依据《里斯本条约》第50条,英国需启动脱欧程序,与欧盟斩断牵连,办理各类法律手续。期间过程是可以预料的纷繁复杂,英当局预测最少两年,最长七年。2016年欧盟《通用数据保护条例》(GDPR)虽然堪称世界范围数据保护立法的新标杆,但英国不会适用。从英国ICO发表于16年4月的一份脱欧声明可以看出,英国对欧盟并无半点依归,离心早有。脱欧的影响,将不仅仅影响英国和欧盟的数据保护立法,对于商业企业,也面临路径依靠,甚至办公地址的选择。此外,英-欧、欧-美、英-美之间的跨境数据流动规则,也会随之变动。欧盟数据保护法律向来以严厉著称。若单从其法律条文对个人数据权利的保护力度来看,堪称世界范围数据保护立法的标杆。欧盟1995年《数据保护指令》(95/46/EC),乃欧洲数据保护法律规则的奠基石。此后,欧盟各成员国陆续将“95指令”转换为本国法予以适用遵从,其中,也包括英国1998年《数据保护法》(DPA,theDataProtectionAct1998)。互联网新技术新业务的发展给数据保护带来了一众崭新问题,而2013年美国“棱镜”丑闻的爆发则直接促使欧盟立法机构着手对数据保护法律进行大革新。彼时,欧盟希望出台一部数据保护基本法,可直接适用到所有成员国,而不用像“95指令”一样再历经一个国内法的转化程序。具体到条文细节,欧盟的思路是以保障公民权利为最高宗旨,严格约束企业行为,提高处罚力度,扩充管辖范围。2016年5月,欧盟《通用数据保护条例》(GDPR,EUGeneralDataProtectionRegulation,也称“一般数据保护条例”)出台,与已有同期其他国家的数据保护法律相比,因其保护最严、管辖最宽、处罚最高,堪称世界范围立法的新标杆。值得一提的是,在GDPR接近4年的立法期内,英国一直对其冷淡远离,并在GDPR后期立法阶段,向其投下了最多的反对票。究其源头,“道不同不相为谋”。长期以来,英国数据保护立法秉持“商业友好”(BusinessFriendly)的理念,以推动本国数字经济的发展为第一优先,对于GDPR的严苛规定,英国认为会对经济发展造成窒碍作用,不利于宽松商业环境的养成。脱欧之后,英国不会适用GDPR,另一个角度看,也获得了重新规划本国数据保护法律新蓝图的自由空间。目前而论,直接遵循本国《1998年数据保护法》即可。在脱欧公投的两个多月前,英国信息专员办公室(也是英国专门的数据保护机构)发表了官方声明。简短100多个字,与欧盟之间只有比较,没有依归。从其侧面可看出英国的离心急促。Statement on the implications of Brexit for data protectionDate 19 April 2016
The UK will continue to need clear and effective data protection laws,whether or not the country remain spart of the EU.
The UK has a history of providing legal protection to consumers around the irpersonal data.Our data protection laws precede EU legislation by more than adecade,and go beyond the current requirements set out by the EU,for instance with the power given to the ICO to issue fines.Having clear laws with safe guards in place is more important than ever given the growing digital economy,and is also central to the sharing of data that international trade relieson.(2016年4月12日)
勿论留欧是否,帝国将坚持数据保护之立法,并使其清晰,愈之有效。
于普罗消费者之私人数据,帝国一贯以法保护。相比欧盟,我立法早于其10年之先,规格亦更高,并有信息专员办公室专执罚款。更认为,法律的保障作用因数字经济之发展将更为凸显,此种法律,亦是我国际贸易所倚赖的数据共享规则之核心基石。法律文本的执行与企业的日常行为和经济利益直接挂钩。对于那些将欧洲区总部设在了英国的跨国公司,脱欧之后,可能需要重新考虑办公地址。要么将办公室搬离英国,遵守欧盟GDPR《通用数据保护条例》,好处是守法成本降低,可以继续接受欧盟数据保护机构(DPA)的监管和指导,并且是全欧境内“一站式”通行适用,以及其他各种守法上的便利。但与之伴随的全球最高的违法成本,依据GDPR,公司旦有不轨,将按照全球营业额的4%进行处罚,或最高2000万欧元的罚金,择其更高者处罚。要么将办公室留在英国,好处是不用遵从欧盟GDPR的严苛规定,企业只需遵守英国本土法律如《数据保护法》即可,该法的法定最高处罚金额为50万英镑,而事实上,迄今为止英国信息专员办公室(CIO)开出的最高罚单也不过才25万英镑。但值得警惕是,英国《调查权力法案》正处于修正过程中,预计正式出台后,会以国家安全、网络安全为由,要求企业配合英国情报机构和警察机构履行一些额外义务。此不赘述。理论上,脱欧之后,英国和欧盟之间原本畅通的数据流动途径会新增一道墙。参照挪威、瑞士,以及欧盟境外诸国的解决方法,未来英国和欧盟之间的数据流动有三条路。第一,参照非欧洲国家的流动方法,作为两个没有任何瓜葛的主体,公事公办。按照欧盟数据保护规则,凡数据流向欧盟境外,需对流向地(国家)的数据保护水平进行评估,基本要求是流向地需与欧盟境内数据保护水平一致。欧盟需要先对英国的数据保护水平进行评估,认可之后,双方数据方可流动无虞。第二,英国保留EEA身份,参欧盟标准,选择性适用欧盟法律。英国可比照挪威、冰岛、列支敦士登三国,依然作为欧洲经济区成员国(EEA,EuropeanEconomicArea),直接参照欧盟标准,或者选择性适用欧盟数据保护法律。第三,仿照非EEA成员国,在立法上尽量与欧盟靠拢,以减少弯折。英国可参照瑞士(瑞士既不是欧盟成员国,也不是EEA成员国),最大限度上保留独立国家的立法权,依照实际情况对国内法律进行修正,但在立法过程中可尽量与欧盟保持一致,减少纷争范围,为跨境数据流动铺下一条想对好走的路。2016年5月,美欧之间专门规范跨境数据流动的“美欧隐私盾协议”初步拟定成形,但随着脱欧公投,英国从欧盟顺风车主动跳下,美英之间的数据跨境流动法律顿成空白。明确规则出台之前,现在仅有两条路。一是需要实际进行数据流动的美英两个特定主体之间单独签订标准合同,用具体条款予以约束;二是英国继续借鉴欧盟“企业约束规则(BCRs)”,但这是英国大的跨国公司可以内部适用。当初欧盟成立,不可避免地要统一其成员国的法律规则,但,“95数据指令”出台的年代,法律规则还不是强制适用,各成员国还可以依据本国情况进行转化。2016年的GDPR与“95数据指令”大不相同,各成员国需强制遵循。然,欧盟立法权限并不是自然有之,而是各成员国让渡的,此间,在各成员国之间进行调和、折中,甚至劝和,本是天经地义,但在多部重要立法过程中,未见欧盟尊重英国利益。自古,世界分为两大法律派系(法系),一是以英国和美国为首的普通法法系,也称海洋法系,英美法系。其起始于英国,后扩展到英国殖民地、附属国,包括美国、加拿大、印度、韩国等。二是罗马日耳曼法系,亦称大陆法系、欧陆法系,主要受古代罗马法影响而成,德国、法国、意大利、日本、中国大陆、台湾等,都属于该法系。以法律史的眼光,脱欧对于英国而言,是重归英美法系的族谱。作为曾经开辟世界一大法系的古老帝国,未来也不是没有可能在现今数据保护美欧主流派系之外,另辟蹊径、另立标杆,重获古老帝国的别开生面。(文章来自:“ CAICT互联网法律研究中心”微信公众号) 中国信通院政策与经济研究所,工程师,研究领域为国外通信法,08年毕业于北京大学。联系方式:shenling@caict.ac.cn。