英國數據合規概覽

前言

英國現時是中國在歐洲第三大貿易夥伴、第二大投資目的地和第三大外資來源地，中國是英國在亞洲**貿易夥伴[1]。

根據商務部、國家統計局和國家外匯管理局公佈，2018年至2022年間，中國對英投資合作快速增長，國有和民營企業均較為活躍，投資領域從金融、能源等傳統行業向高端製造、基礎設施、資訊科技等領域延伸。 截至2022年底，中國對英直接投資存量193.5億美元[2]。

本文將主要介紹英國現時數據保護立法概況，為中國企業出海英國提供數據保護相關風險防範建議。

一、英國個人數據保護立法概況

自2020年1月31日起，英國正式脫歐，歐盟《通用數據保護條例》（“歐盟GDPR”）不再適用。 相應地，《英國通用數據保護條例》（UK General Data Protection Regulation，“英國GDPR”）自2020年1月1日起實施[3]。 英國GDPR以歐盟GDPR為基礎，並未作實質性修訂。 英國GDPR是英國個人數據保護制度的基礎性法律。

英國GDPR規定了與個人資料處理相關的覈心定義和基本數據保護原則、處理個人數據的合法依據，以及適用於處理英國GDPR範圍內的個人數據的組織和個人的相關責任和義務。 英國GDPR還規定了作為數據主體的自然人的權利，包括獲得法律救濟的權利和與個人數據相關的權利。

2021年9月10日，英國數位、文化、媒體和體育部門宣佈，英國政府正在就英國數據保護框架的改革徵求公眾意見[4]。 在2023年3月，英國議會發佈《數據保護和數字信息2號法案》（Data Protection and Digital Information Bill（No. 2），“2號法案”），旨在修改英國GDPR，預計通過後英國GDPR將與歐盟GDPR存在較大的差异[5]。

英國另一項數據保護領域的關鍵立法是《2018數據保護法》（Data Protection Act 2018）[6]。 《2018數據保護法》於2018年5月25日生效，並在英國脫歐後進行了修訂並於2021年1月1日起實施[7]。

《2018數據保護法》是對英國GDPR的補充，包含了對英國GDPR所規定的數據保護制度的一定限制。 例如，《2018數據保護法》在英國GDPR授權下，可出於公共安全目的或保護司法獨立等正當目的對英國GDPR所規定的數據主體權利進行限制。 《2018數據保護法》還包含英國GDPR的適用範圍以外的個人資料處理活動相關的規定，包括政府出於任何執法目的對個人數據的處理[8]； 以及特定情報機構對個人數據的處理[9]。

除了英國GDPR和《2018數據保護法》，英國其他資料安全相關法規包括《2018電信（安全）法》（Telecommunications（Security）Act 2021）[10]、《隱私和電子通訊法規》（Privacy and Electronic Communications Regulations）[11]等。

二、英國個人數據保護主要制度

（一）域外效力

英國GDPR和《2018數據保護法》均具有域外效力。 除了適用於設立在英國境內的個人數據控制者和個人資料處理者的個人資料處理活動（無論該活動是否發生在英國）[12]，在以下情形下，亦適用於英國境外設立的個人數據控制者或個人數據處理者的個人資料處理活動：

（1）向英國境內的數據主體提供產品或服務； 或

（2）監控數據主體在英國境內的行為[13]。

（二）個人數據的含義

英國GDPR和《2018數據保護法》並未改變歐盟GDPR的關鍵定義。 其中，個人數據是指任何與一個已識別或可識別的自然人關聯的資訊，但不包括與已故自然人有關聯的資訊[14]。

英國GDPR對於特殊類型（special categories）個人數據賦予了較多保護。 個人數據控制者和處理者處理種族或民族出身、政治觀點、宗教或哲學信仰或工會會員資格的個人數據，以及為**識別自然人而處理遺傳數據、生物特徵數據、有關健康的數據或有關自然人性生活或性取向的數據時，應取得數據主體的明示同意[15]。 《2018數據保護法》更是以專門附錄詳細規定了個人數據控制者和處理者在處理特殊類型個人數據時應遵循的法律要求和限制[16]。

（三）個人數據控制者和處理者的主要義務

與歐盟GDPR類似，個人數據控制者和處理者的義務貫穿整個英國GDPR，涵蓋遵守個人資料處理的基本原則、具備處理個人數據的合法性基礎、保護個人數據、採取默認隱私保護策略等。

原則上，處理個人數據應當取得數據主體的同意，除非具備以下其他合法性基礎之一：

（1）為達成或履行數據主體作為一方當事人的契约所必需；

（2）為履行個人資訊控制者的法定義務所必需；

（3）為保護數據主體或其他自然人的重要利益所必需；

（4）為履行公眾利益而執行的任務或為行使賦予個人數據控制者的官方權力所必需；

（5）處理對於個人數據控制者或協力廠商追求的合法利益是必要的，除非這些利益次於被需要保護個人數據的數據主體的利益或基本權利和自由，特別是當數據主體是兒童時[17]。

除此之外，個人數據控制者和個人資料處理者也需履行其他各項個人數據保護義務，包括遵守個人資料處理的基本原則[18]、採取與處理風險所匹配的安全措施[19]、採取默認隱私保護策略[20]、開展數據保護影響評估[21]、向數據主體和英國資訊專員辦公室（Information Commissioner’s Office，ICO）通知安全事件[22]等。

（四）注册制

《2018數據保護法》要求所有個人數據控制者應當在ICO注册，並繳納年度費用，除非他們符合豁免情形[23]。

《2018年數據保護（收費和信息）法規》（The Data Protection（Charges and Information）Regulations 2018）[24]根據個人數據控制者處理個人數據的潛在風險，進一步規定了收費等級，不同等級的收費金額取决於員工人數、年營業額、組織規模、組織類型（例如企業、公共機构、慈善機構或職業終身俸計畫為不同類型組織）[25]。 若個人數據控制者的所有個人資料處理活動均為豁免繳納費用的情形，則個人數據控制者無需繳納該筆費用，豁免情形包括為純粹為個人、家庭目的處理個人數據，或是在公共場所攝像等多種情形[26]。

若個人數據控制者未足額支付費用，最高可被處以該組織當年應繳納費用的150%的罰款[27]。

（五）數據保護負責人

根據英國GDPR，如果符合以下任一情形，個人數據控制者或處理者應當任命一名數據保護官：

（1）數據控制者或處理者是一個公共權力機构；

（2）其覈心個人資料處理活動需要對數據主體進行定期和系統性的大規模監控；

（3）其覈心個人資料處理活動包括大規模處理特殊類型個人數據[28]。

企業集團可以任命一名數據保護官負責多個法律實體，前提是每個企業都能較容易聯絡到該數據保護官[29]。 數據保護官應當具備數據保護法律和實踐的專業知識[30]。 英國GDPR允許企業聘用協力廠商企業的人員擔任數據保護官[31]。 個人數據控制者和處理者必須確保數據保護官恰當和及時地參與與個人數據保護有關的所有問題，直接向最高管理層報告，並且不得因執行數據保護官職責而被解雇或處罰[32]。

數據保護官的主要職責包括就英國數據保護法律規定提供建議與提醒、監督組織的數據合規情况、開展員工培訓、建議並監督數據保護影響評估、以及作為聯絡人與監管機构溝通[33]。

（六）數據保護監管機构

英國的專門數據保護首長機构為ICO，負責基於公共利益維護數據主體的隱私權利、促進資訊公開、監督數據保護法規的執行、接受數據主體的投訴、以及製定數據保護法規的解讀指南與具體政策檔案等[34]。

《2018數據保護法》進一步細化了ICO的執法權利，包括要求個人數據控制者或處理者向ICO提供資訊，開展合規性評估，下達命令要求個人數據控制者或處理者採取或不採取某些行為，以及處以行政罰款[35]。

ICO的處罰形式包括譴責（reprimands）、命令（enforcement notice）、罰款（monetary penalties）、起訴（prosecution）等[36]。 截至2024年9月13日，在ICO公佈的166項處罰中，ICO對43個組織處以罰款，罰款金額最高達2000萬英鎊（約合人民幣1.86億元）[37]。

（七）處罰措施

英國GDPR對個人數據控制者和個人資料處理者的違法行為規定了兩檔處罰幅度：

（1）對於違反個人數據控制者和個人資料處理者的某些合規義務的違法行為，最高罰款為870萬英鎊（約合人民幣8100萬元），或者是企業上一財政年度全球年營業額的2%，以較高者為准；

（2）對於違反英國GDPR所規定的覈心數據保護義務的違法行為，最高罰款為1750萬英鎊（約合人民幣1.63億元），或者是企業上一財政年度全球年營業額的4%，以較高者為准[38]。

（八）個人數據主體行權

英國GDPR為個人數據主體維護其個人數據相關權益提供了多種路徑。 若個人數據主體因個人數據控制者或處理者違反英國GDPR而遭受“物質或非物質損害”，則其有權向個人數據控制者或處理者主張賠償。 這意味著即便個人數據主體遭受“非物質損害”，其仍可以主張經濟賠償[39]。 個人數據主體可以授權消費者保護機构代表他們行使權利和提出索賠[40]。 個人數據主體還可以向ICO提出投訴[41]，若其對ICO的决定存在抗告，也可以尋求司法救濟[42]。 此外，個人數據主體可以針對個人數據控制者或處理者的違法行為尋求各類有效法律救濟（例如司法救濟）[43]。

（九）通過電子管道行銷

電子行銷活動往往涉及使用個人數據，英國GDPR適用於大多數電子行銷活動。 根據引言第47條，電子行銷活動中，最合理的處理個人數據的合法性基礎是同意或者出於個人數據控制者的合法利益。

英國GDPR嚴格的同意標準對電子行銷活動提出了挑戰。 英國GDPR要求，收集同意時需個人作出明確同意，用語表述需包含明確的選擇機制（例如勾選未勾選的同意框，或簽署聲明），而不是僅僅接受條款和條件，或同意訪問網站等行為暗示的同意[44]。 英國GDPR還規定個人數據控制者或處理者應當保障個人數據主體有權無條件拒絕直接行銷（即針對個人發送行銷活動通知）[45]。

《2003年隱私和電子通信條例》（The Privacy and Electronic Communications（EC Directive）Regulations 2003，“PEC條例”）[46]規定了電子行銷的具體規則。 PEC條例源於歐盟的電子隱私指令（Directive 2002/58/EC ePrivacy Directive），在英國脫歐後得以保留。

PEC條例禁止在未經收件人同意的情况下使用自動呼叫系統[47]。 該條例亦禁止未經消費者事先同意而以直接行銷為目的開展電子通訊，例如發送郵件或簡訊，除非消費者在採購行銷活動所涉的產品或服務過程中提供了相關聯繫方式，並且行銷者必須提供“選擇退出”途徑[48]。 這些要求只適用於個人消費者，而不適用於公司訂閱者[49]。 在發送電子行銷通知時，PEC條例要求發送者必須真實地披露發送者身份，以及提供取消訂閱選項[50]。

三、英國個人數據跨境監管制度

與歐盟GDPR類似，英國GDPR並無數據當地語系化存儲要求，而要求在具備一定前提條件或數據安全保障機制的情况下，才可跨境傳輸個人數據[51]。 英國GDPR允許個人數據跨境傳輸的前提條件為目的地國家或地區已獲得充分性認定（Adequacy decision），或跨境傳輸具備適當的保障機制（appropriate safeguards）。

（一）充分性認定

英國GDPR承認歐盟GDPR的充分性認定結果。 在此基礎上，英國自身還由其內政大臣（Secretary of State for the Home Department）負責發佈其他充分性認定結果[52]。 現時，以下國家或地區或組織被認為具備充分的個人資訊保護水准，可以在不需要進一步保障的情况下從英國傳輸個人數據：

（1）歐洲經濟區成員國；

（2）歐盟或歐洲經濟區的機构、團體、辦事處或代理機构；

（3）直布羅陀海峽；

（4）歐盟委員會全面充分性認定涵蓋的國家、地區或組織；

（5）受歐盟委員會部分充分性認定涵蓋的國家、地區或組織（例如歐盟委員會給予充分性認定的日本私營組織）； 和

（6）英國的充分性認定涵蓋的國家、地區或組織。 截至本文發稿日，包括韓國[53]和美國[54]（**將個人數據轉移給根據修訂的歐盟-美國隱私框架安排所制訂的數據隱私框架名單上的美國人士）[55]。

（二）適當的保障機制

除了目的國或地區通過了充分性認定以外，若存在適當的保障機制，亦允許從英國向境外傳輸個人數據[56]。 適當的保障機制包括：

（1）公共當局或機构之間具有法律約束力且可執行的文書；

（2）根據英國GDPR第47條規定的具有約束力的公司規則（Binding Corporate Rules，BCR）；

（3）內政大臣根據《2018數據保護法》**7C條製定的法規中指定的標準數據保護條款；

（4）ICO根據《2018數據保護法》**19A條發佈的檔案中指定的標準數據保護條款；

（5）根據英國GDPR第40條經準予的行為準則（以及採取適當保護措施的具有約束力且可執行的承諾）； 或者

（6）根據英國GDPR第42條經準予的認證機制（以及採取適當保護措施的具有約束力且可執行的承諾）[57]。

就上述標準數據保護條款，ICO已根據英國GDPR等法律條文於2022年3月21日發佈了兩項標準合同性質的檔案，其一是《國際數據傳輸協議》（International Data Transfer Agreement，簡稱為“IDTA”），又被稱為英國版SCC[58]； 其二是《歐盟委員會標准合同條款國際數據傳輸附件》（International Data Transfer Addendum to the EU Commission Standard Contractual Clauses）[59]。 後者的主要目的是在英國脫歐後附在原歐盟SCC之後，並將契约管轄權收歸英國。 此外，ICO還發佈了風險評估範本，當風險評估過高時，雙方在簽署IDTA時應填寫IDTA附件二的額外保護條款[60]。

（三）例外情形

若不具備充分性認定或適當的保障機制，在某些情形下，英國GDPR也允許跨境傳輸個人數據。 這些例外情形包括：

（1）向數據主體充分告知目的地不存在充分性認定或適當的保障機制以及所帶來的風險後，數據主體明確同意跨境傳輸；

（2）為履行數據主體作為當事人的契约所必需，或者是應數據主體的要求在履行契约前所需的措施；

（3）對於數據控制者與另一自然人或法人之間為了數據主體的利益而簽訂或履行契约而言，跨境傳輸是必需的；

（4）為公共利益的重要原因所必需；

（5）為確立、行使或者抗辯索賠所必需；

（6）為了保護數據主體的切身利益所必需，且數據主體出於身體或法律上的原因無法同意；

（7）在英國法允許範圍內，具有合法利益的公眾從用於向公眾提供資訊的登記册査詢資訊所發生的跨境傳輸[61]。

（四）歐盟向英國傳輸數據

脫歐後，英國對於歐盟屬於第三國。 囙此，對於從歐盟向英國傳輸的個人數據，需具備GDPR規定的前置條件方可進行。 2021年6月28日，歐盟通過了與英國相關的充分性决定，承認英國提供了與歐盟同等水准的個人數據保護。 這使得個人數據可以較為便捷地從歐盟流向英國[62]。

結語

儘管英國已經於2020年1月31日正式脫歐，但英國的數據保護體系仍沿用了歐盟GDPR的絕大部分制度設計。 其關鍵定義、數據保護原則、數據控制者和處理者的義務、行政處罰機制等與歐盟GDPR相似。 不過，英國的2號法案已經進入上議院審議階段，若未來該法案通過，可能較大改變英國數據保護法律要求，使其與歐盟GDPR產生不小差异。 囙此，我們建議擬出海英國的中國企業持續關注英國數據保護法律法規的規定與變化，確保個人資料處理活動符合英國法律法規要求，並建立相應的境外數據保護體系。