英國數據保護和數字信息法案及其啟示

徐德順

“脫歐”以來英國一直謀求修訂數字法案

英國數據保護法案由來。2017年英國出臺的《數據保護法案》（Data Protection Bill，DPB）脫胎于1998年的《數據保護法案》（Data Protection Act，DPA）。DPB法案旨在配合2018年歐盟實施的《通用數據保護條例》（General Data Protection Regulation，GDPR）。DPB法案加強了對個人數據的保護，增加了數據可攜帶權和被遺忘權的規定，強化了機構對數據的保護責任，對數據實行嚴格的行政監管，并增進與刑事司法機構之間的合作。GDPR被稱為歐盟有史以來最嚴格的數據保護法，而GDPR在英國的落地實踐被認為存在流程繁瑣等問題。

英國謀求修改數字法案。2020年1月，英國正式“脫歐”，結束其47年的歐盟成員國身份，此后英國一直謀求修訂數字法案。2022年7月，英國《數據保護和數字信息法案》（The Data Protection and Digital Information Bill，DPDIB）在下議院被提出。2023年3月，DPDIB法案第一版被撤回，第二版被提出，預計不久將獲得通過。DPDIB法案有別于GDPR，旨在減輕企業負擔的同時，保持高數據保護標準。同時，DPDIB試圖在與歐盟“脫離”和“穩定”之間保持平衡，一方面抓住基于脫歐的“去監管機會”，用“常識性”的英國替代規則取代歐盟的數據保護規則；另一方面，為了確保數據持續從歐盟流向英國企業，并避免英國失去歐盟“充分性認定”（又稱白名單，指經過歐盟認定的對個人數據保護充分的國家、地區或國際組織，可以直接向其傳輸數據，不必采取進一步的保護措施）時可能遭受的重大經濟打擊，不得不維持當前數據監管框架的基本面。

修訂后的數字法案主要內容

新修訂的DPDIB法案包括六部分。第一部分主要……