“脱欧”以来英国一直谋求修订数字法案
英国数据保护法案由来。2017年英国出台的《数据保护法案》(DataProtectionBill,DPB)脱胎于1998年的《数据保护法案》(DataProtectionAct,DPA)。DPB法案旨在配合2018年欧盟实施的《通用数据保护条例》(GeneralDataProtectionRegulation,GDPR)。DPB法案加强了对个人数据的保护,增加了数据可携带权和被遗忘权的规定,强化了机构对数据的保护责任,对数据实行严格的行政监管,并增进与刑事司法机构之间的合作。GDPR被称为欧盟有史以来最严格的数据保护法,而GDPR在英国的落地实践被认为存在流程繁琐等问题。
英国谋求修改数字法案。2020年1月,英国正式“脱欧”,结束其47年的欧盟成员国身份,此后英国一直谋求修订数字法案。2022年7月,英国《数据保护和数字信息法案》(TheDataProtectionandDigitalInformationBill,DPDIB)在下议院被提出。2023年3月,DPDIB法案第一版被撤回,第二版被提出,预计不久将获得通过。DPDIB法案有别于GDPR,旨在减轻企业负担的同时,保持高数据保护标准。同时,DPDIB试图在与欧盟“脱离”和“稳定”之间保持平衡,一方面抓住基于脱欧的“去监管机会”,用“常识性”的英国替代规则取代欧盟的数据保护规则;另一方面,为了确保数据持续从欧盟流向英国企业,并避免英国失去欧盟“充分性认定”(又称白名单,指经过欧盟认定的对个人数据保护充分的国家、地区或国际组织,可以直接向其传输数据,不必采取进一步的保护措施)时可能遭受的重大经济打击,不得不维持当前数据监管框架的基本面。
修订后的数字法案主要内容
新修订的DPDIB法案包括六部分。第一部分主要是界定数据保护内容,具体包括:个体信息定义、资料保障原则、数据主体的权利、自动决策、控制者和处理者的义务、个人数据的国际传输、为研究等目的进行处理的保障措施、国家安全豁免、情报服务处理、信息专员的角色与执法等。英国立法者希望企业、人工智能开发人员和个人更清楚地知道什么时候“必须适用于完全自动化决策的重要保障措施”,以提高计算机算法做出决策的透明度和问责制。
第二部分主要是明确数字验证服务,具体包括:数字视频服务器(DVS)信任框架,DVS寄存器、信息网关、信任标志等。
第三部分主要是客户和业务数据的处理权力与约束,包括要求客户补充数据、执行数据法规、限制调查权、经济处罚等。未来技术研发的数据处理可能被视为“科学研究”。
第四部分主要是关于数字信息的隐私和电子通信规定、信托服务、信息共享、出生与死亡登记、健康和社会关怀的信息标准等。
第五部分是有关监督管理内容,包括信息委员会的职能、对生物识别数据的监督等。
第六部分是最后条款,包括财政拨款、过渡条款、附表等。
DPDIB法案中修改条目多。英国致力保持数据保护高标准,保护个人隐私继续是优先事项。DPDIB法案涵盖了许多数据保护问题,从个人数据的定义到国际数据转移、数据主体访问请求、cookies和合法利益评估,这些改变是英国立法者基于GDPR和DPB的优化。英国和欧盟制度之间的基本等同性对于英国脱欧后的商业连续性至关重要,欧盟在2021年6月作出有利于英国的“充分性”认定,允许以对业务妨碍最少的方式将个人数据从欧盟合法转移到英国。英国允许有限扩大合法利益的理由用以处理个人数据,努力“减少”烦人的弹出窗口,以及对骚扰电话和短信的罚款更高,但这些修订还不足以危及其在欧盟的充分性认定。
修订后的数字法案特色
加强信息专员办公室(ICO)职能。ICO是英国现有的数据监管机构。ICO履行对数字信息的监管和保护,以应对不断增长的数字化经济和数据安全风险,更好地保护公众的数据隐私和数字信息安全。ICO与英国数字市场部、通信管理局、金融市场行为监管局等重要监管机构协作分工,以全面保护消费者和企业。允许企业拒绝回应“无理取闹或过分”的数据主体访问请求,可能允许企业对此类请求收取费用。企业违反《隐私和电子通信条例》将面临更高的罚款。
减轻企业数据合规成本。贯彻数据最小化原则,数据收集和处理尽可能最小化,即只收集和处理必要的数据。明确个人数据的访问和控制权,鼓励企业更好地管理和保护数据,减少相关违规行为所带来的风险和成本。要求企业进行风险评估和合规检查,并记录其数据保护措施和实践。政府和监管机构将提供更多的支持和指导,帮助企业理解和遵守数据保护法规。降低对英国企业“保存数据处理记录”的要求。数据保护影响评估成为企业提前考虑风险的有用工具。为了减轻企业的负担,取消了数据保护影响评估的一般要求,取而代之的是对高风险处理的评估要求,这体现了更灵活的、基于风险的做法。
完善国际数据传输机制。确保企业在遵守现行英国数据法律的前提下,使用其现有的国际数据传输机制将个人数据传输到第三国,以保障海外共享个人信息。帮助企业在英国和国际上负责任地使用数据,减少不确定性与风险。英国可能会寻求给予美国“充分性”的地位。
修订后的数字法案影响及启示
修订后的DPDIB表达了英国的个性化诉求,对欧盟乃至世界数字规则体系都会产生一定影响。我国已经形成了以《网络安全法》(2017)、《电子商务法》(2018)、《数据安全法》(2021)、《个人信息保护法》(2021)等为主体的数字规则体系,也需要结合国内外环境的变化对相关法律进行修订,以适应公共信息使用、个人隐私保护、跨境数据流动等新形势发展的需要。可借鉴ICO功能,完善我国国家数据局的监管职能,同时研究制定降低企业数据合规成本。作为数字经济第二大经济体,积极申请加入《数字伙伴关系协定》(DEPA),对标国际高标准,推动数字领域制度型开放。
(作者系商务部国际贸易经济合作研究院研究员徐德顺)
版权声明:本站发布此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,请读者仅作参考,并请自行核实相关内容。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件举报,一经查实,本站将立刻删除。
