英国政府关于改革数据保护法公开咨询文件中的10项关键建议

英国政府的数字、文化、媒体和体育部（DCMS）于2021年9月10日公布了国家数据保护法改革的咨询文件，提出了对英国GDPR、《2018年数据保护法》和《隐私和电子通信条例》的一系列修正建议。这些改革旨在对现行法规进行重大调整，以应对英国脱离欧盟后的战略需求。改革方案包括以下几个关键建议：

首先，DCMS建议对当前的问责标准进行重大修改，包括取消数据保护影响评估（DPIA）、保持处理记录和任命数据保护官员的义务。取而代之的是基于风险的“隐私管理计划”，这是一个旨在提供更全面和灵活的合规管理框架，强调明确的合规角色、内部数据保护政策、风险评估工具以及定期监控和评估计划。

其次，DCMS正在考虑修改数据泄露报告的规则。这可能涉及到改变对需要向英国信息专员办公室（ICO）报告违规行为的标准，即在事件被认为不会对个人构成重大风险时，可以避免通知。

对于处理的合法理由，DCMS提议进行一些修正，包括为组织提供明确的合法利益依据，如内部研究和开发、产品安全等。同时，该文件还提出为科学研究引入新的合法依据，并扩大或澄清在处理特殊类别数据时可依赖“重大公共利益”豁免的情况。

国际数据传输机制方面，DCMS寻求使现有规则更加“相称、灵活和可互操作”，包括授权组织开发和自我批准的传输机制，并允许非英国机构开发国际认证计划，以促进数据的自由流动。此外，国务大臣可能被授予权力，定期引入或批准新的替代转移机制。

在充分性决定方面，与全球数据伙伴关系的计划相一致，咨询文件概述了成为“世界上最具吸引力的数据市场”的雄心。这可能以一种基于风险和主动的方式来批准充分性决定，允许数据自由流动到相关的第三国。充分性评估可以针对一个司法管辖区内的特定部门或地区进行，并可以成为英国与其他国家签订的多边框架的一部分。

对于cookies，文件中提出了改革现有要求的潜在方案，包括取消在分析cookie和类似技术对用户造成伤害的风险较低的情况下获得事先同意的义务。此外，DCMS还建议将违反《隐私和电子通信条例》的最高罚款（目前设定为50万英镑）与《通用数据保护条例》的最高罚款相一致。

在人工智能方面，咨询文件提出了删除GDPR第22条的建议。取代第22条的新立法需要考虑“自动决策不应仅仅基于明确的同意，这将使数据的使用具有合法或公共利益”。如果不能完全删除第22条，GDPR至少应进行改革，允许自动决策，并取消对算法决策的人工审查。

关于数据主体访问请求权，DCMS建议重新引入象征性的费用，在提出主体访问请求之前，数据主体必须支付。此外，机构可以对费用设定上限，并拒绝数据主体提出的无理要求。

英国GDPR修正，以包括一个法定标准，即什么构成数据保护法下的匿名化，以解决现有混乱的状况。

英国ICO的角色管理方面，DCMS计划采取更多干预方法，旨在将重点从处理小规模但大量的投诉转向解决对公众信任构成的最严重威胁事项。这可能包括要求数据主体在向ICO报告之前直接向相关控制人寻求解决他们的投诉，并可能要求控制者引入简单和透明的投诉处理程序。

英国政府关于这些建议的咨询现已开始，为期10周，截止日期为2021年11月19日。这为组织和个人提供了一个机会，可以提出自己的看法来影响未来的英国数据保护框架立法，并对这一法律领域的国际发展方式产生影响。