智库快讯丨英国的GDPR——保护英国公民的新数据隐私
《英国通用数据保护条例》(The UK General Data Protection Regulation,简称UK GDPR)是英国于2021年1月1日通过的一项数据保护法。由于英国在2020年底脱离了欧盟,随后不再受欧盟《通用数据保护条例》(GDPR)的管辖,英国需要在保护公民个人数据权利的方式上做出一些小的变动。为此,英国的GDPR在很大程度上反映了欧盟的GDPR,尽管在其适用领土范围方面和其他一些条款上稍有变化,主要体现在以下几个方面:
一、关于英国GDPR的适用范围
就英国GDPR的适用范围而言,该法律适用于以下情况的个人数据处理情形:
• 在数据控制者或处理者进行数据处理的有关活动时,无论所述数据处理是否发生在非欧盟成员国国家或地区。
• 数据处理的个人数据与在英国的数据主体有关。
• 数据处理活动与在英国提供的商品或服务有关,无论这些产品是否用于支付,以及在英国监控数据主体的行为。
• 由于数据保护法涉及法律的物和个人范围,英国 GDPR 与欧盟的GDPR没有国家性差异,因为后者的物和个人范围仍然与前者一致。
二、英国GDPR对数据控制者的要求
英国的GDPR采用与欧盟GDPR相同的保障数据主体个人数据原则。这些数据原则包括透明度、目的限制、存储限制、数据最小化、准确性、完整性和保密性以及问责制。然而,在英国GDPR下,数据控制者的义务也发生了一些变化。这些变化包括:
• 数据处理通知——根据英国GDPR,数据控制者需要向信息专员办公室(简称ICO)注册,并支付每年40英镑(54美元)至2900英镑(3931美元)的数据保护费。这个价格范围是基于根据法律,基于不同层级的特定数据控制者确定的。它取决于多种因素,包括员工的数量,企业或组织的年营业额,以及数据控制者是否是慈善机构、公共权威、或商业实体。另外,也有一些企业和组织可以免收这笔费用,如非营利组织和司法机构。
• 数据传送——英国GDPR对向第三方转移个人数据增加了限制。根据法律,这种转移是只允许必需的执法目的,转让是基于第三方国家有足够的数据保护措施,或其他适当的保障措施,转移是在指定的特殊情况下,或者转移与第三方国家的有关当局或国际组织有关,例如与执法职能有关的国际机构。
• 儿童数据——根据英国GDPR,与信息社会服务相关的许可年龄从16岁降低到13岁。因此,当数据控制者收集、处理或披露13岁以下儿童的个人数据时,“为了合法处理,必须获得对该儿童负有父母责任的人的同意”。
• 特殊类别的个人数据——与欧盟GDPR法律类似,英国GDPR禁止处理特殊类别的个人数据,除非该数据处理在本法列出的例外范围内。其中一些例外情况包括:“根据国内法,出于公共卫生领域的公共利益的理由,加工是必要的”或“根据国内法,出于重大公共利益的理由,加工是必要的”。
三、英国GDPR中的数据主体权利
就该法律的范围以及数据控制者的义务而言,英国GDPR下的数据主体权利与欧盟GDPR下提供给数据主体的权利在很大程度上相似。这些权利包括知情权、访问权、更正权、删除权、数据可移植权、不受自动决策约束的权利以及反对或选择退出的权利。但是,这两项法律之间还是存在一些差异,因为它涉及到了数据主体的权利。这些关于英国GDPR的变化包括:
• 知情权——英国GDPR为数据主体提供了收集、处理和披露其个人数据的知情权。然而,它也规定了这一权利的例外,例如“与符合公众利益的新闻、学术、艺术或文学目的相冲突”,或在某些情况下,披露个人资料会“因披露某人触犯某项罪行的证据而使该人面临有关罪行的诉讼”。
• 访问权——英国GDPR规定数据主体有权访问数据控制者可能拥有的与之相关的任何个人数据,但有某些例外情况。其中一些例外情况包括查阅资料主体的个人资料将“影响公司金融工具的价格或采取行动的决定”或“损害英格兰银行适当履行特定职能”的情况。
• 更正权——英国GDPR规定数据主体有权纠正其个人数据,但须遵守各种豁免规定。其中一些豁免包括会“妨碍适当履行旨在保护公众的特定职能”或“妨碍遵守披露个人资料的法律义务”的更正要求。
四、关于违反英国GDPR的处罚
虽然英国GDPR反映了欧盟GDPR的许多规定,但英国显然需要一种新的方式来惩罚趁英国2020年决定退出欧盟而违反规定的数据控制者。因此,信息专员办公室ICO有权执行英国的GPR,而数据控制者被发现不遵守法律将受到类似于欧盟的一般数据保护条例所施加的罚款。其中包括较高的最高金额为175.2亿欧元或全球年营业额的4%(以较高者为准),标准最高金额为87.1亿欧元或全球年营业额的2%,具体视违反条款而定。
当英国决定离开欧盟后,其随后需要在2020年底创建一个法律框架,为英国公民提供相同与欧盟相同级别的数据保护监管。因此,为了实现这一目标,英国在2021年1月通过了UK GDPR。反过来,英国的数据主体可以放心,尽管他们不再是欧盟的一部分,但他们的个人数据和隐私仍在任何时候都受到保护。
信息来源:
https://caseguard.com/articles/the-uk-general-data-protection-regulation-data-privacy/
https://iclg.com/practice-areas/data-protection-laws-and-regulations/united-kingdom
快讯总主编由数字丝路安全智库专家委员会主任马民虎教授担任,由智库秘书长朱莉欣担任副主编,智库副秘书长谢永红担任责任编辑。
快讯合作单位:西交苏州信息安全法学所、西交科教院网络安全法治研究所、公安三所网络安全法律研究中心、360集团、西安四叶草信息技术有限公司、荣耀终端有限公司。
隐私保护是一个全球性的命题。随着我国《数据安全法》、《个人信息保护法》等法律法规的出台,我国个人隐私的保护制度更加完善,对数据处理者的隐私保护要求也更细更高。然而“徒法不足以自行”,要实现我国隐私保护立法的宗旨,还需要从守法、执法和司法层面予以努力。本专栏拟通过报道国际隐私保护的法律事件,为我国个人隐私保护合规和遵从提供实践经验和具体执法的参考,并为我们了解和借鉴国外隐私保护制度提供第一手的资料。
随着数字经济蓬勃发展,数据在经济社会发展中起着空前重要的作用。中国将数据定义为生产要素、欧盟制定数据战略、美国促进数字经济法案等等,都在从立法、产业政策、技术标准和产业平台等领域积极推动数据经济发展,在促进数据流通利用和安全保护的平衡上寻找最佳解决方案。
2020年10月,无名论坛和SSC安全峰会联合其他相关机构,在充分认识到数字安全发展的全局性和重要影响基础上,经调研,并与有关部门专家协商沟通,以华山论剑·2020网络安全大会的盛大召开为契机,联合发起成立“数字丝路安全智库”。
“数字丝路安全智库”,旨在响应国家“一带一路”倡议,遵循数字经济发展规律,为数字丝路的建设提供有特色的网络安全政策法规、技术方案,为网络安全研究人员搭建合作研究、交流平台,促进数字丝路网络空间的繁荣发展。
“苏州信息安全法学所”