欧盟的《通用数据保护条例》(GDPR)诞生时,英国仍是欧盟成员国,即便当时英国脱欧已经迫在眉睫。该条例以《2018年数据保护法》的形式在英国成为法律。许多公司和其他组织发现,由于合规所需的政策、程序和技术措施非常复杂,实施起来非常困难,特别是对于规模较小的实体而言,所有这些法律要求都被认为过于繁琐。规则的变化不仅影响到了大型公司,而且对更小的组织也是必需的,无论它们是当地的管弦乐队,还是乡村童子军。
当然,许多企业表示,他们发现遵守法规会耗费大量时间和资源,我们也看到一些因严重违规行为而被处以巨额罚款的新闻头条。一些美国公司认为遵守法规过于繁琐,因此选择停止处理欧盟公民的个人数据,即使这意味着不再向欧盟销售产品。
英国脱欧的承诺之一是消除通常被俗称为欧盟“繁文缛节”的官僚主义,尽管在数据保护领域已经采取了具体措施,但这一承诺尚未完全兑现。《数据保护和数字信息法案》(DPDI)旨在引入一种更有利于商业发展的英国隐私制度,但任何仍在欧盟运营的英国企业仍必须遵守源自《通用数据保护条例》的成员国法律,因此实际影响将十分有限。然而,一个关键问题是,由此产生的英国立法是否足以削弱英国与欧盟之间的充分性协议,该协议允许双方无需逐案审查,即可继续交换个人数据?
例如,有人担心,由于英国国务大臣将取代信息专员办公室成为最终监督者,消费者将变得更加脆弱。这可能会使政治考虑凌驾于保护公众的优先事项之上。鉴于最近大型科技公司滥用数据的高调案例以及人工智能的指数级发展使得欧盟的核心数据保护原则之一,即处理过程的透明度越来越不可行,这令许多游说者感到担忧。欧盟去年的一项裁决很好地说明了这一问题,即Meta公司为行为广告收集用户数据时所依赖的合法利益辩护不再有效。在英国,没有这样的裁决,因此可以说英国用户仍然处于弱势地位。另一方面,重视英国客户群的社交媒体公司将视这种差异为一件好事。
展望未来,英国国务大臣可能会以营造商业友好环境的名义,监督英国与GDPR标准的进一步背离。这与英国的政策相吻合,即英国对人工智能不断发展的监管方法,与欧盟迅速形成的AI法案相比,是不太可能扼杀创新的。
最后,我们用两条消息来总结本文,一条是坏消息,一条是好消息。坏消息是,许多英国企业现在必须适应两个独立且可能越来越不同的数据保护制度,一个在海峡的这一边,一个在海峡的那一边。好消息是,这些变化可能意味着乡村乐团和当地童子军可能需要应对的繁文缛节会减少。
