南方財經全媒體 記者 李潤澤子 21世紀經濟報道記者 郭美婷 實習生 古宇星
後脫歐時代,英國的數據保護制度革新正展露勃勃野心。
近日,英國查爾斯王子代表伊麗莎白女王發表“女王議會演講”,其中包括有望在新的一年獲得通過的38部法案,《數據改革法案》(Data Reform Bill,下文簡稱《法案》)便是其中之一。
據英國政府介紹,《法案》將通過減輕英國企業所面臨的負擔來提高其競爭力和效率。
受訪專家告訴21世紀經濟報道記者,英國對于數據保護制度的革新目前仍在探索階段,許多問題目前尚不明確。但英國的革新至少體現了其對GDPR的反思,嘗試克服GDPR複雜、繁冗的弊端,在促進數據利用和保護個人信息之間探索平衡點。如未來部分嘗試效果良好,或可成爲我國借鑒的新範本。
創建世界級的數據權利制度
據了解,《法案》將用于對英國現有數據保護制度的改革,這些制度就包含了《通用數據保護條例》(GDPR)以及《數據保護法案》(Data Protection act)。
英國政府表示,制定《法案》將使英國借助脫歐創建一個世界級的數據權利制度,從而建立新的有利于增長且值得信賴數據保護框架,以減輕企業負擔、促進經濟發展、幫助科學創新並改進英國人民的生活。
此外,《法案》還將對信息專員辦公室(ICO)進行改造,確保其有能力和權力對違反數據規則的機構采取更有力的行動 ,同時要求其對議會和公衆更加負責;增加行業對智能數據計劃的參與度,使公民和小企業對他們的數據有更多控制權,並通過改善健康和社會護理環境中對數據的適當訪問來幫助那些需要醫療保健的人。
大成律師事務所高級合夥人鄧志松分析,盡管目前《法案》全文尚未公布,相關立法細節無從獲知,但是從英國政府2021年9月發布並公開征求意見的國家數據保護法改革建議(Digital: A new direction,下稱《改革建議》)來看,《法案》中可能會涉及數據控制者問責標准、數據泄露報告義務、Cookie同意機制、數據主體訪問請求收費權、數據跨境傳輸機制、ICO職權等值得關注的修改內容。
浙江理工大學法政學院特聘副教授郭兵告訴21世紀經濟報道記者,數據改革法案的制定,顯然是爲了更好的符合英國的發展利益,其與英國脫歐後的經濟需求在一定程度上相吻合,即推動本國科技企業的創新發展,在全球獲得更大的影響力。而在英國的一系列數據保護制度改革之中,《法案》將會成爲極具特色的一份文件。
事實上,去年英國已經公布兩項數據改革重要政策計劃。
2021年8月26日,英國政府公布其在脫歐後的新全球數據計劃,將與美國、澳大利亞、新加坡、韓國、日本等國家建立全球數據合作夥伴關系,並簽訂新的數據傳輸協議,旨在爲本國數字經濟在脫歐後實現自主良性發展創造可靠條件。
2021年9月10日,《改革建議》公布。該建議囊括了一系列對英國現行主要數據法規詳細而全面的修正建議,涉及數據保護管理與問責、數據泄露報告、國際數據傳輸等,其累積效應可能導致英國數據保護規則框架的重大變革。
針對英國脫歐後的系列數據立法,北京師範大學互聯網研究院院長助理、中國互聯網協會研究中心副主任吳沈括指出,數據制度將會決定數字治理的格局和數字産業的戰略發展,所以英國需要以此爲切入點,“一方面是擺脫歐盟的治理規則的約束,另一方面也是使自身在全球數字經濟格局當中獲得發展主動權和戰略優勢。”
構建英國數字經濟生態環境
2016年,在“脫歐”公投中,英國選擇了脫離歐盟。2020年1月31日,英國在正式脫離歐盟。隨後,英國經曆了爲期11個月的“脫歐”過渡期。
在英國脫歐談判期間,被稱爲“史上最嚴”的數據保護法GDPR獲得通過並最終施行。在脫歐過渡期中,英國在其《數據保護法》的支持下根據GDPR進行數據管理。
但隨著脫歐進程的逐步推進,英國的機構組織與企業最終將無法在GDPR框架下運作。
鄧志松指出,盡管《法案》尚未公布,但從此前發布的《改革建議》來看,英國似乎擬對當前的數據保護規則做較大的調整。考慮到歐盟對英國的充分性認定中含有“日落條款”,即4年期滿後需重新評估充分性,並可在4年期間英國數據保護水平發生重大偏離時推翻該認定,英國的這種做法很可能會增加歐盟推翻充分性認定的風險。
有關研究指出,失去充分性認定,可能導致英國公司的相關成本總額達到16億英鎊,這主要來自于標准合同條款替代轉移機制相關的行政和法律費用。
此外,失去充分性認定也可能降低英國對科技企業家的吸引力。根據下議院的一項研究,43%的大型歐盟科技公司是在英國創辦的,英國75%的跨境數據來自歐盟國家。
“在脫歐推進的過程當中,英國原有的和歐盟之間的合規工具,將部分甚至全部的失效。”吳沈括表示,在此背景之下英國所需的是重新建立相應的合規渠道和途徑,這也必然導致英國將逐步獨立制定符合自身發展需求的數據流轉利用規則,並利用其政治和經濟影響力,構建自身的數據流動圈。
而在關于國家數字主權博弈愈發激烈的當下,英國脫歐後的系列數據立法舉措顯然與數字主權的爭奪密切相關。
“數字主權肯定是一個大背景。”吳沈括表示,英國與歐盟在數字主權領域的博弈,一個是爲了提升經濟實力,特別是通過發展數字經濟提升市場的競爭力;另一方面,也是通過這種方式來輸出自身的戰略需求和價值觀主張,從而在全球層面能夠形成有利于自身的發展環境。
值得注意的是,21世紀經濟報道記者在梳理時發現,英國政府曾表示,希望采取更加靈活的數據保護制度,使其更適合21世紀和數字經濟。而對比歐盟GDPR來看,英國的數據保護法雖然借鑒了GDPR,但對其監管的複雜性有所修改。
對此,郭兵解釋,在英國沒有脫歐之前延續的是GDPR的相關規定,而GDPR過于嚴格繁冗。英國簡化及放松相關制度舉則是爲了更好地推動本土科技企業發展。新的數據保護制度將使得英國的數據保護力度更爲適當,企業發展所受到的制度約束更小。
新數據治理國際規則的形成契機
具體來看,根據《改革建議》,英國政府旨在消除數據跨境流動中不必要的壁壘和負擔,創建一個自主的數據跨境流通框架,探索更靈活、創新和可依賴的個人信息出境機制。包括更有效的使用英國數據充分性認定框架,並改善其他替代工具。
鄧志松解釋,英國政府正在考慮采用更具創造性、協作性、務實性的充分性評估方法,作出更多的充分性認定,並確保高水平的數據保護。同時,將改善替代性機制。
“英國正在探索修改標准,擴大GDPR已有數據跨境傳輸機制的適用範圍,以便利數據跨境傳輸。這契合了英國政府將英國打造成數字貿易領導者和全球最具吸引力的數據市場的野心。”鄧志松表示,但是這種範圍的擴大也可能導致個人數據保護標准的下降,並增加監管的難度。
吳沈括則認爲,英國對于數據規則範式的改變,將産生比較廣泛的模仿效應。
“在一定意義上,可能推動其他國家效仿並強化自身的數據治理主張,而在這個過程當中,也孕育著形成新的國際規則的契機。相信通過全球範圍內更加廣泛的博弈和合作,會形成新一代的國際數據治理規則和數據流動生態。”吳沈括表示。
但郭兵也提示,目前英國數據改革還需繼續關注立法落地情況,根據通過的立法具體分析。
對于同樣受到GDPR影響極大的我國而言,英國關于數據保護制度的革新頗有借鑒意義。
“英國的數據制度改革,采取的是更加務實且靈活的舉措,對于我國來說有很大的借鑒意義。”郭兵表示,我國的數據保護立法受歐盟的GDPR影響較大,但我國的實際情況又與歐盟有所差別,過于嚴格的數據保護規則會讓本土科技企業發展受限。
在鄧志松看來,英國對于數據保護制度的革新目前仍在探索階段,《改革建議》中的內容能否體現在最終出台的《法案》中,能否落地、如何落地以及後續可能引發的具體問題目前尚不明確。
“但英國的革新至少體現了其對GDPR的反思,嘗試克服GDPR複雜、繁冗的弊端,在促進數據利用和保護個人信息之間探索平衡點。如未來部分嘗試效果良好,或可成爲我國借鑒的新範本。”但鄧志松表示,考慮到我國個保法剛剛出台,許多制度還未落地,且個保法主要以規則、實踐均較爲成熟的GDPR爲藍本,因此在現階段,我國的工作重點可能還是借鑒歐盟規則,結合我國實踐,細化個保法配套細則,建立起全面、適合我國國情的個保法體系。
更多內容請下載21財經APP