徐德順

“脫歐”以來英國一直謀求修訂數(shù)字法案

英國數(shù)據(jù)保護法案由來。2017年英國出臺的《數(shù)據(jù)保護法案》（Data Protection Bill，DPB）脫胎于1998年的《數(shù)據(jù)保護法案》（Data Protection Act，DPA）。DPB法案旨在配合2018年歐盟實施的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）。DPB法案加強了對個人數(shù)據(jù)的保護，增加了數(shù)據(jù)可攜帶權和被遺忘權的規(guī)定，強化了機構對數(shù)據(jù)的保護責任，對數(shù)據(jù)實行嚴格的行政監(jiān)管，并增進與刑事司法機構之間的合作。GDPR被稱為歐盟有史以來最嚴格的數(shù)據(jù)保護法，而GDPR在英國的落地實踐被認為存在流程繁瑣等問題。

英國謀求修改數(shù)字法案。2020年1月，英國正式“脫歐”，結束其47年的歐盟成員國身份，此后英國一直謀求修訂數(shù)字法案。2022年7月，英國《數(shù)據(jù)保護和數(shù)字信息法案》（The Data Protection and Digital Information Bill，DPDIB）在下議院被提出。2023年3月，DPDIB法案第一版被撤回，第二版被提出，預計不久將獲得通過。DPDIB法案有別于GDPR，旨在減輕企業(yè)負擔的同時，保持高數(shù)據(jù)保護標準。同時，DPDIB試圖在與歐盟“脫離”和“穩(wěn)定”之間保持平衡，一方面抓住基于脫歐的“去監(jiān)管機會”，用“常識性”的英國替代規(guī)則取代歐盟的數(shù)據(jù)保護規(guī)則；另一方面，為了確保數(shù)據(jù)持續(xù)從歐盟流向英國企業(yè)，并避免英國失去歐盟“充分性認定”（又稱白名單，指經(jīng)過歐盟認定的對個人數(shù)據(jù)保護充分的國家、地區(qū)或國際組織，可以直接向其傳輸數(shù)據(jù)，不必采取進一步的保護措施）時可能遭受的重大經(jīng)濟打擊，不得不維持當前數(shù)據(jù)監(jiān)管框架的基本面。

修訂后的數(shù)字法案主要內容

新修訂的DPDIB法案包括六部分。第一部分主要是界定數(shù)據(jù)保護內容，具體包括：個體信息定義、資料保障原則、數(shù)據(jù)主體的權利、自動決策、控制者和處理者的義務、個人數(shù)據(jù)的國際傳輸、為研究等目的進行處理的保障措施、國家安全豁免、情報服務處理、信息專員的角色與執(zhí)法等。英國立法者希望企業(yè)、人工智能開發(fā)人員和個人更清楚地知道什么時候“必須適用于完全自動化決策的重要保障措施”，以提高計算機算法做出決策的透明度和問責制。第二部分主要是明確數(shù)字驗證服務，具體包括：數(shù)字視頻服務器（DVS）信任框架，DVS寄存器、信息網(wǎng)關、信任標志等。第三部分主要是客戶和業(yè)務數(shù)據(jù)的處理權力與約束，包括要求客戶補充數(shù)據(jù)、執(zhí)行數(shù)據(jù)法規(guī)、限制調查權、經(jīng)濟處罰等。未來技術研發(fā)的數(shù)據(jù)處理可能被視為“科學研究”。第四部分主要是關于數(shù)字信息的隱私和電子通信規(guī)定、信托服務、信息共享、出生與死亡登記、健康和社會關懷的信息標準等。第五部分是有關監(jiān)督管理內容，包括信息委員會的職能、對生物識別數(shù)據(jù)的監(jiān)督等。第六部分是最后條款，包括財政撥款、過渡條款、附表等。

DPDIB法案中修改條目多。英國致力保持數(shù)據(jù)保護高標準，保護個人隱私繼續(xù)是優(yōu)先事項。DPDIB法案涵蓋了許多數(shù)據(jù)保護問題，從個人數(shù)據(jù)的定義到國際數(shù)據(jù)轉移、數(shù)據(jù)主體訪問請求、cookies和合法利益評估，這些改變是英國立法者基于GDPR和DPB的優(yōu)化。英國和歐盟制度之間的基本等同性對于英國脫歐后的商業(yè)連續(xù)性至關重要，歐盟在2021年6月作出有利于英國的“充分性”認定，允許以對業(yè)務妨礙最少的方式將個人數(shù)據(jù)從歐盟合法轉移到英國。英國允許有限擴大合法利益的理由用以處理個人數(shù)據(jù)，努力“減少”煩人的彈出窗口，以及對騷擾電話和短信的罰款更高，但這些修訂還不足以危及其在歐盟的充分性認定。

修訂后的數(shù)字法案特色

加強信息專員辦公室（ICO）職能。ICO是英國現(xiàn)有的數(shù)據(jù)監(jiān)管機構。ICO履行對數(shù)字信息的監(jiān)管和保護，以應對不斷增長的數(shù)字化經(jīng)濟和數(shù)據(jù)安全風險，更好地保護公眾的數(shù)據(jù)隱私和數(shù)字信息安全。ICO與英國數(shù)字市場部、通信管理局、金融市場行為監(jiān)管局等重要監(jiān)管機構協(xié)作分工，以全面保護消費者和企業(yè)。允許企業(yè)拒絕回應“無理取鬧或過分”的數(shù)據(jù)主體訪問請求，可能允許企業(yè)對此類請求收取費用。企業(yè)違反《隱私和電子通信條例》將面臨更高的罰款。

減輕企業(yè)數(shù)據(jù)合規(guī)成本。貫徹數(shù)據(jù)最小化原則，數(shù)據(jù)收集和處理盡可能最小化，即只收集和處理必要的數(shù)據(jù)。明確個人數(shù)據(jù)的訪問和控制權，鼓勵企業(yè)更好地管理和保護數(shù)據(jù)，減少相關違規(guī)行為所帶來的風險和成本。要求企業(yè)進行風險評估和合規(guī)檢查，并記錄其數(shù)據(jù)保護措施和實踐。政府和監(jiān)管機構將提供更多的支持和指導，幫助企業(yè)理解和遵守數(shù)據(jù)保護法規(guī)。降低對英國企業(yè)“保存數(shù)據(jù)處理記錄”的要求。數(shù)據(jù)保護影響評估成為企業(yè)提前考慮風險的有用工具。為了減輕企業(yè)的負擔，取消了數(shù)據(jù)保護影響評估的一般要求，取而代之的是對高風險處理的評估要求，這體現(xiàn)了更靈活的、基于風險的做法。

完善國際數(shù)據(jù)傳輸機制。確保企業(yè)在遵守現(xiàn)行英國數(shù)據(jù)法律的前提下，使用其現(xiàn)有的國際數(shù)據(jù)傳輸機制將個人數(shù)據(jù)傳輸?shù)降谌龂员Ｕ虾Ｍ夤蚕韨€人信息。幫助企業(yè)在英國和國際上負責任地使用數(shù)據(jù)，減少不確定性與風險。英國可能會尋求給予美國“充分性”的地位。

修訂后的數(shù)字法案影響及啟示

修訂后的DPDIB表達了英國的個性化訴求，對歐盟乃至世界數(shù)字規(guī)則體系都會產(chǎn)生一定影響。我國已經(jīng)形成了以《網(wǎng)絡安全法》（2017）、《電子商務法》（2018）、《數(shù)據(jù)安全法》（2021）、《個人信息保護法》（2021）等為主體的數(shù)字規(guī)則體系，也需要結合國內外環(huán)境的變化對相關法律進行修訂，以適應公共信息使用、個人隱私保護、跨境數(shù)據(jù)流動等新形勢發(fā)展的需要?？山梃bICO功能，完善我國國家數(shù)據(jù)局的監(jiān)管職能，同時研究制定降低企業(yè)數(shù)據(jù)合規(guī)成本。作為數(shù)字經(jīng)濟第二大經(jīng)濟體，積極申請加入《數(shù)字伙伴關系協(xié)定》（DEPA），對標國際高標準，推動數(shù)字領域制度型開放。