南方财经全媒体记者 冯恋阁 21世纪经济报道记者 郑雪 北京、广州报道

近日,英国在议会提交了新的《数据保护和数字信息法案》(The Data Protection and Digital Information Bill,以下简称“《法案》”)。

此次的修正案中提出了多项与数据保护相关的修订,包括减轻数据跨境义务、鼓励自动化决策等多个方面。英国政府官网的公告显示,软化后的数据监管框架预计会在未来10年内为英国省下47亿英镑的合规成本。

受访专家表示,脱欧之后,英国境内的法律法规将如何变化发展一直受到各方关注,此次《法案》推出的多项举措将一定程度上消除数据领域规则的不确定性,帮助英国维护其国内企业发展与数据保护之间的平衡;需要注意的是,由于存在欧盟充分性认定等影响因素,《法案》后续将走向何方仍有待观察。

英国颁布《数据保护和数字信息法案》

2020年,随着英国正式脱欧,其境内整体规则即将变化带来的不确定性引起了各界的广泛关注,数据领域也不例外。

该国现行的数据保护法借鉴了欧盟的《通用数据保护条例》(GDPR),作为“欧盟有史以来最严格的数据保护法”,GDPR在英国的落地实践被认为存在流程繁琐等问题。

在此背景下,《法案》作为脱欧之后对数据保护制度的改革举措之一,于2022年7月首次被提交到英国议会讨论。同年9月,立法进程按下暂停键。英国计划商界人士和数据保护专家与监管官员一起参与共同设计法案的过程。而近日,《法案》在议会被重新提出,目前即将进入下议院二读阶段。

此次修订的《法案》提出了多项举措,以促进英国对数据的保护和利用。具体举措包括:设立委员会强化监管机构ICO的职能;允许企业在遵循英国现行数据法的情况下,建立在海外共享个人数据的传输机制;提高公众和企业对自动化决策的信心等。

北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括认为,数据监管已经成为各国产业竞争的重要组成部分,对企业合规需求的关注和数据合规监管强度的合理设计有助于提高本国制度的吸引力,改善国内的市场投资环境,帮助国家获得产业发展和经济竞争的相对优势。

不过,这是否意味着现阶段英国更注重数据流通而将个人信息保护放在相对较弱的位置?

“这并不意味着英国更注重数据流通而弱化个人信息保护。”北京航空航天大学法学院副教授赵精武向21世纪经济报道记者解释道,此种措施背后的原因除了与英国脱欧相关之外,还与GDPR在具体实践中并未能够预期的效果有关。

“GDPR在英国可能既没有真正达成个人数据保护的立法目的,也没有为商业实践明确数据使用的合法性边界。更重要的是,数据流通和个人信息保护并不是一个‘非此即彼’的问题,明确数据合理使用的具体边界也在为个人信息保护提供另一种‘实践标准’。”他直言。

吴沈括也对此补充道:“与他国立法相比,英国的监管环境特别注重产业生态的培育和优化,这个是英国规则的实用主义立场,在各国立法当中是特别明显的。”

多举措平衡数据保护与企业发展

英国政府针对减轻企业的合规成本等提出了多项新举措。

针对数据跨境,《法案》明确,如果企业已经遵守了英国现行的数据法,则可以被允许使用现有的数据传输机制在海外共享个人数据。

在北京理工大学法学院助理教授裴轶看来,在其条款已经规定“遵守现行英国数据法律”的前提下,数据安全并不会受到影响。《法案》的主要目的在于,允许企业运用现有的合规机制,以降低未来额外的合规成本。

吴沈括表示,这条规定是英国增强各方信任度必须采取的举措。“此举强调既有的合规方案依然有效,给予了相关方以规则的确定性和可预测性。”下一步,英国可能会对数据跨境机制再做补充,以确保此领域规则的可持续性。

“英国的这种制度模式实际上是借由英国与第三方国家、地区的充分性保护协议,建构以英国为数据中心的国际地位。”赵精武指出。

在数据利用方面,英国还开启了智能数据计划(Smart Data)。智能数据是指与授权的第三方提供商(TPP)安全且经同意共享客户数据。TPP使用这些数据为消费者或企业,如自动切换和账户管理,智能数据的实践便是英国的开放银行业务。

此次法案对于智能数据的相关行为做了规定。允许通过智能数据方案共享客户数据,以提供个性化市场比较和账户管理等服务。创造在特定市场引入“智能数据”计划的权力,包括要求供应商和其他人向客户提供客户数据和业务数据的权力, 以要求收集、保留和纠正数据以及允许中介机构行使客户权利的权力补充这项权力,还包括制定执法条款、收取费用和征税以及提供财政援助的权力。

数据流通过程中,明确区别商业数据和用户个人数据是实践当中的一个难题。“因为从业务活动来看,用户个人数据实际上也是以各种形式存在于商业数据集合之中。法案的此种尝试或许可以为我国未来数据流通提供具有可操作性的数据分类标准参考,实现个人信息保护与数据商业化利用之间的利益平衡。”赵精武表示。

细化规定合理利用自动化决策

第四次工业革命浪潮下,人工智能等新技术的使用可能带来广泛的经济和社会利益,自动决策的广泛利用就是便利之一。然而这一技术的利用也可能带来诸多问题。

英国政府官网的公告指出,英国国内现有数据保护法很复杂,而且对于完全自动化的决策和分析缺乏明确性,使得组织很难负责任地使用这些类型的技术。《法案》对自动化决策和分析做出了新的修改,以期更好地利用技术提高效率。

《法案》规定,当在没有有意义的人类参与的情况下对一个人做出重大决定时,分析会受到同一套强大的自动决策保护措施的约束,即如果一个人因为“在没有有意义的人工输入的情况下”做出的自动决定而被拒绝工作或贷款,他们可以质疑该决定并要求人工审查结果。

“此外,国务大臣可以制定相关条例,规定在做出决定时有或没有有意义的人参与。” 裴轶指出,作为这些改革的结果,企业、人工智能开发者和个人将更清楚地了解这些重要的保障措施何时必须适用于完全自动化的决策,有助于为计算机算法做出的决定提供更多的透明度和问责制。

在赵精武看来,这实际上是为了避免完全自动化决策可能导致的算法不公平问题,避免算法歧视、算法偏见等现象实质性损害个人合法权益。

此次英国政府对新立法的立场是期望在保护公民的个人数据和允许企业更有效地运营之间取得平衡。这一立法宗旨能否实现将取决于其实施和执行,但客观上是朝着敏捷的数字经济迈出的一步。

“不过,欧盟将如何回应此次新《法案》的发布以及最终可能在英国生效的版本,还有待观察。”裴轶提醒道,欧盟使用“充分性”这一词语来描述其认为提供了与欧盟范围内的数据保护水平“基本等同”的其他国家、地区、行业或国际组织。针对英国,欧盟每四年进行一次充分性审查,下一次充分性决定将于2025年6月27日作出。

英国和欧盟制度之间的基本等同性对于英国脱欧后的商业发展至关重要。英国政府此前公布的影响评估显示,如果欧盟决定撤销对英国的充分性认定,将导致英国年度出口收入损失达到2.1亿至4.1亿英镑。