网易首页 > 网易号 > 正文 申请入驻

郭玉兰等:中国企业出海热点地区数据保护指南——英国篇

0
分享至

中国企业在走出去的过程中,可能会遇到大量收集、处理、转移用户个人数据的情况,对于现有和潜在用户/消费者众多的互联网、快消品、新能源汽车等行业企业来说更是如此。个人数据安全事件和其他违法处理个人数据行为,将极大地损害公司的声誉,并遭到各国主管机关的“特别关注”和“严厉打击”,例如高额罚款。

随着以《通用数据保护条例》(GDPR)为代表的各国数据隐私安全合规体系建立,企业在面向欧美和新兴国家市场时必须对个人数据安全合规更加重视,以降低相应的法律风险。例如,英国在“脱欧”后,仍然依据欧盟GDPR制定了本国的数据法律;目前美国尚不存在联邦层面统一的数据保护法,仅部分州(如加州)推出了本州的数据保护法律,但正在推进《美国数据隐私保护法案》(ADPPA)的立法进程,旨在出台一部联邦层面的数据隐私立法;东南亚国家诸如印度、越南等国家亦在近年来颁布了其第一部个人数据保护法律。

在数据保护立法大潮的背景下,我们结合理论和实务经验,准备了“中国企业出海热点地区数据保护指南”系列文章,着眼于英国、美国、欧盟、印度和越南等出海热点法域的数据保护法,以帮助出海企业更好地了解其数据保护立法进程与执法概况,明晰数据保护合规要点。

本文为系列文章的第一篇,旨在系统理顺英国这一海外市场的个人数据合规法律要求框架,供相关企业参考。

一、综述

(一)立法总览

英国信息专员办公室(Information Commissioner’s Office,“ICO”)是英国的数据保护主管机关,负责执行包括但不限于下述英国数据保护相关主要立法:

1. UK General Data Protection Regulation (《英国通用数据保护条例》,“英国GDPR”),沿用了欧盟GDPR的规定。英国GDPR未对欧盟GDPR作出实质性修改;

2. Data Protection Act 2018(《2018年数据保护法案》,“DPA”):该法案是对英国GDPR的补充,包含就数据处理活动的进一步具体限制、豁免,以及处理敏感个人数据的合法性事由等。

在英国GDPR和DPA之外,英国在金融服务监管、互联网和电信服务等行业还存在一些特殊的数据保护规定。

(二)适用范围

在个人数据[1]控制者[2]或处理者[3]涉及以下任一情形时,则适用英国的数据保护法律:

1. 在英国设立机构[4]并从事处理活动(无论处理活动是否实际在英国进行);

2. 并未在英国设立机构,但处理英国境内个人的个人数据,且处理活动与以下情形之一有关:

(1)向英国境内个人提供商品和服务(无论是否有偿),或;

(2)对该等个人在英国境内的行为进行监控追踪。

3. 并未在英国设立机构,但根据国际公法适用国内法。

(三)基本原则和数据主体权利

与我国《个人信息保护法》(下称“《个保法》”)类似,英国GDPR规定了若干个人数据的处理原则,包括:

  • 合法、公平和透明原则:控制者必须向数据主体提供有关收集和进一步处理其个人数据的最低限度的信息。这些信息必须以简洁、透明、易懂、易获取的形式提供;
  • 目的限制原则:控制者须为特定、明确和合法的目的收集数据;
  • 必要性原则:处理活动应当就实现数据处理目的是适当的、相关的和必要的;
  • 准确性原则:数据应当准确,并在必要时更新,必须采取一切合理步骤,在考虑处理目的的基础上,立即删除或纠正不准确的个人资料;
  • 储存限制原则:以可识别数据主体的形式保存的时间不得超过处理个人数据的目的所必需的时间;以及
  • 完整性和保密性原则:应当采取适当的技术或组织措施,确保以安全的方式处理个人数据,防止未经授权或非法处理,防止意外丢失、毁坏或损坏。

控制者有义务通过隐私政策和内部记录等文件,证明其遵守了上述原则。

此外,英国GDPR还规定了数据主体所享有的若干权利,如(1)知情权,即从数据控制者处获取关于数据处理细节和信息的权利,并且应当被主动告知拥有哪些权利;(2)访问权,即可以从数据控制者处确认自己的个人信息是否正在被处理、哪些信息被处理、如何处理等;(3)纠正权,数据主体有权要求控制者及时纠正或补充完整关于自己的个人信息;(4)删除权,除某些例外情况,数据主体有权要求彻底清除自己的个人信息;(5)限制处理权,数据主体可以对数据的准确性提出质疑,并且限制数据处理的范围、方式等;(6)可携带权,数据主体有权以通用可读的方式带走个人数据,将其传输至某第三方,并且不因此受到特殊对待或限制;(7)反对权,数据主体可以在某些情况下禁止对其数据进行处理,或拒绝对自己进行数据画像及自动化决策,等等。

二、个人数据的处理

与《个保法》类似,英国GDPR对个人数据处理的全流程作出了详细的规定,包括:

(一)合法性基础

英国GDPR项下处理个人数据的合法性基础包括:

1. 同意:数据主体作出事先的、自由的、具体的、充分知悉的且明确的同意;

2. 履行合同:处理活动是履行数据主体作为一方当事人的合同所必需的。数据主体有权随时撤回同意。

3. 履行法定义务:控制者在英国法律下负有处理相关数据的法律义务;

4. 保护个人重要利益:即处理活动为保护数据主体或其他自然人的重要利益所必要;

5. 维护公共利益:即处理活动为维护公共利益或政府职权所必要;

6. 正当利益:即处理活动为控制者追求的正当利益所必要。

在上述合法性基础上,敏感个人数据的处理还需满足下述条件之一:(1)取得受影响数据主体的明确同意;(2)在劳动法律下处理活动存在必要性;或(3)处理活动为提出、行使或捍卫法律主张(例如起诉)所必要。

(二)数据保护影响评估(DPIA)

数据控制者在开始任何可能对自然人的权利造成高风险的数据处理之前,必须进行DPIA,包括但不限于如下情形:

  • 对个人权益产生重大影响的自动化决策和用户画像;
  • 大规模处理“特殊类别数据”或“刑事定罪和犯罪数据";
  • 对公众访问的区域进行大规模系统监控。

(三)数据委托处理、对外提供和共享

如果数据控制者委托处理者处理个人数据,将其处理的个人数据共享给其他控制者,或与其他控制者共同处理个人数据,根据英国GDPR的规定:

  • 若数据从控制者转移至处理者,则委托处理者代表其处理个人数据的公司必须与该处理者签订协议,约定处理数据范围、处理的期间、性质、处理目的、个人数据类型和数据主体类别,以及英国GDPR项下的数据处理者义务;
  • 若数据从控制者转移至控制者,虽然现行英国法律未特别作出合规要求,但我们出于风险控制的考虑,仍建议公司签订书面的数据处理协议。

在上述情形下,数据控制者虽然无需获得数据主体的同意,但其隐私政策须明确数据委托处理、对外提供和共享的处理目的。

(四)数据跨境传输

虽然英国法律未就数据本地化作出强制要求,但数据控制者须采取一定必要的保护措施,确保数据跨境传输的合法、合规。

控制者或处理者只有在采取适当的保护措施时才能进行数据跨境传输,并且该跨境传输以数据主体可主张相关权利以及获得法律补救为前提。适当的保护措施包括:

  • 公共当局或机构之间具有法律约束力且可执行的文书;
  • 根据英国GDPR第47条规定的具有约束力的公司规则(Binding Corporate Rules, BCR) ;
  • 国务大臣根据DPA第17C条制定的法规中指定的标准数据保护条款;
  • ICO根据DPA第119A条发布的文件中指定的标准数据保护条款;
  • 根据英国GDPR第40条批准的行为准则(以及采取适当保护措施的具有约束力且可执行的承诺);或者
  • 根据英国GDPR第42条批准的认证机制(以及采取适当保护措施的具有约束力且可执行的承诺)。

就上述标准数据保护条款,ICO已根据英国GDPR等法律条文于2022年3月21日发布了两项标准合同性质的文件,其一是《国际数据传输协议》(International Data Transfer Agreement,简称为“IDTA”),又被称为英国版SCC;其二是《欧盟委员会标准合同条款国际数据传输附件》(UK Addendum to the EU SCCs),即欧盟新“SCC”的英国附录,后者的主要目的是在英国脱欧后附在原欧盟SCC之后,并将合同管辖权收归英国。此外,ICO还发布了风险评估模板,当风险评估过高时,双方在签署IDTA时应填写IDTA附件二的额外保护条款。

如果公司违反数据跨境传输的法律规定,则可能面临最高为1750万英镑或全球营业额的4%的罚款。

三、监管合规

(一)年度数据保护费

英国的数据控制者(而非处理者)通常需要向ICO支付费用(“数据保护费”),特定类型的企业,例如公共机构、慈善机构和小型职业养老金计划相关公司可豁免该费用。目前,该费用从每年40英镑到2,900英镑不等,具体数额取决于公司所属的类型:

(二)数据保护官

若存在下述情形,控制者和处理者须任命一名数据保护官(Data Protection Officer “DPO”):

  • 公共当局或机构进行的数据处理,但行使司法权的法院除外;
  • 控制者或处理者的核心活动包括对数据主体进行大规模的定期和系统监控;或者
  • 控制者或处理者的核心活动包括大规模处理“特殊类别数据”或“刑事定罪和犯罪数据”。

DPO的职责包括确保公司及其员工遵守英国GDPR和其他数据保护法的义务、开展DPIA、制定公司数据保护政策、管理内部数据保护活动、培训员工并进行内部审计,以及负责和ICO联系对接。

公司任命的DPO应当具有数据保护法和实践方面的专业素质和专业知识。DPO可以是承包商,也可以是现有公司员工,若DPO由员工担任,则该员工的职责应与DPO的职责相一致,不存在利益冲突。若公司应当任命但未任命DPO,可能会受到英国GDPR规定的处罚,例如罚金。

(三)数据安全事件

控制者和处理者应在考虑最新技术、实施成本以及处理的性质、范围、背景和目的的基础上,实施适当的技术和组织措施,以确保数据安全级别与数据处理风险相匹配。

此类措施包括但不限于:

  • 个人数据的匿名/假名化和加密;
  • 确保处理系统和服务的持续保密性、完整性、可用性和弹性;
  • 在发生安全事件时及时恢复个人数据的可用性和访问途径;和
  • 日常测试、评估技术和组织措施有效性的流程,以确保处理安全。

如果发生个人数据泄露事件,则控制者有义务在首次意识到个人数据泄露事件发生的72小时内立即向ICO报告,除非该泄露对数据主体的权利和自由造成风险的可能性较小。若存在委托处理的情形,处理者同样须立即向控制者发出通知。前述通知必须包括下述信息:

(1)个人数据泄露的性质,包括相关数据主体的类别和数量;

(2)DPO(或联系人)的姓名和联系方式;

(3)泄露事件可能造成的后果;

(4)为补救或减轻泄露事件而采取的任何措施。

(四)法律责任

与GDPR和中国个保法相同,英国GDPR同样以数额和营业额为基准设定了违反个人数据保护义务的行政责任。英国GDPR项下的行政罚款最高可达企业上一财政年度全球营业额的4%。截至本文发布之日,ICO依据英国GDPR下发的最高数额罚款为2020年针对英航的2千万英镑罚款。

DPA还规定了许多刑事犯罪,例如未经控制者同意非法获取或向他人披露个人数据的罪名以及故意或重大过失下重新识别已去识别化的个人数据的罪名。ICO有权对这些行为提起刑事诉讼。

此外,若公司负有义务向ICO通报数据泄露事件但未向ICO通报,也可能会导致高达870万英镑或全球营业额2%的巨额罚款。

四、结语

为避免不合规的处罚风险,相关中国企业须对英国的个人数据安全及隐私保护相关法律有全面地了解并持续跟进立法的发展,同时通过专业的数据合规团队对现有的数据安全策略进行评估,提供具有操作性的合规意见。

本文是域外个人数据保护立法系列文章的第一篇。在之后的几篇文章中,我们还会继续向各位读者介绍美国、欧盟、印度和越南这几个中国企业出海热点地区的个人数据保护立法,欢迎大家持续关注。

特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
不让坐主桌!广州一堂姐婚礼摔碗离席,新郎霸气护妻

不让坐主桌!广州一堂姐婚礼摔碗离席,新郎霸气护妻

尘埃里的看客
2026-07-03 16:07:15
小kimi夺冲刺赛冠军!麦克拉伦状态回勇!

小kimi夺冲刺赛冠军!麦克拉伦状态回勇!

五星体育
2026-07-04 19:47:20
黄晓明和Angelababy的新瓜,有点炸

黄晓明和Angelababy的新瓜,有点炸

人间颂
2026-07-03 12:58:29
性压抑已经恐怖如斯了?

性压抑已经恐怖如斯了?

黯泉
2026-07-01 10:07:17
61岁的王姬驾驭一身黑色礼服,这身材让年轻人都望尘莫及

61岁的王姬驾驭一身黑色礼服,这身材让年轻人都望尘莫及

大江
2026-05-24 12:20:25
RMC:佛得角球员赛后排队与梅西合影,留下这段永远难忘回忆

RMC:佛得角球员赛后排队与梅西合影,留下这段永远难忘回忆

懂球帝
2026-07-04 14:46:13
这就过分了!郭士强点名批评正负值唯一为正之人,赵继伟批年轻人

这就过分了!郭士强点名批评正负值唯一为正之人,赵继伟批年轻人

萌兰聊个球
2026-07-03 23:39:56
克里米亚大桥开始放烟幕了?俄军这招,说实话有点悲壮

克里米亚大桥开始放烟幕了?俄军这招,说实话有点悲壮

戗词夺理
2026-07-02 22:08:57
吉林省副省长为王皓颁发聘书

吉林省副省长为王皓颁发聘书

吉刻新闻
2026-07-04 12:16:58
后悔也晚了?日本拉黑110家中企、停供芯片原料,中方反制却更快

后悔也晚了?日本拉黑110家中企、停供芯片原料,中方反制却更快

数字财经智库
2026-07-02 15:55:40
见到王毅外长后,丹麦外长完全忘了自己的强硬言论,脸上笑成了花

见到王毅外长后,丹麦外长完全忘了自己的强硬言论,脸上笑成了花

小小科普员
2026-07-03 23:39:02
医生:能吃能喝的糖尿病人,基本在73岁,就已经不做这8件事了!

医生:能吃能喝的糖尿病人,基本在73岁,就已经不做这8件事了!

侯医生谈健康
2026-07-04 19:25:03
韩红基金会回应质疑,避谈明细评论区沦陷,曾说一包泡面都能公示

韩红基金会回应质疑,避谈明细评论区沦陷,曾说一包泡面都能公示

萌神木木
2026-07-02 21:13:20
中国第一家吧?这家211高校宣布不再邮寄录取通知书,考生自己下载打印

中国第一家吧?这家211高校宣布不再邮寄录取通知书,考生自己下载打印

金水路7号站
2026-07-04 12:26:21
啊这!杜兰特不再是火箭非卖品!

啊这!杜兰特不再是火箭非卖品!

柚子说球
2026-07-04 18:20:57
朱珠晒意大利一家三口出游照,画面满是温馨幸福感,5岁女儿近照曝光

朱珠晒意大利一家三口出游照,画面满是温馨幸福感,5岁女儿近照曝光

生性洒脱
2026-07-04 10:54:10
中国三强!比亚迪、奇瑞、吉利6月销量出炉,决战世界舞台

中国三强!比亚迪、奇瑞、吉利6月销量出炉,决战世界舞台

小怪吃美食
2026-07-02 08:54:16
第六代丰田THS混动,只加油油耗3.99L

第六代丰田THS混动,只加油油耗3.99L

星星car
2026-07-02 17:23:35
演上了!美议员当众举起手机:去中国不带,去印度就带

演上了!美议员当众举起手机:去中国不带,去印度就带

观察者网
2026-07-03 22:53:06
泰山被曝用135公里刀片刺绳隔离网围山,泰山景区最新回应:接受批评,与正常游览路线不交叉不重叠

泰山被曝用135公里刀片刺绳隔离网围山,泰山景区最新回应:接受批评,与正常游览路线不交叉不重叠

大象新闻
2026-07-02 09:55:29
2026-07-04 21:08:49
大成律师事务所
大成律师事务所
全球资源 本土智慧
5441文章数 266关注度
往期回顾 全部

财经要闻

韩国股市杠杆失控:450亿美元资金狂飙

头条要闻

数百人在开放水域体验桨板 专家:再不治理迟早出大事

头条要闻

数百人在开放水域体验桨板 专家:再不治理迟早出大事

体育要闻

揭法国锋线最大优势 有人比姆巴佩还快?

娱乐要闻

白鹿打戏抠图惹非议 连累丞磊遭扒皮

科技要闻

韬定律论文V2版,充工程细节和实测数据

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

艺术
本地
健康
公开课
军事航空

艺术要闻

风格独特,美国具象画家Alan Feltus

本地新闻

国内足球之旅?这座小城给你高分答案

听说少吃点能抗衰老?专家讲解!

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

普京宣布俄军“完全解放”卢甘斯克

无障碍浏览 进入关怀版