英国新数据保护法案:改革计划*

2017-09-12 03:31
中国应用法学 2017年6期
关键词:控制者数据保护法案

邓 辉 译 **

导读2017年8月7日,英国数字、文化、媒体和体育部发布了《英国新数据保护法案:改革计划》(A New Data Protection Bill: Our Planned Reforms),表明即将通过新的《数据保护法》来强化数字经济时代的数据保护。就改革的总体目标来说,新法案致力于获得公众信任、促进未来交易以及确保数据安全。在内容上,新法案加强了对个人数据的保护,尤其是增加了数据可携带权和被遗忘权的规定,强化了机构的数据保护责任,实行严格的行政监管,以及增进与刑事司法机构之间的合作。在具体的实施方面,新法案确保与欧盟关于数据保护的条例和指令进行协调,又根据英国自身的情况在未成年人保护的年龄门槛和国家数据安全等方面进行相应的变通处理。就未来的发展而言,数据对于经济增长的作用不断加强,即便是在可能“脱欧”的背景下,网络安全与数据保护仍然是英国面临的重要议题。

部长前言

三十多年以前,英国议会通过了《数据保护法》(Data Protection Act)。从那以后,数字技术改变了人们生活的方方面面,并带来了巨大的社会优势和经济优势:既将世界联系得更加紧密,又改变了英国的经济。虽然数字技术带来了很多的益处,但同时也引发了一些担忧:父母们担心他们的孩子在网上受到侵害,消费者担心公司对其数据的处理,而公民们则担心其他人侵犯其网络隐私。

为了保护人们的隐私,同时允许和鼓励数字技术的创新,人们必须平衡网络中的自由和责任。《数据保护法》做到了这一点:它不仅为人们在个人信息使用上提供了更多的控制,还将收集个人信息的目的限制在公共利益豁免的情形。在英国,人们比其他大多数地方拥有更强的保护,监管安排(regulatory arrangements)通常也被认为是黄金标准(the gold standard)。尽管可以确信数据在英国得到了很好的保护,但同时我们也需要作出一些改变,(因为)技术和社会都发生了变化。

在我们的宣言中(manifesto)承诺并在女王演讲中宣布的《数据保护法案》(Data Protection Bill),将使英国的数据保护法与时俱进。它也将支持创新,确保科学家和企业能够继续安全地处理数据。对于即将步入的未来数字世界,为了确保人们的安全,《数据保护法案》将构建一个更加基于责任伦理而非官僚主义的系统。对于数据的同意权、访问权、转移权和删除权,本法案进行了更加严格的规定。此外,法案还将加强对数据保护的执法,通过赋予信息专员(Information Commissioner)适当的权力来确保消费者得到应有的保护。

本法案也将欧盟法律引入英国。在2016年6月23日的欧盟公投中,英国人民决定脱离欧盟。但是,在结束谈判之前,英国仍是欧盟的正式成员国,作为欧盟成员国所享有的权利和义务仍然有效。在此期间,政府将继续谈判以及执行和适用欧盟法律。一旦英国脱离欧盟,这些谈判结果将决定我们如何处理与欧盟立法相关的问题。

如果英国脱离欧盟,那么,此时将欧盟法律引入国内,就可以为未来的情况做好准备。欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR简称《条例》)和《数据保护法实施指令》(Data Protection Law Enforcement Directive, DPLED简称《指令》)获得了充分的发展,它在确保民众能够掌控其个人信息的同时,也促使企业不断提高创新型数字服务,还避免了过度监管所引发的寒蝉效应(chilling effect)。为了尽可能确保《条例》和《指令》转化的顺利进行,在完全遵守前述规定的同时,我们将最大限度地保留《数据保护法》中的若干概念。

在执法方面,本法案将确保刑事调查和执法行动中受害者、证人和犯罪嫌疑人的数据受到保护。在确保刑事司法机构能够继续打击犯罪和恐怖主义的同时,本法案也将保护参与刑事调查或诉讼的人的数据权利。犯罪分子和恐怖分子没有国界,因此,本法案将确保英国刑事司法机构与其他国家的刑事司法机构进行有效的合作。

《数据保护法案》将使得英国继续在数据保护领域设定黄金标准。在20国集团(G20)中,英国已经拥有最大的互联网经济。通过使消费者确信英国的数据规则适合于人们生活的数据时代,本法案将有助于保持这一地位。

英国国家数字、文化、媒体和体育部部长

马特·汉考克(Matt Hancock)

一、数字经济

(一)支持数据经济

相较于以往,人们生产了更多的数据。相互联系的世界带来了很多益处,比如人们可以和身处世界各地的亲朋好友保持联系,又如互联网催生了数以百万计的工作和数以亿计的价值,并支持着世界的繁荣发展。在G20国家中,英国拥有最大的互联网经济,自首次统计以来,其所占GDP的比重进一步上升。〔1〕Boston Consulting Group (2015), https://www.bcg.com/d/press/1may2015-internet-contributes-10-percent-gdp-uk-economy-12111.

图1 波士顿咨询集团(BCG)公布的20国集团报告(2012)中的互联网经济,2016年的数据是根据2012年的统计数据所预测而得〔2〕https://www.bcg.com/documents/f i le100409.pdf.

在投资和就业方面,它带来了巨大的经济利益。在《欧洲数字城市名录》(European Digital City Index)所公布的最适合科技创业公司的30个城市中,英国就占据了9个席位。〔3〕https://digitalcityindex.eu/.

英国技术产业的蓬勃发展得益于技术、基础设施和投资,但同样重要的是,英国民众普遍接受将互联网作为交易的场所。对于发展数字产业而言,我们与互联网的创新合作使得英国成为全球领先的客户基地。

数字经济正在创造大量的个人数据。与此同时,它从根本上降低了对数据进行收集、存储和处理的成本,再加上计算能力的提高,数据正在成为一种丰富的资源。这为所有行业和领域内的经济增长创造了新的机会,并改变了人们创造、销售和消费的方式。

对于英国未来的增长和发展而言,数据经济将成为不可或缺的一部分。有分析预测, 在2015年至2020年之间,数据为英国经济带来的利益将高达2410亿英镑。〔4〕The Value of Big Data and the Internet of Things to the UK Economy, Feb 2016, CEBR & SAS.因此,我们的数字战略应当确保企业和政府能够以创新和有效的方式使用数据,这些方式包括创建强大的数据基础结构、实现较高的监管服从程度(regulatory compliance)、培养具有数据能力(data-literate)的劳动者以及增加拥有高级数据技能的人才数量。

(二)保护数据

我们的愿景是让英国成为在网络上进行日常活动和商事活动的最安全场所。随着个人数据的增加,人们越来越需要保护它。数据丢失可能会给人们带来痛苦的后果,同时也会给责任人带来严重的声誉损害,受害者即失去了信任。在更严重的情况下,双方可能承受重大的经济损失,而且还面临着其他严重危害的风险。数据保护是全球关注的问题,而英国在这方面处于创新的前沿。

1984年《数据保护法》建立了数据保护登记员(Data Protection Registrar)制度,后者被1998年《数据保护法》中的信息专员制度所取代。信息专员是独立的官员,其职责是基于公共利益来维护人们的信息权利、促进公共实体的公开性以及保护个人的数据隐私。信息专员可以基于申诉进行调查,也可以主动进行调查。同时,作为执法者,专员可以对数据控制者进行通知和教育,以提高数据保护的标准。

图2 每个财政年度信息专员所收到的数据保护问题(来源:ICO年度报告)

1998年《数据保护法》为个人数据的使用提供了法律框架,它也经常被引为全球的黄金标准。在2010年,信息专员拥有了进行罚款的新权力。此后,信息专员不断被赋予更多的权力。最近的一次是在2017年,《数字经济法》(Digital Economy Act)的出台使得针对电话骚扰的执法变得更加容易。在面对“大数据”(big data)和人们可以从中受益的技术发展时,《数据保护法》需要跟上时代的变化来使得公众保持信心。人们自己创造或他人收集的在线数据(online data)是如此众多,因此也需要有能力去行使在数据之上的权利。

图3 信息专员根据《数据保护法》(Data Protection Act)及《电子通讯隐私规定》(Privacy of Electronic Communication Regulations)所发出的罚款

当然,正确的法律框架只是政府为保护数据所作努力的一部分。除了与信息专员和消费者团体合作教育人们如何保护自己外,我们还致力于确保国家免遭网络攻击,去年成立的国家网络安全中心(National Cyber Security Centre, NCSC)旨在通过技术进步和向公民、社会团体提供建议来帮助保障关键服务、应对重大事件和改善互联网安全。该中心与英国的组织、企业和个人进行合作,提供权威且一致的网络安全建议和网络事件应对办法。这是由世界一流的研究和创新支撑起来的。

(三)我们的目标

英国有望成为在网络上进行日常活动和商业活动的最好和最安全的场所,为了实现这一愿景,我们有三个相互关联的目标。

1. 获得公众的信任

为了使英国能够全面地从数据创新的经济和社会增长中获益,社会公众需要知道其个人信息是安全的,而且也会被负责任地使用。

为了获得数据提供者的信心和信任,机构(Institutions)必须做到以下几点:

(1)数据必须安全存放;

(2)对数据的处理合乎法律、责任和道德的要求;

(3)数据使用的范围和原因必须公开透明;

(4)如果出现对个人数据的不当使用,责任人将面临严厉的处罚。

2. 促进未来交易

对运转良好的经济体来说,跨国转移数据的能力至关重要。我们致力于确保英国与欧盟以及世界上其他国家之间保持连续的数据流动(data flows)。《数据保护法案》将最大程度地保持英国与欧盟和其他国家之间的数据联系,从而使我们处于领先地位。

3. 确保安全

收集、分享和处理个人数据的能力,除了在经济上十分重要,对于国家安全和执法来说也非常关键。

罪犯没有国界,因此,执法工作需要更加灵活,以应对现代犯罪的威胁。作为英国退出欧盟计划的一部分,我们将仔细考虑如何最好地保持与其他欧盟成员国分享、接收和保护数据的能力。

在一个相互关联的社会中,刑事司法机构需要在彼此之间以及与公共部门和私人部门的其他合作伙伴分享数据,并将技术作为预防和调查犯罪的工具。虽然刑事司法机构做了重要的工作,但必须确保它们在一个持续建立数据信任文化的数据保护机制中运行。

二、数据保护改革

(一)概述

对于新数字时代的个人数据,改革将确保英国的数据保护框架能够继续为其提供保护。通过允许公民更大程度地控制其个人数据,改革将强化对个人数据的保护。

在加强个人权利保护之外,改革还将为企业收集、分享和处理个人数据提供更加清晰和确定的指引。这么做有助于保持英国的创新文化、促进经济增长,以及巩固英国作为数字经济全球领导者的地位。

个人数据是归属于个人并有助于识别他们的信息。“个人数据”的定义应当扩大到IP地址、网络cookie和DNA,以反映过去20年来技术的发展。

(二)保护个人

改革将进一步保护隐私,加强权利,并通过提供更方便的访问权限来授权人们对其个人数据进行更多的控制。

总体上,人们会对自己的数据痕迹(digital footprint)、个人数据以及公司对这些数据的使用和传递享有更多的控制。具体来说,通过赋予人们新的权利和加强既有的权利,英国公民将得到更好的保护:

·隐私:有关同意的规定正得到加强,并受到“明确性”要求和容易撤回等附加条件的限制。在处理敏感的个人数据时,同意也必须是“明确的”(explicit)。

在默认使用中,那些在很多情况下都被忽略的选择退出(opt-out)或预先选定的“勾选框”将成为历史。在涉及13岁以下儿童的信息服务时,〔5〕信息服务(Information services)是指在一段距离内通过电子设备对数据进行处理和存储的方式以及针对服务接受者的个人请求提供的任何服务。必须获得家长或监护人的同意。此外,对同意的撤回将变得更加简单。

·改进对数据的访问:人们将会发现要求机构免费提供与自己有关的个人数据变得更加容易。〔6〕仅限于那些不是“明显毫无根据或过分的”的请求。

如果不知道自己的哪些信息被掌握了,人们就无法确定这些信息是否正确。数据控制者将提供更有效的获取信息的方式,并授予人们对信息的所有权(ownership)。

·数据可携带权(Data Portability):新规则将使消费者在服务提供者之间转移数据变得更加容易;这不仅为消费者提供了更多选择,还将促进一系列行业的竞争和创新。

在网络服务提供者发生变化时,如果你使用电子邮件或文件存储服务来存储个人照片或其他个人数据,那么你应该能够转移这些数据。

·被遗忘权(Right to be forgotten):人们可以要求删除他们的个人数据。〔7〕虽然在某些情况中,对于一般性的权利要求可能会存在某些豁免。这将包括允许人们要求社交媒体和平台删除他们在童年时发布的信息。

在某些情况下,人们将有能力要求社交媒体公司删除所有由其发布的帖子(posts)。例如,除了极少的例外情况,人们通常可以要求删除其在童年时期在社交媒体上发布的帖子。

·概要分析:在数据的自动化处理中,人们将会有更大的发言权。在自动化处理系统单独作出决定时,人们可以请求由人类而不是机器来审查处理程序。

(二)对组织(Organization)的保护

目前,私人部门和公共部门的机构都遵守着1998年《数据保护法》中的数据保护规则。在适当的情况下,我们将加强或修改这些要求,以反映数字经济变化的性质和范围。这些变化旨在帮助英国的组织正确地保护和管理数据,从而促进其维护个人数据、保持机构声誉以及维持业务运转。

·建立责任机制,减少官僚主义

这样做的目的在于减轻数据控制者的管理负担和财务负担,同时也使数据控制者对正在处理的数据更加负责。如果数据泄露存在侵犯个人权利和自由的危险,那么在72小时内,企业(businesses)必须通知信息专员办公室(ICO)。在存在高度危险的情况下,企业必须通知可能受到影响的个人。

·帮助企业减少违反数据保护规则、承担相关罚款以及遭受声誉损失的风险

开展高风险数据处理的机构将负担接受影响评估(impact assessment)的义务,以了解可能涉及的风险和避免不当使用所需要的应对措施。在处理个人数据时,机构现在必须优先考虑人们的隐私权利。

·更简单的规则

这些规则将整合为一个更加清晰的机制,这对于数据控制者和处理者来说更加公平。

(三)严格的监管

数据保护监管机构即信息专员将保留现有权力并获得额外的授权,以便在数据泄露事件发生时进行更严厉的制裁。信息专员办公室将被授权采取以下行动:

·调查:信息专员办公室将继续拥有向数据控制者和处理者请求获得信息、进入和检查居所、进行审查以及要求其进行改正的权力。

·民事处罚:目前,信息专员办公室可以开出的最高罚金是50万英镑。我们将允许更高的罚金数额,即1700万英镑(合2000万欧元)或责任人全球营业额的4%,从而使得信息专员办公室能够以适当的方式回应最严重的数据泄露事件。

·刑事制裁:在苏格兰和北爱尔兰,信息专员办公室或皇家检察署(Crown Prosecution Service)以及类似的检察机构将继续对违法者进行起诉。大多数严重的犯罪将记录在案。〔8〕被记录的犯罪(Recordable offences)指的是在警察部门的国家计算机(Police National Computer,PNC)数据库中留存记录的犯罪,这些犯罪可以作为前科记录(previous conviction or criminality checks)的一部分进行公开。刑罚体系将进行现代化的改造,来进行有效的追诉,同时我们也将制定新的罪名来应对新出现的威胁。尤其是:

·因故意或因重大过失从匿名或化名数据中重新确认个人身份的行为,将被确认是一种新的犯罪。行为人在明知的情况下掌握或处理这种数据也将被认为是犯罪。最高惩罚是无限额的罚金。

基于避免主题访问请求泄露的目的,更改网络访问记录的行为将被确认为是一种犯罪。该项罪行(offence)以2000年《信息自由法》(Freedom of Information Act)第77条的规定为模板。这一罪行的范围不仅适用于公共部门,也适用于所有的数据控制者和处理者。在英格兰和威尔士,最高的惩罚将是无限额的罚金,在苏格兰和北爱尔兰,最高惩罚是5级罚金。

扩展现有的“非法获取数据罪”,使其可以涵盖那些违反控制者的意愿而留存数据的人(即使他们最初获取数据是合法的)。

·对记者和举报人的保护:在组织和自由媒体中发挥重要作用的记者和举报人,将通过豁免而受到保护。

(四)符合执法目的预定机制

现代犯罪需要现代的回应。我们将为刑事司法机构提供一个定制的框架,符合他们基于执法目的来管理数据处理的特别需求。至关重要的是,刑事司法机构可以在国内外开展对话、共享信息,从而保护公众和打击犯罪。

刑事司法机构需要一个数据保护框架,使其能够处理所面临的本质上不断发生变化的威胁,而不影响我们所期望的世界级的数据保护标准。这个框架中我们所引入的内容包括:

·强制设立数据保护官员(Data Protection Officer, DPO)。这是一个新的角色,他将为数据控制者提供数据方面的建议、处理申诉并确保《指令》得到遵守。

·要求数据控制者能够证明:某人获得或验证与其有关信息的请求“在通过支付费用的方式实现或被拒绝前,显然是没有根据的或过分的”。

·要求在自动化处理系统的具体操作中采取更规范的日志记录,这些操作包括数据的收集、更改、咨询、披露、组合和删除等,以获得完整的审查跟踪(audit trail)。

·明确各种情况下进行数据跨境转移的能力,确保可以进行关键的数据共享。

三、改革的实施

(一)概述

在全球数字经济中,用国际框架来支撑国内的数据保护法律是明智的做法。而以下的三类国际文件构成了数据保护法领域中的核心:

(1)《一般数据保护条例》〔9〕Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016.

(2)《数据保护法实施指令》〔10〕Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016.

(3)《欧洲委员会关于自动化处理的个人数据保护公约》(The Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)〔11〕Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016.

《数据保护法案》必须和这些文件保持一致,后者有助于确保英国与关键市场(比如美国和欧盟)之间数据流动的安全。

(二)《一般数据保护条例》

预计在2018年5月25日直接适用的《条例》强化了公民在个人数据方面的权利,并通过简化规则促进了企业的发展。

《条例》将引入新的个人权利以及数据控制者和处理者所负担的新义务。

新的个人权利

·获得自己数据的权利:根据《条例》的要求,对于正在进行处理的个人数据,数据控制者必须为数据的提供者免费提供首份复制材料(first copy)。如果人们要求更多的数据,数据控制者可以基于管理成本收取“适当的费用”。

·数据可携带权:这项新型的数据可携带权允许人们以结构化的、惯常使用的、机器可读的格式接收其所提供给数据控制者的数据,并将这些数据传输给其他数据控制者。这些数据包括:

·通过(比如记录心跳的应用程序App或跟踪浏览行为的技术)跟踪和记录个人信息所收集的数据。

·由智能表(smart meter)生成的原始数据。

·被遗忘的权利:《条例》扩大了现有的“被遗忘权”,包括人们有权要求删除与其有关的个人数据以及防止进一步传播这些数据。修改前后的被遗忘权之区别主要在于:对于前者而言,法律适用的前提是受害人产生了实质性的损害或痛苦;对于后者而言,仅需数据主体在撤回其对于获取数据的最初许可时,最初收集数据的必要性不复存在或者数据处理不具有重要的法律基础。

·法律救济:存在着更大的空间来实现《条例》中的权利。如果人们受到那些违反数据保护规则之行为的影响,具备代表权限的实体(例如专门调查员、消费者团体或公民社会团体)有权为受影响之人的利益而提起诉讼。

数据控制者和处理者的新义务

·数据泄露通知:《条例》增加了对数据控制者的要求,在可行的情况下,数据控制者必须在72小时内无不当延迟地通知监管部门(在英国是信息专员办公室)个人数据的泄露情况,除非数据泄露不太可能对个人的权利和自由造成危险。

·废除处理通知:《条例》废除了目前要求数据控制者通知监管部门他们对个人数据进行处理的制度。目前,数据控制者必须通知信息专员办公室他们的数据处理活动并支付费用。

·数据保护影响评估:在具有很高风险的情况下,《条例》要求数据的控制者或处理者对数据处理进行数据保护影响评估。

·数据保护官员:如果数据的控制者和处理者是公共部门或机构(法庭除外),或者其核心活动包括对个人数据或与刑事犯罪有关的特殊数据进行常规和系统的处理,那么,他们必须指定一名数据保护官员。

·行政处罚:对违反《条例》的行为规定了新的行政处罚范围。最高罚金达1700万英磅(合2000万欧元)或其全球营业额的4%。

欧盟2016年通过的《条例》将于2018年5月25日自动生效。《条例》将拥有“直接效力”。这意味着法院有义务承认和实现《条例》中所赋予人们的个人权利。

然而,《条例》只适用于欧盟法律管辖范围内的数据。这意味着英国法律需要将数据保护拓展至其他领域,我们打算对所有的一般数据(general data)采用实质相同的标准,以建立一个清晰和连贯的数据保护机制。

(三)数据保护法案

我们决心确保《条例》能够为英国(公民和企业的)利益提供最好的支持。《条例》需要进行一些改变,从而服务于英国的利益,而《数据保护法案》将作出必要的修改。尤其在以下方面:

·运用《条例》中英国政府所谈判的克减条款(derogation)。这将允许:

·实现政府的主要承诺。包括(基于当事人申请)要求社交媒体平台在其18岁时删除与其有关的个人信息。

·确保企业和消费者更为简易地实现转变。根据新立法,我们将保留许多对经济各部门来说至关重要的推动因素,包括从金融服务到学术研究的多个方面。

·新的数据保护标准将适用于所有而不仅是欧盟范围内的一般数据。

·如果英国脱离欧盟,企业需要一个可以操作的统一标准。在以前属于欧盟的法律领域内,我们不愿意重新制定新的标准。《数据保护法案》将确保质量标准适用起来尽量简单。

·废除1998年《数据保护法》。

·当《条例》生效时,如果没有及时调整国内法律来避免冲突和矛盾,那么,个人、企业和法院都会感觉困惑丛生。《数据保护法案》将会做出必要的废止,以便让所有相关事物的角色和责任变得清晰。

(四)征求意见

在决定如何实施《条例》之前,我们意识到倾听那些可能受到我们决定影响的组织和个人的观点是至关重要的。

因此,我们采取了两个关键的步骤。首先,我们与大量的利益相关者进行了非正式的交流,从而形成了对不同观点的全面理解。

其次,我们邀请所有利益相关的个人或组织通过2017年4月12日到2017年5月10日之间进行的“征求意见”活动来表达他们的意见。〔12〕https://www.gov.uk/government/consultations/general-data-protection-regulation-call-for-views.这个活动鼓励数据保护的利益相关者分享其关于克减条款的观点,按照不同主题对这些观点进行分门别类的整理。所有的支撑性证据都被接纳。这使得利益相关者更加容易地理解这些豁免彼此联系的关键之处。

事实证明,这次“征求意见”活动非常有效。政府共收到了来自社会各类组织的170个回应,它们代表了广泛的观点。例如,活动不仅收到了技术和法律部门的回应,还收到了地方政府和消费者保护团体的回应。许多公民个人也提供了有益的贡献。总的来说,“征求意见”活动使政府能够更全面地了解每项豁免的潜在影响。如果迟到的回应包含了新的实质内容,在可能的情况下,我们努力将这些问题纳入决策考量之中。

在英国政府网(GOV.UK)上,我们已经公布了所有对“征求意见”的回应。在本文件末尾,附有一份名单,列明了所有对“征求意见”进行回应的组织。〔13〕由于“附件:回应征求意见的组织”(Annex - Organisations that responded to the Call for Views)所列明的英国组织名单过长且不具重大的参考价值,本译文在翻译时选择省略了该部分。——译者注

图4 对征求意见进行回应的不同部门(Responses to the Call for Views by sector)

在考虑每一项克减的时候,我们必须小心翼翼,一方面确保它能够保护英国公民的权利,另一方面使得数据可以自由流动,这对企业和整个社会来说都有好处。

(五)明显的克减

对数据处理的同意和对未成年人的网络保护

在进行数据处理时,数据控制者必须取得个人同意,《条例》更加明确了这一点。当然,给予同意的人需要对他们被问到的问题有相当程度的了解(a certain level of understanding),这就是为什么《条例》规定在以未成年人的名义使用信息服务时,对未成年人数据的处理必须征得其父母或监护人的同意。对于未成年人可以对数据处理表示同意的最低年龄门槛,《条例》允许英国在13岁到16岁之间进行设定。虽然英国目前尚不存在统一(overall)规则,但是,在这种要求存在的其他地方,相对应的年龄门槛是12岁。〔14〕《信息专员办公室指引》(ICO guidance)规定:“在收集12岁以下儿童的个人资料之前,通常需要父母的同意”,载《个人信息在线行为守则》(Personal information online code of practice), July 2010.

保护未成年人的网络安全是本届政府的首要任务之一。正如女王演讲中所宣布的,政府将建立《数字宪章》(Digital Charter),其目标在于让英国成为启动、运营数字业务和网络最安全的地方。作为《数字宪章》工作的一部分,“互联网安全战略”(Internet Safety Strategy)已经开始实施,其目标是使得网络环境对未成年人和年轻人来说更加安全。〔15〕https://www.gov.uk/government/news/government-launches-major-new-drive-on-internet-safety.我们与互联网服务、应用程序和社交媒体的提供者们正在进行的合作,也将成为《数字宪章》工作的一部分。我们希望负责任的网站能够设定最低年龄的规则和政策,防止未成年人接触到不适当的内容。

在征求意见的回复者中,没有人坚持要求对数据处理表示同意之未成年人的最低年龄应该高于13岁。我们确实收到了关于年龄控制应该得到更好执行的意见,并会考虑将其纳入“互联网安全战略”。是否年满18岁的检查在网上越来越常见,但是,这种年龄标准更经常用于检查信用记录、驾驶记录和选举记录。这些情况对13到16岁之间的未成年人来说都不存在,因此,大多数网站的做法是由提出问题和建立信任开始,再针对反常行为或申诉进行调查。

设定最低年龄门槛不是保护未成年人个人数据唯一的或者最好的方法。“互联网安全战略”提供了更好的方式,即在网络服务提供商、应用程序制造商、社交媒体提供商和其他主体之间建立起共同的责任。事实上,《条例》引入了其他的权利来实现了这个目的。一个很好的例子是,可以要求提供服务的机构以未成年人能理解的形式进行隐私通知(privacy notices),而后者列明了它将如何使用所收集之个人数据的计划。

社交媒体在青少年生活中扮演着重要的角色,网络平台和网络社区给未成年人和年轻人带来了巨大的机会和利益。通过在网络安全方面的工作,政府的目标是通过教育和提高意识来给孩子们提供能够最大化前述机会所需要的工具,从而增强他们的数字文化技能以及确保网络安全。我们将网络安全放在首位,希望包括社交媒体公司在内的企业能够承担起责任,为未成年人和年轻人享受其在网上的时间创造更安全的空间。

基于这些考虑,我们将通过立法允许13岁及以上的儿童可以对其个人资料的处理表示同意。

对刑事犯罪数据的处理

《条例》只允许拥有官方授权的机构来处理与刑事犯罪有关的个人资料。这一立场承认这些数据具有高度敏感性。

然而,《条例》确实允许英国通过立法来允许其他机构处理此类个人数据。例如,英国的立法可以允许私人部门或第三部门获得犯罪细节,以便进行犯罪记录检查。

现行的英国法律允许所有机构在某些特定情况下处理与刑事犯罪有关的个人数据。这就为实践带来很多的关键好处(key benefits)。例如,对于机构本身而言,它不仅可以保护自己免受潜在犯罪行为的侵害,还可以保护未成年人和弱势的成年人;对用人单位而言,它可以进行准确的刑事犯罪记录检查;此外,这也有助于机动车驾驶责任保险的承保。政府认为,取消大多数机构处理刑事犯罪数据的权利将会对英国的利益产生重大的负面影响。

考虑到这一点,且为了保持与在当前实践中运行良好的数据保护机制之间的连续性,我们将通过立法来扩展处理刑事犯罪涉及个人数据的权利,来增强普通组织而非其他官方机构处理刑事犯罪数据的能力。此外,应当采取类似的方法处理那些属于特殊(敏感)类别的个人资料。

自动化的个人决定

根据《条例》,个人有权拒绝成为包括“分析”(profiling)在内的自动化决策所针对的主体。例如,某人可能收到不好的信用评级,这是一个完全自动化的决定过程。

《条例》还允许在适当的情况下采取适当措施来保护个人的权利、自由和合法利益。对于受到自动化决定之不利影响的人来说,拥有追索权(recourse)是很重要的。当然,也有一些合法的功能依赖于自动决策。例如,在同意提供贷款之前,银行有权检查申请人的信用状况。在这种情况下,自动化的信用参考检查将是实现这一结果的合适方法。

有鉴于此,我们将立法实施这项豁免,来确保以自动化方式处理个人资料存在合法的理由。人们有权不成为自动化决定针对的主体,这包括完全基于数据自动化处理来对人们的某一方面进行评价的措施,比如在线信用申请或进行没有人工干预的电子注册时遭到自动化处理的拒绝,此种措施可能产生法律效果或类似的显著影响。

媒体的表达自由

自由的媒体尤其是记者们能够在没有恐惧和偏好(favour)的情况下进行事实报导,对民主而言至关重要。《条例》为数据保护的某些特定领域提供了新闻豁免,以使得符合公共利益的新闻活动能够顺利进行。《新数据保护法案》将在媒体表达自由和个人隐私权利之间实现适当的平衡。

1998年《数据保护法》规定了机构需要遵守的8个主要原则。根据该法第32条,如果对个人数据的处理是为了出版的特殊目的,而这种出版又符合公众利益,那么,即便这种特殊目的与主要原则之间出现了不一致,也可以对它进行豁免。

我们认为,第32条规定的豁免在隐私保护和言论自由之间实现了适当的平衡。虽然某些“征求意见”的回应者尤其是媒体组织呼吁进行更广泛的豁免,但是,政府认为目前的规定在保护个人及其数据的同时也允许基于公众利益进行新闻调查。

政府意图重复1998年《数据保护法》第32条的规定。其主要的区别将是修订与信息专员办公室执行权力有关的条款,以加强信息专员办公室有效地执行修订后第32条豁免条款的能力。

科学研究

英国有许多世界一流的大学、研究机构和博物馆。为了处理大量的信息,他们的工作需要持续保护信息的方式进行,而这种方式既不累赘,也不妨碍未来的创新和发现。

《条例》要求机构遵守那些与个人数据有关的义务。例如,这些义务包括:在被通知的情况下,毫不拖延地对不准确的个人资料进行纠正,以及为其提供访问权限。

但是,如果科学或历史研究机构是基于公共利益而进行数据收集或档案保存的话,《条例》也允许英国通过立法来免除这些义务。然而,只有在服从前述义务会严重影响这些机构开展研究、保存档案或统计数据的能力时,情况才会如此。比如,只有通过对不准确的数据进行归档处理,才能对那些导致不利结果的决策过程进行审查。而如果所有这些数据都得到纠正,那么,吸取教训以及在未来防止产生类似结果的机会可能会明显减少。相反地,如果人们的个人数据从统计“池”中被删去,则可能会影响统计数据,从而导致不准确的结论。

为了确保英国继续成为开创性研究的中心,政府将通过立法来实施这项豁免。在人们的访问请求对研究机构和归档服务实现其目的产生严重影响时,后者不需要对此作出回应。在机构采取适当措施来保证数据安全的前提下,如果人们的权利要求严重阻碍研究机构完成其工作的能力,研究机构将不需要遵守个人的权利要求而纠正、限制或停止进一步的数据处理。

(六)对执法数据的保护

随着世界之间联系的日益紧密,犯罪的性质也在发生变化。这既提供了机遇,也带来了挑战:数据和数据共享可以提供强大的工具来预防和调查犯罪,同时,互联网使世界上任何地方的罪犯也能够攻击英国公民并进行犯罪活动。

在这方面重要的是,在英国和国际范围内,刑事司法机构可以共同努力、共享信息,以保证公共安全。不过,同样重要的是,这种数据共享需要适当的保障措施。

《数据保护法案》将确保为执法部门的数据提供一个框架。《条例》不涉及针对“预防、调查、侦查或检控刑事罪行或执行刑事处罚,包括防范和防止对公共安全的威胁”的个人资料处理。《数据保护法案》会将《指令》中的内容转化纳入英国法律,这些内容将会在国内执法和跨境执法中得以实施。

本法案还将确保存在一个框架来处理《欧洲联盟条约》(Treaty on European Union)第五编(共同的外交和安全政策)第2章内有关活动的个人数据。《条例》没有涉及国家安全的个人数据处理。针对基于这些目的而产生的个人数据,《数据保护法案》将确保有一个合适的处理框架。

数据保护法实施指令

与《条例》不同的是,《指令》不是可以“直接适用”的欧盟法律。这意味着英国必须在2018年5月6日之前实施《指令》的规定。然而,为了确保英国的数据保护具有一致性、全面性和前瞻性的框架,《数据保护法案》将把《条例》中的豁免规定与《指令》中的相关条款写入了英国法律,以完善个人数据处理的跨境和国内法的规定。

本法案将创建一个定制的数据保护执法机制,不仅可以满足警察、检察官和其他刑事司法机构的需要,也可以满足包括所有情况中英国税务海关总署(Her Majesty’s Revenue and Customs)、环境署(the Environment Agency)、英国机动车执照局(the Driver and Vehicle Licensing Agency)等机构的需要。

本法案将有助于巩固英国维护最高数据保护标准的声誉。英国成功地进行了谈判,以确保最终敲定的协议能让数据流畅通无阻,同时提供个人数据的保障措施。因此,本法案对英国公民和刑事司法机构来说都是一个很好的结果。

新的权力和增加的保护

加强跨境数据交换是应对恐怖主义组织和网络犯罪所带来的威胁的关键。最近在国内外的恐怖袭击表明需要进行国际合作以应对这些威胁。

本法案将改革并加强国际数据传输的规则,为英国执法机构能够将数据转移到合作国家或国际组织的伙伴提供清晰的框架。

尽管确保刑事司法机构掌握打击犯罪和保护公众的权力是至关重要的,但是,政府认识到,执法部门处理的个人数据可能非常敏感,因此,这些机构必须在由明确和适当的框架所建立的参照标准下运行同样重要。政府认为,本法案不仅满足刑事司法机构所需要的灵活性,在数据和隐私保护方面也将保持领先标准。

本法案将加强数据保护的要求。尤其是,它使人们更容易获得自己的数据和理解他们的数据保护权利。此外,在人们要求获得关于其个人数据处理方式的信息时,数据控制者应当免费提供这些信息。〔16〕如果对个人信息的权利请求显然是没有根据的或过度的,该义务就不会适用。

通过促进“在开发设计阶段即默认不公开的隐私”(privacy by default and design)概念的发展,〔17〕根据《条例》的规定,Privacy by Design指的是在服务设计开发阶段就要具备隐私功能,Privacy by Default指的是隐私的默认设置为“不公开”。——译者注本法案将消除人们的疑虑。在因违反数据保护措施致使个人数据泄露时,这主要通过赋予公民知情权和更明确的要求赔偿之权利来实现。为了提供清晰的审查跟踪,处理个人数据的数据库需要遵守更严格的日志记录要求。

一致的取向

尽管《指令》焦点在于跨境数据的共享,但是,政府已经决定,为了确保刑事司法机构的一致性和确定性,《指令》中的标准将被扩展到所有以执法为目的的国内数据处理中。这表明我们致力于保持在数据保护标准的前沿地位。

(七)与国家安全有关的数据处理

国家安全超出了欧盟法律的范围,因此,对于为了国家安全目的而处理个人资料的问题,《条例》或《指令》并没有进行解决。

然而,最为关键的是,英国的数据保护法律应当保持时效性以及与国际标准的一致性,同时还应当确保英国情报机构和其他国家能够应对现有的、新的和正在出现的国家安全威胁。

具体来说,考虑到这一点,英国计划通过立法来构建一个专门针对国家安全目标的、基于现有制度且具有现代化特征的数据保护框架。它将以修订后的《欧洲委员会关于自动处理的个人数据保护公约》(第108号公约)为基础。欧洲委员会(Council of Europe)成立于1949年,并拥有47个成员国,它不是属于欧盟的机构。在离开欧盟后,英国将继续作为欧洲委员会的一员。

欧洲委员会是一个独立的机构,它的作用是维护整个欧洲的人权、民主和法治。修订后的标准目前正在形成草案的过程中,作为欧洲委员会的创始成员国,英国一直在谈判中发挥积极的作用,使得它符合国家利益优先的原则。然而,它将引入反映数据大量增长和技术变化的数据保护标准,并建立旨在确保数据处理既合法又合乎道德的若干原则。就目前的情况而言(参见1998年《数据保护法》第28条),采纳某些数据保护原则和修订后第108号公约其他条款中的豁免规定对保护国家安全来说很有必要。

这一框架将具有前瞻性,可以与未来的国际标准保持一致,由此表明英国在保护公民数据方面仍然“处于领先地位”(ahead of the game)。

四、对未来的展望

(一)网络安全与数据保护

有效的数据保护依赖于机构充分保护其IT系统免受恶意干扰。然而,最近的网络安全事件表明,所有规模和行业的企业的IT系统和这些系统所持有的数据都面临着网络安全风险。〔18〕https://www.ncsc.gov.uk/report/cyber-threat-uk-business.

国家网络安全中心已经发布了《网络安全十步法》(10 Steps to Cyber Security),它提供了机构如何保护自己免受网络安全威胁的详细指导。〔19〕https://www.ncsc.gov.uk/guidance/10-steps-cyber-security.此外,网络要素认证计划(Cyber Essentials accreditation scheme)为机构提供了一种机制,来检验其是否已经采取了基本的技术措施来保护系统免受通常的网络威胁。

政府《网络安全条例和激励回顾》(Cyber Security Regulation and Incentives Review)〔20〕https://www.gov.uk/government/publications/cyber-security-regulation-and-incentives-review.得出的结论是,新数据保护法的实施将会显著提高对网络安全风险的管理。事实上,在审查过程中收集的证据表明,在数据泄露事件中增加经济制裁的适用以及引入某些加重和减轻因素,将改善英国的网络安全。

新法律对数据泄露需要进行报告的要求,也将有助于形成一个有关网络安全漏洞的更丰富的数据来源。这对政府在未来制定有力和有效的网络安全政策至关重要。这将使英国成为一个对个人、企业和其他组织来说更安全的网络地域。

政府也在与信息专员办公室、国家网络安全中心进行合作,确保英国的机构了解新的数据保护责任,尤其是激励他们在新《数据保护法案》实施前改善其网络安全行为。

(二)数据、交易与欧盟

强有力的数据保护法律和适当的保障措施可以促进企业在国际范围内开展业务。

不管是个人的还是非个人的数据流动,对全球的商品和服务贸易都很重要。事实上,可通过数据传送的服务大约占商品在线交易和运输的75%。〔21〕United States International Trade Commission (2014), Digital Trade in the U.S. and Global Economies, Part 2, https://www.usitc.gov/publications/332/pub4485.pdf.整体而言,全球范围内的数据流动至少使全球GDP增长了10%,仅在2014年,经济增长就达到了5万亿英镑。数据流动的此种经济效应约价值1.7万亿英镑,这也意味着,相较于传统的商品流动,数据对经济增长产生了更大的影响。〔22〕McKinsey Global Institute (2016), Digital globalization: The new era of global fl ows,http://www.mckinsey.com/~/media/mckinsey/business%20functions/mckinsey%20digital/our%20insights/digital%20gl obalization%20the%20new%20era%20of%20global%20f l ows/mgi-digital-globalization-full-report.ashx.

因此,对于英国走上成为具备雄心壮志的贸易伙伴的道路而言,不受阻碍的数据流动是非常关键的。这也就是为什么政府寻求英国和欧盟之间(以及在退出欧盟后,英国与第三方国家或国际组织之间)保持不间断数据流动的原因。无论是在欧洲范围以内还是以外,与英国执法部门和安全部门的伙伴之间进行合作,仍将是我们的优先选择。

猜你喜欢
控制者数据保护法案
Industrial Revolution
从“控制者”变身“隐形人”
数据保护护航IT转型
——戴尔易安信数据保护解决方案
欧洲数据保护委员会通过《一般数据保护条例》相关准则
论人工智能的刑事责任能力与追究
浅谈中小学财务人员角色转换的紧迫性
欧盟数据控制者的义务:源起、变迁及其缘由*
欧盟“最严”数据保护条例生效
美参议院未能通过控枪法案