版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
前言英国目前是中国在欧洲第三大贸易伙伴、第二大投资目的地和第三大外资来源地,中国是英国在亚洲最大贸易伙伴[1]。根据商务部、国家统计局和国家外汇管理局公布,2018年至2022年间,中国对英投资合作快速增长,国有和民营企业均较为活跃,投资领域从金融、能源等传统行业向高端制造、基础设施、信息科技等领域延伸。截至2022年底,中国对英直接投资存量193.5亿美元[2]。本文将主要介绍英国目前数据保护立法概况,为中国企业出海英国提供数据保护相关风险防范建议。一、英国个人数据保护立法概况自2020年1月31日起,英国正式脱欧,欧盟《通用数据保护条例》(“欧盟GDPR”)不再适用。相应地,《英国通用数据保护条例》(UKGeneralDataProtectionRegulation,“英国GDPR”)自2020年1月1日起实施[3]。英国GDPR以欧盟GDPR为基础,并未作实质性修订。英国GDPR是英国个人数据保护制度的基础性英国GDPR规定了与个人数据处理相关的核心定义和基本数据保护原则、处理个人数据的合法依据,以及适用于处理英国GDPR范围内的个人数据的组织和个人的相关责任和义务。英国GDPR还规定了作为数据主体的自然人的权利,包括获得法律救济的权利和与个人数据相关的权利。2021年9月10日,英国数字、文化、媒体和体育部门宣布,英国政府正在就英国数据保护框架的改革征求公众意见[4]。在2023年3月,英国议会发布《数据保护和数字信息2号法案》(DataProtectionandDigitalInformationBill(No.2),“2号法案”),旨在修改英国GDPR,预计通过后英国GDPR将与欧盟GDPR存在较大的差异[5]。英国另一项数据保护领域的关键立法是《2018数据保护法》(DataProtectionAct2018)[6]。《2018数据保护法》于2018年5月25日生效,并在英国脱欧后进行了修订并于2021年1月1日起实施[7]。《2018数据保护法》是对英国GDPR的补充,包含了对英国GDPR所规定的数据保护制度的一定限制。例如,《2018数据保护法》在英国GDPR授权下,可出于公共安全目的或保护司法独立等正当目的对英国GDPR所规定的数据主体权利进行限制。《2018数据保护法》还包含英国GDPR的适用范围以外的个人数据处理活动相关的规定,包括政府出于任何执法目的对个人数据的处理[8];以及特定情报机构对个人数据的处理[9]。除了英国GDPR和《2018数据保护法》,英国其他数据安全相关法规包括《2018电信(安全)法》(Telecommunications(Security)Act2021)[10]、《隐私和电子通讯法规》(PrivacyandElectronic二、英国个人数据保护主要制度英国GDPR和《2018数据保护法》均具有域外效力。除了适用于设立在英国境内的个人数据控制者和个人数据处理者的个人数据处理活动(无论该活动是否发生在英国)[12],在以下情形下,亦适用于英国境外设立的个人数据控制者或个人数据处理者的个人数据处理活动:(1)向英国境内的数据主体提供产品或服务;或(2)监控数据主体在英国境内的行为[13]。(二)个人数据的含义英国GDPR和《2018数据保护法》并未改变欧盟GDPR的关键定义。其中,个人数据是指任何与一个已识别或可识别的自然人关联的信息,但不包括与已故自然人有关联的信息[14]。英国GDPR对于特殊类型(specialcategories)个人数据赋予了较多保护。个人数据控制者和处理者处理种族或民族出身、政治观点、宗教或哲学信仰或工会会员资格的个人数据,以及为唯一识别自然人而处理遗传数据、生物特征数据、有关健康的数据或有关自然人性生活或性取向的数据时,应取得数据主体的明示同意[15]。《2018数据保护法》更是以专门附录详细规定了个人数据控制者和处理者在处理特殊类型个人数据时应遵循的法律要求和限制[16]。(三)个人数据控制者和处理者的主要义务与欧盟GDPR类似,个人数据控制者和处理者的义务贯穿整个英国GDPR,涵盖遵守个人数据处理的基本原则、具备处理个人数据的合法性基础、保护个人数据、采取默认隐私保护策略等。原则上,处理个人数据应当取得数据主体的同意,除非具备以下其他合法性基础之一:(1)为达成或履行数据主体作为一方当事人的合同所必需;(2)为履行个人信息控制者的法定义务所必需;(3)为保护数据主体或其他自然人的重要利益所必需;(4)为履行公众利益而执行的任务或为行使赋予个人数据控制者的官方权力所必需;(5)处理对于个人数据控制者或第三方追求的合法利益是必要的,除非这些利益次于被需要保护个人数据的数据主体的利益或基本权利和自由,特别是当数据主体是儿童时[17]。除此之外,个人数据控制者和个人数据处理者也需履行其他各项个人数据保护义务,包括遵守个人数据处理的基本原则[18]、采取与处理风险所匹配的安全措施[19]、采取默认隐私保护策略[20]、开展数据保护影响评估[21]、向数据主体和英国信息专员办公室(InformationCommissioner’sOffice,ICO)通知安全事件[22]《2018数据保护法》要求所有个人数据控制者应当在ICO注册,并缴纳年度费用,除非他们符合豁免情形《2018年数据保护(收费和信息)法规》(TheDataProtection(ChargesandInformation)Regulations2018)[24]根据个人数据控制者处理个人数据的潜在风险,进一步规定了收费等级,不同等级的收费金额取决于员工人数、年营业额、组织规模、组织类型(例如企业、公共机构、慈善机构或职业退休金计划为不同类型组织)[25]。若个人数据控制者的所有个人数据处理活动均为豁免缴纳费用的情形,则个人数据控制者无需缴纳该笔费用,豁免情形包括为纯粹为个人、家庭目的处理个人数据,或是在公共场所摄像等多种情形[26]。若个人数据控制者未足额支付费用,最高可被处以该组织当年应缴纳费用的150%的罚款[27]。(五)数据保护负责人根据英国GDPR,如果符合以下任一情形,个人数据控制者或处理者应当任命一名数据保护官:(1)数据控制者或处理者是一个公共权力机构;(2)其核心个人数据处理活动需要对数据主体进行定期和系统性的大规模监控;(3)其核心个人数据处理活动包括大规模处理特殊类型个人数据[28]。企业集团可以任命一名数据保护官负责多个法律实体,前提是每个企业都能较容易联络到该数据保护官[29]。数据保护官应当具备数据保护法律和实践的专业知识[30]。英国GDPR允许企业聘用第三方企业的人员担任数据保护官[31]。个人数据控制者和处理者必须确保数据保护官恰当和及时地参与与个人数据保护有关的所有问题,直接向最高管理层报告,并且不得因执行数据保护官职责而被解雇或处罚[32]。数据保护官的主要职责包括就英国数据保护法律规定提供建议与提醒、监督组织的数据合规情况、开展员工培训、建议并监督数据保护影响评估、以及作为联络人与监管机构沟通[33]。(六)数据保护监管机构英国的专门数据保护主管机构为ICO,负责基于公共利益维护数据主体的隐私权利、促进信息公开、监督数据保护法规的执行、接受数据主体的投诉、以及制定数据保护法规的解读指南与具体政策文件等[34]。《2018数据保护法》进一步细化了ICO的执法权利,包括要求个人数据控制者或处理者向ICO提供信息,开展合规性评估,下达命令要求个人数据控制者或处理者采取或不采取某些行为,以及处以行政罚款[35]。ICO的处罚形式包括谴责(reprimands)、命令(enforcementnotice)、罚款(monetarypenalties)、起诉(prosecution)等[36]。截至2024年9月13日,在ICO公布的166项处罚中,ICO对43个组织处以罚款,罚款金额最高达2000万英镑(约合人民币1.86亿元)[37]。英国GDPR对个人数据控制者和个人数据处理者的违法行为规定了两档处罚幅度:(1)对于违反个人数据控制者和个人数据处理者的某些合规义务的违法行为,最高罚款为870万英镑(约合人民币8100万元),或者是企业上一财政年度全球年营业额的2%,以较高者为准;(2)对于违反英国GDPR所规定的核心数据保护义务的违法行为,最高罚款为1750万英镑(约合人民币1.63亿元),或者是企业上一财政年度全球年营业额的4%,以较高者为准[38]。(八)个人数据主体行权英国GDPR为个人数据主体维护其个人数据相关权益提供了多种路径。若个人数据主体因个人数据控制者或处理者违反英国GDPR而遭受“物质或非物质损害”,则其有权向个人数据控制者或处理者主张赔偿。这意味着即便个人数据主体遭受“非物质损害”,其仍可以主张经济赔偿[39]。个人数据主体可以授权消费者保护机构代表他们行使权利和提出索赔[40]。个人数据主体还可以向ICO提出投诉[41],若其对ICO的决定存在异议,也可以寻求司法救济[42]。此外,个人数据主体可以针对个人数据控制者或处理者的违法行为寻求各类有效法律救济(例(九)通过电子方式营销电子营销活动往往涉及使用个人数据,英国GDPR适用于大多数电子营销活动。根据引言第47条,电子营销活动中,最合理的处理个人数据的合法性基础是同意或者出于个人数据控制者的合法利益。英国GDPR严格的同意标准对电子营销活动提出了挑战。英国GDPR要求,收集同意时需个人作出明确同意,用语表述需包含明确的选择机制(例如勾选未勾选的同意框,或签署声明),而不是仅仅接受条款和条件,或同意访问网站等行为暗示的同意[44]。英国GDPR还规定个人数据控制者或处理者应当保障个人数据主体有权无条《2003年隐私和电子通信条例》(ThePrivacyandElectronicCommunications(ECDirective)Regulations2003,“PEC条例”)[46]规定了电子营销的具体规则。PEC条例源于欧盟的电子隐私指令(Directive2002/58/ECePrivacyDirective),在英国脱欧后得以保留。PEC条例禁止在未经收件人同意的情况下使用自动呼叫系统[47]。该条例亦禁止未经消费者事先同意而以直接营销为目的开展电子通讯,例如发送邮件或短信,除非消费者在采购营销活动所涉的产品或服务过程中提供了相关联系方式,并且营销者必须提供“选择退出”途径[48]。这些要求只适用于个人消费者,而不适用于公司订阅者[49]。在发送电子营销通知时,PEC条例要求发送者必须真实地披露发送者身份,以及提供取消订阅选项三、英国个人数据跨境监管制度与欧盟GDPR类似,英国GDPR并无数据本地化存储要求,而要求在具备一定前提条件或数据安全保障机制的情况下,才可跨境传输个人数据[51]。英国GDPR允许个人数据跨境传输的前提条件为目的地国家或地区已获得充分性认定(Adequacydecision),或跨境传输具备适当的保障机制(appropriatesafeguards)。英国GDPR承认欧盟GDPR的充分性认定结果。在此基础上,英国自身还由其内政大臣(SecretaryofStatefortheHomeDepartment)负责发布其他充分性认定结果[52]。目前,以下国家或地区或组织被认为具备充分的个人信息保护水平,可以在不需要进一步保障的情况下从英国传输个人数据:(2)欧盟或欧洲经济区的机构、团体、办事处或代理机构;(4)欧盟委员会全面充分性认定涵盖的国家、地区或组织;(5)受欧盟委员会部分充分性认定涵盖的国家、地区或组织(例如欧盟委员会给予充分性认定的日本私营组织);和(6)英国的充分性认定涵盖的国家、地区或组织。截至本文发稿日,包括韩国[53]和美国[54](仅限将个人数据转移给根据修订的欧盟-美国隐私框架安排所制订的数据隐私框架名单上的美国人士)[55]。(二)适当的保障机制除了目的国或地区通过了充分性认定以外,若存在适当的保障机制,亦允许从英国向境外传输个人数据[56]。适(1)公共当局或机构之间具有法律约束力且可执行的文书;(2)根据英国GDPR第47条规定的具有约束力的公司规则(BindingCorporateRules,BCR);(3)内政大臣根据《2018数据保护法》第17C条制定的法规中指定的标准数据保护条款;(4)ICO根据《2018数据保护法》第119A条发布的文件中指定的标准数据保护条款;(5)根据英国GDPR第40条经批准的行为准则(以及采取适当保护措施的具有约束力且可执行的承诺);或者(6)根据英国GDPR第42条经批准的认证机制(以及采取适当保护措施的具有约束力且可执行的承诺)[57]。就上述标准数据保护条款,ICO已根据英国GDPR等法律条文于2022年3月21日发布了两项标准合同性质的文件,其一是《国际数据传输协议》(InternationalDataTransferAgreement,简称为“IDTA”),又被称为英国版SCC[58];其二是《欧盟委员会标准合同条款国际数据传输附件》(InternationalDataTransferAddendumtotheEUCommissionStandardContractualClauses)[59]。后者的主要目的是在英国脱欧后附在原欧盟SCC之后,并将合同管辖权收归英国。此外,ICO还发布了风险评估模板,当风险评估过高时,双方在签署IDTA时应填写IDTA附件二的额外保护条款[60]。若不具备充分性认定或适当的保障机制,在某些情形下,英国GDPR也允许跨境传输个人数据。这些例外情形包(1)向数据主体充分
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024-2030年中国服装电子商务市场竞争现状及发展模式研究报告
- 2024-2030年中国智能熔接机行业市场运营模式及未来发展动向预测报告
- 2024-2030年中国无机抗菌添加剂行业前景动态与发展趋势预测报告
- 2024-2030年中国数据中心IT基础设施第三方服务行业应用需求分析及投资规划研究报告
- 2024-2030年中国托盘行业运营模式及未来投资前景展望报告
- 2024-2030年中国建材连锁行业投融资战略与并购趋势分析报告
- 2024至2030年中国干型南丰蜜桔酒数据监测研究报告
- 2024-2030年中国巧克力行业市场运营效益分析及投资竞争力研究报告版
- 2024至2030年安全玻璃冲击试验机项目投资价值分析报告
- 2024年橱柜滑轨项目可行性研究报告
- 安全培训总结及效果评价
- 2024年巴黎奥运会
- NB-T+10488-2021水电工程砂石加工系统设计规范
- 青年你为什么要入团-团员教育主题班会-热点主题班会课件
- 2024年畜禽屠宰企业兽医卫生检验人员考试试题
- 幼儿园园本教研的途径与方法
- 《认识水果蔬菜》ppt课件
- 典型草原割草场技术规范-编制说明-内蒙古
- 阿坝藏族羌族自治州羌族文化生态保护实验区实施方案 - 阿坝州羌族
- 精细化工——洗涤剂的合成PPT课件
- 最新Tcpdump格式文件分析
评论
0/150
提交评论