英国自脱欧之后,一直在寻求对数据保护进行变革。2023年11月,英国政府公布了《数据保护和数字信息法》的第二次修订案,反映了数据保护方面最新立法动向。这是英国试图对英国版《通用数据保护条例》(GDPR)进行改革的第二次提案,相比于2022年7月的第一次法案,此次修订更加反应产业诉求,明确了更多便利措施。
1. 修订的特征
第一,修订案的内容更加具有针对性,主要涵盖了进一步明确相关内容、扩大了豁免范围、为企业提供更多灵活性、授权未来发布指南或制定规则等方面。
第二,此次修订参考和体现了GDPR在实践中进行应用的相关经验、英国和国际利益相关者的观点建议、政府的政策目标等各个方面的内容,最终目的是要降低业务合规成本。
第三,当前英国GDPR中的基本原则、数据主体权利范围、控制者和处理者的核心义务及更广泛的监管换劲将不会受到影响。
第四,已经符合当前英国GDPR的组织无需进行更改,目前的修订不会可能带来双重合规困境的冲突。
2. 具体修订内容
主要包括十个方面:
第一,完善定义。对个人身份识别和匿名化的定义进行完善,明确只有当控制者和处理者以外的组织能够或者可能通过其数据处理获得身份信息时,才可被视为个人身份识别。如果其他组织不能或者不可能获得此类信息,则该数据将被视为匿名,且不受法案监管。
第二,扩展合法性依据。当处理数据主体数据的目的在公认的合法利益清单上时,法案免除了企业平衡其合法利益与数据主体权利和利益的必要性。新法案新增了一份被视为符合数据控制者处理数据的合法利益的活动列表,这些活动时说明性的,从立法的前言转移到了可执行的部分,包括了直接销售、组织内数据传输、网络和信息系统的安全等内容。另外,新法案的注释说明任何合法的商业活动都可以是合法利益,只要处理是必要的,且进行了必要性测试。
第三,确定科学研究范围。明确了一份科学研究清单,包括了应用、基础研究、技术发展的创新性探索。
第四,扩展跨境方式。除数据桥(充分性认定)外,法案规定企业可以采取合理和相称的行动,但必须根据充分性认定的标准评估使用其他替代方式的可行性,避免保护标准低于GDPR的标准。法案建议国务卿未来发布法规,承认在现有机制之外的其他机制的合法性,且认为在改革生效之前,合法建立的其他替代机制是有效的。
第五,更新处理记录要求。法案免除了雇用少于250人且没有高风险处理的组织的记录保存要求。此外,还提出了澄清数据保护影响评估的高风险阈值的要求。
第六,取消任命代表要求。法案取消了非在英国设立的控制者和处理者任命英国代表的要求。
第七,更改对主体权利进行限制的规定。以无理取闹、过度索取等标准取代“明显没有根据或过分”的门槛,以限制数据主体权利。
第八,扩大豁免范围。法案规定在用户的终端设备上放置Cookie或类似跟踪技术需要同意的情况应当纳入豁免范围,涉及外观或功能的改进、必要更新等方面。
第九,更新电子营销要求。法案扩大了非商业组织选择退出同意的能力。非商业组织可以发送电子营销通信,而无需事先同意,以促进慈善事业、政治或其他非商业目的。同时规定,公共电子通信服务和网络提供商有责任向ICO报告与非法直接营销有关的可疑活动,以对违规行为进行处罚。
第十,明确自动化决策要求。法案规定做出此类决策的组织应当向个人进行披露,此外还强化了个人挑战自动化决策的能力。
关注“广东技术性贸易措施”,获取更多服务。