英国数据也要脱欧
提高英国对科技和创新的吸引力是保守党争取脱欧的论题之一,这一目标同样体现在英国的国家数据战略中。该战略旨在重新将国家立法的重点放在数据上,将数据作为经济增长的机会和驱动力。
英国脱欧之后,该战略成为英国的全球数据计划。该计划阐述了想让英国成为“科技超级大国”的雄心壮志,提出与主要国际合作伙伴建立全球数据伙伴关系的目标,并就新的数据制度进行磋商。
英国的数据改革计划引起欧盟方面的担忧,欧盟担心这可能导致欧盟的个人数据被转移到隐私标准不完善的第三国。
2022年5月10日,英国查尔斯王子代表伊丽莎白女王发表“女王议会演讲”,其中包括有望在新的一年获得通过的38部法案,《数据改革法案》(Data Reform Bill)便是其中之一。
这项旨在指导英国偏离欧盟隐私立法的法案,将用于改革英国现有的《通用数据保护条例》(GDPR)和《数据保护法》(Data Protection Act)。
目前,英国的数据保护法借鉴了欧盟的《通用数据保护条例》(GDPR)。然而,它对过去监管的整体复杂性表示失望。在英国脱欧之后,立法者正在抓住机会创建他们所谓的更加注重结果和灵活的数据保护制度。
一、背景:摆脱GDPR的严格和繁冗
数据是当前世界上最重要的资源之一,它在推动全球经济发展的同时,推动了科学和创新及种种技术变革。英国政府脱离欧盟后,将有权建立一个全新的数据制度,用以造福英国公民和英国企业,同时保持高标准的数据保护。
女王演讲的新闻简报提供了数据保护改革背后的目的和目标的关键信息,但目前还没有关于实际立法的细节。
英国政府已将英国脱欧视为摆脱严格和繁重的GDPR制度的机会。英国此前就曾表达对欧盟数据监管的不满,同时也表现出建立更好框架的意图。
特别是,首相鲍里斯·约翰逊的立法目标是提供一个“促进增长和值得信赖”的框架,该框架不会像现行法律那样鼓励不必要的文书工作,也不会给企业增加过多的“负担”。
英国政府希望采取一些立法干预措施,发展英国GDPR制度,使其更适合21世纪和数字/数据经济,最终目标则在于建立一个更加有利于增长和创新的数据制度,同时保持英国世界领先的数据保护标准。
二、英国数据改革看重“结果”,为企业减负
女王议会演讲的总结部分以提纲挈领的方式阐述了制定《数据改革法案》的目的:
减轻企业数据合规负担:通过减轻英国组织在数据方面面临的负担来提高英国组织的竞争力和效率,包括“创建一个专注于隐私结果而不是单选题的数据保护框架”,研究规则和研究中使用的数据也将被“简化”,从而帮助科学家创新,并且提高英国民众的生活水平。
提高信息专员办公室(Information Commissioner’s Office)现代化水平:赋予 ICO 对违规者采取更强有力的行动的权力和能力,使其对议会和公众更加负责。
赋予公民权力:通过“智能数据计划”(Smart Data Schemes),适当扩大对医疗和社保数据的使用,并有效地提供公共医疗保健、安全和政府服务,赋予公民和小型企业更多控制其数据的权力,并且帮助那些需要医疗救助的人群。
监管环境:政府的目标是为个人数据创造一个“更清晰”的监管环境,他们称这将“推动科学进步”并产生“负责任的创新”。此外,该法案旨在确保监管机构对违反数据权利的组织“采取适当行动”。
此外,演讲的总结部分还指出,鉴于部分措施仅扩展和应用至英格兰和威尔士地区,因此《数据改革法案》的应用主要是在英国领土范围内。
演讲列举了一些推动数据保护改革的关键事实,例如,数字、文化、媒体和体育部开展有关分析,根据分析报告,通过减轻企业的各种负担,这些改革一年内为企业节省的费用超过10亿英镑。
三、英国数据改革可能与GDPR冲突导致负面后果
早在2020年12月,英国政府提出国家数据战略,阐述其通过减轻技术创新者和数字企业家的行政负担来释放数据价值和促进负责任增长的目标。该战略引发了有关英国的新数据政策可能违背欧盟《通用数据保护条例》的担忧。
GDPR对欧盟内部的公司设置了非常高的数据保护门槛。
2021年7月,欧盟委员会针对英国数据保护,通过基于GDPR和《执法指令》(LED)的充分性决定,正式给予英国访问欧盟数据的充分性地位。这证明与欧盟隐私标准相比,英国的法律框架提供了足够的保障。
目前,数据的自由流动是基于欧盟和英国去年签署的协议。这也意味着,至少未来4年内,个人数据可以自由地在欧盟和英国之间流动。
然而,对现状的任何改变都将导致对该协议的审查。如果没有此类保护,数据将无法在欧盟和其他相关国家之间自由流动。欧盟的理由是,这可以确保欧盟公民数据的安全。
英国毫不掩饰建立其他跨境数据流合作伙伴关系的野心,并且指出,澳大利亚、哥伦比亚、迪拜国际金融中心、韩国、新加坡和美国将是它们的首要考虑。英国还计划在长期内与巴西、印度、印度尼西亚和肯尼亚达成伙伴关系。
这些优先名单引起欧盟的关注,因为澳大利亚、新加坡和美国等国家的隐私保护标准距离GDPR还很远。因此,欧盟担心,英国可能造成将欧盟数据主体的个人数据转移到没有足够保护措施的司法管辖区的情形。
有鉴于此,欧盟委员会决定,允许委员会在英国政策发生重大变化时推翻这一决定。
例如,“日落条款”,该条款将使数据充分性决定在2024年自动失效,届时是否续期将取决于英国是否可以维持相当的隐私标准。
英国在与欧盟续签充分性协议之前做的调整越大,危险信号和风险就越大。
有关研究指出,失去数据充分性认定,可能导致英国公司的相关成本总额达到16亿英镑,这主要来自与标准合同条款替代转移机制相关的行政和法律费用。
欧盟的充分性决定并不是需要在第三国制定相同的规则,而是要求基本相似的数据保护结果。失去在欧盟的充分性地位可能降低英国对科技企业家的吸引力。根据下议院的一项研究,43%的大型欧盟科技公司是在英国创办的,英国75%的跨境数据来自欧盟国家。
也有英国数据合规专业机构认为,根据政府在数据改革法案中承诺的方法,当前的合规模式可能不需要彻底改革,但可能意味着英国组织可以适应采用更灵活的数据保护合规方法。