当地时间6月19日,英国《数据(使用与访问)法案》(Data (Use and Access)Bill)获国王“御准”,正式成为法律。
《数据(使用与访问)法案》(以下简称“法案”)审议过程并非一帆风顺。英国议会两院审议时,在人工智能等若干关键修正案上出现严重分歧,法案审议一度延缓。历经多轮审议与修正,一周多前才得以送至国王,等待“御批”。
法案涵盖多个关键领域,全面规范了英国数据使用访问制度,主要内容如下:
客户数据与商业数据的访问:法案明确客户数据、商业数据及数据持有者的相关概念,规定数据持有者在特定条件下向客户或授权第三方提供数据,授予国务大臣和财政部门制定相关法规的权力,赋予监管机构调查、要求信息和实施罚款的权力。
数字验证服务(DVS):法案要求建立一套DVS信任框架,规定数字验证服务的注册制度、规则等。服务提供商需在政府设立的数字验证服务注册系统中进行注册,并接受相应监管。允许公共机构向注册者披露信息,以支持验证服务。
国家“地下资产”登记。法案要求在英格兰、威尔士和北爱尔兰建立“地下资产”登记册,记录街道设备的详细信息(下水道、通信电缆等),确保基础设施信息透明度和可访问性。同时,要求基础设施运营者必须在规定时间内上传,并承担定期数据更新义务。
出生和死亡登记。法案创新性引入电子登记,允许以电子形式完成出生和死亡登记,推动登记“电子化”,提升登记便捷性和工作效率,并要求地方政府为登记工作提供必要设备与设施。
数据保护和隐私。法案强调数据处理的合法性、透明性、目的限制、数据最小化以及存储限制等原则,加强数据主体的知情权、访问权、更正权、删除权等核心权利,规定自动化决策的条件和保障措施。
设立信息委员会。法案提出撤销信息专员办公室,设立独立信息委员会。信息委员会在“继承”相应职能和资产同时被赋予更多权力,包括制定战略、发布年度报告、监督数据保护法规的执行等。
其他数据使用和访问规定。法案还涵盖多个其他领域的规定,主要包括健康和社会护理信息标准、智能电表通信服务、互联网服务提供者的信息保留等。
据悉,法案对英国数据保护框架提出多项修订措施,涵盖“公认合法利益”清单引入、数据主体访问请求响应流程、自动决策规范,以及国际数据传输等。
公认的合法权益:法案明确列举多项可作为信息处理合法依据的“公认合法利益”,主要包括国家安全\\公共安全或国防、应对紧急情况、公众对传播政治观点的民主参与、侦查\\调查或预防犯罪,以及保护弱势群体等。
响应数据主体访问请求:法案要求数据控制者需要在“关键时点”后一个月内回应数据主体请求。“关键时点”定义为以下时间节点的最晚时间:控制者接收到请求的日期;控制者收到验证数据主体身份所需额外信息的日期。此外,对于复杂请求或数据主体提出多项请求的情形,法案允许控制者将响应期限延长两个月。如果延长响应时间,控制者需在最初的一个月内告知数据主体延期决定,并阐述延迟的具体原因。
自动化决策:法案规定基于个人数据处理的重大决策不得仅通过自动化手段做出,除非满足以下任一条件:该决策为订立或履行合同所必需、数据主体已作出明确同意、法律有明确要求或授权。同时,针对完全依赖自动化处理的重大决策,控制者需采取以下保障措施:通知数据主体有关自动化决策的信息;允许数据主体提出申诉;保证数据主体有权请求人工复核;以及赋予数据主体对决策提出质疑的权利。
国际数据传输:法案设立数据保护评估标准,规定向英国境外第三国或国际组织传输个人数据须满足的条件。核心要求是:接收方对数据主体的保护标准不得实质低于英国水平。评估时需特别考察第三国或国际组织的法律及文化环境、现有执法机制的有效性等。
法案通过标准化数据记录、共享及保存流程,有效提升公共服务的效率与透明度。诸如国家地下资产登记及电子出生与死亡登记系统的构建,不仅强化数据管理效率,更为公共服务决策提供精准可靠的信息支撑。法案通过不仅标志着英国在数据改革领域迈出了重要一步,也为全球数据立法提供了宝贵的经验和参考。
文章参考来源 | UK Parliament 5780文件
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
