南方财经全媒体 记者 李润泽子 21世纪经济报道记者 郭美婷 实习生 古宇星
后脱欧时代,英国的数据保护制度革新正展露勃勃野心。
近日,英国查尔斯王子代表伊丽莎白女王发表“女王议会演讲”,其中包括有望在新的一年获得通过的38部法案,《数据改革法案》(Data Reform Bill,下文简称《法案》)便是其中之一。
据英国政府介绍,《法案》将通过减轻英国企业所面临的负担来提高其竞争力和效率。
受访专家告诉21世纪经济报道记者,英国对于数据保护制度的革新目前仍在探索阶段,许多问题目前尚不明确。但英国的革新至少体现了其对GDPR的反思,尝试克服GDPR复杂、繁冗的弊端,在促进数据利用和保护个人信息之间探索平衡点。如未来部分尝试效果良好,或可成为我国借鉴的新范本。
创建世界级的数据权利制度
据了解,《法案》将用于对英国现有数据保护制度的改革,这些制度就包含了《通用数据保护条例》(GDPR)以及《数据保护法案》(Data Protection act)。
英国政府表示,制定《法案》将使英国借助脱欧创建一个世界级的数据权利制度,从而建立新的有利于增长且值得信赖数据保护框架,以减轻企业负担、促进经济发展、帮助科学创新并改进英国人民的生活。
此外,《法案》还将对信息专员办公室(ICO)进行改造,确保其有能力和权力对违反数据规则的机构采取更有力的行动 ,同时要求其对议会和公众更加负责;增加行业对智能数据计划的参与度,使公民和小企业对他们的数据有更多控制权,并通过改善健康和社会护理环境中对数据的适当访问来帮助那些需要医疗保健的人。
大成律师事务所高级合伙人邓志松分析,尽管目前《法案》全文尚未公布,相关立法细节无从获知,但是从英国政府2021年9月发布并公开征求意见的国家数据保护法改革建议(Digital: A new direction,下称《改革建议》)来看,《法案》中可能会涉及数据控制者问责标准、数据泄露报告义务、Cookie同意机制、数据主体访问请求收费权、数据跨境传输机制、ICO职权等值得关注的修改内容。
浙江理工大学法政学院特聘副教授郭兵告诉21世纪经济报道记者,数据改革法案的制定,显然是为了更好的符合英国的发展利益,其与英国脱欧后的经济需求在一定程度上相吻合,即推动本国科技企业的创新发展,在全球获得更大的影响力。而在英国的一系列数据保护制度改革之中,《法案》将会成为极具特色的一份文件。
事实上,去年英国已经公布两项数据改革重要政策计划。
2021年8月26日,英国政府公布其在脱欧后的新全球数据计划,将与美国、澳大利亚、新加坡、韩国、日本等国家建立全球数据合作伙伴关系,并签订新的数据传输协议,旨在为本国数字经济在脱欧后实现自主良性发展创造可靠条件。
2021年9月10日,《改革建议》公布。该建议囊括了一系列对英国现行主要数据法规详细而全面的修正建议,涉及数据保护管理与问责、数据泄露报告、国际数据传输等,其累积效应可能导致英国数据保护规则框架的重大变革。
针对英国脱欧后的系列数据立法,北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括指出,数据制度将会决定数字治理的格局和数字产业的战略发展,所以英国需要以此为切入点,“一方面是摆脱欧盟的治理规则的约束,另一方面也是使自身在全球数字经济格局当中获得发展主动权和战略优势。”
构建英国数字经济生态环境
2016年,在“脱欧”公投中,英国选择了脱离欧盟。2020年1月31日,英国在正式脱离欧盟。随后,英国经历了为期11个月的“脱欧”过渡期。
在英国脱欧谈判期间,被称为“史上最严”的数据保护法GDPR获得通过并最终施行。在脱欧过渡期中,英国在其《数据保护法》的支持下根据GDPR进行数据管理。
但随着脱欧进程的逐步推进,英国的机构组织与企业最终将无法在GDPR框架下运作。
邓志松指出,尽管《法案》尚未公布,但从此前发布的《改革建议》来看,英国似乎拟对当前的数据保护规则做较大的调整。考虑到欧盟对英国的充分性认定中含有“日落条款”,即4年期满后需重新评估充分性,并可在4年期间英国数据保护水平发生重大偏离时推翻该认定,英国的这种做法很可能会增加欧盟推翻充分性认定的风险。
有关研究指出,失去充分性认定,可能导致英国公司的相关成本总额达到16亿英镑,这主要来自于标准合同条款替代转移机制相关的行政和法律费用。
此外,失去充分性认定也可能降低英国对科技企业家的吸引力。根据下议院的一项研究,43%的大型欧盟科技公司是在英国创办的,英国75%的跨境数据来自欧盟国家。
“在脱欧推进的过程当中,英国原有的和欧盟之间的合规工具,将部分甚至全部的失效。”吴沈括表示,在此背景之下英国所需的是重新建立相应的合规渠道和途径,这也必然导致英国将逐步独立制定符合自身发展需求的数据流转利用规则,并利用其政治和经济影响力,构建自身的数据流动圈。
而在关于国家数字主权博弈愈发激烈的当下,英国脱欧后的系列数据立法举措显然与数字主权的争夺密切相关。
“数字主权肯定是一个大背景。”吴沈括表示,英国与欧盟在数字主权领域的博弈,一个是为了提升经济实力,特别是通过发展数字经济提升市场的竞争力;另一方面,也是通过这种方式来输出自身的战略需求和价值观主张,从而在全球层面能够形成有利于自身的发展环境。
值得注意的是,21世纪经济报道记者在梳理时发现,英国政府曾表示,希望采取更加灵活的数据保护制度,使其更适合21世纪和数字经济。而对比欧盟GDPR来看,英国的数据保护法虽然借鉴了GDPR,但对其监管的复杂性有所修改。
对此,郭兵解释,在英国没有脱欧之前延续的是GDPR的相关规定,而GDPR过于严格繁冗。英国简化及放松相关制度举则是为了更好地推动本土科技企业发展。新的数据保护制度将使得英国的数据保护力度更为适当,企业发展所受到的制度约束更小。
新数据治理国际规则的形成契机
具体来看,根据《改革建议》,英国政府旨在消除数据跨境流动中不必要的壁垒和负担,创建一个自主的数据跨境流通框架,探索更灵活、创新和可依赖的个人信息出境机制。包括更有效的使用英国数据充分性认定框架,并改善其他替代工具。
邓志松解释,英国政府正在考虑采用更具创造性、协作性、务实性的充分性评估方法,作出更多的充分性认定,并确保高水平的数据保护。同时,将改善替代性机制。
“英国正在探索修改标准,扩大GDPR已有数据跨境传输机制的适用范围,以便利数据跨境传输。这契合了英国政府将英国打造成数字贸易领导者和全球最具吸引力的数据市场的野心。”邓志松表示,但是这种范围的扩大也可能导致个人数据保护标准的下降,并增加监管的难度。
吴沈括则认为,英国对于数据规则范式的改变,将产生比较广泛的模仿效应。
“在一定意义上,可能推动其他国家效仿并强化自身的数据治理主张,而在这个过程当中,也孕育着形成新的国际规则的契机。相信通过全球范围内更加广泛的博弈和合作,会形成新一代的国际数据治理规则和数据流动生态。”吴沈括表示。
但郭兵也提示,目前英国数据改革还需继续关注立法落地情况,根据通过的立法具体分析。
对于同样受到GDPR影响极大的我国而言,英国关于数据保护制度的革新颇有借鉴意义。
“英国的数据制度改革,采取的是更加务实且灵活的举措,对于我国来说有很大的借鉴意义。”郭兵表示,我国的数据保护立法受欧盟的GDPR影响较大,但我国的实际情况又与欧盟有所差别,过于严格的数据保护规则会让本土科技企业发展受限。
在邓志松看来,英国对于数据保护制度的革新目前仍在探索阶段,《改革建议》中的内容能否体现在最终出台的《法案》中,能否落地、如何落地以及后续可能引发的具体问题目前尚不明确。
“但英国的革新至少体现了其对GDPR的反思,尝试克服GDPR复杂、繁冗的弊端,在促进数据利用和保护个人信息之间探索平衡点。如未来部分尝试效果良好,或可成为我国借鉴的新范本。”但邓志松表示,考虑到我国个保法刚刚出台,许多制度还未落地,且个保法主要以规则、实践均较为成熟的GDPR为蓝本,因此在现阶段,我国的工作重点可能还是借鉴欧盟规则,结合我国实践,细化个保法配套细则,建立起全面、适合我国国情的个保法体系。
更多内容请下载21财经APP