英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
编者按
英国政府于2022年6月17日公布了《政府对“数据:新方向”咨询文件的回应》(Data: a new direction - government response to consultation)。“数据 新方向”是英国脱欧之后发布的数据战略,主要阐述了英国将如何创建一个新的、灵活的、独立的数据保护制度,以实现数据价值的真正最大化、实现最大的数据驱动创新。
本文译自《政府对“数据:新方向”咨询文件的回应》的第三章“促进贸易和减少数据跨境传输壁垒”,主要涉及促进贸易和减少个人数据跨境传输的障碍的一系列改革措施,旨在创建一个自主的英国国际传输制度。
1.摘要
政府指出,全球个人数据流网络对英国的繁荣和现代生活方式至关重要。在本文中,政府阐述了消除跨境数据流不必要的障碍的重要性,包括通过推进一项雄心勃勃的充分性评估计划。
政府打算创建一个自主的数据跨境传输框架,该框架将反映英国对数据保护的独立方法,有助于推动国际商业、贸易和发展,并为现代商业交易和金融机构提供支持。英国的方法将由个人和组织的成果驱动。继续确保高标准的数据保护仍将是未来跨境传输制度的核心。改革将使英国政府和企业能够迅速认识到国际上存在不同的框架为数据主体提供高水平的数据保护。企业和组织将因负担减轻受益,并明确个人数据如何以及在何处跨境传输。
更灵活的跨境传输制度方法将帮助国内企业更轻松地与国际市场建立联系,并吸引对在英国境内负责任地使用个人数据充满信心的外国企业投资。个人将从组织、医院和大学能够快速、高效和负责任地共享个人数据以造福公众中受益。数据跨境流动有助于人们在情感和社会上与世界各地的朋友、家人和社团保持联系。
2.充分性决定
政府认识到,各组织目前在跨境传输个人数据时面临挑战和不确定性。
2.1.风险评估
政府提议以风险评估和相称性原则作为英国未来的充分性决定方法。
大约一半的受访者同意这一提议。受访者认为,该提案是一种务实的方法,一些人表示,英国在做出充分性决定时应该灵活,而不是服从规范。许多受访者明确表示,以结果为导向的方法不应以牺牲数据保护标准为代价。
政府将推进改革,使英国能够更好地进行以风险评估为重点的充分性评估,并继续支持英国在数据流动方面的承诺。改革后的制度将保留一个国家需要达到的相同广泛标准,以便该制度足够充分,这意味着个人数据将继续受到高数据保护标准制度的良好保护。当各国符合这些高数据保护标准时,法律将承认,国家数字、文化、媒体和体育部长在做出充分性决定时也可以考虑促进跨境数据传输的可取性。
政府尊重各国的主权权利,以及有助于高标准保护数据的不同文化和法律传统。改革后的制度将承认其他国家运作的背景,并考虑到在保护个人数据方面发挥作用的不同因素。
2.2.国家集团、区域和多边框架
政府就是否为国家集团、区域和多边框架制定充分性规定进行了磋商。大多数受访者表示同意。原因是这种方法将提供更大的互操作性。然而,有人担心用处可能有限,因为充分性决定仍然需要考虑每个国家的法律。
政府未来将考虑使用这种方法的影响(特别是寻求数据流动多边解决方案时),但现在不打算进行任何立法更改。
2.3.放宽每4年审查一次充分性决定的要求
政府还提议持续监测充分性决定的,并放宽每4年审查一次充分性决定的要求。对这项提案的看法不一,一些受访者认为这将是一种更务实和更有效的方法,而另一些受访者则表示担心这一变化可能会给数据保护标准带来风险。
面对国家法律环境的不断发展,必须仔细审查充分性决定。政府认为,如果使用得当,持续监测可以比间歇性审查更有效地保护数据主体。一个运作良好、严格和持续的监测消除了正式审查的必要性。因此,政府打算放宽每4年审查一次充分性决定的要求。
2.4.救济机制
政府提议,在评估另一个国家的充分性时,只要救济机制有效,该国为英国数据主体提供行政或司法救济是可以接受的。大约一半的受访者同意这一提议。最常见的观点是,救济的有效性比其形式更重要。
政府打算执行这项提议。在改革后的制度下,政府不会具体说明提供救济的形式。相反,在进行充分性评估时,政府将考虑现有救济机制的有效性。
3.替代传输机制
替代传输机制为将个人数据跨境传输到不受充分性决定约束的国家/地区提供了一条途径。许多组织将数据发送到世界各地,并且通常拥有复杂的基础设施来支持此类数据共享。
3.1.适当保障措施的相称性
为了促进安全有效的跨境数据共享,政府提出了修改,以强调在评估替代传输机制风险时相称性的重要性。政府呼吁就支持或指导发表意见,以帮助各组织在使用替代传输机制时评估和减轻与个人数据跨境传输相关的风险。
大多数受访者同意这一提议,指出各组织在使用替代传输机制评估国际传输风险方面面临的挑战。不同意的受访者对数据保护标准下降的风险表示担忧。受访者表示强烈支持在替代传输机制的要求上进行更加清晰的说明和指导。
政府将推进改革,确保数据出口商在使用替代传输机制时能够务实和按比例行事,同时保持对数据主体的高标准保护
3.2.逆向传输
政府提议将“逆向传输”从跨境传输制度的范围中删除。关于这项建议,意见不一。支持者认为,它可以减轻组织不必要的和不相称的负担,而不会对数据保护造成相应的风险。
然而,对于受访者预期的积极影响的程度,意见不一。那些不同意拟议改革的人是基于数据主体权利的潜在风险而提出的。
还有人指出,这项改革将是复杂的,可能不会降低数据控制者的复杂性。政府同意这一评估,因此不会进行立法改革。
3.3.可适应性传输机制
政府提议允许组织创建或确定自己的传输机制。大多数受访者不同意这项提案,理由是这项改革太难使用,可能会对保障传输的要求产生不确定性。一些人对表示担心,认为该提案可能会危及数据保护标准。支持该提案的受访者认为,在某些情况下,这将有助于各组织克服复杂而具体的传输要求。
鉴于该提案缺乏明确的使用案例,政府将不会采用这种方法。
3.4.创建替代性传输机制的权力
政府提议为数字、文化、媒体和体育(Digital,Culture,Media,Sport,“DCMS”)国务大臣创建一项新的权力,即有权创建新的替代传输机制。这将允许国务大臣创建新的英国海外数据传输机制,或在英国法律中承认其他国际数据传输机制,前提是这些机制达到英国法律要求的结果。
关于该提案,人们意见不一,支持互操作性和未来证明的机会,但有些人担心新的传输机制可能无法维持数据保护标准的潜在风险。
政府承认在这个问题上的观点参差不齐,但评估认为,这一改革将有助于为英国的国际传输方式提供未来保障,使英国对国际发展能够做出快速反应。政府打算推进这项改革,并确保新机制必须满足与其他替代传输机制相同的高数据保护标准。
4.英国认证计划
认证计划是自愿的、市场驱动的特定于具体情况的规则框架,根据英国GDPR,可用于证明高标准的合规性,并为国际传输提供适当的保障。它们的特点是在部门或行业层面制定的,定义了涵盖该部门、行业或类似群体范围内特定产品、流程和服务的数据保护规则和实践。
然而,认证计划是复杂的措施,需要大量的时间和资源来设计、实施和维护,并表现出问责制。政府考虑对认证计划框架进行修改,以提供一个更具全球互操作性的市场驱动系统,更好地支持将认证计划用作替代传输机制。
4.1.修订认证计划以提高互操作性
为了促进与更广泛的个人数据保护制度的兼容性,政府提出了两项修改措施:首先,允许通过不同的问责方法(如隐私管理计划)提供认证;其次,澄清英国以外的认证机构可以获得认证来运营英国批准的国际传输计划。
关于这两项提案,意见不一。受访者指出,这些改革可以通过促进更便捷的个人数据流动来使英国企业受益。其他受访者不太确定这些建议是否会使他们或他们的组织直接受益。
支持互操作性对组织很重要。然而,目前的方法仍有更广泛地使用认证的潜力。目前还不清楚拟议的改革是否是实现更大互操作性的最佳方式。政府将考虑其他方法来实现这一目标。
5.减损
磋商规定,目前使用减损的总体方法将保持不变:它们只在必要、且既不充分也不适合其他保障措施的情况下才使用。如咨询这一节所概述的,技术更改可能有助于澄清对使用减损的限制。
磋商规定,目前使用减损的总体方法将保持不变:它们只在必要、且既不充分也不适合其他保障措施的情况下才使用。如咨询这一节所概述的,技术更改可能有助于澄清对使用减损的限制。
5.1.重复使用减损条款
政府提议通过明确规定允许重复使用减损条款,按比例增加使用减损的灵活性。有人反对这项提议,受访者表示担心它可能会对数据主体的权利产生负面影响。支持的人很少,受访者认为这将相应地增加传输的灵活性。政府将不会推行这项改革。
6.进一步的问题
在本章的结尾,政府就任何提案是否会影响任何具有受保护特征的人征求意见。关于任何提案对那些具有受保护特征的提案的影响,没有具体关注,受访者也没有就本章中的问题和主题提出重大问题。
咨询在本章末尾提出了一些开放式问题,供受访者就拟议的改革提供任何其他评论。受访者强调了在这些改革生效时保护人们个人数据的重要性,特别是那些具有受保护特征的数据。保护人们的个人数据已经是英国数据制度的核心,随着政府开始其改革议程,保护将继续如此。
(完)
往期文章:
1.数据跨境流动治理
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
2.全球数据治理观察
作为经济政策的数据治理:中国、欧盟和印度的发展(附报告全文)
3.欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
4.国际数据空间
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
5.数据权属与数据治理之争
6.产业数据治理