什么是电子证据？

电子证据（e-Evidence）是电子证据的简称，是用于调查、起诉或判决刑事犯罪的任何数字信息的广义术语。从最广泛的意义上讲，这一概念涵盖了从电子邮件通信、聊天信息和云存储文件到 IP 连接日志、用户记录和地理位置数据等一切内容。如果某项数据以电子形式存在，并且与刑事案件相关，那么它就属于电子证据。.

就欧盟法律而言，自 2023 年以来，该术语具有了更为具体的含义。如今，当立法者、监管者和电信行业提及 “电子证据 ”时，他们几乎总是指由以下机构创建的法律和技术框架 第 2023/1543 号条例（欧盟 - 关于刑事诉讼中电子证据的欧洲制作和保存令--及其附带的 第 2023/1544 号指令（欧盟, 这两份文件共同建立了一个新的跨境证据收集机制，适用于欧盟所有 27 个成员国。.

这一框架的重要性怎么强调都不为过。在《电子证据条例》出台之前，要获得存储在另一个欧盟国家的数字证据，需要提出《司法协助条约》（MLAT）请求--这一外交过程可能需要十个月或更长的时间。新条例允许一个成员国的检察官或法官直接向另一个成员国的服务提供商发出命令，答复期限以天而不是月计算。对于涉及恐怖主义或迫在眉睫的生命威胁的紧急案件，最后期限仅为 8 小时。.

电子证据框架代表着数字证据跨境收集方式的根本性转变。它将义务从国与国之间的外交转移到司法当局与服务提供商之间的直接关系，对欧盟境内提供电子通信服务、云存储、社交网络或在线市场服务的每家公司提出了重大的业务和技术要求。.

欧洲电子证据简史

建立统一的欧洲电子证据框架的道路早在法规正式通过之前就已开始。了解这段历史对于理解现行规则的存在原因和发展方向至关重要。.

几十年来，跨境获取电子证据依赖于欧洲委员会的《刑事事项互助公约》（2000 年）和《布达佩斯网络犯罪公约》（2001 年）。这些文书确立了一国可请求另一国帮助获取数字证据的原则，但这一过程十分繁琐。请求要经过中央政府当局，需要翻译，并受制于答复国的国内程序。平均回应时间超过 10 个月--在犯罪嫌疑人可以在几秒钟内销毁证据的刑事调查中，这是一个漫长的过程。.

第 2014/41/EU 号指令引入的欧洲调查令（EIO）通过创建一个更加标准化的相互承认工具，改善了欧盟内部的情况。虽然欧洲调查令将处理时间缩短至约 120 天，但它仍然依赖于国与国之间的渠道，事实证明不足以应对现代数字犯罪的速度。欧盟委员会自己进行的影响评估发现，85% 以上的刑事调查需要获取电子证据，其中约三分之二的案件中，相关数据存储在不同的司法管辖区。.

2018年4月，欧盟委员会发布了电子证据立法提案。经过欧洲议会和欧洲理事会五年的谈判，最终文本于 2023 年 7 月 12 日获得通过，并作为条例（欧盟）2023/1543 和指令（欧盟）2023/1544 在《官方公报》上发布。该条例自 2026 年 8 月 18 日起直接适用于每个成员国。指令要求成员国指定执行命令的机构和渠道，指令的转换期限为 2026 年 2 月 18 日。.

德国于 2026 年 3 月在《联邦法律公报》上公布了实施立法--《电子监管与采购法》（EBewMG），并将分阶段生效。德国联邦司法局（Bundesamt für Justiz）被指定为接收和验证接收命令的中央机构，而联邦网络管理局（Bundesnetzagentur）则继续其作为合法拦截和数据保留义务的技术监管机构的既定角色。.

欧盟电子证据法规解读

第（欧盟）2023/1543 号条例引入了两项新的法律文书，允许一个欧盟成员国的司法当局强制另一个欧盟成员国的服务提供商提供或保存电子证据。这些文书完全绕过了传统的外交渠道，在签发机构和服务提供商之间建立了直接的法律关系。.

欧洲生产订单（EPOC）

欧洲制作令强制要求服务提供商向提出请求的司法机构移交指定的电子证据。欧洲出示令可针对四类数据，每类数据都有不同的签发门槛。用户数据和访问数据（如与账户相关的登录记录和 IP 地址）可针对任何刑事犯罪要求提供。交易数据（有关通信的元数据，如时间戳、发件人和收件人标识符以及会话持续时间）和内容数据（信息、电子邮件、存储文件或录音的实际内容）只能针对最高可判处至少三年监禁的罪行或所列的特定罪行（包括网络犯罪、恐怖主义、儿童性剥削和欺诈）申请。.

标准生产订单必须在收到后十天内完成。在规定的紧急情况下，即生命、人身安全或关键基础设施面临迫在眉睫的威胁时，响应期限将缩短至 8 小时。无论请求的数据量或提供商内部系统的复杂程度如何，这些时限都是不可讨价还价的。.

欧洲保护令（EPOC-PR）

欧洲保全令要求服务提供商冻结指定数据并防止其被删除或更改。保全并不要求服务提供商立即交出数据，而是在签发机构准备完整的制作令或传统的司法协助请求时保护证据。保全令的有效期为 60 天，可延长 30 天。如果在此期间没有收到后续制作请求，提供者必须解除保全，并可根据其正常保留政策删除数据。.

保障和异议机制

该条例包括一系列保护基本权利和防止滥用的保障措施。每项关于交易或内容数据的制作令都必须经过签发国司法当局的验证，并向执行国（提供商指定机构所在的成员国）发出通知。如果命令与豁免权、特权、新闻自由规则或《欧盟宪章》规定的基本权利相冲突，执行国当局可在十天内提出异议。如果遵守命令会与第三国法律规定的义务相冲突，服务提供商本身也可以提出反对--这一规定旨在解决与非欧盟数据保护法律的潜在冲突。.

欧盟以外的法律框架

虽然《欧盟电子证据条例》是最全面和技术上最规范的跨境电子证据框架，但它并不是孤立存在的。其他几项国际文书决定了全球数字证据收集的格局。.

"(《世界人权宣言》) 布达佩斯网络犯罪公约, 由欧洲委员会管理的《网络犯罪和电子证据国际条约》仍然是最广泛采用的网络犯罪和电子证据国际条约。其《第二附加议定书》于 2022 年开放供签署，引入了与服务提供商直接合作、加快用户信息披露和联合调查小组等机制，这些机制与欧盟法规的内容相似，但适用于更广泛的签署国，包括美国、加拿大、日本、澳大利亚和几个拉丁美洲国家。.

在美国，2018 年的《澄清数据的合法海外使用（CLOUD）法案》建立了双边执行协议框架，允许一国的执法部门直接向另一国的提供商请求数据。欧盟和美国一直在就 CLOUD 法案执行协议进行谈判，该协议将决定总部位于美国的提供商如何响应欧洲的生产令，反之亦然--鉴于世界上许多最大的云计算和通信平台的总部都在美国，这是难题中的关键一环。.

英国通过《2019 年犯罪（海外出示令）法案》颁布了自己的跨境证据框架，使英国法院能够命令与英国有双边协议的国家的服务提供商出示电子证据。英国脱欧后，英国不再属于《欧盟电子证据条例》的范围，因此双边协议成为英国与欧盟证据合作的主要机制。.

德国的电子证据实施情况

德国在欧洲电子证据领域占据核心地位，既是拥有数千家受影响服务提供商的主要数字经济国家，也是拥有特别严格的数据保护和电信监管传统的司法管辖区。.

Elektronische-Beweismittel-Umsetzungs- und Durchführungsgesetz (EBewMG) 将第 2023/1544 号指令 (EU) 转化为德国法律，并规定了处理接收和发出电子证据指令的国内程序。联邦司法局（Bundesamt für Justiz）是接收欧洲制作和保存令的中央机构，接收对象是在德国设有指定机构的服务提供商。Bundesnetzagentur 保留其在认证服务提供商运营的技术拦截和数据移交基础设施方面的既定作用。.

据德国联邦司法部称，德国约有 9000 家公司属于电子证据法规的适用范围。这一数字远远超出了传统电信运营商的范围，包括云服务提供商、托管公司、电子商务平台、社交网络和其他任何存储或处理电子通信数据作为其服务一部分的实体。每个受影响的提供商都必须在欧盟指定一个官方联络点（称为 Adressat），负责接收、验证和执行制作和保存令。供应商还必须在联邦司法局注册，并建立内部工作流程，以满足该法规严格的响应期限要求。.

ETSI 电子证据标准：TS 104 144 解读

欧洲电信标准协会（ETSI）已制定了一项专门的技术标准，以支持电子证据法规的实施。. etsi ts 104 144, 2025 年 6 月发布的《电子证据条例（欧盟）2023/1543 国家主管当局和服务提供商接口定义》规定了国家主管当局和服务提供商在交换制作令、保全令和相关电子证据时必须使用的标准化接口和数据格式。.

ETSI TS 104 144 属于 ETSI 合法拦截和数据保留标准的更广泛生态系统，其中包括广泛实施的 TS 102 232 系列（用于实时合法拦截移交）、TS 102 657（用于保留数据移交）和 TS 103 707（用于 OTT 服务拦截）。早期的这些标准主要针对实时监控和历史元数据，而 TS 104 144 则针对《电子证据条例》的制作和保存命令机制的具体工作流程和数据交换要求。.

ETSI TS 104 144 定义了什么？

该标准规定了国家主管机构系统（负责发布、传输和跟踪命令）与服务提供商系统（负责接收、验证、执行和回复这些命令）之间的技术接口。该标准使用正式的数据描述语言，定义了每类命令（生产命令、保全命令以及相关的确认、反对和回复）的数据结构，从而实现自动处理。.

该标准涵盖了电子证据指令的整个生命周期：指令的初始签发和向服务提供商的安全传输；提供商的收货确认；验证和执行工作流程；将所请求的电子证据有序地传送回签发机构；以及异议、延期和取消的处理。通过将这些交互定义为标准化接口，TS 104 144 确保了欧盟所有 27 个成员国当局和提供商运行的不同 IT 系统之间的互操作性。.

该标准旨在与欧盟的 e-CODEX（通过在线数据交换的电子司法通信）平台协同工作，该平台是欧盟各国司法当局和服务提供商之间传输命令和证据的安全数字通信主干网。ETSI TS 104 144 定义了有效载荷格式和交互模式，而 e-CODEX 则提供了传输和路由基础设施。.

TS 104 144 与现有 ETSI LI 标准的关系

已经运行符合 ETSI 标准的合法拦截和数据保留基础设施的服务提供商将认识到 TS 104 144 的许多架构原则。该标准遵循 ETSI 将请求接口（如何接收指令）与交付接口（如何移交证据）分离的既定模式，并使用类似的安全机制进行身份验证、加密和完整性验证。已实施 TS 102 232 和 TS 102 657 的供应商可将电子证据功能集成到其合规平台中，而无需重建其核心基础设施，这对已投资于基于标准的合法拦截系统的运营商来说是一大优势。.

电子证据程序如何运作？技术概述

电子证据程序涉及司法机关、国家中央机关和服务提供商之间一系列明确的互动。虽然法律文书是新的，但基本工作流程遵循的逻辑模式是电信合规专业人员在现有合法拦截和数据保留流程中熟悉的。.

步骤 1：发布命令

欧盟成员国的司法机构--通常是检察官或法官--认定服务提供商持有的电子证据对刑事调查是必要的。当局使用条例附件中的标准表格填写欧洲制作令证书（EPOC）或欧洲保全令证书（EPOC-PR）。该证书具体说明目标（通过账户、电子邮件地址、电话号码、IP 地址、设备标识符或类似标识符识别）、所请求的数据类别、法律依据和适用期限。.

第 2 步：传送至服务提供商

订单被传送至服务提供商在欧盟的指定机构或法定代表。传送是通过在 e-CODEX 基础设施上建立的法规规定的分散式 IT 系统进行的。与此同时，还会向执行国的中央机构（例如德国的联邦司法局）发送通知，以便其进行监督，并在必要时提出异议。.

步骤 3：接收、验证和确认

服务提供商的合规系统通过 ETSI TS 104 144 中定义的标准化接口接收订单。服务提供商必须立即确认收到并开始验证流程。验证包括核实订单是否正式完整、请求机构是否具有管辖权、数据类别是否符合犯罪阈值要求以及合规不会与第三国的法律义务相冲突。如果命令有效，提供者将着手执行。如果有反对理由，提供方必须在规定时限内告知。.

步骤 4：数据提取和交付

对于生产订单，供应商从其系统中提取所需的数据--用户记录、访问日志、交易元数据或内容数据（取决于订单的范围）--按照适用的技术标准进行格式化，并通过 e-CODEX 平台安全地将其交付给签发机构。交付必须在订单规定的期限内完成：标准订单为 10 天，紧急订单为 8 小时。对于保存令，提供商将指定数据冻结在原处，确保数据不被删除、修改或无法访问，并向签发机构确认保存情况。.

步骤 5：监督、反对和结案

在整个过程中，执行国当局保持监督。如果当局认定命令与基本权利、豁免、特权或国家安全利益相冲突，则可提出正式反对意见，暂停执行。然后，签发机构必须审查、撤回或修改命令。一旦证据交付完毕（或保存期限届满而未提出后续要求），命令即告结束，提供者的义务也随之终止--但必须保留审计记录作为合规文件。.

谁必须遵守电子证据法规？

与传统的合法截取义务相比，《电子证据条例》的范围要广泛得多。合法截取历来主要适用于电信运营商和互联网服务提供商，而《电子证据条例》则扩展到在欧盟范围内提供服务的任何实体，这些服务涉及代表用户存储或处理电子数据。该条例明确规定了以下几类服务提供商。.

电子通信服务提供商

欧洲电子通信准则》（EECC，第 2018/1972 号指令）定义的所有电子通信服务提供商。这包括传统电话运营商、移动网络运营商、VoIP 提供商、电子邮件服务以及 WhatsApp、Telegram、Signal 和 Microsoft Teams 等人际信息平台。这些提供商已经熟悉合法拦截和数据保留义务，但《电子证据条例》在其现有合规要求的基础上增加了新的跨境制作和保存令工作流程。.

信息社会服务提供商

这是一个更为广泛的类别，包括云存储和计算平台（如 AWS、Microsoft Azure、Google Cloud 和较小的欧洲托管服务提供商）、社交媒体网络、在线市场、域名注册机构和注册商，以及以电子方式存储或处理用户数据的任何其他服务。这一类别将成千上万家以前从未面临过类似合法拦截义务的公司纳入管辖范围。.

互联网域名和 IP 号码服务

明确涵盖域名注册、DNS 解析和 IP 地址分配服务提供商，包括 WHOIS/RDAP 数据库运营商。这些提供商掌握着用户和技术数据，而这些数据往往对确定网络犯罪调查中的嫌疑人至关重要。.

在欧盟提供服务的非欧盟提供商

该法规具有域外效力。任何向欧盟境内用户提供服务的服务提供商都在其管辖范围之内，无论其总部在哪里，也无论数据实际存储在哪里。非欧盟国家的服务提供商必须在欧盟境内指定一个机构或法律代表来接收和处理订单--这一要求仿照了 GDPR 的代表义务。未指定代表并不能免除提供商的法规义务；这只是意味着订单可以通过其他渠道传输，提供商仍需对违规行为负责。.

违规处罚

电子证据条例》建立了分级处罚框架，成员国必须将其纳入国内法。如果未能在规定期限内遵守制作令，或未能按照保存令的要求保存数据，服务提供商将面临每次最高 50 万欧元的罚款。对于大型服务提供商（全球年营业额超过 2500 万欧元的服务提供商），最高罚款额将增至全球年营业额的 2%，以较高者为准。这种处罚结构反映了 GDPR 的方法，旨在确保即使是全球最大的技术公司，违规行为也会带来巨大的经济损失。.

除了直接的经济处罚外，不合规行为还会带来巨大的声誉和运营风险。司法当局可能会通过执行国的法律系统将执法升级，持续的违规行为可能会导致供应商在欧盟境内的运营能力受到限制。对于已经承担合法拦截和数据保留义务的提供商而言，不遵守电子证据规定还可能引发对其更广泛监管态势的审查。.

电子证据 vs. 合法截取 vs. 数据保留

电子证据、合法拦截和数据保留是电信合规这一更广泛领域中三个截然不同但又密切相关的学科。了解它们之间的区别和重叠，对于建立高效、综合的合规基础设施至关重要。.

合法拦截是根据授权令或司法命令，实时捕获和传输特定目标的通信内容和元数据。它在授权期间持续运行，并以近乎实时的方式向执法部门提供数据。合法拦截的技术标准--主要是 ETSI TS 102 232 系列--规定了如何对拦截数据进行格式化、加密并传输到监控设施。.

数据保留是将通信元数据（谁与谁通信、何时通信、通信多长时间以及从何处通信）强制存储在规定的期限内，通常为六至十二个月，具体取决于国家法律。保留的数据不会实时传送，而是由提供商存储，并通过 ETSI TS 102 657 等标准化接口应要求向执法部门披露。.

电子证据在不同层面运作。它不是强制要求进行实时监控或全面元数据存储，而是通过跨境制作和保存令建立了一种按需披露存储数据（用户记录、访问日志、交易元数据和内容）的机制。数据类型可能与合法拦截和数据保留系统捕获的数据类型重叠，但法律文书、工作流程、截止日期和交付机制却截然不同。.

对服务提供商而言，电子证据合规的实际意义在于，不能简单地将其安装在现有的合法拦截或数据保留系统上。它需要符合法规具体要求和 ETSI TS 104 144 中定义的技术接口的专用订单管理、验证、提取和交付工作流程。不过，已经投资于符合 ETSI 标准的 LI 和数据保留基础设施的提供商会占得先机，因为这三个领域的架构原则和安全机制都是一致的。.

为电子证据合规做准备：关键步骤

随着 2026 年 8 月 18 日法规实施日期的临近，尚未启动合规计划的服务提供商面临着紧迫的时间要求。以下领域需要立即关注。.

首先，提供商必须确定自己是否属于监管范围。该法规对涵盖服务提供商的定义很宽泛，这意味着许多公司，尤其是云平台、托管服务提供商和在线市场，可能在执法开始前才意识到自己受到了影响。全面的范围评估应该是任何合规计划的起点。.

其次，每个范围内的提供商都必须在欧盟指定一个官方联络点。对于欧盟境内的提供商，这可以是现有的法律或合规职能部门。对于非欧盟提供商，则需要指定一个机构或法律代表。该实体必须在相关国家机构（在德国为 Bundesamt für Justiz）登记注册，并且必须具备全天候接收和处理订单的业务能力，因为紧急期限为 8 小时。.

第三，提供商必须实施技术基础设施，以便在法规规定的期限内接收、验证、执行和回复生产和保存指令。这包括与 e-CODEX 通信平台的集成，实施 ETSI TS 104 144 中定义的接口，以及开发订单管理、数据提取和安全交付的内部工作流程。已经运行符合 ETSI 标准的合法拦截系统的提供商可以利用其现有架构；而没有此类基础设施的提供商则需要付出更多的实施努力。.

第四，提供方必须建立内部治理结构，包括明确的紧急命令上报途径、可能需要反对的命令的法律审查程序、所采取的每项行动的审计记录以及员工培训，以确保参与电子证据工作流程的所有人员了解其职责和适用的截止日期。.

ICS 电子证据合规平台实现了欧洲制作令和保存令整个生命周期的自动化--从通过 e-CODEX 基础设施安全接收，到法律验证和数据提取，再到向请求机构加密传输。该平台与 ICS 合法拦截管理系统（LIMS）和数据保留解决方案无缝集成，使提供商能够从单一、统一的界面管理所有三个合规领域。.

ICS 还为需要在德国指定法律代表的非欧盟提供商提供指定机构支持，为监管解释和合规方案设计提供咨询服务，并为希望将电子证据订单的日常处理外包给专业合作伙伴的提供商提供托管运营服务。.

我们的解决方案基于符合 ETSI 标准的架构，支持 TS 104 144、TS 102 232、TS 102 657 和 TS 103 707，并通过了德国联邦网络管理局的认证。无论您运营的是电信网络、云平台、消息应用程序还是在线市场，ICS 都能提供技术、专业知识和运营支持，确保您按时履行电子证据义务，并具有全面的可审计性。.