2017年9月14日,英国政府对外公布了新《数据保护法案》。该法案主要用于:
·实施与补充《一般数据保护条例》(GDPR)中的核心准则;
·阐明英国法律与某些GDPR法规的不同之处;
·对英国本国法律进行升级与改进,从而尽可能简单且顺利地完成与GDPR的协调工作以及英国脱离欧洲经济区的工作。
下文将着重介绍新《数据保护法案》的背景、企业就此应该了解的核心讯息以及对于未来的展望。
新《数据保护法案》的背景
上述GDPR将于2018年5月25日在欧盟统一生效,不过欧盟成员国届时也可以选择不遵守GDPR中的某些规定。
英国政府曾于2017年8月7日公布了一份意向声明书,并在其中阐明了英政府将如何通过立法来行使不遵守GDPR的权力(以及如何处理因2017年英国保守党竞选宣言而衍生出的一系列政策问题)。
由于当前英国仍作为欧盟成员国享有并承担相应的权利义务,因此新《数据保护法案》不仅是要帮助英国履行此前做出的承诺,同时还要为英国在脱欧后开展跨欧盟经济区与英国的数据传输工作提供强有力的支持。
企业就此应该了解的核心讯息
架构与形式
·新《数据保护法案》是基本立法工作中一个相当复杂的组成部分(该法案体量超过200页),而且由于该法案并非是从GDPR简单置换得来的,因此还需要与GDPR结合使用(这样会在实际操作中造成一些困难)。
·由于新《数据保护法案》中的大量章节均涉及执法工作以及国家安全处理机制,因此可能只有一小部分内容才与商业环境有直接关联。其中,核心内容包括:
第2部分——一般处理:在此部分中,除了有大量条款规定一般数据处理工作将适用GDPR核心理念与标准以外,人们还可以看到针对某些GDPR理念作出的具体修订以及个人根据GDPR应享有的权利;
第5部分与第6部分——英国信息专员办公室(ICO)与执法工作:根据此部分中的条款规定,ICO(英国数据保护监管机构)将有权继续监管与落实数据保护法律,并且可向数据控制人作出罚款决定,同时还负责将“评估通知”送达各家企业以开展强制性的数据保护审查工作。
针对GDPR作出的修订与扩展
·虽然新《数据保护法案》采纳了许多GDPR的核心理念,但是正如其意向申请书所述,英国政府还是在某些法规允许的核心领域中根据GDPR对新《数据保护法案》做出了一些扩展与修订。具体实例如下:
为儿童提供在线保护:新《数据保护法案》第8条在GDPR的基础上作出了修订,从而允许13岁及以上的儿童有权许可信息社会服务供应商来处理自己的个人数据,并且此举无需征得他们父母的同意(就此,英国政府特意提到希望大多数在线网站都能达到这个标准)。
故意或过失处理数据均会构成新的刑事犯罪:新《数据保护法案》第162条中出现了一种全新的刑事罪行。具体而言,如果某一组织故意或者过失重新识别出“已去识别化(de-identified)”个人数据,并且此举从未获得这些“已去识别化”个人数据的数据控制人的同意,那么该组织的行为将构成上述刑事罪行。而英国政府已在其声明意向书中阐明了这种新的刑事罪行。根据新《数据保护法案》中的解释,加入此条款的目的主要是保护网络上的匿名患者与医学数据。
·一旦英国完成脱欧行动,那么根据其发布的声明意向书,英国政府届时将会根据当前已提交到议会的《欧盟(退出)法案》把GDPR纳入到本国的国内法律中。
废除《1998年数据保护法》,但继续保持其核心理念
·英国政府在新《数据保护法案》中明确表示届时将废除《1998年数据保护法》,而上述《1998年数据保护法》正是目前英国数据保护制度的根基。不过,英国政府承诺在将GDPR纳入到英国本国法律中时,一定会尽可能地保留《1998年数据保护法》中的现有理念。
·例如,英国新《数据保护法案》仍会在下列领域中保留《1998年数据保护法》中较为成熟的理念:
自动化决策:新《数据保护法案》第13条针对个人权利的保护引入了新的保护措施,而这个新的保护措施基本上就是照搬《1998年数据保护法》第12条2款的规定。
处理特殊个人数据以及包含犯罪记录的数据:由于新《数据保护法案》将继续以与处理特殊个人数据(其在《1998年数据保护法》中称作敏感个人数据)相类似的方式来处理包含犯罪记录的数据,因此这一点对于企业雇主们而言是可以接受的。但是,这些雇主比较头疼的是根据新的《数据保护法案》,他们还要承担起建立相应“政策文档(policydocument)”的责任,而且必须要使用这个政策文档来处理特殊个人数据以及包含犯罪记录的数据。此外,上述政策文档还需要阐明其将以何种方式与GDPR的理念保持一致以及将采用何种方法来保存数据。
对于未来的展望
2017年9月13日,新《数据保护法案》被递交至英国上议院,这也代表着该法案在其立法漫漫长路中进入了首个核心阶段。考虑到各方还要针对这个法案进行一轮又一轮的激辩,或许在得到英女王批准之前,该法案可能还要进行进一步的修订。因此,人们可能还需要耐心等待一段时间后才能看到该法案的最终版本。(编译自lexology.com)