企業(yè)出海-海外數(shù)據(jù)合規(guī)概覽（英國篇）

前言英國目前是中國在歐洲第三大貿(mào)易伙伴、第二大投資目的地和第三大外資來源地，中國是英國在亞洲最大貿(mào)易伙伴[1]。根據(jù)商務(wù)部、國家統(tǒng)計局和國家外匯管理局公布，2018年至2022年間，中國對英投資合作快速增長，國有和民營企業(yè)均較為活躍，投資領(lǐng)域從金融、能源等傳統(tǒng)行業(yè)向高端制造、基礎(chǔ)設(shè)施、信息科技等領(lǐng)域延伸。截至2022年底，中國對英直接投資存量193.5億美元[2]。本文將主要介紹英國目前數(shù)據(jù)保護(hù)立法概況，為中國企業(yè)出海英國提供數(shù)據(jù)保護(hù)相關(guān)風(fēng)險防范建議。一、英國個人數(shù)據(jù)保護(hù)立法概況自2020年1月31日起，英國正式脫歐，歐盟《通用數(shù)據(jù)保護(hù)條例》（“歐盟GDPR”）不再適用。相應(yīng)地，《英國通用數(shù)據(jù)保護(hù)條例》（UKGeneralDataProtectionRegulation，“英國GDPR”）自2020年1月1日起實施[3]。英國GDPR以歐盟GDPR為基礎(chǔ)，并未作實質(zhì)性修訂。英國GDPR是英國個人數(shù)據(jù)保護(hù)制度的基礎(chǔ)性英國GDPR規(guī)定了與個人數(shù)據(jù)處理相關(guān)的核心定義和基本數(shù)據(jù)保護(hù)原則、處理個人數(shù)據(jù)的合法依據(jù)，以及適用于處理英國GDPR范圍內(nèi)的個人數(shù)據(jù)的組織和個人的相關(guān)責(zé)任和義務(wù)。英國GDPR還規(guī)定了作為數(shù)據(jù)主體的自然人的權(quán)利，包括獲得法律救濟(jì)的權(quán)利和與個人數(shù)據(jù)相關(guān)的權(quán)利。2021年9月10日，英國數(shù)字、文化、媒體和體育部門宣布，英國政府正在就英國數(shù)據(jù)保護(hù)框架的改革征求公眾意見[4]。在2023年3月，英國議會發(fā)布《數(shù)據(jù)保護(hù)和數(shù)字信息2號法案》（DataProtectionandDigitalInformationBill(No.2)，“2號法案”），旨在修改英國GDPR，預(yù)計通過后英國GDPR將與歐盟GDPR存在較大的差異[5]。英國另一項數(shù)據(jù)保護(hù)領(lǐng)域的關(guān)鍵立法是《2018數(shù)據(jù)保護(hù)法》（DataProtectionAct2018）[6]?！?018數(shù)據(jù)保護(hù)法》于2018年5月25日生效，并在英國脫歐后進(jìn)行了修訂并于2021年1月1日起實施[7]?！?018數(shù)據(jù)保護(hù)法》是對英國GDPR的補(bǔ)充，包含了對英國GDPR所規(guī)定的數(shù)據(jù)保護(hù)制度的一定限制。例如，《2018數(shù)據(jù)保護(hù)法》在英國GDPR授權(quán)下，可出于公共安全目的或保護(hù)司法獨立等正當(dāng)目的對英國GDPR所規(guī)定的數(shù)據(jù)主體權(quán)利進(jìn)行限制。《2018數(shù)據(jù)保護(hù)法》還包含英國GDPR的適用范圍以外的個人數(shù)據(jù)處理活動相關(guān)的規(guī)定，包括政府出于任何執(zhí)法目的對個人數(shù)據(jù)的處理[8]；以及特定情報機(jī)構(gòu)對個人數(shù)據(jù)的處理[9]。除了英國GDPR和《2018數(shù)據(jù)保護(hù)法》，英國其他數(shù)據(jù)安全相關(guān)法規(guī)包括《2018電信（安全）法》（Telecommunications(Security)Act2021）[10]、《隱私和電子通訊法規(guī)》（PrivacyandElectronic二、英國個人數(shù)據(jù)保護(hù)主要制度英國GDPR和《2018數(shù)據(jù)保護(hù)法》均具有域外效力。除了適用于設(shè)立在英國境內(nèi)的個人數(shù)據(jù)控制者和個人數(shù)據(jù)處理者的個人數(shù)據(jù)處理活動（無論該活動是否發(fā)生在英國）[12]，在以下情形下，亦適用于英國境外設(shè)立的個人數(shù)據(jù)控制者或個人數(shù)據(jù)處理者的個人數(shù)據(jù)處理活動：（1）向英國境內(nèi)的數(shù)據(jù)主體提供產(chǎn)品或服務(wù)；或（2）監(jiān)控數(shù)據(jù)主體在英國境內(nèi)的行為[13]。（二）個人數(shù)據(jù)的含義英國GDPR和《2018數(shù)據(jù)保護(hù)法》并未改變歐盟GDPR的關(guān)鍵定義。其中，個人數(shù)據(jù)是指任何與一個已識別或可識別的自然人關(guān)聯(lián)的信息，但不包括與已故自然人有關(guān)聯(lián)的信息[14]。英國GDPR對于特殊類型（specialcategories）個人數(shù)據(jù)賦予了較多保護(hù)。個人數(shù)據(jù)控制者和處理者處理種族或民族出身、政治觀點、宗教或哲學(xué)信仰或工會會員資格的個人數(shù)據(jù)，以及為唯一識別自然人而處理遺傳數(shù)據(jù)、生物特征數(shù)據(jù)、有關(guān)健康的數(shù)據(jù)或有關(guān)自然人性生活或性取向的數(shù)據(jù)時，應(yīng)取得數(shù)據(jù)主體的明示同意[15]?！?018數(shù)據(jù)保護(hù)法》更是以專門附錄詳細(xì)規(guī)定了個人數(shù)據(jù)控制者和處理者在處理特殊類型個人數(shù)據(jù)時應(yīng)遵循的法律要求和限制[16]。（三）個人數(shù)據(jù)控制者和處理者的主要義務(wù)與歐盟GDPR類似，個人數(shù)據(jù)控制者和處理者的義務(wù)貫穿整個英國GDPR，涵蓋遵守個人數(shù)據(jù)處理的基本原則、具備處理個人數(shù)據(jù)的合法性基礎(chǔ)、保護(hù)個人數(shù)據(jù)、采取默認(rèn)隱私保護(hù)策略等。原則上，處理個人數(shù)據(jù)應(yīng)當(dāng)取得數(shù)據(jù)主體的同意，除非具備以下其他合法性基礎(chǔ)之一：（1）為達(dá)成或履行數(shù)據(jù)主體作為一方當(dāng)事人的合同所必需；（2）為履行個人信息控制者的法定義務(wù)所必需；（3）為保護(hù)數(shù)據(jù)主體或其他自然人的重要利益所必需；（4）為履行公眾利益而執(zhí)行的任務(wù)或為行使賦予個人數(shù)據(jù)控制者的官方權(quán)力所必需；（5）處理對于個人數(shù)據(jù)控制者或第三方追求的合法利益是必要的，除非這些利益次于被需要保護(hù)個人數(shù)據(jù)的數(shù)據(jù)主體的利益或基本權(quán)利和自由，特別是當(dāng)數(shù)據(jù)主體是兒童時[17]。除此之外，個人數(shù)據(jù)控制者和個人數(shù)據(jù)處理者也需履行其他各項個人數(shù)據(jù)保護(hù)義務(wù)，包括遵守個人數(shù)據(jù)處理的基本原則[18]、采取與處理風(fēng)險所匹配的安全措施[19]、采取默認(rèn)隱私保護(hù)策略[20]、開展數(shù)據(jù)保護(hù)影響評估[21]、向數(shù)據(jù)主體和英國信息專員辦公室（InformationCommissioner’sOffice，ICO）通知安全事件[22]《2018數(shù)據(jù)保護(hù)法》要求所有個人數(shù)據(jù)控制者應(yīng)當(dāng)在ICO注冊，并繳納年度費(fèi)用，除非他們符合豁免情形《2018年數(shù)據(jù)保護(hù)（收費(fèi)和信息）法規(guī)》（TheDataProtection(ChargesandInformation)Regulations2018）[24]根據(jù)個人數(shù)據(jù)控制者處理個人數(shù)據(jù)的潛在風(fēng)險，進(jìn)一步規(guī)定了收費(fèi)等級，不同等級的收費(fèi)金額取決于員工人數(shù)、年營業(yè)額、組織規(guī)模、組織類型（例如企業(yè)、公共機(jī)構(gòu)、慈善機(jī)構(gòu)或職業(yè)退休金計劃為不同類型組織）[25]。若個人數(shù)據(jù)控制者的所有個人數(shù)據(jù)處理活動均為豁免繳納費(fèi)用的情形，則個人數(shù)據(jù)控制者無需繳納該筆費(fèi)用，豁免情形包括為純粹為個人、家庭目的處理個人數(shù)據(jù)，或是在公共場所攝像等多種情形[26]。若個人數(shù)據(jù)控制者未足額支付費(fèi)用，最高可被處以該組織當(dāng)年應(yīng)繳納費(fèi)用的150%的罰款[27]。（五）數(shù)據(jù)保護(hù)負(fù)責(zé)人根據(jù)英國GDPR，如果符合以下任一情形，個人數(shù)據(jù)控制者或處理者應(yīng)當(dāng)任命一名數(shù)據(jù)保護(hù)官：（1）數(shù)據(jù)控制者或處理者是一個公共權(quán)力機(jī)構(gòu)；（2）其核心個人數(shù)據(jù)處理活動需要對數(shù)據(jù)主體進(jìn)行定期和系統(tǒng)性的大規(guī)模監(jiān)控；（3）其核心個人數(shù)據(jù)處理活動包括大規(guī)模處理特殊類型個人數(shù)據(jù)[28]。企業(yè)集團(tuán)可以任命一名數(shù)據(jù)保護(hù)官負(fù)責(zé)多個法律實體，前提是每個企業(yè)都能較容易聯(lián)絡(luò)到該數(shù)據(jù)保護(hù)官[29]。數(shù)據(jù)保護(hù)官應(yīng)當(dāng)具備數(shù)據(jù)保護(hù)法律和實踐的專業(yè)知識[30]。英國GDPR允許企業(yè)聘用第三方企業(yè)的人員擔(dān)任數(shù)據(jù)保護(hù)官[31]。個人數(shù)據(jù)控制者和處理者必須確保數(shù)據(jù)保護(hù)官恰當(dāng)和及時地參與與個人數(shù)據(jù)保護(hù)有關(guān)的所有問題，直接向最高管理層報告，并且不得因執(zhí)行數(shù)據(jù)保護(hù)官職責(zé)而被解雇或處罰[32]。數(shù)據(jù)保護(hù)官的主要職責(zé)包括就英國數(shù)據(jù)保護(hù)法律規(guī)定提供建議與提醒、監(jiān)督組織的數(shù)據(jù)合規(guī)情況、開展員工培訓(xùn)、建議并監(jiān)督數(shù)據(jù)保護(hù)影響評估、以及作為聯(lián)絡(luò)人與監(jiān)管機(jī)構(gòu)溝通[33]。（六）數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)英國的專門數(shù)據(jù)保護(hù)主管機(jī)構(gòu)為ICO，負(fù)責(zé)基于公共利益維護(hù)數(shù)據(jù)主體的隱私權(quán)利、促進(jìn)信息公開、監(jiān)督數(shù)據(jù)保護(hù)法規(guī)的執(zhí)行、接受數(shù)據(jù)主體的投訴、以及制定數(shù)據(jù)保護(hù)法規(guī)的解讀指南與具體政策文件等[34]。《2018數(shù)據(jù)保護(hù)法》進(jìn)一步細(xì)化了ICO的執(zhí)法權(quán)利，包括要求個人數(shù)據(jù)控制者或處理者向ICO提供信息，開展合規(guī)性評估，下達(dá)命令要求個人數(shù)據(jù)控制者或處理者采取或不采取某些行為，以及處以行政罰款[35]。ICO的處罰形式包括譴責(zé)（reprimands）、命令（enforcementnotice）、罰款（monetarypenalties）、起訴（prosecution）等[36]。截至2024年9月13日，在ICO公布的166項處罰中，ICO對43個組織處以罰款，罰款金額最高達(dá)2000萬英鎊（約合人民幣1.86億元）[37]。英國GDPR對個人數(shù)據(jù)控制者和個人數(shù)據(jù)處理者的違法行為規(guī)定了兩檔處罰幅度：（1）對于違反個人數(shù)據(jù)控制者和個人數(shù)據(jù)處理者的某些合規(guī)義務(wù)的違法行為，最高罰款為870萬英鎊（約合人民幣8100萬元），或者是企業(yè)上一財政年度全球年營業(yè)額的2%，以較高者為準(zhǔn)；（2）對于違反英國GDPR所規(guī)定的核心數(shù)據(jù)保護(hù)義務(wù)的違法行為，最高罰款為1750萬英鎊（約合人民幣1.63億元），或者是企業(yè)上一財政年度全球年營業(yè)額的4%，以較高者為準(zhǔn)[38]。（八）個人數(shù)據(jù)主體行權(quán)英國GDPR為個人數(shù)據(jù)主體維護(hù)其個人數(shù)據(jù)相關(guān)權(quán)益提供了多種路徑。若個人數(shù)據(jù)主體因個人數(shù)據(jù)控制者或處理者違反英國GDPR而遭受“物質(zhì)或非物質(zhì)損害”，則其有權(quán)向個人數(shù)據(jù)控制者或處理者主張賠償。這意味著即便個人數(shù)據(jù)主體遭受“非物質(zhì)損害”，其仍可以主張經(jīng)濟(jì)賠償[39]。個人數(shù)據(jù)主體可以授權(quán)消費(fèi)者保護(hù)機(jī)構(gòu)代表他們行使權(quán)利和提出索賠[40]。個人數(shù)據(jù)主體還可以向ICO提出投訴[41]，若其對ICO的決定存在異議，也可以尋求司法救濟(jì)[42]。此外，個人數(shù)據(jù)主體可以針對個人數(shù)據(jù)控制者或處理者的違法行為尋求各類有效法律救濟(jì)（例（九）通過電子方式營銷電子營銷活動往往涉及使用個人數(shù)據(jù)，英國GDPR適用于大多數(shù)電子營銷活動。根據(jù)引言第47條，電子營銷活動中，最合理的處理個人數(shù)據(jù)的合法性基礎(chǔ)是同意或者出于個人數(shù)據(jù)控制者的合法利益。英國GDPR嚴(yán)格的同意標(biāo)準(zhǔn)對電子營銷活動提出了挑戰(zhàn)。英國GDPR要求，收集同意時需個人作出明確同意，用語表述需包含明確的選擇機(jī)制（例如勾選未勾選的同意框，或簽署聲明），而不是僅僅接受條款和條件，或同意訪問網(wǎng)站等行為暗示的同意[44]。英國GDPR還規(guī)定個人數(shù)據(jù)控制者或處理者應(yīng)當(dāng)保障個人數(shù)據(jù)主體有權(quán)無條《2003年隱私和電子通信條例》（ThePrivacyandElectronicCommunications(ECDirective)Regulations2003，“PEC條例”）[46]規(guī)定了電子營銷的具體規(guī)則。PEC條例源于歐盟的電子隱私指令（Directive2002/58/ECePrivacyDirective），在英國脫歐后得以保留。PEC條例禁止在未經(jīng)收件人同意的情況下使用自動呼叫系統(tǒng)[47]。該條例亦禁止未經(jīng)消費(fèi)者事先同意而以直接營銷為目的開展電子通訊，例如發(fā)送郵件或短信，除非消費(fèi)者在采購營銷活動所涉的產(chǎn)品或服務(wù)過程中提供了相關(guān)聯(lián)系方式，并且營銷者必須提供“選擇退出”途徑[48]。這些要求只適用于個人消費(fèi)者，而不適用于公司訂閱者[49]。在發(fā)送電子營銷通知時，PEC條例要求發(fā)送者必須真實地披露發(fā)送者身份，以及提供取消訂閱選項三、英國個人數(shù)據(jù)跨境監(jiān)管制度與歐盟GDPR類似，英國GDPR并無數(shù)據(jù)本地化存儲要求，而要求在具備一定前提條件或數(shù)據(jù)安全保障機(jī)制的情況下，才可跨境傳輸個人數(shù)據(jù)[51]。英國GDPR允許個人數(shù)據(jù)跨境傳輸?shù)那疤釛l件為目的地國家或地區(qū)已獲得充分性認(rèn)定（Adequacydecision），或跨境傳輸具備適當(dāng)?shù)谋Ｕ蠙C(jī)制（appropriatesafeguards）。英國GDPR承認(rèn)歐盟GDPR的充分性認(rèn)定結(jié)果。在此基礎(chǔ)上，英國自身還由其內(nèi)政大臣（SecretaryofStatefortheHomeDepartment）負(fù)責(zé)發(fā)布其他充分性認(rèn)定結(jié)果[52]。目前，以下國家或地區(qū)或組織被認(rèn)為具備充分的個人信息保護(hù)水平，可以在不需要進(jìn)一步保障的情況下從英國傳輸個人數(shù)據(jù)：（2）歐盟或歐洲經(jīng)濟(jì)區(qū)的機(jī)構(gòu)、團(tuán)體、辦事處或代理機(jī)構(gòu)；（4）歐盟委員會全面充分性認(rèn)定涵蓋的國家、地區(qū)或組織；（5）受歐盟委員會部分充分性認(rèn)定涵蓋的國家、地區(qū)或組織（例如歐盟委員會給予充分性認(rèn)定的日本私營組織）；和（6）英國的充分性認(rèn)定涵蓋的國家、地區(qū)或組織。截至本文發(fā)稿日，包括韓國[53]和美國[54]（僅限將個人數(shù)據(jù)轉(zhuǎn)移給根據(jù)修訂的歐盟-美國隱私框架安排所制訂的數(shù)據(jù)隱私框架名單上的美國人士）[55]。（二）適當(dāng)?shù)谋Ｕ蠙C(jī)制除了目的國或地區(qū)通過了充分性認(rèn)定以外，若存在適當(dāng)?shù)谋Ｕ蠙C(jī)制，亦允許從英國向境外傳輸個人數(shù)據(jù)[56]。適（1）公共當(dāng)局或機(jī)構(gòu)之間具有法律約束力且可執(zhí)行的文書；（2）根據(jù)英國GDPR第47條規(guī)定的具有約束力的公司規(guī)則（BindingCorporateRules,BCR)；（3）內(nèi)政大臣根據(jù)《2018數(shù)據(jù)保護(hù)法》第17C條制定的法規(guī)中指定的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款；（4）ICO根據(jù)《2018數(shù)據(jù)保護(hù)法》第119A條發(fā)布的文件中指定的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款；（5）根據(jù)英國GDPR第40條經(jīng)批準(zhǔn)的行為準(zhǔn)則（以及采取適當(dāng)保護(hù)措施的具有約束力且可執(zhí)行的承諾）；或者（6）根據(jù)英國GDPR第42條經(jīng)批準(zhǔn)的認(rèn)證機(jī)制（以及采取適當(dāng)保護(hù)措施的具有約束力且可執(zhí)行的承諾）[57]。就上述標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款，ICO已根據(jù)英國GDPR等法律條文于2022年3月21日發(fā)布了兩項標(biāo)準(zhǔn)合同性質(zhì)的文件，其一是《國際數(shù)據(jù)傳輸協(xié)議》（InternationalDataTransferAgreement，簡稱為“IDTA”），又被稱為英國版SCC[58]；其二是《歐盟委員會標(biāo)準(zhǔn)合同條款國際數(shù)據(jù)傳輸附件》（InternationalDataTransferAddendumtotheEUCommissionStandardContractualClauses）[59]。后者的主要目的是在英國脫歐后附在原歐盟SCC之后，并將合同管轄權(quán)收歸英國。此外，ICO還發(fā)布了風(fēng)險評估模板，當(dāng)風(fēng)險評估過高時，雙方在簽署IDTA時應(yīng)填寫IDTA附件二的額外保護(hù)條款[60]。若不具備充分性認(rèn)定或適當(dāng)?shù)谋Ｕ蠙C(jī)制，在某些情形下，英國GDPR也允許跨境傳輸個人數(shù)據(jù)。這些例外情形包（1）向數(shù)據(jù)主體充分