英國:數據也要脫歐擺脫GDPR的嚴格和繁冗
提高英國對科技和創新的吸引力是保守黨爭取脫歐的論題之一,這一目標同樣體現在英國的國家數據戰略中。該戰略旨在重新將國家立法的重點放在數據上,將數據作為經濟增長的機會和驅動力。英國脫歐之後,該戰略成為英國的全球數據計劃。該計劃闡述了想讓英國成為“科技超級大國”的雄心壯志,提出與主要國際合作夥伴建立全球數據夥伴關係的目標,並就新的數據制度進行磋商。
英國的數據改革計劃引起歐盟方面的擔憂,歐盟擔心這可能導致歐盟的個人數據被轉移到隱私標準不完善的第三國。
2022年5月10日,英國查爾斯王子代表伊麗莎白女王發表“女王議會演講”,其中包括有望在新的一年獲得通過的38部法案,《數據改革法案》(Data Reform Bill)便是其中之一。
這項旨在指導英國偏離歐盟隱私立法的法案,將用於改革英國現有的《通用數據保護條例》(GDPR)和《數據保護法》(Data Protection Act)。
目前,英國的數據保護法借鑒了歐盟的《通用數據保護條例》(GDPR)。然而,它對過去監管的整體複雜性表示失望。在英國脫歐之後,立法者正在抓住機會創建他們所謂的更加註重結果和靈活的數據保護製度。
一、背景:擺脫GDPR的嚴格和繁冗
數據是當前世界上最重要的資源之一,它在推動全球經濟發展的同時,推動了科學和創新及種種技術變革。英國政府脫離歐盟後,將有權建立一個全新的數據制度,用以造福英國公民和英國企業,同時保持高標準的數據保護。
女王演講的新聞簡報提供了數據保護改革背後的目的和目標的關鍵信息,但目前還沒有關於實際立法的細節。
英國政府已將英國脫歐視為擺脫嚴格和繁重的GDPR制度的機會。英國此前就曾表達對歐盟數據監管的不滿,同時也表現出建立更好框架的意圖。
特別是,首相鮑里斯·約翰遜的立法目標是提供一個“促進增長和值得信賴”的框架,該框架不會像現行法律那樣鼓勵不必要的文書工作,也不會給企業增加過多的“負擔”。
英國政府希望採取一些立法干預措施,發展英國GDPR制度,使其更適合21世紀和數字/數據經濟,最終目標則在於建立一個更加有利於增長和創新的數據制度,同時保持英國世界領先的數據保護標準。
二、英國數據改革看重“結果”,為企業減負
女王議會演講的總結部分以提綱挈領的方式闡述了製定《數據改革法案》的目的:
減輕企業數據合規負擔:通過減輕英國組織在數據方面面臨的負擔來提高英國組織的競爭力和效率,包括“創建一個專注於隱私結果而不是單選題的數據保護框架”,研究規則和研究中使用的數據也將被“簡化”,從而幫助科學家創新,並且提高英國民眾的生活水平。
提高信息專員辦公室(Information Commissioner’s Office)現代化水平:賦予ICO 對違規者採取更強有力的行動的權力和能力,使其對議會和公眾更加負責。
賦予公民權力:通過“智能數據計劃”(Smart Data Schemes),適當擴大對醫療和社保數據的使用,並有效地提供公共醫療保健、安全和政府服務,賦予公民和小型企業更多控制其數據的權力,並且幫助那些需要醫療救助的人群。
監管環境:政府的目標是為個人數據創造一個“更清晰”的監管環境,他們稱這將“推動科學進步”並產生“負責任的創新”。此外,該法案旨在確保監管機構對違反數據權利的組織“採取適當行動”。
此外,演講的總結部分還指出,鑑於部分措施僅擴展和應用至英格蘭和威爾士地區,因此《數據改革法案》的應用主要是在英國領土範圍內。
演講列舉了一些推動數據保護改革的關鍵事實,例如,數字、文化、媒體和體育部開展有關分析,根據分析報告,通過減輕企業的各種負擔,這些改革一年內為企業節省的費用超過10億英鎊。
三、英國數據改革可能與GDPR衝突導致負面後果
早在2020年12月,英國政府提出國家數據戰略,闡述其通過減輕技術創新者和數字企業家的行政負擔來釋放數據價值和促進負責任增長的目標。該戰略引發了有關英國的新數據政策可能違背歐盟《通用數據保護條例》的擔憂。
GDPR對歐盟內部的公司設置了非常高的數據保護門檻。
2021年7月,歐盟委員會針對英國數據保護,通過基於GDPR和《執法指令》(LED)的充分性決定,正式給予英國訪問歐盟數據的充分性地位。這證明與歐盟隱私標準相比,英國的法律框架提供了足夠的保障。
目前,數據的自由流動是基於歐盟和英國去年簽署的協議。這也意味著,至少未來4年內,個人數據可以自由地在歐盟和英國之間流動。
然而,對現狀的任何改變都將導致對該協議的審查。如果沒有此類保護,數據將無法在歐盟和其他相關國家之間自由流動。歐盟的理由是,這可以確保歐盟公民數據的安全。
英國毫不掩飾建立其他跨境數據流合作夥伴關係的野心,並且指出,澳大利亞、哥倫比亞、迪拜國際金融中心、韓國、新加坡和美國將是它們的首要考慮。英國還計劃在長期內與巴西、印度、印度尼西亞和肯尼亞達成夥伴關係。
這些優先名單引起歐盟的關注,因為澳大利亞、新加坡和美國等國家的隱私保護標準距離GDPR還很遠。因此,歐盟擔心,英國可能造成將歐盟數據主體的個人數據轉移到沒有足夠保護措施的司法管轄區的情形。
有鑑於此,歐盟委員會決定,允許委員會在英國政策發生重大變化時推翻這一決定。
例如,“日落條款”,該條款將使數據充分性決定在2024年自動失效,屆時是否續期將取決於英國是否可以維持相當的隱私標準。
英國在與歐盟續簽充分性協議之前做的調整越大,危險信號和風險就越大。
有關研究指出,失去數據充分性認定,可能導致英國公司的相關成本總額達到16億英鎊,這主要來自與標準合同條款替代轉移機制相關的行政和法律費用。
歐盟的充分性決定並不是需要在第三國製定相同的規則,而是要求基本相似的數據保護結果。失去在歐盟的充分性地位可能降低英國對科技企業家的吸引力。根據下議院的一項研究,43%的大型歐盟科技公司是在英國創辦的,英國75%的跨境數據來自歐盟國家。
也有英國數據合規專業機構認為,根據政府在數據改革法案中承諾的方法,當前的合規模式可能不需要徹底改革,但可能意味著英國組織可以適應採用更靈活的數據保護合規方法。