英國新數據保護法案：改革計劃*

鄧 輝 譯 **

導讀2017年8月7日，英國數字、文化、媒體和體育部發布了《英國新數據保護法案：改革計劃》（A New Data Protection Bill: Our Planned Reforms），表明即將通過新的《數據保護法》來強化數字經濟時代的數據保護。就改革的總體目標來說，新法案致力于獲得公眾信任、促進未來交易以及確保數據安全。在內容上，新法案加強了對個人數據的保護，尤其是增加了數據可攜帶權和被遺忘權的規定，強化了機構的數據保護責任，實行嚴格的行政監管，以及增進與刑事司法機構之間的合作。在具體的實施方面，新法案確保與歐盟關于數據保護的條例和指令進行協調，又根據英國自身的情況在未成年人保護的年齡門檻和國家數據安全等方面進行相應的變通處理。就未來的發展而言，數據對于經濟增長的作用不斷加強，即便是在可能“脫歐”的背景下，網絡安全與數據保護仍然是英國面臨的重要議題。

部長前言

三十多年以前，英國議會通過了《數據保護法》（Data Protection Act）。從那以后，數字技術改變了人們生活的方方面面，并帶來了巨大的社會優勢和經濟優勢：既將世界聯系得更加緊密，又改變了英國的經濟。雖然數字技術帶來了很多的益處，但同時也引發了一些擔憂：父母們擔心他們的孩子在網上受到侵害，消費者擔心公司對其數據的處理，而公民們則擔心其他人侵犯其網絡隱私。

為了保護人們的隱私，同時允許和鼓勵數字技術的創新，人們必須平衡網絡中的自由和責任?！稊祿Ｗo法》做到了這一點：它不僅為人們在個人信息使用上提供了更多的控制，還將收集個人信息的目的限制在公共利益豁免的情形。在英國，人們比其他大多數地方擁有更強的保護，監管安排（regulatory arrangements）通常也被認為是黃金標準（the gold standard）。盡管可以確信數據在英國得到了很好的保護，但同時我們也需要作出一些改變，（因為）技術和社會都發生了變化。

在我們的宣言中（manifesto）承諾并在女王演講中宣布的《數據保護法案》（Data Protection Bill），將使英國的數據保護法與時俱進。它也將支持創新，確?？茖W家和企業能夠繼續安全地處理數據。對于即將步入的未來數字世界，為了確保人們的安全，《數據保護法案》將構建一個更加基于責任倫理而非官僚主義的系統。對于數據的同意權、訪問權、轉移權和刪除權，本法案進行了更加嚴格的規定。此外，法案還將加強對數據保護的執法，通過賦予信息專員（Information Commissioner）適當的權力來確保消費者得到應有的保護。

本法案也將歐盟法律引入英國。在2016年6月23日的歐盟公投中，英國人民決定脫離歐盟。但是，在結束談判之前，英國仍是歐盟的正式成員國，作為歐盟成員國所享有的權利和義務仍然有效。在此期間，政府將繼續談判以及執行和適用歐盟法律。一旦英國脫離歐盟，這些談判結果將決定我們如何處理與歐盟立法相關的問題。

如果英國脫離歐盟，那么，此時將歐盟法律引入國內，就可以為未來的情況做好準備。歐盟《一般數據保護條例》（General Data Protection Regulation, GDPR簡稱《條例》）和《數據保護法實施指令》（Data Protection Law Enforcement Directive, DPLED簡稱《指令》）獲得了充分的發展，它在確保民眾能夠掌控其個人信息的同時，也促使企業不斷提高創新型數字服務，還避免了過度監管所引發的寒蟬效應（chilling effect）。為了盡可能確?！稐l例》和《指令》轉化的順利進行，在完全遵守前述規定的同時，我們將最大限度地保留《數據保護法》中的若干概念。

在執法方面，本法案將確保刑事調查和執法行動中受害者、證人和犯罪嫌疑人的數據受到保護。在確保刑事司法機構能夠繼續打擊犯罪和恐怖主義的同時，本法案也將保護參與刑事調查或訴訟的人的數據權利。犯罪分子和恐怖分子沒有國界，因此，本法案將確保英國刑事司法機構與其他國家的刑事司法機構進行有效的合作。

《數據保護法案》將使得英國繼續在數據保護領域設定黃金標準。在20國集團（G20）中，英國已經擁有最大的互聯網經濟。通過使消費者確信英國的數據規則適合于人們生活的數據時代，本法案將有助于保持這一地位。

英國國家數字、文化、媒體和體育部部長

馬特·漢考克（Matt Hancock）

一、數字經濟

（一）支持數據經濟

相較于以往，人們生產了更多的數據。相互聯系的世界帶來了很多益處，比如人們可以和身處世界各地的親朋好友保持聯系，又如互聯網催生了數以百萬計的工作和數以億計的價值，并支持著世界的繁榮發展。在G20國家中，英國擁有最大的互聯網經濟，自首次統計以來，其所占GDP的比重進一步上升?！?〕Boston Consulting Group (2015), https://www.bcg.com/d/press/1may2015-internet-contributes-10-percent-gdp-uk-economy-12111.

圖1 波士頓咨詢集團（BCG）公布的20國集團報告（2012）中的互聯網經濟，2016年的數據是根據2012年的統計數據所預測而得〔2〕https://www.bcg.com/documents/f i le100409.pdf.

在投資和就業方面，它帶來了巨大的經濟利益。在《歐洲數字城市名錄》（European Digital City Index）所公布的最適合科技創業公司的30個城市中，英國就占據了9個席位?！?〕https://digitalcityindex.eu/.

英國技術產業的蓬勃發展得益于技術、基礎設施和投資，但同樣重要的是，英國民眾普遍接受將互聯網作為交易的場所。對于發展數字產業而言，我們與互聯網的創新合作使得英國成為全球領先的客戶基地。

數字經濟正在創造大量的個人數據。與此同時，它從根本上降低了對數據進行收集、存儲和處理的成本，再加上計算能力的提高，數據正在成為一種豐富的資源。這為所有行業和領域內的經濟增長創造了新的機會，并改變了人們創造、銷售和消費的方式。

對于英國未來的增長和發展而言，數據經濟將成為不可或缺的一部分。有分析預測, 在2015年至2020年之間，數據為英國經濟帶來的利益將高達2410億英鎊?！?〕The Value of Big Data and the Internet of Things to the UK Economy, Feb 2016, CEBR & SAS.因此，我們的數字戰略應當確保企業和政府能夠以創新和有效的方式使用數據，這些方式包括創建強大的數據基礎結構、實現較高的監管服從程度（regulatory compliance）、培養具有數據能力（data-literate）的勞動者以及增加擁有高級數據技能的人才數量。

（二）保護數據

我們的愿景是讓英國成為在網絡上進行日?；顒雍蜕淌禄顒拥淖畎踩珗鏊?。隨著個人數據的增加，人們越來越需要保護它。數據丟失可能會給人們帶來痛苦的后果，同時也會給責任人帶來嚴重的聲譽損害，受害者即失去了信任。在更嚴重的情況下，雙方可能承受重大的經濟損失，而且還面臨著其他嚴重危害的風險。數據保護是全球關注的問題，而英國在這方面處于創新的前沿。

1984年《數據保護法》建立了數據保護登記員（Data Protection Registrar）制度，后者被1998年《數據保護法》中的信息專員制度所取代。信息專員是獨立的官員，其職責是基于公共利益來維護人們的信息權利、促進公共實體的公開性以及保護個人的數據隱私。信息專員可以基于申訴進行調查，也可以主動進行調查。同時，作為執法者，專員可以對數據控制者進行通知和教育，以提高數據保護的標準。

圖2 每個財政年度信息專員所收到的數據保護問題（來源:ICO年度報告）

1998年《數據保護法》為個人數據的使用提供了法律框架，它也經常被引為全球的黃金標準。在2010年，信息專員擁有了進行罰款的新權力。此后，信息專員不斷被賦予更多的權力。最近的一次是在2017年，《數字經濟法》（Digital Economy Act）的出臺使得針對電話騷擾的執法變得更加容易。在面對“大數據”（big data）和人們可以從中受益的技術發展時，《數據保護法》需要跟上時代的變化來使得公眾保持信心。人們自己創造或他人收集的在線數據（online data）是如此眾多，因此也需要有能力去行使在數據之上的權利。

圖3 信息專員根據《數據保護法》（Data Protection Act）及《電子通訊隱私規定》（Privacy of Electronic Communication Regulations）所發出的罰款

當然，正確的法律框架只是政府為保護數據所作努力的一部分。除了與信息專員和消費者團體合作教育人們如何保護自己外，我們還致力于確保國家免遭網絡攻擊，去年成立的國家網絡安全中心（National Cyber Security Centre, NCSC）旨在通過技術進步和向公民、社會團體提供建議來幫助保障關鍵服務、應對重大事件和改善互聯網安全。該中心與英國的組織、企業和個人進行合作，提供權威且一致的網絡安全建議和網絡事件應對辦法。這是由世界一流的研究和創新支撐起來的。

（三）我們的目標

英國有望成為在網絡上進行日?；顒雍蜕虡I活動的最好和最安全的場所，為了實現這一愿景，我們有三個相互關聯的目標。

1. 獲得公眾的信任

為了使英國能夠全面地從數據創新的經濟和社會增長中獲益，社會公眾需要知道其個人信息是安全的，而且也會被負責任地使用。

為了獲得數據提供者的信心和信任，機構（Institutions）必須做到以下幾點：

（1）數據必須安全存放；

（2）對數據的處理合乎法律、責任和道德的要求；

（3）數據使用的范圍和原因必須公開透明；

（4）如果出現對個人數據的不當使用，責任人將面臨嚴厲的處罰。

2. 促進未來交易

對運轉良好的經濟體來說，跨國轉移數據的能力至關重要。我們致力于確保英國與歐盟以及世界上其他國家之間保持連續的數據流動（data flows）?！稊祿Ｗo法案》將最大程度地保持英國與歐盟和其他國家之間的數據聯系，從而使我們處于領先地位。

3. 確保安全

收集、分享和處理個人數據的能力，除了在經濟上十分重要，對于國家安全和執法來說也非常關鍵。

罪犯沒有國界，因此，執法工作需要更加靈活，以應對現代犯罪的威脅。作為英國退出歐盟計劃的一部分，我們將仔細考慮如何最好地保持與其他歐盟成員國分享、接收和保護數據的能力。

在一個相互關聯的社會中，刑事司法機構需要在彼此之間以及與公共部門和私人部門的其他合作伙伴分享數據，并將技術作為預防和調查犯罪的工具。雖然刑事司法機構做了重要的工作，但必須確保它們在一個持續建立數據信任文化的數據保護機制中運行。

二、數據保護改革

（一）概述

對于新數字時代的個人數據，改革將確保英國的數據保護框架能夠繼續為其提供保護。通過允許公民更大程度地控制其個人數據，改革將強化對個人數據的保護。

在加強個人權利保護之外，改革還將為企業收集、分享和處理個人數據提供更加清晰和確定的指引。這么做有助于保持英國的創新文化、促進經濟增長，以及鞏固英國作為數字經濟全球領導者的地位。

個人數據是歸屬于個人并有助于識別他們的信息?！皞€人數據”的定義應當擴大到IP地址、網絡cookie和DNA，以反映過去20年來技術的發展。

（二）保護個人

改革將進一步保護隱私，加強權利，并通過提供更方便的訪問權限來授權人們對其個人數據進行更多的控制。

總體上，人們會對自己的數據痕跡（digital footprint）、個人數據以及公司對這些數據的使用和傳遞享有更多的控制。具體來說，通過賦予人們新的權利和加強既有的權利，英國公民將得到更好的保護：

·隱私：有關同意的規定正得到加強，并受到“明確性”要求和容易撤回等附加條件的限制。在處理敏感的個人數據時，同意也必須是“明確的”（explicit）。

在默認使用中，那些在很多情況下都被忽略的選擇退出（opt-out）或預先選定的“勾選框”將成為歷史。在涉及13歲以下兒童的信息服務時，〔5〕信息服務（Information services）是指在一段距離內通過電子設備對數據進行處理和存儲的方式以及針對服務接受者的個人請求提供的任何服務。必須獲得家長或監護人的同意。此外，對同意的撤回將變得更加簡單。

·改進對數據的訪問：人們將會發現要求機構免費提供與自己有關的個人數據變得更加容易?！?〕僅限于那些不是“明顯毫無根據或過分的”的請求。

如果不知道自己的哪些信息被掌握了，人們就無法確定這些信息是否正確。數據控制者將提供更有效的獲取信息的方式，并授予人們對信息的所有權（ownership）。

·數據可攜帶權（Data Portability）：新規則將使消費者在服務提供者之間轉移數據變得更加容易；這不僅為消費者提供了更多選擇，還將促進一系列行業的競爭和創新。

在網絡服務提供者發生變化時，如果你使用電子郵件或文件存儲服務來存儲個人照片或其他個人數據，那么你應該能夠轉移這些數據。

·被遺忘權（Right to be forgotten）：人們可以要求刪除他們的個人數據?！?〕雖然在某些情況中，對于一般性的權利要求可能會存在某些豁免。這將包括允許人們要求社交媒體和平臺刪除他們在童年時發布的信息。

在某些情況下，人們將有能力要求社交媒體公司刪除所有由其發布的帖子（posts）。例如，除了極少的例外情況，人們通?？梢砸髣h除其在童年時期在社交媒體上發布的帖子。

·概要分析：在數據的自動化處理中，人們將會有更大的發言權。在自動化處理系統單獨作出決定時，人們可以請求由人類而不是機器來審查處理程序。

（二）對組織（Organization）的保護

目前，私人部門和公共部門的機構都遵守著1998年《數據保護法》中的數據保護規則。在適當的情況下，我們將加強或修改這些要求，以反映數字經濟變化的性質和范圍。這些變化旨在幫助英國的組織正確地保護和管理數據，從而促進其維護個人數據、保持機構聲譽以及維持業務運轉。

·建立責任機制，減少官僚主義

這樣做的目的在于減輕數據控制者的管理負擔和財務負擔，同時也使數據控制者對正在處理的數據更加負責。如果數據泄露存在侵犯個人權利和自由的危險，那么在72小時內，企業（businesses）必須通知信息專員辦公室（ICO）。在存在高度危險的情況下，企業必須通知可能受到影響的個人。

·幫助企業減少違反數據保護規則、承擔相關罰款以及遭受聲譽損失的風險

開展高風險數據處理的機構將負擔接受影響評估（impact assessment）的義務，以了解可能涉及的風險和避免不當使用所需要的應對措施。在處理個人數據時，機構現在必須優先考慮人們的隱私權利。

·更簡單的規則

這些規則將整合為一個更加清晰的機制，這對于數據控制者和處理者來說更加公平。

（三）嚴格的監管

數據保護監管機構即信息專員將保留現有權力并獲得額外的授權，以便在數據泄露事件發生時進行更嚴厲的制裁。信息專員辦公室將被授權采取以下行動：

·調查：信息專員辦公室將繼續擁有向數據控制者和處理者請求獲得信息、進入和檢查居所、進行審查以及要求其進行改正的權力。

·民事處罰：目前，信息專員辦公室可以開出的最高罰金是50萬英鎊。我們將允許更高的罰金數額，即1700萬英鎊（合2000萬歐元）或責任人全球營業額的4%，從而使得信息專員辦公室能夠以適當的方式回應最嚴重的數據泄露事件。

·刑事制裁：在蘇格蘭和北愛爾蘭，信息專員辦公室或皇家檢察署（Crown Prosecution Service）以及類似的檢察機構將繼續對違法者進行起訴。大多數嚴重的犯罪將記錄在案?！?〕被記錄的犯罪（Recordable offences）指的是在警察部門的國家計算機（Police National Computer,PNC）數據庫中留存記錄的犯罪，這些犯罪可以作為前科記錄（previous conviction or criminality checks）的一部分進行公開。刑罰體系將進行現代化的改造，來進行有效的追訴，同時我們也將制定新的罪名來應對新出現的威脅。尤其是：

·因故意或因重大過失從匿名或化名數據中重新確認個人身份的行為，將被確認是一種新的犯罪。行為人在明知的情況下掌握或處理這種數據也將被認為是犯罪。最高懲罰是無限額的罰金。

基于避免主題訪問請求泄露的目的，更改網絡訪問記錄的行為將被確認為是一種犯罪。該項罪行（offence）以2000年《信息自由法》（Freedom of Information Act）第77條的規定為模板。這一罪行的范圍不僅適用于公共部門，也適用于所有的數據控制者和處理者。在英格蘭和威爾士，最高的懲罰將是無限額的罰金，在蘇格蘭和北愛爾蘭，最高懲罰是5級罰金。

擴展現有的“非法獲取數據罪”，使其可以涵蓋那些違反控制者的意愿而留存數據的人（即使他們最初獲取數據是合法的）。

·對記者和舉報人的保護：在組織和自由媒體中發揮重要作用的記者和舉報人，將通過豁免而受到保護。

（四）符合執法目的預定機制

現代犯罪需要現代的回應。我們將為刑事司法機構提供一個定制的框架，符合他們基于執法目的來管理數據處理的特別需求。至關重要的是，刑事司法機構可以在國內外開展對話、共享信息，從而保護公眾和打擊犯罪。

刑事司法機構需要一個數據保護框架，使其能夠處理所面臨的本質上不斷發生變化的威脅，而不影響我們所期望的世界級的數據保護標準。這個框架中我們所引入的內容包括：

·強制設立數據保護官員（Data Protection Officer, DPO）。這是一個新的角色，他將為數據控制者提供數據方面的建議、處理申訴并確?！吨噶睢返玫阶袷?。

·要求數據控制者能夠證明：某人獲得或驗證與其有關信息的請求“在通過支付費用的方式實現或被拒絕前，顯然是沒有根據的或過分的”。

·要求在自動化處理系統的具體操作中采取更規范的日志記錄，這些操作包括數據的收集、更改、咨詢、披露、組合和刪除等，以獲得完整的審查跟蹤（audit trail）。

·明確各種情況下進行數據跨境轉移的能力，確?？梢赃M行關鍵的數據共享。

三、改革的實施

（一）概述

在全球數字經濟中，用國際框架來支撐國內的數據保護法律是明智的做法。而以下的三類國際文件構成了數據保護法領域中的核心：

（1）《一般數據保護條例》〔9〕Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016.

（2）《數據保護法實施指令》〔10〕Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016.

（3）《歐洲委員會關于自動化處理的個人數據保護公約》（The Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）〔11〕Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016.

《數據保護法案》必須和這些文件保持一致，后者有助于確保英國與關鍵市場（比如美國和歐盟）之間數據流動的安全。

（二）《一般數據保護條例》

預計在2018年5月25日直接適用的《條例》強化了公民在個人數據方面的權利，并通過簡化規則促進了企業的發展。

《條例》將引入新的個人權利以及數據控制者和處理者所負擔的新義務。

新的個人權利

·獲得自己數據的權利：根據《條例》的要求，對于正在進行處理的個人數據，數據控制者必須為數據的提供者免費提供首份復制材料（first copy）。如果人們要求更多的數據，數據控制者可以基于管理成本收取“適當的費用”。

·數據可攜帶權：這項新型的數據可攜帶權允許人們以結構化的、慣常使用的、機器可讀的格式接收其所提供給數據控制者的數據，并將這些數據傳輸給其他數據控制者。這些數據包括：

·通過（比如記錄心跳的應用程序App或跟蹤瀏覽行為的技術）跟蹤和記錄個人信息所收集的數據。

·由智能表（smart meter）生成的原始數據。

·被遺忘的權利：《條例》擴大了現有的“被遺忘權”，包括人們有權要求刪除與其有關的個人數據以及防止進一步傳播這些數據。修改前后的被遺忘權之區別主要在于：對于前者而言，法律適用的前提是受害人產生了實質性的損害或痛苦；對于后者而言，僅需數據主體在撤回其對于獲取數據的最初許可時，最初收集數據的必要性不復存在或者數據處理不具有重要的法律基礎。

·法律救濟：存在著更大的空間來實現《條例》中的權利。如果人們受到那些違反數據保護規則之行為的影響，具備代表權限的實體（例如專門調查員、消費者團體或公民社會團體）有權為受影響之人的利益而提起訴訟。

數據控制者和處理者的新義務

·數據泄露通知：《條例》增加了對數據控制者的要求，在可行的情況下，數據控制者必須在72小時內無不當延遲地通知監管部門（在英國是信息專員辦公室）個人數據的泄露情況，除非數據泄露不太可能對個人的權利和自由造成危險。

·廢除處理通知：《條例》廢除了目前要求數據控制者通知監管部門他們對個人數據進行處理的制度。目前，數據控制者必須通知信息專員辦公室他們的數據處理活動并支付費用。

·數據保護影響評估：在具有很高風險的情況下，《條例》要求數據的控制者或處理者對數據處理進行數據保護影響評估。

·數據保護官員：如果數據的控制者和處理者是公共部門或機構（法庭除外），或者其核心活動包括對個人數據或與刑事犯罪有關的特殊數據進行常規和系統的處理，那么，他們必須指定一名數據保護官員。

·行政處罰：對違反《條例》的行為規定了新的行政處罰范圍。最高罰金達1700萬英磅（合2000萬歐元）或其全球營業額的4%。

歐盟2016年通過的《條例》將于2018年5月25日自動生效?！稐l例》將擁有“直接效力”。這意味著法院有義務承認和實現《條例》中所賦予人們的個人權利。

然而，《條例》只適用于歐盟法律管轄范圍內的數據。這意味著英國法律需要將數據保護拓展至其他領域，我們打算對所有的一般數據（general data）采用實質相同的標準，以建立一個清晰和連貫的數據保護機制。

（三）數據保護法案

我們決心確?！稐l例》能夠為英國（公民和企業的）利益提供最好的支持?！稐l例》需要進行一些改變，從而服務于英國的利益，而《數據保護法案》將作出必要的修改。尤其在以下方面：

·運用《條例》中英國政府所談判的克減條款（derogation）。這將允許：

·實現政府的主要承諾。包括（基于當事人申請）要求社交媒體平臺在其18歲時刪除與其有關的個人信息。

·確保企業和消費者更為簡易地實現轉變。根據新立法，我們將保留許多對經濟各部門來說至關重要的推動因素，包括從金融服務到學術研究的多個方面。

·新的數據保護標準將適用于所有而不僅是歐盟范圍內的一般數據。

·如果英國脫離歐盟，企業需要一個可以操作的統一標準。在以前屬于歐盟的法律領域內，我們不愿意重新制定新的標準?！稊祿Ｗo法案》將確保質量標準適用起來盡量簡單。

·廢除1998年《數據保護法》。

·當《條例》生效時，如果沒有及時調整國內法律來避免沖突和矛盾，那么，個人、企業和法院都會感覺困惑叢生?！稊祿Ｗo法案》將會做出必要的廢止，以便讓所有相關事物的角色和責任變得清晰。

（四）征求意見

在決定如何實施《條例》之前，我們意識到傾聽那些可能受到我們決定影響的組織和個人的觀點是至關重要的。

因此，我們采取了兩個關鍵的步驟。首先，我們與大量的利益相關者進行了非正式的交流，從而形成了對不同觀點的全面理解。

其次，我們邀請所有利益相關的個人或組織通過2017年4月12日到2017年5月10日之間進行的“征求意見”活動來表達他們的意見?！?2〕https://www.gov.uk/government/consultations/general-data-protection-regulation-call-for-views.這個活動鼓勵數據保護的利益相關者分享其關于克減條款的觀點，按照不同主題對這些觀點進行分門別類的整理。所有的支撐性證據都被接納。這使得利益相關者更加容易地理解這些豁免彼此聯系的關鍵之處。

事實證明，這次“征求意見”活動非常有效。政府共收到了來自社會各類組織的170個回應，它們代表了廣泛的觀點。例如，活動不僅收到了技術和法律部門的回應，還收到了地方政府和消費者保護團體的回應。許多公民個人也提供了有益的貢獻?？偟膩碚f，“征求意見”活動使政府能夠更全面地了解每項豁免的潛在影響。如果遲到的回應包含了新的實質內容，在可能的情況下，我們努力將這些問題納入決策考量之中。

在英國政府網（GOV.UK）上，我們已經公布了所有對“征求意見”的回應。在本文件末尾，附有一份名單，列明了所有對“征求意見”進行回應的組織?！?3〕由于“附件：回應征求意見的組織”（Annex - Organisations that responded to the Call for Views）所列明的英國組織名單過長且不具重大的參考價值，本譯文在翻譯時選擇省略了該部分?！g者注

圖4 對征求意見進行回應的不同部門（Responses to the Call for Views by sector）

在考慮每一項克減的時候，我們必須小心翼翼，一方面確保它能夠保護英國公民的權利，另一方面使得數據可以自由流動，這對企業和整個社會來說都有好處。

（五）明顯的克減

對數據處理的同意和對未成年人的網絡保護

在進行數據處理時，數據控制者必須取得個人同意，《條例》更加明確了這一點。當然，給予同意的人需要對他們被問到的問題有相當程度的了解（a certain level of understanding），這就是為什么《條例》規定在以未成年人的名義使用信息服務時，對未成年人數據的處理必須征得其父母或監護人的同意。對于未成年人可以對數據處理表示同意的最低年齡門檻，《條例》允許英國在13歲到16歲之間進行設定。雖然英國目前尚不存在統一（overall）規則，但是，在這種要求存在的其他地方，相對應的年齡門檻是12歲?！?4〕《信息專員辦公室指引》（ICO guidance）規定：“在收集12歲以下兒童的個人資料之前，通常需要父母的同意”，載《個人信息在線行為守則》（Personal information online code of practice）, July 2010.

保護未成年人的網絡安全是本屆政府的首要任務之一。正如女王演講中所宣布的，政府將建立《數字憲章》（Digital Charter），其目標在于讓英國成為啟動、運營數字業務和網絡最安全的地方。作為《數字憲章》工作的一部分，“互聯網安全戰略”（Internet Safety Strategy）已經開始實施，其目標是使得網絡環境對未成年人和年輕人來說更加安全?！?5〕https://www.gov.uk/government/news/government-launches-major-new-drive-on-internet-safety.我們與互聯網服務、應用程序和社交媒體的提供者們正在進行的合作，也將成為《數字憲章》工作的一部分。我們希望負責任的網站能夠設定最低年齡的規則和政策，防止未成年人接觸到不適當的內容。

在征求意見的回復者中，沒有人堅持要求對數據處理表示同意之未成年人的最低年齡應該高于13歲。我們確實收到了關于年齡控制應該得到更好執行的意見，并會考慮將其納入“互聯網安全戰略”。是否年滿18歲的檢查在網上越來越常見，但是，這種年齡標準更經常用于檢查信用記錄、駕駛記錄和選舉記錄。這些情況對13到16歲之間的未成年人來說都不存在，因此，大多數網站的做法是由提出問題和建立信任開始，再針對反常行為或申訴進行調查。

設定最低年齡門檻不是保護未成年人個人數據唯一的或者最好的方法?！盎ヂ摼W安全戰略”提供了更好的方式，即在網絡服務提供商、應用程序制造商、社交媒體提供商和其他主體之間建立起共同的責任。事實上，《條例》引入了其他的權利來實現了這個目的。一個很好的例子是，可以要求提供服務的機構以未成年人能理解的形式進行隱私通知（privacy notices），而后者列明了它將如何使用所收集之個人數據的計劃。

社交媒體在青少年生活中扮演著重要的角色，網絡平臺和網絡社區給未成年人和年輕人帶來了巨大的機會和利益。通過在網絡安全方面的工作，政府的目標是通過教育和提高意識來給孩子們提供能夠最大化前述機會所需要的工具，從而增強他們的數字文化技能以及確保網絡安全。我們將網絡安全放在首位，希望包括社交媒體公司在內的企業能夠承擔起責任，為未成年人和年輕人享受其在網上的時間創造更安全的空間。

基于這些考慮，我們將通過立法允許13歲及以上的兒童可以對其個人資料的處理表示同意。

對刑事犯罪數據的處理

《條例》只允許擁有官方授權的機構來處理與刑事犯罪有關的個人資料。這一立場承認這些數據具有高度敏感性。

然而，《條例》確實允許英國通過立法來允許其他機構處理此類個人數據。例如，英國的立法可以允許私人部門或第三部門獲得犯罪細節，以便進行犯罪記錄檢查。

現行的英國法律允許所有機構在某些特定情況下處理與刑事犯罪有關的個人數據。這就為實踐帶來很多的關鍵好處（key benefits）。例如，對于機構本身而言，它不僅可以保護自己免受潛在犯罪行為的侵害，還可以保護未成年人和弱勢的成年人；對用人單位而言，它可以進行準確的刑事犯罪記錄檢查；此外，這也有助于機動車駕駛責任保險的承保。政府認為，取消大多數機構處理刑事犯罪數據的權利將會對英國的利益產生重大的負面影響。

考慮到這一點，且為了保持與在當前實踐中運行良好的數據保護機制之間的連續性，我們將通過立法來擴展處理刑事犯罪涉及個人數據的權利，來增強普通組織而非其他官方機構處理刑事犯罪數據的能力。此外，應當采取類似的方法處理那些屬于特殊（敏感）類別的個人資料。

自動化的個人決定

根據《條例》，個人有權拒絕成為包括“分析”（profiling）在內的自動化決策所針對的主體。例如，某人可能收到不好的信用評級，這是一個完全自動化的決定過程。

《條例》還允許在適當的情況下采取適當措施來保護個人的權利、自由和合法利益。對于受到自動化決定之不利影響的人來說，擁有追索權（recourse）是很重要的。當然，也有一些合法的功能依賴于自動決策。例如，在同意提供貸款之前，銀行有權檢查申請人的信用狀況。在這種情況下，自動化的信用參考檢查將是實現這一結果的合適方法。

有鑒于此，我們將立法實施這項豁免，來確保以自動化方式處理個人資料存在合法的理由。人們有權不成為自動化決定針對的主體，這包括完全基于數據自動化處理來對人們的某一方面進行評價的措施，比如在線信用申請或進行沒有人工干預的電子注冊時遭到自動化處理的拒絕，此種措施可能產生法律效果或類似的顯著影響。

媒體的表達自由

自由的媒體尤其是記者們能夠在沒有恐懼和偏好（favour）的情況下進行事實報導，對民主而言至關重要?！稐l例》為數據保護的某些特定領域提供了新聞豁免，以使得符合公共利益的新聞活動能夠順利進行?！缎聰祿Ｗo法案》將在媒體表達自由和個人隱私權利之間實現適當的平衡。

1998年《數據保護法》規定了機構需要遵守的8個主要原則。根據該法第32條，如果對個人數據的處理是為了出版的特殊目的，而這種出版又符合公眾利益，那么，即便這種特殊目的與主要原則之間出現了不一致，也可以對它進行豁免。

我們認為，第32條規定的豁免在隱私保護和言論自由之間實現了適當的平衡。雖然某些“征求意見”的回應者尤其是媒體組織呼吁進行更廣泛的豁免，但是，政府認為目前的規定在保護個人及其數據的同時也允許基于公眾利益進行新聞調查。

政府意圖重復1998年《數據保護法》第32條的規定。其主要的區別將是修訂與信息專員辦公室執行權力有關的條款，以加強信息專員辦公室有效地執行修訂后第32條豁免條款的能力。

科學研究

英國有許多世界一流的大學、研究機構和博物館。為了處理大量的信息，他們的工作需要持續保護信息的方式進行，而這種方式既不累贅，也不妨礙未來的創新和發現。

《條例》要求機構遵守那些與個人數據有關的義務。例如，這些義務包括：在被通知的情況下，毫不拖延地對不準確的個人資料進行糾正，以及為其提供訪問權限。

但是，如果科學或歷史研究機構是基于公共利益而進行數據收集或檔案保存的話，《條例》也允許英國通過立法來免除這些義務。然而，只有在服從前述義務會嚴重影響這些機構開展研究、保存檔案或統計數據的能力時，情況才會如此。比如，只有通過對不準確的數據進行歸檔處理，才能對那些導致不利結果的決策過程進行審查。而如果所有這些數據都得到糾正，那么，吸取教訓以及在未來防止產生類似結果的機會可能會明顯減少。相反地，如果人們的個人數據從統計“池”中被刪去，則可能會影響統計數據，從而導致不準確的結論。

為了確保英國繼續成為開創性研究的中心，政府將通過立法來實施這項豁免。在人們的訪問請求對研究機構和歸檔服務實現其目的產生嚴重影響時，后者不需要對此作出回應。在機構采取適當措施來保證數據安全的前提下，如果人們的權利要求嚴重阻礙研究機構完成其工作的能力，研究機構將不需要遵守個人的權利要求而糾正、限制或停止進一步的數據處理。

（六）對執法數據的保護

隨著世界之間聯系的日益緊密，犯罪的性質也在發生變化。這既提供了機遇，也帶來了挑戰：數據和數據共享可以提供強大的工具來預防和調查犯罪，同時，互聯網使世界上任何地方的罪犯也能夠攻擊英國公民并進行犯罪活動。

在這方面重要的是，在英國和國際范圍內，刑事司法機構可以共同努力、共享信息，以保證公共安全。不過，同樣重要的是，這種數據共享需要適當的保障措施。

《數據保護法案》將確保為執法部門的數據提供一個框架?！稐l例》不涉及針對“預防、調查、偵查或檢控刑事罪行或執行刑事處罰，包括防范和防止對公共安全的威脅”的個人資料處理?！稊祿Ｗo法案》會將《指令》中的內容轉化納入英國法律，這些內容將會在國內執法和跨境執法中得以實施。

本法案還將確保存在一個框架來處理《歐洲聯盟條約》（Treaty on European Union）第五編（共同的外交和安全政策）第2章內有關活動的個人數據?！稐l例》沒有涉及國家安全的個人數據處理。針對基于這些目的而產生的個人數據，《數據保護法案》將確保有一個合適的處理框架。

數據保護法實施指令

與《條例》不同的是，《指令》不是可以“直接適用”的歐盟法律。這意味著英國必須在2018年5月6日之前實施《指令》的規定。然而，為了確保英國的數據保護具有一致性、全面性和前瞻性的框架，《數據保護法案》將把《條例》中的豁免規定與《指令》中的相關條款寫入了英國法律，以完善個人數據處理的跨境和國內法的規定。

本法案將創建一個定制的數據保護執法機制，不僅可以滿足警察、檢察官和其他刑事司法機構的需要，也可以滿足包括所有情況中英國稅務海關總署（Her Majesty’s Revenue and Customs）、環境署（the Environment Agency）、英國機動車執照局（the Driver and Vehicle Licensing Agency）等機構的需要。

本法案將有助于鞏固英國維護最高數據保護標準的聲譽。英國成功地進行了談判，以確保最終敲定的協議能讓數據流暢通無阻，同時提供個人數據的保障措施。因此，本法案對英國公民和刑事司法機構來說都是一個很好的結果。

新的權力和增加的保護

加強跨境數據交換是應對恐怖主義組織和網絡犯罪所帶來的威脅的關鍵。最近在國內外的恐怖襲擊表明需要進行國際合作以應對這些威脅。

本法案將改革并加強國際數據傳輸的規則，為英國執法機構能夠將數據轉移到合作國家或國際組織的伙伴提供清晰的框架。

盡管確保刑事司法機構掌握打擊犯罪和保護公眾的權力是至關重要的，但是，政府認識到，執法部門處理的個人數據可能非常敏感，因此，這些機構必須在由明確和適當的框架所建立的參照標準下運行同樣重要。政府認為，本法案不僅滿足刑事司法機構所需要的靈活性，在數據和隱私保護方面也將保持領先標準。

本法案將加強數據保護的要求。尤其是，它使人們更容易獲得自己的數據和理解他們的數據保護權利。此外，在人們要求獲得關于其個人數據處理方式的信息時，數據控制者應當免費提供這些信息?！?6〕如果對個人信息的權利請求顯然是沒有根據的或過度的，該義務就不會適用。

通過促進“在開發設計階段即默認不公開的隱私”（privacy by default and design）概念的發展，〔17〕根據《條例》的規定，Privacy by Design指的是在服務設計開發階段就要具備隱私功能，Privacy by Default指的是隱私的默認設置為“不公開”?！g者注本法案將消除人們的疑慮。在因違反數據保護措施致使個人數據泄露時，這主要通過賦予公民知情權和更明確的要求賠償之權利來實現。為了提供清晰的審查跟蹤，處理個人數據的數據庫需要遵守更嚴格的日志記錄要求。

一致的取向

盡管《指令》焦點在于跨境數據的共享，但是，政府已經決定，為了確保刑事司法機構的一致性和確定性，《指令》中的標準將被擴展到所有以執法為目的的國內數據處理中。這表明我們致力于保持在數據保護標準的前沿地位。

（七）與國家安全有關的數據處理

國家安全超出了歐盟法律的范圍，因此，對于為了國家安全目的而處理個人資料的問題，《條例》或《指令》并沒有進行解決。

然而，最為關鍵的是，英國的數據保護法律應當保持時效性以及與國際標準的一致性，同時還應當確保英國情報機構和其他國家能夠應對現有的、新的和正在出現的國家安全威脅。

具體來說，考慮到這一點，英國計劃通過立法來構建一個專門針對國家安全目標的、基于現有制度且具有現代化特征的數據保護框架。它將以修訂后的《歐洲委員會關于自動處理的個人數據保護公約》（第108號公約）為基礎。歐洲委員會（Council of Europe）成立于1949年，并擁有47個成員國，它不是屬于歐盟的機構。在離開歐盟后，英國將繼續作為歐洲委員會的一員。

歐洲委員會是一個獨立的機構，它的作用是維護整個歐洲的人權、民主和法治。修訂后的標準目前正在形成草案的過程中，作為歐洲委員會的創始成員國，英國一直在談判中發揮積極的作用，使得它符合國家利益優先的原則。然而，它將引入反映數據大量增長和技術變化的數據保護標準，并建立旨在確保數據處理既合法又合乎道德的若干原則。就目前的情況而言（參見1998年《數據保護法》第28條），采納某些數據保護原則和修訂后第108號公約其他條款中的豁免規定對保護國家安全來說很有必要。

這一框架將具有前瞻性，可以與未來的國際標準保持一致，由此表明英國在保護公民數據方面仍然“處于領先地位”（ahead of the game）。

四、對未來的展望

（一）網絡安全與數據保護

有效的數據保護依賴于機構充分保護其IT系統免受惡意干擾。然而，最近的網絡安全事件表明，所有規模和行業的企業的IT系統和這些系統所持有的數據都面臨著網絡安全風險?！?8〕https://www.ncsc.gov.uk/report/cyber-threat-uk-business.

國家網絡安全中心已經發布了《網絡安全十步法》（10 Steps to Cyber Security），它提供了機構如何保護自己免受網絡安全威脅的詳細指導?！?9〕https://www.ncsc.gov.uk/guidance/10-steps-cyber-security.此外，網絡要素認證計劃（Cyber Essentials accreditation scheme）為機構提供了一種機制，來檢驗其是否已經采取了基本的技術措施來保護系統免受通常的網絡威脅。

政府《網絡安全條例和激勵回顧》（Cyber Security Regulation and Incentives Review）〔20〕https://www.gov.uk/government/publications/cyber-security-regulation-and-incentives-review.得出的結論是，新數據保護法的實施將會顯著提高對網絡安全風險的管理。事實上，在審查過程中收集的證據表明，在數據泄露事件中增加經濟制裁的適用以及引入某些加重和減輕因素，將改善英國的網絡安全。

新法律對數據泄露需要進行報告的要求，也將有助于形成一個有關網絡安全漏洞的更豐富的數據來源。這對政府在未來制定有力和有效的網絡安全政策至關重要。這將使英國成為一個對個人、企業和其他組織來說更安全的網絡地域。

政府也在與信息專員辦公室、國家網絡安全中心進行合作，確保英國的機構了解新的數據保護責任，尤其是激勵他們在新《數據保護法案》實施前改善其網絡安全行為。

（二）數據、交易與歐盟

強有力的數據保護法律和適當的保障措施可以促進企業在國際范圍內開展業務。

不管是個人的還是非個人的數據流動，對全球的商品和服務貿易都很重要。事實上，可通過數據傳送的服務大約占商品在線交易和運輸的75%?！?1〕United States International Trade Commission (2014), Digital Trade in the U.S. and Global Economies, Part 2, https://www.usitc.gov/publications/332/pub4485.pdf.整體而言，全球范圍內的數據流動至少使全球GDP增長了10%，僅在2014年，經濟增長就達到了5萬億英鎊。數據流動的此種經濟效應約價值1.7萬億英鎊，這也意味著，相較于傳統的商品流動，數據對經濟增長產生了更大的影響?！?2〕McKinsey Global Institute (2016), Digital globalization: The new era of global fl ows,http://www.mckinsey.com/～/media/mckinsey/business%20functions/mckinsey%20digital/our%20insights/digital%20gl obalization%20the%20new%20era%20of%20global%20f l ows/mgi-digital-globalization-full-report.ashx.

因此，對于英國走上成為具備雄心壯志的貿易伙伴的道路而言，不受阻礙的數據流動是非常關鍵的。這也就是為什么政府尋求英國和歐盟之間（以及在退出歐盟后，英國與第三方國家或國際組織之間）保持不間斷數據流動的原因。無論是在歐洲范圍以內還是以外，與英國執法部門和安全部門的伙伴之間進行合作，仍將是我們的優先選擇。