Pháp lẽ ra phải thông báo trước cho Đức về ý định xâm nhập vào điện thoại EncroChat ở Đức thông qua tòa án luật của Đức.
Nó cũng đặt ra câu hỏi về các quyết định của tòa án quốc gia khi cho rằng dữ liệu từ EncroChat có thể được sử dụng trong các vụ truy tố và ở những nơi có khả năng vi phạm luật pháp EU liên quan đến bằng chứng EncroChat, thì phải ưu tiên truy tố hình sự xét đến mức độ nghiêm trọng của hành vi phạm tội.
Theo thủ tục hình sự của Đức, dữ liệu được thu thập thông qua việc nghe lén điện thoại – trong trường hợp không có sự chấp thuận của cơ quan tư pháp và không có nghi ngờ cụ thể về một hành vi phạm tội cụ thể – sẽ không được chấp nhận về mặt pháp lý, tòa án Berlin lập luận.
Có thể ngăn chặn thông tin và bằng chứng thu được một cách bất hợp pháp khỏi việc gây tổn hại quá mức cho nghi phạm bằng cách cấm sử dụng tài liệu làm bằng chứng. Ngoài ra, nó có thể đạt được bằng cách xem xét liệu tài liệu đó có bất hợp pháp hay không khi đánh giá bằng chứng hoặc quyết định bản án, tòa án Berlin lập luận.
Theo án lệ của EU, việc chống lại tội phạm nghiêm trọng không thể biện minh cho việc lưu giữ dữ liệu cá nhân một cách chung chung và bừa bãi, Tòa án Berlin cho biết.
Do đó, Tòa án khu vực Landgericht đã quyết định hoãn các thủ tục tố tụng và chuyển một loạt câu hỏi lên Tòa án Công lý Châu Âu để đưa ra phán quyết.
CJEU quyết định tính hợp pháp của EncroChat EIOS
Yêu cầu của tòa án Berlin đối với CJEU liên quan đến tính hợp pháp của ba EIO do Văn phòng Công tố Frankfurt ban hành yêu cầu cảnh sát Pháp thu thập dữ liệu từ người dùng điện thoại ở Đức.
Tòa án Công lý Châu Âu đã xem xét liệu Đức có bắt buộc phải có bằng chứng cụ thể cho thấy mỗi cá nhân người dùng EncroChat đều bị nghi ngờ phạm tội hình sự hay không.
CJEU cũng được hỏi liệu có phù hợp khi ban hành EIO hay không khi tính toàn vẹn của dữ liệu do Pháp thu thập không thể được xác minh vì các chi tiết về hoạt động đánh chặn được bảo vệ bởi “bí mật quốc phòng”.
Tòa án nhận thấy rằng một công tố viên ở Đức có thể ban hành EIO yêu cầu truyền các tin nhắn bị chặn từ Pháp sang Đức, với điều kiện việc truyền dữ liệu cũng hợp pháp trong một vụ án trong nước ở Đức.
CJEU cũng nhận thấy rằng các tòa án quốc gia nên bỏ qua thông tin và bằng chứng nếu một người bị buộc tội hình sự không có quyền bình luận về bằng chứng chống lại anh ta và thông tin đó có thể có tác động đáng kể đến kết quả thực tế.
Tòa án kết luận rằng chỉ thị EIO không chỉ nhằm đảm bảo chủ quyền của các quốc gia thành viên mà còn bảo vệ quyền của người dùng bị ảnh hưởng bởi hoạt động chặn viễn thông.
Tác động của phán quyết
Các luật sư cho rằng những phát hiện của CJEU sẽ dẫn đến những thách thức về khả năng chấp nhận bằng chứng EncroChat ở Đức và các quốc gia khác.
Tuy nhiên, Lödden nói với Computer Weekly, quyết định này sẽ không ảnh hưởng đến các trường hợp ở Đức, nơi mọi người đã bị kết tội sử dụng bằng chứng từ EncroChat, không thể mở lại nếu không có bằng chứng mới, đồng thời nói thêm: “Bây giờ, quyết định của tòa án hoặc tất cả các tòa án khác xếp hạng những vi phạm này như thế nào.”
Luật sư bào chữa người Hà Lan Justus Reisinger nói rằng hoạt động EncroChat khó có thể được thẩm phán Hà Lan chấp thuận nếu nó được thực hiện trong nước ở Hà Lan. Ông nói rằng Pháp chưa đưa ra thông báo chính thức cho Hà Lan về hoạt động EncroChat theo yêu cầu của luật pháp EU.
Tuy nhiên, ông cho biết tình hình ở Hà Lan phức tạp hơn ở Đức vì Holland là thành viên của Đội điều tra chung chịu trách nhiệm về hoạt động đánh chặn EncroChat với Pháp.
Vụ việc hiện sẽ được chuyển trở lại Tòa án khu vực Berlin để đưa ra phán quyết.