图片源于:https://www.jdsupra.com/legalnews/what-to-expect-from-the-uk-s-new-data-3331244/
新的数据(使用和访问)法案正在议会审议过程中,预计将在2025年上半年通过。
该法案提议修订英国的数据隐私制度,使企业更容易遵守相关要求,尽管这些变化并没有之前预想的那样显著。
水分较大的方法 – 新政府的提案
您可能还记得,上届政府首次提出对英国数据隐私制度进行修改,这一提案在《数据保护与数字信息法案》中进行了概述。
这些变化范围广泛,将大大减少企业的合规负担。然而,在政府更替后,该法案未能通过议会,并最终被搁置。
虽然新法案在很大程度上反映了之前的版本,但其力度有所减弱,拟议的变化对多数雇主来说,影响有限。
关键变化
以下是雇主需关注的关键变化。
合法利益 – 依赖合法利益作为处理普通个人数据合法依据的英国雇主,需考虑处理个人数据的利益是否高于个人的权利。
这个“平衡测试”可能被视为复杂且风险较高,给雇主带来一定的行政负担。
政府提议:引入一份“认可的合法利益”的详尽清单,企业可以默认依赖,且无需完成此平衡测试(但该清单仅限于与安全相关的利益,例如预防犯罪和国家安全,因此对多数雇主帮助不大);并包含一份可以更新的非详尽示例列表,帮助企业在完成平衡测试时使用。
此外,跨集团员工数据传输用于内部管理已被新增到这一清单中,这将帮助大型企业为此类处理提供合理依据。
然而,在大多数情况下,仍需完成这一平衡行为,因此这一变化对雇主的影响目前相对有限。
自动决策 – 政府提议放宽对自动决策的限制,使当前的限制仅适用于特殊类别的数据(该类别可能会通过规定单独修订)。
这将是对欧盟的一项重大政策转变,也可能反映出英国之前意图“支持创新”。
在使用自动决策时,仍需建立保障措施,包括向个人提供有关所做决策的信息,并允许个人对这些决策提出异议。
数据传输 – 政府提议放松对向第三国传输数据的标准,使这些传输在“保护标准不低于”英国的情况下获得许可。
企业在进行这些数据传输前需考虑这一标准,并制定适当的保障措施。
数据主体访问请求(DSAR) – 尽管前政府曾提议对DSAR制度进行重大更改,但这些更改未被纳入新法案。
新法案只是澄清了现有原则在时间、延期和中止时效方面的内容。
一个小改动,可能会让雇主稍感宽慰的是,个人必须首先向雇主发送投诉,只有当他们对回应感到满意时,才能将投诉升级到英国数据保护监管机构——信息委员会办公室(ICO)。
人工智能
新法案在人工智能方面的内容相对较少,除了上述关于自动决策的内容外,虽然我们预计新政府会对人工智能进行一些监管。
本月,政府发布了其人工智能机遇行动计划,希望“将英国定位为人工智能制造商”,但目前尚不清楚该计划将产生哪些具体措施。
有趣的是,一项新的咨询已就人工智能和版权展开,其中涉及深度合成技术的监管、人工智能系统的透明度以及生成性人工智能输出的标记。
根据此咨询,很可能英国会在此后出台进一步的人工智能监管措施。
英国的适用性状况
授予英国的欧盟适用性决定预计将在2025年6月到期,届时欧盟将考虑是否应延长英国的适用性状态。
政府希望能够续签英国的适用性状态,这可能是导致这一明显水分较大的法案的原因。
当然,如果英国的适用性状态被撤销,这将意味着从欧洲向英国传输数据需要特别文档,这可能会给企业带来相当大的额外负担。
下一步
如上所述,我们预计该法案将在今年上半年通过。
这些变化将使遵守英国数据隐私法变得更加容易,但总体来说,这些变化并不特别显著。
在新制度下,当前的GDPR标准仍将符合要求,而且国际企业可能会选择继续遵守GDPR现行制度,以在整个欧盟中协调其做法。
