英國修訂資料保護法案：軟化資料監管架構，規範自動化決策使用

南方财經全媒體記者 馮戀閣 21世紀經濟報道記者 鄭雪 北京、廣州報道

近日，英國在議會送出了新的《資料保護和數字資訊法案》（The Data Protection and Digital Information Bill，以下簡稱“《法案》”）。

此次的修正案中提出了多項與資料保護相關的修訂，包括減輕資料跨境義務、鼓勵自動化決策等多個方面。英國政府官網的公告顯示，軟化後的資料監管架構預計會在未來10年内為英國省下47億英鎊的合規成本。

受訪專家表示，脫歐之後，英國境内的法律法規将如何變化發展一直受到各方關注，此次《法案》推出的多項舉措将一定程度上消除資料領域規則的不确定性，幫助英國維護其國内企業發展與資料保護之間的平衡；需要注意的是，由于存在歐盟充分性認定等影響因素，《法案》後續将走向何方仍有待觀察。

英國頒布《資料保護和數字資訊法案》

2020年，随着英國正式脫歐，其境内整體規則即将變化帶來的不确定性引起了各界的廣泛關注，資料領域也不例外。

該國現行的資料保護法借鑒了歐盟的《通用資料保護條例》（GDPR），作為“歐盟有史以來最嚴格的資料保護法”，GDPR在英國的落地實踐被認為存在流程繁瑣等問題。

在此背景下，《法案》作為脫歐之後對資料保護制度的改革舉措之一，于2022年7月首次被送出到英國議會讨論。同年9月，立法程序按下暫停鍵。英國計劃商界人士和資料保護專家與監管官員一起參與共同設計法案的過程。而近日，《法案》在議會被重新提出，目前即将進入下議院二讀階段。

此次修訂的《法案》提出了多項舉措，以促進英國對資料的保護和利用。具體舉措包括：設立委員會強化監管機構ICO的職能；允許企業在遵循英國現行資料法的情況下，建立在海外共享個人資料的傳輸機制；提高公衆和企業對自動化決策的信心等。

北京師範大學法學院博士生導師、中國網際網路協會研究中心副主任吳沈括認為，資料監管已經成為各國産業競争的重要組成部分，對企業合規需求的關注和資料合規監管強度的合理設計有助于提高本國制度的吸引力，改善國内的市場投資環境，幫助國家獲得産業發展和經濟競争的相對優勢。

不過，這是否意味着現階段英國更注重資料流通而将個人資訊保護放在相對較弱的位置？

“這并不意味着英國更注重資料流通而弱化個人資訊保護。”北京航空航天大學法學院副教授趙精武向21世紀經濟報道記者解釋道，此種措施背後的原因除了與英國脫歐相關之外，還與GDPR在具體實踐中并未能夠預期的效果有關。

“GDPR在英國可能既沒有真正達成個人資料保護的立法目的，也沒有為商業實踐明确資料使用的合法性邊界。更重要的是，資料流通和個人資訊保護并不是一個‘非此即彼’的問題，明确資料合理使用的具體邊界也在為個人資訊保護提供另一種‘實踐标準’。”他直言。

吳沈括也對此補充道：“與他國立法相比，英國的監管環境特别注重産業生态的培育和優化，這個是英國規則的實用主義立場，在各國立法當中是特别明顯的。”

多舉措平衡資料保護與企業發展

英國政府針對減輕企業的合規成本等提出了多項新舉措。

針對資料跨境，《法案》明确，如果企業已經遵守了英國現行的資料法，則可以被允許使用現有的資料傳輸機制在海外共享個人資料。

在北京理工大學法學院助理教授裴轶看來，在其條款已經規定“遵守現行英國資料法律”的前提下，資料安全并不會受到影響。《法案》的主要目的在于，允許企業運用現有的合規機制，以降低未來額外的合規成本。

吳沈括表示，這條規定是英國增強各方信任度必須采取的舉措。“此舉強調既有的合規方案依然有效，給予了相關方以規則的确定性和可預測性。”下一步，英國可能會對資料跨境機制再做補充，以確定此領域規則的可持續性。

“英國的這種制度模式實際上是借由英國與第三方國家、地區的充分性保護協定，建構以英國為資料中心的國際地位。”趙精武指出。

在資料利用方面，英國還開啟了智能資料計劃（Smart Data）。智能資料是指與授權的第三方提供商（TPP）安全且經同意共享客戶資料。TPP使用這些資料為消費者或企業，如自動切換和賬戶管理，智能資料的實踐便是英國的開放銀行業務。

此次法案對于智能資料的相關行為做了規定。允許通過智能資料方案共享客戶資料，以提供個性化市場比較和賬戶管理等服務。創造在特定市場引入“智能資料”計劃的權力，包括要求供應商和其他人向客戶提供客戶資料和業務資料的權力， 以要求收集、保留和糾正資料以及允許中介機構行使客戶權利的權力補充這項權力，還包括制定執法條款、收取費用和征稅以及提供财政援助的權力。

資料流通過程中，明确差別商業資料和使用者個人資料是實踐當中的一個難題。“因為從業務活動來看，使用者個人資料實際上也是以各種形式存在于商業資料集合之中。法案的此種嘗試或許可以為大陸未來資料流通提供具有可操作性的資料分類标準參考，實作個人資訊保護與資料商業化利用之間的利益平衡。”趙精武表示。

細化規定合理利用自動化決策

第四次工業革命浪潮下，人工智能等新技術的使用可能帶來廣泛的經濟和社會利益，自動決策的廣泛利用就是便利之一。然而這一技術的利用也可能帶來諸多問題。

英國政府官網的公告指出，英國國内現有資料保護法很複雜，而且對于完全自動化的決策和分析缺乏明确性，使得組織很難負責任地使用這些類型的技術。《法案》對自動化決策和分析做出了新的修改，以期更好地利用技術提高效率。

《法案》規定，當在沒有有意義的人類參與的情況下對一個人做出重大決定時，分析會受到同一套強大的自動決策保護措施的限制，即如果一個人因為“在沒有有意義的人工輸入的情況下”做出的自動決定而被拒絕工作或貸款，他們可以質疑該決定并要求人工審查結果。

“此外，國務大臣可以制定相關條例，規定在做出決定時有或沒有有意義的人參與。” 裴轶指出，作為這些改革的結果，企業、人工智能開發者和個人将更清楚地了解這些重要的保障措施何時必須适用于完全自動化的決策，有助于為計算機算法做出的決定提供更多的透明度和問責制。

在趙精武看來，這實際上是為了避免完全自動化決策可能導緻的算法不公平問題，避免算法歧視、算法偏見等現象實質性損害個人合法權益。

此次英國政府對新立法的立場是期望在保護公民的個人資料和允許企業更有效地營運之間取得平衡。這一立法宗旨能否實作将取決于其實施和執行，但客觀上是朝着靈活的數字經濟邁出的一步。

“不過，歐盟将如何回應此次新《法案》的釋出以及最終可能在英國生效的版本，還有待觀察。”裴轶提醒道，歐盟使用“充分性”這一詞語來描述其認為提供了與歐盟範圍内的資料保護水準“基本等同”的其他國家、地區、行業或國際組織。針對英國，歐盟每四年進行一次充分性審查，下一次充分性決定将于2025年6月27日作出。

英國和歐盟制度之間的基本等同性對于英國脫歐後的商業發展至關重要。英國政府此前公布的影響評估顯示，如果歐盟決定撤銷對英國的充分性認定，将導緻英國年度出口收入損失達到2.1億至4.1億英鎊。

更多内容請下載下傳21财經APP