英国目前是中国在欧洲第三大贸易伙伴、第二大投资目的地和第三大外资来源地,中国是英国在亚洲最大贸易伙伴。
根据商务部、国家统计局和国家外汇管理局公布,2018年至2022年间,中国对英投资合作快速增长,国有和民营企业均较为活跃,投资领域从金融、能源等传统行业向高端制造、基础设施、信息科技等领域延伸。截至2022年底,中国对英直接投资存量193.5亿美元。
本文将主要介绍英国目前数据保护立法概况,为中国企业出海英国提供数据保护相关风险防范建议。
01
英国个人数据保护立法概况
自2020年1月31日起,英国正式脱欧,欧盟《通用数据保护条例》(“欧盟GDPR”)不再适用。相应地,《英国通用数据保护条例》(UK General Data Protection Regulation,“英国GDPR”)自2020年1月1日起实施 [3]。英国GDPR以欧盟GDPR为基础,并未作实质性修订。英国GDPR是英国个人数据保护制度的基础性法律。
英国GDPR规定了与个人数据处理相关的核心定义和基本数据保护原则、处理个人数据的合法依据,以及适用于处理英国GDPR范围内的个人数据的组织和个人的相关责任和义务。英国GDPR还规定了作为数据主体的自然人的权利,包括获得法律救济的权利和与个人数据相关的权利。
2021年9月10日,英国数字、文化、媒体和体育部门宣布,英国政府正在就英国数据保护框架的改革征求公众意见 [4]。在2023年3月,英国议会发布《数据保护和数字信息2号法案》(Data Protection and Digital Information Bill (No. 2),“2号法案”),旨在修改英国GDPR,预计通过后英国GDPR将与欧盟GDPR存在较大的差异 [5]。
英国另一项数据保护领域的关键立法是《2018数据保护法》(Data Protection Act 2018)[6]。《2018数据保护法》于2018年5月25日生效,并在英国脱欧后进行了修订并于2021年1月1日起实施 [7]。
《2018数据保护法》是对英国GDPR的补充,包含了对英国GDPR所规定的数据保护制度的一定限制。例如,《2018数据保护法》在英国GDPR授权下,可出于公共安全目的或保护司法独立等正当目的对英国GDPR所规定的数据主体权利进行限制。《2018数据保护法》还包含英国GDPR的适用范围以外的个人数据处理活动相关的规定,包括政府出于任何执法目的对个人数据的处理 [8];以及特定情报机构对个人数据的处理 [9]。
除了英国GDPR和《2018数据保护法》,英国其他数据安全相关法规包括《2018电信(安全)法》(Telecommunications (Security) Act 2021)[10]、《隐私和电子通讯法规》(Privacy and Electronic Communications Regulations)[11] 等。
02
英国个人数据保护主要制度
1. 域外效力
英国GDPR和《2018数据保护法》均具有域外效力。除了适用于设立在英国境内的个人数据控制者和个人数据处理者的个人数据处理活动(无论该活动是否发生在英国)[12],在以下情形下,亦适用于英国境外设立的个人数据控制者或个人数据处理者的个人数据处理活动:
(1)向英国境内的数据主体提供产品或服务;或
(2)监控数据主体在英国境内的行为 [13]。
2. 个人数据的含义
英国GDPR和《2018数据保护法》并未改变欧盟GDPR的关键定义。其中,个人数据是指任何与一个已识别或可识别的自然人关联的信息,但不包括与已故自然人有关联的信息 [14]。
英国GDPR对于特殊类型(special categories)个人数据赋予了较多保护。个人数据控制者和处理者处理种族或民族出身、政治观点、宗教或哲学信仰或工会会员资格的个人数据,以及为唯一识别自然人而处理遗传数据、生物特征数据、有关健康的数据或有关自然人性生活或性取向的数据时,应取得数据主体的明示同意 [15]。《2018数据保护法》更是以专门附录详细规定了个人数据控制者和处理者在处理特殊类型个人数据时应遵循的法律要求和限制 [16]。
3. 个人数据控制者和处理者的主要义务
与欧盟GDPR类似,个人数据控制者和处理者的义务贯穿整个英国GDPR,涵盖遵守个人数据处理的基本原则、具备处理个人数据的合法性基础、保护个人数据、采取默认隐私保护策略等。
原则上,处理个人数据应当取得数据主体的同意,除非具备以下其他合法性基础之一:
(1)为达成或履行数据主体作为一方当事人的合同所必需;
(2)为履行个人信息控制者的法定义务所必需;
(3)为保护数据主体或其他自然人的重要利益所必需;
(4)为履行公众利益而执行的任务或为行使赋予个人数据控制者的官方权力所必需;
(5)处理对于个人数据控制者或第三方追求的合法利益是必要的,除非这些利益次于被需要保护个人数据的数据主体的利益或基本权利和自由,特别是当数据主体是儿童时 [17]。
除此之外,个人数据控制者和个人数据处理者也需履行其他各项个人数据保护义务,包括遵守个人数据处理的基本原则 [18]、采取与处理风险所匹配的安全措施 [19]、采取默认隐私保护策略 [20]、开展数据保护影响评估 [21]、向数据主体和英国信息专员办公室(Information Commissioner’s Office,ICO)通知安全事件 [22] 等。
4. 注册制
《2018数据保护法》要求所有个人数据控制者应当在ICO注册,并缴纳年度费用,除非他们符合豁免情形 [23]。
《2018 年数据保护(收费和信息)法规》(The Data Protection (Charges and Information) Regulations 2018)[24] 根据个人数据控制者处理个人数据的潜在风险,进一步规定了收费等级,不同等级的收费金额取决于员工人数、年营业额、组织规模、组织类型(例如企业、公共机构、慈善机构或职业退休金计划为不同类型组织)[25]。若个人数据控制者的所有个人数据处理活动均为豁免缴纳费用的情形,则个人数据控制者无需缴纳该笔费用,豁免情形包括为纯粹为个人、家庭目的处理个人数据,或是在公共场所摄像等多种情形 [26]。
若个人数据控制者未足额支付费用,最高可被处以该组织当年应缴纳费用的150%的罚款 [27]。
5. 数据保护负责人
根据英国GDPR,如果符合以下任一情形,个人数据控制者或处理者应当任命一名数据保护官:
(1)数据控制者或处理者是一个公共权力机构;
(2)其核心个人数据处理活动需要对数据主体进行定期和系统性的大规模监控;
(3)其核心个人数据处理活动包括大规模处理特殊类型个人数据 [28]。
企业集团可以任命一名数据保护官负责多个法律实体,前提是每个企业都能较容易联络到该数据保护官 [29]。数据保护官应当具备数据保护法律和实践的专业知识 [30]。英国GDPR允许企业聘用第三方企业的人员担任数据保护官 [31]。个人数据控制者和处理者必须确保数据保护官恰当和及时地参与与个人数据保护有关的所有问题,直接向最高管理层报告,并且不得因执行数据保护官职责而被解雇或处罚 [32]。
数据保护官的主要职责包括就英国数据保护法律规定提供建议与提醒、监督组织的数据合规情况、开展员工培训、建议并监督数据保护影响评估、以及作为联络人与监管机构沟通 [33]。
6. 数据保护监管机构
英国的专门数据保护主管机构为ICO,负责基于公共利益维护数据主体的隐私权利、促进信息公开、监督数据保护法规的执行、接受数据主体的投诉、以及制定数据保护法规的解读指南与具体政策文件等 [34]。
《2018数据保护法》进一步细化了ICO的执法权利,包括要求个人数据控制者或处理者向ICO提供信息,开展合规性评估,下达命令要求个人数据控制者或处理者采取或不采取某些行为,以及处以行政罚款 [35]。
ICO的处罚形式包括谴责(reprimands)、命令(enforcement notice)、罚款(monetary penalties)、起诉(prosecution)等 [36]。截至2024年9月13日,在ICO公布的166项处罚中,ICO对43个组织处以罚款,罚款金额最高达2000万英镑(约合人民币1.86亿元)[37]。
7. 处罚措施
英国GDPR对个人数据控制者和个人数据处理者的违法行为规定了两档处罚幅度:
(1)对于违反个人数据控制者和个人数据处理者的某些合规义务的违法行为,最高罚款为870万英镑(约合人民币8100万元),或者是企业上一财政年度全球年营业额的2%,以较高者为准;
(2)对于违反英国GDPR所规定的核心数据保护义务的违法行为,最高罚款为1750万英镑(约合人民币1.63亿元),或者是企业上一财政年度全球年营业额的4%,以较高者为准 [38]。
8. 个人数据主体行权
英国GDPR为个人数据主体维护其个人数据相关权益提供了多种路径。若个人数据主体因个人数据控制者或处理者违反英国GDPR而遭受“物质或非物质损害”,则其有权向个人数据控制者或处理者主张赔偿。这意味着即便个人数据主体遭受“非物质损害”,其仍可以主张经济赔偿 [39]。个人数据主体可以授权消费者保护机构代表他们行使权利和提出索赔 [40]。个人数据主体还可以向ICO提出投诉 [41],若其对ICO的决定存在异议,也可以寻求司法救济 [42]。此外,个人数据主体可以针对个人数据控制者或处理者的违法行为寻求各类有效法律救济(例如司法救济)[43]。
9. 通过电子方式营销
电子营销活动往往涉及使用个人数据,英国GDPR适用于大多数电子营销活动。根据引言第47条,电子营销活动中,最合理的处理个人数据的合法性基础是同意或者出于个人数据控制者的合法利益。
英国GDPR严格的同意标准对电子营销活动提出了挑战。英国GDPR要求,收集同意时需个人作出明确同意,用语表述需包含明确的选择机制(例如勾选未勾选的同意框,或签署声明),而不是仅仅接受条款和条件,或同意访问网站等行为暗示的同意 [44]。英国GDPR还规定个人数据控制者或处理者应当保障个人数据主体有权无条件拒绝直接营销(即针对个人发送营销活动通知)[45]。
《2003年隐私和电子通信条例》(The Privacy and Electronic Communications (EC Directive) Regulations 2003,“PEC条例”)[46] 规定了电子营销的具体规则。PEC条例源于欧盟的电子隐私指令(Directive 2002/58/EC ePrivacy Directive),在英国脱欧后得以保留。
PEC条例禁止在未经收件人同意的情况下使用自动呼叫系统 [47]。该条例亦禁止未经消费者事先同意而以直接营销为目的开展电子通讯,例如发送邮件或短信,除非消费者在采购营销活动所涉的产品或服务过程中提供了相关联系方式,并且营销者必须提供“选择退出”途径 [48]。这些要求只适用于个人消费者,而不适用于公司订阅者 [49]。在发送电子营销通知时,PEC条例要求发送者必须真实地披露发送者身份,以及提供取消订阅选项 [50]。
03
英国个人数据跨境监管制度
与欧盟GDPR类似,英国GDPR并无数据本地化存储要求,而要求在具备一定前提条件或数据安全保障机制的情况下,才可跨境传输个人数据 [51]。英国GDPR允许个人数据跨境传输的前提条件为目的地国家或地区已获得充分性认定(Adequacy decision),或跨境传输具备适当的保障机制(appropriate safeguards)。
1. 充分性认定
英国GDPR承认欧盟GDPR的充分性认定结果。在此基础上,英国自身还由其内政大臣(Secretary of State for the Home Department)负责发布其他充分性认定结果 [52]。目前,以下国家或地区或组织被认为具备充分的个人信息保护水平,可以在不需要进一步保障的情况下从英国传输个人数据:
(1)欧洲经济区成员国;
(2)欧盟或欧洲经济区的机构、团体、办事处或代理机构;
(3)直布罗陀海峡;
(4)欧盟委员会全面充分性认定涵盖的国家、地区或组织;
(5)受欧盟委员会部分充分性认定涵盖的国家、地区或组织(例如欧盟委员会给予充分性认定的日本私营组织);和
(6)英国的充分性认定涵盖的国家、地区或组织。截至本文发稿日,包括韩国 [53] 和美国 [54](仅限将个人数据转移给根据修订的欧盟-美国隐私框架安排所制订的数据隐私框架名单上的美国人士)[55]。
2. 适当的保障机制
除了目的国或地区通过了充分性认定以外,若存在适当的保障机制,亦允许从英国向境外传输个人数据 [56]。适当的保障机制包括:
(1)公共当局或机构之间具有法律约束力且可执行的文书;
(2)根据英国GDPR第47条规定的具有约束力的公司规则(Binding Corporate Rules, BCR);
(3)内政大臣根据《2018数据保护法》第17C条制定的法规中指定的标准数据保护条款;
(4)ICO根据《2018数据保护法》第119A条发布的文件中指定的标准数据保护条款;
(5)根据英国GDPR第40条经批准的行为准则(以及采取适当保护措施的具有约束力且可执行的承诺);或者
(6)根据英国GDPR第42条经批准的认证机制(以及采取适当保护措施的具有约束力且可执行的承诺)[57]。
就上述标准数据保护条款,ICO已根据英国GDPR等法律条文于2022年3月21日发布了两项标准合同性质的文件,其一是《国际数据传输协议》(International Data Transfer Agreement,简称为“IDTA”),又被称为英国版SCC [58];其二是《欧盟委员会标准合同条款国际数据传输附件》(International Data Transfer Addendum to the EU Commission Standard Contractual Clauses)[59]。后者的主要目的是在英国脱欧后附在原欧盟SCC之后,并将合同管辖权收归英国。此外,ICO还发布了风险评估模板,当风险评估过高时,双方在签署IDTA时应填写IDTA附件二的额外保护条款 [60]。
3. 例外情形
若不具备充分性认定或适当的保障机制,在某些情形下,英国GDPR也允许跨境传输个人数据。这些例外情形包括:
(1)向数据主体充分告知目的地不存在充分性认定或适当的保障机制以及所带来的风险后,数据主体明确同意跨境传输;
(2)为履行数据主体作为当事人的合同所必需,或者是应数据主体的要求在履行合同前所需的措施;
(3)对于数据控制者与另一自然人或法人之间为了数据主体的利益而签订或履行合同而言,跨境传输是必需的;
(4)为公共利益的重要原因所必需;
(5)为确立、行使或者抗辩索赔所必需;
(6)为了保护数据主体的切身利益所必需,且数据主体出于身体或法律上的原因无法同意;
(7)在英国法允许范围内,具有合法利益的公众从用于向公众提供信息的登记册查询信息所发生的跨境传输 [61]。
4. 欧盟向英国传输数据
脱欧后,英国对于欧盟属于第三国。因此,对于从欧盟向英国传输的个人数据,需具备GDPR规定的前置条件方可进行。2021年6月28日,欧盟通过了与英国相关的充分性决定,承认英国提供了与欧盟同等水平的个人数据保护。这使得个人数据可以较为便捷地从欧盟流向英国 [62]。
结语
尽管英国已经于2020年1月31日正式脱欧,但英国的数据保护体系仍沿用了欧盟GDPR的绝大部分制度设计。其关键定义、数据保护原则、数据控制者和处理者的义务、行政处罚机制等与欧盟GDPR相似。不过,英国的2号法案已经进入上议院审议阶段,若未来该法案通过,可能较大改变英国数据保护法律要求,使其与欧盟GDPR产生不小差异。因此,我们建议拟出海英国的中国企业持续关注英国数据保护法律法规的规定与变化,确保个人数据处理活动符合英国法律法规要求,并建立相应的境外数据保护体系。