英国脱欧与其数据保护趋势初探

一、

英国脱欧现状与过渡期内的挑战

虽然英国已于2020年1月31日晚上11时正式脱离欧盟，但是这只是英国与欧盟之间博弈的开始。英国现进入脱欧过渡期，至2020年12月31日结束，需要在过渡期结束前与欧盟达成新的自由贸易协定。也就是说，1月31日的“脱欧“不能完全消除英国目前存在的不确定性。原因是“脱欧”协议未涉及英/欧未来贸易关系、金融业准入等决定英国经济前景的具体问题，英国经济的颓势短期内恐难以扭转。

二、

脱欧后英国数据保护的发展趋势

英国信息委员办公室（ICO）于2020年1月29日发表了“在过渡期内，数据保护方面一切照旧“的声明，并进一步对数据保护方面做出如下解释：

（一）过渡期内英国如何实行数据保护

GDPR依然适用。处理个人信息的商业机构以及组织对于实施其数据保护义务方面应当继续遵循现有的指南与规定。

在过渡期内，向欧盟内提供商品或者服务的企业或组织不需要任命欧洲代表。英国信息委员办公室会继续对英国境内运营的企业与组织发挥其作为领导监管机构的作用。

（二）过渡期后英国数据保护的走向

1. 前景

目前关于过渡期结束时的数据保护前景并不明确，不少企业或组织对欧洲范围内的个人信息流动情况十分关注。具体的数据保护走向有赖于过渡期内的英/欧谈判情况，如今默认的状况与无协议脱欧一致：GDPR将会作为“UK GDPR“融入到英国法律中，但是对于一些特定问题仍有待进一步的发展，如英国-欧盟数据传输问题。

2. 立法动态

（1）GDPR将融入英国法

在过渡期结束后，原则上GDPR作为欧盟法律将不再适用于英国。但是，信息委员会办公室指出，如果该企业或组织在英国境内运营，则需要遵循英国数据保护法。政府计划将GDPR自过渡期结束后融入到英国数据保护法内--所以在实践上将不会对GDPR内规定的核心数据保护准则、权力以及义务产生太大的变化。如果企业或组织在欧洲运营、向欧洲境内的个人提供商品或服务、或者监督欧洲境内个人的行为，那么欧盟版本的GDPR可能依旧适用。GDPR仍将适用于任何传输数据的位于欧洲境内的组织，所以企业或组织可能需要帮助他们决定如何在遵循GDPR的情况下向英国传输个人数据。

（2）英国数据保护法

英国将依旧实行《2018年数据保护法案》，该法案现在对于英国境内GDPR的实行进行了补充和调整。正如上文所说，在过渡期结束后，GDPR将直接融入到英国法律体系中并与《2018年数据保护法案》一起进行实施。

3. 对企业或组织的建议

尽管脱欧很可能只影响自欧盟到英国的数据传输，企业或组织应当首先关注他们自欧盟到英国的数据传输是外部的还是内部的。其次，假设英国不能取得欧盟认为的足够保护状态，企业或组织应当规划数据传输并且实行适当的保护措施来管理符合欧盟和英国法律规范的数据传输，比如采用标准合同条款。而且，如果企业或组织向欧洲经济区内的个人提供商品或者服务、或者监督欧洲经济区内个人的行为，则企业或组织可能需要在过渡期结束时委派代表。

对于那些主要建立在英国境内的企业或组织来说，他们还需要考虑跨境的问题。在GDPR下，如果发生数据跨境的情况，企业或组织只需要与其主要机构所在地内的数据保护机构联系。将英国办公室设为GDPR规定下的主要机构的企业或组织，应该考虑是否需要在欧盟境内创立一个新的主要机构。由于在欧盟境内创立新的主要机构可能对于很多企业来说都需要进行大量的投资，所以这一点应当仔细衡量并根据各自资源情况做出决策。有些专家认为大多数英国境内的组织会保持现状然后在欧盟内委派一个代表。