英国数据保护改革|《数据保护和数字信息法案》要点

Original 数治君数据信任与治理 2022-09-08

收录于合集 #全球数据治理观察 11个

编者按

6月17日，英国政府向下议院提交了《数据保护和数字信息法案》（Data Protection and Digital Information Bill），对英国的数据保护法律做了大量修正，使其更适应企业的需求。该法案参考了从2021年9月发布的“数据：新方向”咨询中获得的意见。法案重新定义了可识别性、数据保护官（DPO）、事先咨询制度、Cookie同意设置和数据传输到第三国的充分性。此外，政府要作出改变但最终没有改变的内容有：限制组织向监管机构报告数据泄露义务，将人力资源职能所需的个人数据处理纳入合法利益清单。英国正在进行的数据保护改革是否会促使其他司法管辖区的立法者遵循类似的模式值得期待。

本文译自《英国正在进行的数据保护改革中的要点》（Key takeaways from the ongoing UK data protection reform），原文载于BDK Advokati（BDK），作者BOGDAN IVANIŠEVIĆ，为保证阅读的流畅性，本文对脚注及正文内容有删减。关于英国数据保护改革，数治君还发布了英国“数据新方向”咨询结果|促进贸易和减少数据跨境传输壁垒（第三章），感兴趣的读者可以点击阅读。

6月17日，英国政府向下议院提交了《数据保护和数字信息法案》以供讨论，这份192页的文件对该国的数据保护法律作了大量修正。如果实施该法案，预期将发生的变化是英国的数据保护法将变得更加适应企业的需求。相比之下，隐私积极保护人士认为该改革可能会削弱基本的数据保护，因此不应对本国的数据保护法律进行变动。

英国即将进行的改革可能会影响欧盟数据保护法律框架未来的形态，从而影响塞尔维亚、黑山、波斯尼亚和黑塞哥维那等力争加入欧盟的国家。正如最近欧洲数据保护监督员维维罗夫斯基（Wojciech Wiewiórowski）所说，“欧盟委员会可以将英国采纳更灵活的GDPR的举动看作一项‘沙盒’实验，看看可以如何改变并可能如何改进规则”。

考虑到改革的潜在意义，值得努力研究法案的关键的变化，特别是那些适用于所有类型的数据控制者和数据处理者的变化——而不仅仅是适用于大的数据控制者或处理复杂业务流程的数据处理者的变化。

2021年9月该法案被提交，当时数字、文化、媒体和体育部（Department for Digital, Culture, Media and Sport）发布了“数据：新方向”文件。此后，进行了为期十周的公开咨询，政府于2022年6月23日公布了对咨询的回应。

1. 法案对关键概念的重新定义

1.1 可识别性

该法案阐明了如何确定某些数据是否与个人数据有关。根据英国GDPR，“个人数据”是指与已识别或可识别的自然人有关的任何信息【即用法案的术语来说为“可识别的生命个体”（identifiable living individual）】。那么问题来了，生命个体什么样才算“可识别”的。

数字、文化、媒体和体育部在咨询文件中指出，如果识别需要不合理的时间、精力或资源，那么这些数据就不应被视为个人数据。如果相关的识别手段在第三方手中，而控制者不能合理地获得这些手段，那么这些数据就是匿名的。

《数据保护和数字信息法案》表述如下：

第一种情况（数据与可识别的生命个体有关）是指在处理过程中，控制者或处理者可以通过合理的手段识别（……）生命个体。如果一个人可以通过该人合理地可能使用的任何手段来识别该人，那么该人就可以“通过合理手段”来识别这个人。一个人是否有理由使用某种手段来识别一个人，应考虑到以下因素：（a）通过该手段识别个人所涉及的时间、努力和成本，以及（b）这个人可利用的技术和其他资源。（……）

根据这一定义，如果控制者或处理者只能在理论上在第三方的帮助下（例如，互联网服务提供商提供的IP地址数据）识别这个人，则数据不能被视为个人数据。

1.2 DPO

政府在法案中加入了几项建议，旨在“减少企业的负担，为人们提供更好的方案”（正如政府在咨询文件和2022年6月的回应中所说）。一项具体建议是取消英国GDPR所定义的任命数据保护官（DPO）的要求。公司，包括那些处理低风险数据的公司，应该任命一个所谓的高级负责人（senior responsible individual）（或个人）来监督组织的数据保护合规。这种人与DPO的主要区别在于，高级负责人不需要具备数据保护法的专业知识。相反，由数据控制者（即数据处理者）根据个人数据的数量和敏感性以及所进行的数据处理的类型来决定高级负责人应具备哪些技能和资格。从事高风险处理的组织可能会继续设定一个类似于DPO的职位。

1.3 事先咨询

另外，为了减少企业的负担，政府决定取消事先咨询（prior consultation）信息专员办公室（Information Commissioner’s Office，“ICO”）的强制性要求。组织在完成数据保护影响评估后很少进行事先咨询，这可能是因为英国GDPR的相关条款（第三十六条）授权监督机构对发起咨询的组织使用执法权。在英国的新模式下，即使对数据主体的权利来说存在剩余风险，事先咨询也不是强制的。另一方面，法案将激励组织寻求指导，因为如果进行潜在调查，ICO将考虑将咨询视为减责因素，并积极问责。

1.4 cookies同意设置

在咨询文件中，政府提出了cookies的使用问题，并提出了解决低风险线上活动同意要求的两个方案。

方案一是允许组织在未经用户同意的情况下使用分析cookies和类似技术。法律将以现行法律对待“绝对必要”cookies的方式对待分析cookies。

方案二是允许组织在未经用户同意的情况下使用cookies或其他跟踪技术用于分析和其他限制性的目的。Cookies的使用将基于数据控制者的合法利益，且对个人隐私的影响最小。

大多数受访者表示倾向于选择方案二。在该法案中，政府不要求出于少数非侵入性目的设置cookies，如网络分析、增强功能和软件自动更新，在未来，政府打算对网站设置的cookies实施通用退出模式，这意味着可以不经同意就设置cookies。当然，必须向用户提供明确的退出选项。特殊情况下，有可能被儿童访问的网站只有在得到访问者同意的情况下才可以设置cookies（选择加入模式）。

1.5 数据传输

该法案包含了一些关于未来数据传输制度的建议，其中特别值得关注的是关于国务卿通过条例批准传输的权力的建议。该法案删除了“充分性”一词，但实质上，国务卿将根据GDPR（第四十五条）做出所谓的充分性决定。

在2021年9月咨询文件中，数字、文化、媒体和体育部建议形成数据充分性（data adequacy）制度，考虑目标国家对数据主体的数据保护权利的“实际”风险，而不是“学术或非实质”风险。该文件没有进一步阐述，但目标可能是迎合欧盟法院（Schrems II判决）和欧洲数据保护委员会（Schrems II判决后的指南），因为据说这些实体十分关注“学术或非实质”风险。咨询文件还强调，在特定国家，损害数据主体权利的做法可能确实存在于某些特定部门，但在其他部门并不存在，因此不应阻碍向只对数据主体产生低风险或非实质风险的部门转移数据。政府似乎没想到美国的例子。咨询过程中的受调查者大多赞同政府的做法，《法案》也反映了这一点。

该法案提出的另一项旨在放宽传输相关规则的改变是接受行政救济（administrative redress），因为在评估第三国的适当性时，行政救济就已经够了。在政府看来，“救济的有效性比其形式更重要”，因此，如果非司法救济是有效的，就不必向数据主体提供司法救济。

2. 政府要作出改变但未改变的内容

考虑到咨询获得的反馈，政府最终放弃了之前提出的限制向监管机构报告数据泄露的义务的计划。根据英国GDPR第三十三条第一款，包括低风险违规行为在内的所有违规行为都必须通知监管机构，这可能造成过度报告，并给监督机构增加巨大的工作量。政府建议将报告的门槛提高到对个人构成重大风险。咨询中的受访者大多不同意，他们认为，真正严重的违规行为可能从一开始并不为人所知，或者说，如果整个部门重复同样的错误，一个轻微的违规行为就会导致严重违规。

在咨询过程中，大多数受访者不同意政府允许在特定情况下重复使用克减条款。受访者担心灵活使用减损条款的可能会对数据主体权利产生负面影响。因此，政府决定不再进行这项改革。

在2021年9月的“数据：新方向”文件中，政府没有将人力资源（HR）职能所需的个人数据处理纳入有限的、详尽的合法利益清单中——组织可以在不应用平衡测试（balancing test）的情况下使用个人数据来实现清单中的利益。然而，一些受访者建议，应将人力资源职能添加到该清单中。在2022年6月23日对其法案的咨询的反馈中，政府表示，人力资源职能不会超出最初有限的处理活动数量。这意味着，对于其他处理活动，包括人力资源处理，将需要继续进行平衡测试。

3. 评语

尽管一些评论家倾向于淡化英国政府在监管数据处理方面所追求的变化的影响范围和重要性，但这些体现在法案中的变化似乎是巨大的。该法案对讨论较多且具有现实意义的事项做了重大修改，包括个人数据的定义、数据控制者是否有决定向监管机构征求意见的自由、内部数据保护活动的管理、在选择加入或选择退出的基础上使用cookies，以及对数据传输到第三国的许可。如果这些规定最终写入了立法，那么，这些变化是否会逐渐促使其他司法管辖区的立法者遵循类似的模式，将是值得期待的。

（完）

往期文章：

1.全球数据治理观察

印度国家数据治理政策框架（草案）全文翻译（附草案原文）

马斯克收购Twitter交易中的数据争议

国内外数据交易模式对比分析

我们应当如何理解数据治理中的管辖权冲突？

数据交易治理：中国、欧盟和印度的发展（附报告全文）

数据访问治理：中国、欧盟和印度的发展（附报告全文）

作为经济政策的数据治理：中国、欧盟和印度的发展（附报告全文）

2.欧盟数据治理模式

欧洲议会发布数据治理研究报告