2022年7月18日，英国下议院通过了《数据保护和数字信息法案》（“143号法案”）1，这标志着英国脱欧后数据保护框架计划改革的重要一步，各组织需要了解许多重要的拟议变更。在这方面，OneTrust数据指导研究讨论了143号法案，并提供了一些需要考虑的关键条款。

介绍

在所附的1432号法案解释性说明中，可以回顾，这一立法审查是英国脱离欧盟的直接结果。除此之外，还概述了该拟议立法旨在“更新和简化”英国数据保护法，在保持高标准的同时减轻组织负担。此外，报告还阐述了政府的观点，即现行制度相当于各组织的“勾选框”，从而阻碍了更积极和系统的做法。第143号法案中需要改革的立法不仅包括《英国一般数据保护条例》（“英国GDPR”）及其《2018年补充数据保护法》，还包括《2003年隐私和电子通信（EC指令）条例》（“PECR”），该条例规定了与电子通信相关的隐私权。

有关该法案及其条款起源的更多信息，请参阅我们之前的《洞察》文章，分析英国数据保护制度改革道路上的先前步骤。

定义

值得注意的是，第143号法案旨在修改“可识别的在世个人”的定义，根据《2018年数据保护法》第3节，信息必须与之相关，才能被视为个人数据。具体而言，第143号法案规定，在以下情况下，正在处理的信息将被视为与可识别在世个人相关的信息：

• 控制器或处理器在处理时通过合理手段识别活体个体；或
• 如果控制器或处理器知道或理应知道：
• 另一个人将或可能获得处理结果中的信息；和
• 在处理时，活着的个人将或可能通过合理的方式被该人识别。

因此，可识别性的评估将取决于控制器/处理器或可能接收信息的其他人，而不是任何其他人。此外，第143号法案旨在阐述可识别的在世个人何时可以直接或间接识别，并指出这将分别取决于识别是否需要额外信息。

此外，第143号法案修订了研究和统计目的的定义，例如，增加了科学研究的处理将意味着“可以合理地描述为科学的任何研究”，包括“为技术开发或演示、基础研究或应用研究的目的进行的处理”。科学研究目的的同意也进行了修订，例如，增加了与科学研究领域有关的同意必须符合与研究领域相关的公认道德标准。根据第143号法案，如果无法完全确定处理个人数据的目的，也可以同意进行科学研究。

国际数据传输

143号法案对英国的数据传输方式做出了一些重大改变。143号法案第21条插入了附表5（关于向第三国转移个人数据的一般处理）、6（关于向向第三国转让个人数据的执法处理）和7（关于相应和过渡性规定），修订了英国GDPR第5章和2018年法案第3部分第5章。

此外，第143号法案将“充分性测试”改为新的“数据保护测试”，即不再要求第三国拥有“基本上等同”的数据保护水平，而仅仅是这些水平“没有实质性降低”。数据保护测试中将考虑的因素包括：

• 尊重国家或国际组织的法治和人权；
• 存在主管执法机构；
• 数据主体的补救安排，无论是司法还是非司法；
• 关于将个人数据从国家或组织转移给他人的规则；
• 国家或国际组织应承担的任何相关国际义务，特别是欧洲委员会第108号公约；和
• 国家或组织的宪法、传统和文化。

此外，第143号法案规定，国务卿可发布法规，规定其认为能够确保满足数据保护测试的标准数据保护条款，涉及一般数据传输或法规中规定的传输类型。

作为补充说明，信息专员办公室（“ICO”）于2022年7月25日更新了其具有约束力的公司规则指南，规定了英国BCR的批准程序（如适用），并修订/简化了方法，即在英国批准过程中仅要求一次证明文件3。

合法利益

第143号法案建议从依赖《英国GDPR》第6条所需的“合法利益评估”方法转移到预定的“公认合法利益”列表，该列表目前包括：

• 民主参与；
• 国家安全；
• 公共安全和国防；
• 公共利益所需的处理
• 保护弱势个人；
• 侦查、逮捕或调查犯罪；和
• 紧急事件。

数据主体权利

第143号法案第7至10条涉及影响数据主体权利的修正案。正在澄清信息提供义务，尽管未作实质性修改，以确保英国GDPR第14（5）（b）条规定的过度努力或不可能豁免适用于所有未直接从数据主体收集数据的处理。

DSAR

第143号法案对当前的数据主体访问请求（“DSAR”）方法进行了一些影响深远的修改，即不再要求控制器响应所有并非“明显无根据或过度”的DSAR。相反，控制员将有权拒绝响应“无理或过度”的DSAR法案143中描述的“无理”请求如下：

• 意图造成痛苦的；
• 非善意制造；或
• 滥用程序。

此外，在确定请求是否无理/过度时要考虑的因素更一般地被澄清为包括请求的性质、数据主体和控制器之间的关系以及控制器可用的资源。

从DPIAs到AHRPs

关于数据保护影响评估（“DPIA”），这些评估将被高风险处理评估（“AHRP”）取代。值得注意的是，法案143取消了需要DPIA/AHRP的场景（根据英国GDPR第35（3）条），以及在执行DPIA/AHRP时征求数据保护官员（“DPO”）意见的要求。

从ROPA到适当记录

第15条建议删除并替换英国GDPR第30条和2018年法案第61条。在实践中，这意味着控制器或处理器不再需要保存处理活动（“ROPA”）的记录。根据英国GDPR第30A条，控制人必须保存由其或代表其进行的“处理个人数据的适当记录”。此类记录必须至少包括：

• 个人数据在哪里；
• 加工目的；
• 控制人与谁共享或打算与谁共享；
• 控制员打算保留多长时间；
• 是否包括哪些特殊类别的个人数据；和
• 个人数据是否包括与刑事定罪和犯罪或相关安全措施有关的数据。

同样，处理器记录必须至少包括控制器的姓名和联系方式以及个人数据的位置。控制器和处理器记录必须包括有关如何确保个人数据安全的信息，但要注意这是“在可能的情况下”。

数字验证服务

143号法案将验证服务定义为应个人要求提供的服务，包括：

• 根据个人以外提供的信息确定或核实有关个人的事实；和
• 向另一人确认已根据所提供的信息确定或核实了有关个人的事实。

因此，根据143号法案，数字验证服务（“DVS”）在任何程度上都是通过互联网提供的上述服务。

此外，国务卿将被要求发布DVS信托框架，即一份规定DVS提供规则的文件。国务卿还必须建立DVS供应商登记册，并有权发布DVS“信托标志”，这些标志可用于提供DVS。

自动决策

法案143旨在对自动化决策的监管进行一些重要修改。例如，它将仅基于自动处理的决策定义为不涉及人工干预的决策。此外，数据主体只有权获得与“重大”决策相关的人工干预，而不是对其产生法律效力或类似重大影响的决策。

Cookie和跟踪技术

第143号法案还包括对Cookie和跟踪技术监管的一些值得注意的变化。值得注意的是，第143号法案建议将不需要用户同意的cookie类型扩展到其设备上，不仅包括“严格必要的cookie”，还包括用于收集统计信息和改进服务的cookie。

此外，第143号法案授权国务卿制定法规，使信息技术能够自动同意或反对放置Cookie。其目的是减少跨多个网站单独接受/拒绝Cookie的负担。

直接营销

值得注意的是，法案143为直接营销创建了一个定义，即“针对特定个人的广告或营销材料的传播（通过任何方式）”。该定义被插入到PECR中。

此外，第143号法案建议将PECR下对骚扰电话/短信的罚款从最高500000英镑增加到英国GDPR下的最高罚款（例如，高达全球营业额的4%或1750万英镑，以较大者为准）。

从DPO到高级负责人

第143号法案规定，各组织应任命一名“高级负责人”，作为“组织高级管理层的一部分”，而不是DPO。该个人将负责组织内的数据保护事务，在某些领域，强制性任务将扩大到包括处理数据违规以及与数据处理相关的投诉。

英国代表

143号法案第13条旨在删除英国GDPR第27条，该条要求控制人和加工商任命一名英国代表。

业务数据/开放数据

第143号法案旨在促进“智能数据方案”的使用，这将实现企业之间的数据共享。这些方案将允许应客户要求向授权第三方安全共享数据。

对ICO的更改

最后，143号法案提议对ICO进行一些重大修改，例如将其名称改为信息委员会，并将其重新创建为法人团体。此外，还提议在监管机构的治理结构、职责和执行权力等实际领域进行修改。例如，它确立了信息委员会的主要目标，即：

• 在考虑到数据主体、控制者和其他人的利益以及一般公共利益的情况下，确保对个人数据的适当保护；和
• 促进公众对处理个人数据的信任和信心。

值得注意的是，第143号法案补充说，信息委员会在履行其职能时，应考虑促进竞争和创新等事项。这与英国政府在2020年底推出的国家数据战略的结论一致，该战略强调了个人数据在推动商业创新方面的作用。此外，信息委员会的任务是制定一项战略，以便根据数据保护立法以及必要的业务守则履行其职责。

英国信息专员约翰·爱德华兹（John Edwards）承认，143号法案已提交议会，作为他在20224年数据保护专业会议上的开幕词的一部分，并表示改革和法案“在改进方面取得了良好的平衡”。同时，爱德华兹发布了ICO未来三年的战略计划ICO25，其中概述了在这一关键时期如何实现英国数据保护目标。

结论

总之，上述许多变化似乎与解释性说明中表达的观点一致，即第143号法案旨在减轻组织的负担（例如，DPO任命和Cookie放置的变化）。根据媒体、文化和体育部的积极DPIA 6，议员将于2022年9月5日星期一二读审议143号法案。

本文：https://cioctocdo.com/uk-overview-data-protection-and-digital-informati…