英国《数据保护及数字信息(第2号)法案》(The Data Protection and Digital Information (No. 2) Bill)[Bill 265 2022-23]于2023年3月8日在下议院提出。[1]该法案的大部分内容与2022年7月18日在下议院提出的《数据保护及数字信息法案》[Bill 143 2022-23]相同,目前已经完成了下议院一读、二读和委员会处理阶段,目前正处在报告阶段。[2]《数据保护及数字信息(第2号)法案》并不取代现有的英国数据保护立法,仅是修订了英国现有的EU General Data Protection Regulation和Data Protection Act 2018,目的在于更新及简化英国的数据保护框架。[3]

在2023年8月4日的部长书面声明中,科学、创新和技术国务秘书(The Secretary of State for Science, Innovation and Technology)Michelle Donelan声称,新法案由工业、商业、隐私部门的专业人士和消费者团体共同设计。该法案将抓住英国脱欧后的机会,“创建一个适合英国需求的新型数据权利制度”。尽管政府表示该法案是“一个新的数据保护系统”,但它仍然保留了英国GDPR的基本义务、结构和原则,甚至仍将保留“UK GDPR”的名称。已经符合英国GDPR的企业将不需要因该法案而进行过多更改,而对于在整个欧盟运营的企业来说,《数据保护及数字信息(第2号)法案》旨在减轻英国数据保护合规性管理负担的好处将减损,因为上述企业依然需要符合欧盟的保护标准。例如,欧盟企业仍然需要提名数据保护官,并且无法从放宽数据记录保存的规则中受益。[4]

法案根据GDPR五年的实践经验,对现有制度进行了澄清和具体化,并试图解决可能出现的一些问题。法案修改将降低企业数据与信息部门的合规成本,减少企业为证明合规性而需要完成的文书工作量;指导企业在未经同意的情况下处理个人信息;提高公众和企业对人工智能技术的信心。[5]法案修改带来的经济价值预计可达数十亿美元。[6]

2023年11月8日,科学、创新和技术部 (DSIT) 宣布《2023年数据保护(基本权利和自由)(修正案)条例》(修正案)已提交议会,委员会决定将该法定文书升级为肯定草案。肯定草案是一个术语,用于描述以草案形式提出的法定文书,除非该草案得到下议院和上议院的批准,否则不能成为法律。根据该决定,DSIT 发布了有关修正案的更新的法定文书和解释性备忘录。[7]

目前英国的数据保护法中包含一些有关个人“基本权利和自由”的条款,但上述条款目前被定义为保留性欧盟权利,在退出欧盟的过渡时期内沿用欧盟定义,但该条款将在2023年底随着《2023年保留欧盟法律(撤销和改革)法案》的生效而废除。[8]“基本权利和自由”的概念来源于《欧洲人权公约》(ECHR),但目前已经被英国国内法律《1998年人权法案》吸收,因此取消作为欧盟保留权利的“基本权利和自由”条款,将不会对英国的各组织和个人产生太大的实际影响。[9]

对人工智能相关保障措施的大幅修改

1. 进一步规范自动决策的定义:最初法案对自动化决策的监管进行了修订,将仅基于自动化处理的决策定义为“没有人为干预”的决策。第2号法案对此进行了扩展,指出“在考虑是否有有意义的人参与作出决定时,应当考虑通过分析作出决定的程度”。并且可以通过另设条例的方式,进一步规定如何判定在做出决定时是否有有意义的人参与。[10]

人工智能等创新技术通常依赖于自动决策,利用对没有人类参与的程序做出重大决策、分析或预测。英国现有的数据保护法非常复杂,并且缺乏对自动化决策和分析的清晰指引,这使得企业难以负责任地使用人工智能等技术。法案维持了英国较高的数据保护标准,并为计算机算法决策提供了更多透明度和更直接的问责制度。

2. 简化现有的数据保护框架:法案保留了GDPR中反响较好的制度,并构建了一个更为简单、清晰且对企业友好的数据保护框架,降低企业的实施成本,并为企业提供更大的灵活性。例如,企业仅需要在数据处理活动可能对个人权利构成高风险时保留处理记录。同时《数据保护及数字信息(第2号)法案》确保简化后的数据保护制度能够保持欧盟的数据安全性要求,保持国际社会对英国数据保护水平的信心。

3. 拓宽“公认的合法利益”范围:法案明确了“公认的合法利益”这一概念,即被视为自动满足合法利益平衡测试的数据处理活动,为依赖这一法律基础获得处理权限的控制者提供了更大的确定性。这是一个特别的概念,数据控制者无需对公认的合法利益进行平衡测试,即可进行数据处理活动。主要事由包括公共利益;国家安全、公共安全和国防;紧急情况;犯罪,主要涉及侦查、调查、预防,逮捕或起诉罪犯。

此外,法案公布了“可能是为了合法利益的目的所必需的处理”的类型示例,这些示例不属于“公认的”合法利益,即仍然需要进行平衡测试,但该示例旨在指导企业了解合法权益可能适用的具体情形。示例包括:

·为直接营销目的所必需的处理;

·集团内部传输个人数据(无论与客户、员工或其他个人有关)是出于内部管理目的所必需的,以及;

·为确保网络和信息系统安全所必需的处理。

并且,只要处理是必要的,并且进行了平衡测试,则任何合法的商业活动都可以获得合法性。

在进行平衡测试时,需要考虑合法利益的性质和来源,数据处理可能对数据主体的影响,在对各方利益进行基本分析后,即可达成个人利益与数据处理者利益的临时平衡。进行平衡测试时所考虑的利益,既包括对数据主体个人的利益影响,同时包含对公共利益的影响,既考虑正面影响也考虑负面影响,并且防止微小负面影响的累积导致重大影响的产生。平衡测试需要根据具体的数据使用情景做出个案判断,数据处理的数据种类、数据处理的具体做法、数据主体和数据处理者之间的关系等因素均需要考虑。并且,利益平衡式临时性的,因此数据处理方式和情景的变化,可能会导致各方利益回到不平衡的状态,因此需要持续对数据处理的平衡性与否做出评估。

4. 简化保存处理记录的规定:法案要求保留处理个人数据的“充分”记录,但简化了必须记录的信息。只有考虑到处理的性质、范围、背景和目的,开展可能对数据主体的权利和自由造成高风险的处理活动时才需要处理记录。法案还要求信息专员公布清单,列举信息专员认为可能对个人权利和自由造成高风险的数据处理实例。[11]一些高风险的例子例如,大规模处理特殊类别数据的组织(例如医疗保险公司),或使用创新技术处理大量个人数据的组织(例如公共场所的面部识别摄像头)。

5. 改革监管结构:一方面,数据保护监管机构(即Information Commissioner’s Office,ICO)的治理结构发生变革,信息专员办公室将由信息委员会取代,由法定委员会提供支持,设有主席和首席执行官。在整个数据保护改革期间,关于信息委员会在立法制度下的独立性产生了大量讨论,民间社会团体对该机构的存续提出了大量批评,新设立的信息委员会将努力减轻公众对监管机构独立性的担忧。

另一方面,数据保护官的传统角色被废除,取而代之的是高级负责人(Senior Responsible Individual,简称SRI)。并且,只有在公共机构或进行高风险处理时才需要任命高级负责人。高级负责人将负责其组织内的数据保护工作,除非他们将该任务委托给具有适当技能的个人。高级负责人必须是企业高级管理层的成员,但除了作为高级负责人的职责外,其还可以继续在企业内担任其他重要角色。该修订可能会导致企业不必再设立特定的数据保护官,但鉴于数据保护官制度已成为许多公司数据保护战略中不可或缺的一部分,该修改如何实施将有待观察。[12]

6. 改革现有的“充分性”评估流程,将其规定为“数据保护测试”,并将重点关注基于风险的决策和结果。如果数据保护标准“不大大低于”英国法律规定的标准,则满足测试要求。该修订符合英国政府扩大其数据覆盖范围的战略,将使企业能够更有效地执行国际数据传输,促进英国与美国、澳大利亚、迪拜国际金融中心和新加坡等地区之间的数据传输。

7. 修订数据控制者在“无理取闹或过度”的情况下拒绝遵守数据主体请求(或收取处理此类请求的费用)的能力的规定,取代现有的“明显没有根据”或“过度”请求的门槛。如果请求旨在造成痛苦、滥用程序或恶意提出,则可被视为“无理取闹或过度”。[13]

8. 增加直接营销的罚款:法案提高了《隐私和电子通信条例》(Privacy and Electronic Communications Regulations (PECR))对滋扰电话和短信的罚款。罚款限额将从500,000英镑提高到17,500,000英镑,或者为企业全球年总营业额的4%,以较高者为准。

9. cookie规则的变化:该法案进一步修订了《隐私和电子通信条例》,规定了在用户终端设备上放置cookie需要同意的豁免情况。例如,收集有关信息服务的统计信息,以便进行改进;使网站的外观或功能能够反映用户的偏好;安装确保终端设备安全所需的软件更新;和在紧急情况下确定个人的位置。并且规定,除非存在紧急情况下识别个人地理位置的豁免,否则企业必须向用户提供有关存储和访问存储在其终端设备中的数据的清晰、全面的信息,以及选择退出的选项。[14]

其他主要修改要点

《数据保护及数字信息(第2号)法案》还在其他多个方面进行了修订,例如:

1. 修改科学研究的定义:法案通过借鉴GDPR的现有陈述,为科学研究和统计目的创建了法定定义,并增加了进一步的澄清,以包括为“任何可以合理地描述为科学研究,无论是公共还是私人资助的研究”的目的的处理。并规定无论科学研究是“为商业活动还是非商业活动”,都属于科学研究的范围。

英国政府相信,这些变化将促进科学研究的进行,商业组织将被赋予与学者相同的自由,以便开展创新的科学研究。[15]实际上,降低共享科研数据的障碍固然有好处,但科学研究的新定义仍然是开放式的。关于这一更广泛的定义在实践中如何适用于私人资助的科学研究,仍然存在疑问。[16]

2. 国际数据传输规定:法案对国际传输和充分性评估方法进行了修订。对于已经符合英国现有数据保护法规的企业,法案生效前已经合法进行的国际贸易和数据跨境流动,可以继续使用当时的国际数据传输机制,以避免给企业带来额外的合规成本。

3. 建立了可信和安全的数字验证服务框架,允许用户以数字方式证明自己的身份,促进数字身份与纸质文件的共同使用。

4. 减少“用户同意”弹出窗口的出现频率。

5. 允许通过智能数据方案共享客户数据,以提供个性化市场和帐户管理等服务。

6. 改革英格兰和威尔士的出生与死亡登记方式,从纸质系统转向电子登记。

7. 促进出于执法和国家安全目的的个人数据的流动和使用。

8. 为政党和民选代表为民主参与目的处理个人数据创造更清晰的法律基础。

该法案是否会损害英国在欧盟的充分性认定

一些评论员指出,该法案可能会使危及欧盟2021年对英国的充分性认定,而充分性认定是允许个人数据在欧盟和欧洲经济区与英国之间自由流动的重要前提。[17]

根据欧盟现有的法律规定,如果欧盟委员会认为英国不能确保达到GDPR要求的“充分保护水平”,则可以终止、暂停或修改其允许个人数据从欧洲经济区自由传输到英国的充分性认定。保持充足性是英国政府声明的优先事项之一,该法案的许多变化旨在进一步澄清GDPR中的歧义或简化低风险情况下的合规程序,而没有改变GDPR中的基本概念和权利框架,也没有降低英国的数据保护水平。因此,暂时可以假设欧盟委员会不会撤销对英国的充分性认定,但当然,当法案实际落实时,实际情况可能会发生变化。

需要注意的是,如果欧盟委员会撤销其对英国的充分性认定,并不意味着企业不再能够将个人数据从欧洲经济区传输到英国。企业依然可以依靠欧盟标准合同条款或目前用来将数据传输到“不充分”保护国家的其他机制,而实际上世界上绝大多数国家都是欧盟认定的“不充分”保护国家。因此对于英国企业而言,法案的修改产生的负面影响可以控制在一定范围之内。[18]

专家评价

众多政府官员和专家对《数据保护及数字信息(第2号)法案》的修订方向表示赞同:

信息专员约翰·爱德华兹(John Edwards)对该法案的修订持积极态度,认为“该法案能够使企业在保持高标准的数据保护水平的同时,推动成长和创新。”[19]

技术行业协会TechUK首席执行官Julian David认为,法案建立在提升企业使用个人数据时的清晰度和灵活性的雄心之上,同时使英国保持在全球最高标准的数据保护水平,且符合欧盟的数据充分性的基本要求。”[20]

DPDI商业咨询小组主席兼数据与营销协会(DMA UK)首席执行官Chris Combemale表示:“DMA在数据保护和数字信息法案的整个发展过程中与政府合作,以捍卫企业及其客户的最佳利益为目标。我们相信,该法案将成为创新和增长的催化剂,同时在英国各地保持强有力的隐私保护水平。这是一个重要的平衡,将在数字经济中赢得消费者的支持。”[21]

但对原有数据保护权利的简化等制度创新,也导致了部分学者的担忧和反对。

开放权利组织(Open Rights Group)是一个致力于监视、隐私和言论自由的组织,它声称该法案将削弱数据主体的权利,淡化问责要求,并降低ICO的独立性。[22]

公民自由运动组织“老大哥观察”(Big Brother Watch)声称,该法案将“撕毁”隐私权,公众将不得不承受高风险的自动化决策的影响。

[1] 法案全文详见https://bills.parliament.uk/bills/3430.

[2] 详见英国议会官方网站,https://bills.parliament.uk/bills/3430.

[3] Jade Kowalski, Christopher Air, Sophie Devlin: Data Protection and Digital Information (No.2) Bill: An Overview, https://www.dacbeachcroft.com/en/articles/2023/april/data-protection-and-digital-information-no2-bill-an-overview/.

[4]Mark A. Prinsley, Oliver Yaros, Valerie Vanryckeghem, Ondrej Hajda, Reece Randall, Ellen Hepworth: UK Government proposes key changes to the UK GDPR, https://www.mayerbrown.com/en/perspectives-events/publications/2023/03/uk-government-proposes-key-changes-to-the-uk-gdpr.

[5] https://hansard.parliament.uk/commons/2023-03-08/debates/23030819000013/DataProtectionAndDigitalInformation(No2)Bill.

[6] British Businesses to Save Billions Under New UK Version of GDPR, https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr.

[7] UK: Statutory instrument amending UK data protection legislation upgraded to draft affirmative, https://www.dataguidance.com/news/uk-statutory-instrument-amending-uk-data-protection.

[8] Explanatory Memorandum to the Data Protection (Fundamental Rights and freedoms) (Amendment) Regulations, p.1.

[9] Explanatory Memorandum to the Data Protection (Fundamental Rights and freedoms) (Amendment) Regulations, p.3.

[10] https://blogs.dlapiper.com/privacymatters/uk-new-data-protection-and-digital-information-bill-2/, UK: New Data Protection and Digital Information Bill.

[11] https://blogs.dlapiper.com/privacymatters/uk-new-data-protection-and-digital-information-bill-2/, UK: New Data Protection and Digital Information Bill.

[12] Lorna Cropper: Data Protection and Digital Information (No. 2) Bill, Take Two, https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-protection-and-digital-information-no-2-bill.

[13] Jade Kowalski, Nadia Belkacemi: UK data protection reform, reformed? Data Protection and Digital Information (No.2) Bill published, https://www.dacbeachcroft.com/en/gb/articles/2023/march/uk-data-protection-reform-reformed-data-protection-and-digital-information-no2-bill-published/.

[14] Mark A. Prinsley, Oliver Yaros, Valerie Vanryckeghem, Ondrej Hajda, Reece Randall, Ellen Hepworth: UK Government proposes key changes to the UK GDPR, https://www.mayerbrown.com/en/perspectives-events/publications/2023/03/uk-government-proposes-key-changes-to-the-uk-gdpr.

[15] Lorna Cropper: Data Protection and Digital Information (No. 2) Bill, Take Two, https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-protection-and-digital-information-no-2-bill.

[16] Katie Hewson: Take two: What"s new in the Latest UK Data Protection and Digital Information Bill?, https://www.shlegal.com/insights/take-two-what"s-new-in-the-latest-uk-data-protection-and-digital-information-bill.

[17] The Data Protection and Digital Information (No. 2) Bill 2022-2, https://commonslibrary.parliament.uk/research-briefings/cbp-9746/.

[18] Dr. Kuan Hon, Antonis Patrikios, Antonis Patrikios: UK Data Protection & Digital Information Bill – 12 key issues, and practical points, https://www.dentons.com/en/insights/articles/2023/may/2/uk-data-protection-digital-information-bill.

[19] Data protection: Commission adopts adequacy decisions for the UK, https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3183.

[20] The Data Protection and Digital Information (No. 2) Bill 2022-2, https://commonslibrary.parliament.uk/research-briefings/cbp-9746/.

[21] British Businesses to Save Billions Under New UK Version of GDPR, https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr.

[22] THE DATA DISCRIMINATION BILL ATTACKS OUR DATA PROTECTION RIGHTS, https://www.openrightsgroup.org/blog/the-data-discrimination-bill-attacks-our-data-protection-rights/.

撰稿 | 李林凡,清华大学智能法治研究院实习生

选题&指导 | 刘云

编辑 | 沈廖佳

注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。