2024年11月5日,鸿浩律师事务所在IAPP发表了一篇对英国近期数据保护法改革进展的评论文章。文章指出,英国最新的数据保护法改革努力始于10月23日,当天《数据使用与访问法案》(Data Use and Access Bill)在上议院进行了首次宣读。尽管相较于前政府提议的立法,新法案涉及范围较小,但仍对英国数据保护法做出了大量修改。
部分修改将使组织在数据保护合规方面更为轻松,例如,取消了分析性Cookie需获得同意的要求。然而,如果该法案以当前形式通过,部分条款将增加新的义务。例如,隐私通知必须修改,以体现数据主体新增的投诉权利,并可能引入更多特殊类别的数据。英国信息专员办公室(Information Commissioner's Office)也将进行重组,并被赋予更大权力,包括与违反《电子隐私指令》(e-Privacy Directive)相关的执法权。
这是对拟议中的数据保护法改革的全面总结。许多组织已根据英国《通用数据保护条例》(General Data Protection Regulation)对其隐私项目进行了基准测试,相比之下,部分修改将使合规工作更为轻松,而部分则更为困难。晴雨表显示了变化的程度。
该法案包含大量超出数据保护范围的规定,但这些规定往往与隐私主题重叠。例如,它重新引入了此前被废弃的《数据保护与数字信息法案》(Data Protection and Digital Information Bill)中关于数字身份验证服务的条款,以及旨在让客户实时访问企业处理的数据的条款——这与开放银行的运作方式类似。该法案还提议对《网络安全法》(Online Safety Act)进行修改。为简洁起见,本文未予讨论。
以下晴雨表用于整个资源中,表示与英国《通用数据保护条例》相比,拟议中的英国数据保护改革的变化程度,从-10(更轻松)到+10(更困难)。
更多特殊类别数据?
该法案引入了一种新机制,允许引入更多类别的特殊数据。这一权力将通过二次立法行使,遵循肯定决议程序。由于禁止处理特殊类别数据,如果该机制得到应用,将产生广泛影响。在《数据保护与数字信息法案》被废弃之前,曾有一项拟议修正案,即将所有儿童数据列为特殊类别数据。此类提案可能产生重大影响,而立法监督却很少。
特殊类别数据
数据传输
当组织将个人数据传输到没有充分性认定的国家时,必须进行详细的传输风险评估,并实施保障措施,如使用标准合同条款。而《数据使用与访问法案》对此进行了调整。出口商必须考虑目标国家的保护标准是否“明显低于”英国的标准。他们必须“合理且按比例地”考虑这一测试是否满足,根据第46(1A)条和第46(6-7)条,考虑所有情况,包括传输的个人数据的性质和数量。这应使组织能够简化低风险数据传输的传输风险评估流程,尽管英国信息专员办公室(ICO)的现有指南已经使这成为可能,这与欧盟的情况不同。
在评估充分性的过程中,该法案引入了一种更为外交且巧妙的数据保护测试,即由国务大臣决定目标国家的保护标准是否明显低于英国。需考虑的因素更为灵活,包括对人权和法治的尊重;监管机构的存在和权力;救济措施;再传输规则;相关的国际义务;以及该国的宪法、传统和文化。此外,还可以考虑数据进出英国的可行性,但这并不免除满足数据保护测试的要求。
数据传输
电子隐私
根据该法案,Cookie同意规则现在也将适用于“煽动”存储或访问存储数据的人,这可能使ICO能够对网站发布者采取执法行动,而不是对与发布者合作的广告技术供应商采取行动。该法案还引入了无需Cookie同意的豁免情况,适用于对用户隐私风险较低的处理情形。
这些处理包括:
仅为改进网站或信息社会服务、优化内容显示或反映用户内容显示偏好而进行的分析处理。在每种情况下,都必须提供关于处理的清晰信息,并且用户必须能够选择退出。
为安全目的严格必要地处理数据,以防止或检测与请求服务相关的欺诈或技术故障,或便于自动身份验证或维护用户选择记录。
ICO根据《隐私和电子通信条例》(Privacy and Electronic Communications Regulations)对Cookie和电子营销相关违规行为处以罚款的权力目前上限为50万英镑。该法案解决了这一异常情况,将GDPR和《2018年数据保护法》(Data Protection Act 2018)下的执法权力适用于电子隐私违规行为。大多数违规行为将面临更高的最高罚款上限,即1750万英镑或全球营业额的4%。
通信服务提供商需遵守并行的个人数据泄露报告制度。该制度将与GDPR规定的72小时报告期限保持一致,尽管仍需报告所有违规行为。最后,该法案规定ICO有义务鼓励代表机构制定行为准则,并要求其进行审查和可能批准。还规定设立认证机构,以监督对这些行为准则的遵守情况。
电子隐私
数据主体权利与自动化决策
该法案对数据主体权利的修改相对较少。
新立法更明确地规定了回应请求的截止日期。它反映了ICO的指南,即如果控制者合理要求提供进一步信息以确定所请求的处理范围,则在提供此信息之前,“计时停止”。
该法案还明确了控制者的义务,即在经过合理且成比例的搜索后,提供此类数据。先前的判例法根据欧盟法律中的比例原则确立了这一点。英国脱欧后,这一点是否仍适用存在疑问,因此现在已明确无误。这与ICO关于该主题的现有指南相呼应,因此不会让控制者感到意外,但会为其在与激进的数据主体打交道时提供安慰。
关于数据主体访问请求的其他修改涉及法院程序。根据该法案,如果法院需要确定数据主体是否有权根据访问权或可携带权获得信息,它可以要求控制者提供这些信息以供检查。然而,在法院作出决定之前,法院不得要求将数据披露给数据主体或其代表。
数据主体被赋予了一项向控制者投诉的新权利,这将要求控制者促进投诉的提出,采取措施如设置电子投诉表格,并在隐私通知、约束性公司规则等中包含关于新权利的信息。控制者可能被要求向ICO报告收到的投诉数量。
数据主体权利
完全自动化的决策得到了大幅放宽,并更清晰地界定了“完全”在此背景下的含义。它被定义为在没有有意义的人类参与决策和提供评估因素的情况下进行的决策。大体上保留了与GDPR相同的限制,即决策依赖于处理特殊类别数据。
然而,现在允许其他重要的完全自动化决策,只要采取某些保障措施即可。这些保障措施包括数据主体提出意见的权利、对决策提出异议的权利以及要求人工干预的权利。这一变化反映了英国在GDPR实施之前的立场,并且将受到欢迎,因为现有的完全自动化决策禁令经常引发问题。
自动化决策
合法利益
该法案使控制者更容易知道其处理数据的目的是否会被接受为合法。第6(9)条列出了此类情形的示例,如直接营销、确保网络和信息系统的安全、集团内部个人数据的传输等,这些都已在序言47-49中提到。
此外,该法案正式承认某些利益为合法,并在附件1中列出。这些包括向声称需要个人数据以履行公共利益任务的公共机构披露数据、为国家或公共安全或国防目的披露数据、紧急情况、预防和检测犯罪以及保护弱势群体。对于这些有限的目的,基本上免除了进行和记录与个人权利相平衡的测试的要求。
总体效果是,在一些有限的情况下,超出大多数组织日常处理范围的情况,任何关于利益是否合法的问题都被消除,并且无需进行平衡测试。
这些条款与早先的《数据保护与数字信息法案》大致相同。早先规定处理由当选代表进行即构成公认的合法利益的条款已被删除。
合法利益
目的限制
该法案重申了GDPR关于目的限制的规定,同时增加了一个新的兼容目的,即确保或证明符合第5(1)条。附件2还引入了一份与原始目的兼容的目的列表。这些包括向声称需要数据以完成公共利益任务的公共机构披露数据(这也是GDPR第23条所承认的),以及为公共安全目的、应急响应、保护弱势群体、保护重要利益、预防和检测犯罪、评估税收以及遵守法律义务而进行的披露。
如果控制者最初依赖同意作为其合法基础,那么根据该法案第8A(4)条,除非适用豁免,且不能合理期望控制者获得同意,否则进一步处理需要获得新的同意。这一观点也得到了ICO的支持。
目的限制
信息委员会
该法案对ICO的结构和治理做出了重大改变。信息专员作为“独立法人”的角色被名为信息委员会(Information Commission)的团体法人所取代。法案中的过渡条款确保专员的所有权力和义务都转移给委员会,并且现任专员成为委员会的非执行主席。
信息委员会将由非执行成员领导,包括主席,以及由首席执行官领导的执行成员,首席执行官由非执行成员任命。
最主要的变化是非执行成员的作用更大。这一变化通过要求国务大臣确保尽可能使非执行成员多于执行成员的规定得到强化。
拟议的更改不太可能对合规的难易程度产生任何重大影响。
信息委员会
委员会的职责与义务
该法案规定了委员会的主要目标,即确保个人数据的保护达到适当水平,并促进公众对个人数据处理方式的信任和信心。委员会必须考虑其他更广泛的公共利益因素,如预防和检测犯罪,以及促进创新和竞争的必要性。
委员会还必须考虑儿童可能对个人数据处理的风险及其权利的认识较少。与《数据保护与数字信息法案》相比,这一点已被添加进来。如果委员会被要求考虑公众对言论自由的利益,那将会有所帮助。委员会必须每年公布并报告其关键绩效指标以及当年采取的监管行动。
ICO已被要求制定规定的行为准则,如《儿童准则》。该法案增加了授权条款,允许国务大臣在专员必须制定的准则清单中增加内容。关注英国情况的人可能会记得,在《数据保护和发展法案》(DPDI Bill)推进过程中,曾提出过关于教育技术的准则,因此这可能会再次出现。委员会还被要求就任何拟议的行为准则的影响进行报告并公布。
委员会的执行权力
该法案赋予了委员会更多的执行权力。现有的信息通知权力得到了扩展,允许委员会要求提供特定文件。这将使调查人员能够更深入地调查涉嫌不合规的领域,并减轻在不确定哪些问题能引出最有用信息的情况下请求信息的难度。
这将给信息通知的接收者带来更大的合规负担,因为他们需要查找并提供文件,同时还要回答一系列问题。此外,当组织被要求提供信息时,它们有机会塑造回复的叙述和语气,而当必须共享完整文件时,这一点就很难做到。
评估通知条款得到了扩展,允许委员会要求接收者指示经认可的人员编制报告并提供给委员会。委员会可以规定报告的内容、形式和完成日期,且控制者/处理者必须承担相关费用。条款中规定了如何确定经认可的人员。
这同样会给此类通知的接收者带来更大的组织和财务负担,并将数据泄露事件分析的成本从监管机构转移到受影响的组织上。这样做的一个预期好处是,将有一个统一的“事实版本”,这可能会在关于正在调查的事件事实基础的争议中节省时间。
委员会将被赋予一项新权力,即传唤个人进行面谈,无论是作为控制者/处理者的身份,还是作为现任或前任雇员、管理者,或为控制者/处理者工作的其他个人。与其他监管机构拥有类似权力不同,信息专员办公室(ICO)此前无法强迫个人与其交谈。在议会特权、法律特权或自证其罪的情况下存在豁免,但不包括《数据保护法》下的潜在犯罪。故意或轻率地作出虚假陈述是违法的,委员会将对不遵守面谈通知的行为处以罚款通知,其罚款权力与现有权力相当。委员会必须就决定发出面谈通知时应考虑的因素提供指导。
传唤个人进行面谈
研究
研究人员往往希望将数据用于在收集时未预见的进一步研究。在这种情况下,第14条(5)(b)款规定,如果提供隐私通知不可能或涉及不成比例的努力,特别是为了研究目的的处理,则无需向个人提供隐私通知。然而,这一豁免仅适用于未直接从个人收集的个人数据。对于直接收集的数据,没有相应的豁免。
当联系方式发生变化时,或对于大型群体而言,当提供新通知的成本使研究不可行时,这可能会带来问题。第13条(5)款引入了一项新的豁免,与第14条(5)款的豁免类似,但仅限于为研究目的而进行的处理,且符合研究保障措施。第13条(6)款指出,应考虑数据的年代、数据主体的数量以及所应用的保障措施。
研究
先前,研究所需的安全保障措施分散在《通用数据保护条例》(GDPR)的第89条和《数据保护法》的第19条中。现在,这些措施被整合到了一处,即GDPR的第8(A)章。引入了一个新的缩写RAS目的——用于科学、历史研究和公共利益存档以及统计目的的处理。然而,现有法律的实质并未改变,因此这只是为了改写而改写。
国际执法请求
该法案承认了英国与美国之间的特殊关系,通过确认两国政府之间就为打击严重犯罪而访问数据的请求达成的协议。
根据新规定,当为响应此类请求而必须处理个人数据和特殊类别数据时,控制者可以依赖法律义务作为处理的合法基础或条件。这简化了响应美国当局执法请求的规则,但并未帮助需要在不同司法管辖区遵守其他类型法律义务的跨国组织。
鉴于隐私界历来对美国执法部门获取个人数据的担忧,这一举措是否会影响欧洲委员会对英国的充分性认定尚待观察。令人稍感安慰的是,所提及的英美协议是在2019年10月英国脱欧前签订的,因此应在充分性程序中予以考虑。
国际执法请求
根据新规定,当有必要回应此类请求时,控制者可以依赖法律义务作为处理个人数据和特殊类别数据的合法基础或条件。这简化了回应美国当局执法请求的规则,但对跨国公司并无帮助,因为跨国公司需要在不同司法管辖区遵守其他类型的法律义务。
鉴于隐私界历来对美国执法部门获取个人数据存在担忧,此举是否会影响欧盟委员会对英国的充分性认定仍有待观察。令人稍感宽慰的是,所提及的英美协议是在2019年10月脱欧之前签署的,因此应在充分性程序中已予考虑。
