英国《数据 (使用和访问) 法案》获议会两院通过

文|黄潇怡 中国信通院互联网法律研究中心工程师

2025年6月11日，《数据（使用和访问）法案》在英国议会两院获得通过，目前正等待皇室批准后成为法律。该法案全面覆盖了数据管理的多个方面，旨在平衡数据利用与隐私保护，同时支持公共服务的现代化。其核心是通过立法明确数据访问、共享和保护的规则，为英国的数据驱动经济提供法律基础。

一、法案的主要内容

《数据（使用和访问）法案》主要包括以下八部分内容：

一是客户数据与商业数据的访问（第一部分）。法案第一部分对“客户数据”“商业数据”“数据持有者”等相关概念进行了定义，“客户数据”是与客户相关的信息，如商品、服务、数字内容的交易记录等；“商业数据”是与商业活动相关的信息，如商品或服务的供应、价格、反馈等；“数据持有者”包括直接提供数据的交易方或处理数据的第三方。授予国务大臣和财政部制定相关法规的权力，并设立数据监管框架，内容包括数据持有者的义务、执行机制、罚款和制裁、费用和财务援助等，特别涉及金融服务部门的监管协调。

二是数字验证服务（第二部分）。通过建立信任框架、注册制度、信息共享机制等来规范服务提供者，以确保数字验证服务的可靠性。包括建立数字验证服务的信任框架（DVS Trust Framework）和补充规则；要求提供数字验证服务的机构注册并遵守规则；设立信息共享渠道，允许公共机构向注册机构披露信息，以支持验证服务；设计专用标志，供注册机构使用以表明其服务符合标准等。

三是国家地下资产登记册（第三部分）。要求在英格兰、威尔士和北爱尔兰建立地下资产信息登记册，记录街道地下设备（如管道、电缆）的位置和相关信息，设施所有者必须上传数据至登记册，并允许特定机构访问数据，以提高公共安全和工作效率。其中详细规定了数据上传、访问权限、费用支付和罚款机制，并允许第三方机构参与管理。

四是出生和死亡登记册（第四部分）。推动出生和死亡登记的数字化，更新了出生和死亡登记册的管理形式，允许以电子方式保存记录，简化了登记流程。规定了地方当局提供设备和设施的义务，以及处理现有登记册的过渡安排。

五是数据保护和隐私（第五部分）。修订了《2018年数据保护法》和《英国通用数据保护条例》（UK GDPR），明确了研究、统计目的的定义；修订了目的限制原则，允许在特定条件下进一步处理数据；细化了数据处理的法律依据和条件，明确合法处理数据的条件包括“认可的合法利益”等新依据；加强了数据主体的权利保护，规范数据主体请求的响应时间和程序；强化了对特殊类别数据的保护，对敏感数据（如健康、种族信息）的处理设置额外保护；强化了对自动化决策的监管等。

六是设立信息委员会（第六部分）。进行机构改革，废除原信息专员办公室，设立信息委员会，将原信息专员办公室的职能和财产转移至新委员会，以加强对数据保护和隐私监管的集中管理。

七是关于其他数据使用或访问规定（第七部分）。旨在通过数据共享提升公共服务效率，包括建立健康和社会护理信息标准，规范智能电表数据的许可和使用，规范互联网服务提供商的信息保留，以及规定生物识别数据的保留条件和期限等内容。

八是最终条款（第八部分）。规定了法案的适用范围、生效时间、过渡条款等程序性内容，并授权国务大臣和财政部制定相关实施细则。

二、法案对英国数据保护框架的修订

该法案提出了对英国数据保护框架的几项修订，包括引入数据处理的“公认合法利益”清单、二次处理的新条件、响应数据主体访问请求的新规定、自动决策相关规定，以及明确数据跨境流动的规则等。

一是关于“公认合法利益”。该法案列出了几项可作为数据处理合法依据的公认合法利益，包括：国家安全、公共安全或国防；应对紧急情况；公众对传播政治观点感兴趣的民主参与；侦查、调查或预防犯罪；或保护弱势群体。

二是关于二次处理的新条件。根据该法案，在某些情况下，为新目的处理个人数据被认为与收集数据的原始目的兼容，具体包括以下情形：保护数据主体或其他个人的切身利益；保护弱势群体；为公共利益、科学或历史研究或统计目的而存档；或遵守法律义务。

三是关于响应数据主体访问请求的新规定。根据该法案，控制者必须在“相关时间”后的一个月内回应数据主体的请求。其中，“相关时间”被定义为以下时间中的最晚时间：控制者收到请求的日期；控制者收到验证数据主体身份所需的任何进一步信息的日期；或支付与该请求相关的任何费用时。法案同时规定，如果请求较为复杂或数据主体提出多项请求，控制者可以将响应时间额外延长两个月。如果控制者延长响应时间，则必须在最初的一个月内通知数据主体，并提供延期的理由。

四是关于自动化决策相关规定。根据该法案，个人数据处理的重大决策不得仅通过自动化手段做出，除非该决策是签订或履行合同所必需的、数据主体已明确同意的，或法律要求或授权的。此外，对于仅基于自动化处理的重大决策，该法案要求控制者实施保障措施，包括：将该决定告知数据主体；允许数据主体作出陈述；使数据主体能够请求人工干预；以及为数据主体提供对决定提出异议的权利。

五是关于数据跨境流动相关规则。该法案规定了批准将个人数据转移到英国境外第三国或国际组织必须满足的条件，并提供了一项数据保护测试。法案规定，如果第三国或国际组织向数据主体提供的保护标准不显著低于英国的保护标准，则符合该测试。此外，该测试还要求评估第三国或国际组织的法律和文化环境、现有的执法机制以及数据主体获得有效救济的途径。

参考资料：

[1] https://publications.parliament.uk/pa/bills/cbill/59-01/0199/240199.pdf

[2] https://bills.parliament.uk/bills/3825

[3] https://www.dataguidance.com/news/uk-data-use-and-access-bill-passes-both-houses

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。