会员服务 登录 注册
×
资讯活动

观点 | 英国新数据保护法案介绍与分析

发布时间:2017-08-16 来源:金属加工

  2017年8月7日,英国数字、文化媒体和体育部发布了一份名为《新的数据保护法案:我们的改革》的报告(以下简称“报告”),将通过一部新的数据保护法案(New Data Protection Law)以更新和强化数字经济时代的个人数据保护。根据英国的立法体系,该法案目前还是一项新的法律计划(Bill),但在议会两院通过并经女王御准后就会正式成为具有强制力的议会法令(Act),预计将取代实施了近二十年的《1998年数据保护法》。

  一、法案提出的背景

  据该部部长MattHancock先生介绍,在过去的近二十年里,原有的《1998年数据保护法》发挥了重要的作用,但技术和社会发展都在不断变化,特别是物联网、社交媒体等技术和应用产生了越来越多的数据。与此同时,数据收集、存储、处理成本的降低以及计算能力的增强使得数据成为了重要的原材料,这些伴随而来的新机会深刻影响并改变了创新、商业、消费服务等方方面面的活动,也进一步增加了数据安全威胁。因此,对个人数据的保护也应该与时俱进。

  报告同时指出,新数据保护法案的推出也是为支持和推动英国数字经济发展的需要。根据波士顿咨询公司(BCG)的数据显示,英国是G20国家中互联网经济(Internet Economy)渗透率最高的国家,2016年互联网经济占GDP的比重达到了12.4%,是G20国家平均值5.3% 的两倍多。[1]英国政府的目标是要将英国打造成最安全的开展在线商业活动的国家,数字经济的发展推动个人数据不断增长,而对个人数据保护的水平也应该同步提高。

  除此之外,推出新的数据保护法案也是为了配合欧盟将于2018年5月正式实施的《通用数据保护条例》(GDPR)。虽然英国在2016年6月23日公投脱欧,但目前并未完成退欧的法定程序,英国仍然还是欧盟的成员,依法享有欧盟成员国的权利和义务。因此,制度新数据保护法案也是欧盟GDPR在英国落地的需要。

  二、法案的目标和主要内容

  报告指出,新的数据保护法案旨在营造一个最好的、最安全的在线生活和商业环境,并致力于实现以下三大目标:

  一是维持可信。为使英国经济和社会能最大程度地从数据创新中获益,公众需要知道其个人数据是安全且被合理利用的,报告要求有关机构在使用个人信息时严格保密。

  二是推动未来贸易发展。报告指出,数据跨境流动能力对一国未来经济运行至关重要,新的数据保护法案致力于推动英国与欧盟及其他国家之间数据流动最大化。

  三是确保安全。新的法案将采取措施应对各种犯罪行为的威胁,促进各国司法机构之间的数据共享与安全合作等,以确保安全。

  从内容上来看,新的法案计划在保留原有《数据保护法》框架的基础上进一步提升个人数据保护水平,主要包括了四大方面的变化:

  首先,进一步强化了对个人的保护,新法案将给予公民更多的个人信息控制权。一是在“知情-同意”制度方面,个人“同意”的更加严格,并增加了若干新的条件,例如要求同意必须是“明确且易于撤销的”。特别是当处理个人敏感数据时,“同意”必须非常明确。二是在个人数据获取方面,新法案将使个人更加容易向数据控制者要求披露与其相关的数据,并且不得收费。三是规定了数据可携权,新法案将允许消费者在不同服务提供者之间转移自己的数据,例如用户有权将自己在邮件或其他存储服务提供者中的数据进行转移。四是规定了被遗忘权,个人将有权要求擦除其个人数据,该规则也允许个人要求社交媒体平台删除其同年时期所发布的个人信息,在某些特定条件下,个人还可要求社交平台删除其曾发布所有信息。五是对用户画像的规定,对于基于自动处理其数据而做出决定行为,个人将有更大的发言权。

  其次,完善了对企业利益的保护。报告指出,《1998年数据保护法》对公、私企业都规定了诸多要求,新法案将对这些要求进行修改和完善以反映数字经济发展的需要,帮助企业更好地保护个人数据,提升企业的声誉和业务。

  再次,增加对监管机构ICO的授权。英国个人数据保护机构信息专员办公室(ICO)将获得更多的权力来维护消费者利益,包括调查权、民事处罚权、刑事追责,强化对违法行为举报人的保护,并对最严重的违规行为进行高达1700万英镑或全球营业额4%的罚款。

  最后,为刑事司法机构设定了专门的数据保护框架。新法案考虑到刑事司法机构为处理惩治犯罪行为而需要收集、使用、分享数据和信息的情形,为其量身定做了出于执法目的而处理数据的框架。

  三、分析与启示

  新的数据保护法案是英国发展数字经济顶层设计中的重要举措。2017年3月1日,英国政府重磅发布了《英国数字战略》,对未来在脱欧后英国打造世界领先的数字经济和全面推进数字转型做出了全面而周密的部署,要求释放数据在英国经济中的潜力,提高公众对数据使用的信心。数字经济发展的基础和核心是数据,而如何在确保个人数据充分保护的前提下推动数据创新是英国重点考虑的问题。《1998年数据保护法》制定时的所面临的社会、科技、经济环境早已发生天翻地覆的变化,特别是基于数据创新的需求不断增长,其中某些规定已经不适应当前发展的需要了。因此,一部数字经济时代的数据保护法案呼之欲出。

  需要注意的,新的数据保护法案不仅是《英国数字战略》的要求,也是英国政府在大数据时代强化个人数据保护的重要变革,更是对欧盟2016年个人数据保护改革结果的呼应。从新法案的内容来看,一方面,新法案在更大程度上赋予了个人对数据控制的权利,在强化原有“知情同意”、“数据获取权”等个人数据权利的基础上,新增加了数据可携权、被遗忘权两项权利以及用户画像的规定;另一方面,法案基本吸纳了欧盟GDPR中新增的内容,例如几项个人数据权利、大幅提高了违法行为的罚款额度,从而与欧盟规定接轨。

  当前,我国数字经济发展非常迅速,《中国数字经济发展白皮书(2017年)》显示,2016年我国数字经济规模达到了22.6万亿元,但市场发展显著领先于制度规范,法律政策建设相对滞后,数字经济新兴业态的发展同现有法律滞后性的矛盾越发突出,部分业务领域存在立法空白,给行业发展带来极大的不确定性。2017年7月12日,国务院常务会议提出要制定发布促进数字经济发展战略纲要。

  英国的经验告诉我们,为保障和促进数字经济持续健康发展,一方面要鼓励基于数据的经济创新发展,另一方面要对数据提供必要的保护,确保其安全,被恰当地利用。目前,我国个人信息(数据)保护主要以刑事打击为主,且力度在不断加大,对基于数字创新发展带来了一定的影响。未来,我国个人信息保护的主要路径还是应该建立在一部专门的《个人信息保护法》基础之上,综合运用民事、行政和刑事等多种手段,充分保护公民个人数据安全,也保障和促进我国数字经济健康持续发展。

  [1] The Internet Now Contributes 10 Percent of GDP to the UK Economy,Surpassing the Manufacturing and Retail Sectors:https://www.bcg.com/d/press/1may2015-internet-contributes-10-percent-gdp-ukeconomy-12111

  本文原载于CAICT互联网法律研究中心微信公众号。