歐盟的《通用數據保護條例》(GDPR)誕生時,英國仍是歐盟成員國,即便當時英國脫歐已經迫在眉睫。該條例以《2018年數據保護法》的形式在英國成為法律。許多公司和其他組織發現,由於合規所需的政策、程序和技術措施非常複雜,實施起來非常困難,特別是對於規模較小的實體而言,所有這些法律要求都被認為過於繁瑣。規則的變化不僅影響到了大型公司,而且對更小的組織也是必需的,無論它們是當地的管弦樂隊,還是鄉村童子軍。
當然,許多企業表示,他們發現遵守法規會耗費大量時間和資源,我們也看到一些因嚴重違規行為而被處以巨額罰款的新聞頭條。一些美國公司認為遵守法規過於繁瑣,因此選擇停止處理歐盟公民的個人數據,即使這意味著不再向歐盟銷售產品。
英國脫歐的承諾之一是消除通常被俗稱為歐盟“繁文縟節”的官僚主義,儘管在數據保護領域已經採取了具體措施,但這一承諾尚未完全兌現。《數據保護和數字信息法案》(DPDI)旨在引入一種更有利於商業發展的英國隱私制度,但任何仍在歐盟運營的英國企業仍必須遵守源自《通用數據保護條例》的成員國法律,因此實際影響將十分有限。然而,一個關鍵問題是,由此產生的英國立法是否足以削弱英國與歐盟之間的充分性協議,該協議允許雙方無需逐案審查,即可繼續交換個人數據?
例如,有人擔心,由於英國國務大臣將取代信息專員辦公室成為最終監督者,消費者將變得更加脆弱。這可能會使政治考慮淩駕於保護公眾的優先事項之上。鑒於最近大型科技公司濫用數據的高調案例以及人工智能的指數級發展使得歐盟的核心數據保護原則之一,即處理過程的透明度越來越不可行,這令許多遊說者感到擔憂。歐盟去年的一項裁決很好地說明了這一問題,即Meta公司為行為廣告收集用戶數據時所依賴的合法利益辯護不再有效。在英國,沒有這樣的裁決,因此可以說英國用戶仍然處於弱勢地位。另一方面,重視英國客戶群的社交媒體公司將視這種差異為一件好事。
展望未來,英國國務大臣可能會以營造商業友好環境的名義,監督英國與GDPR標準的進一步背離。這與英國的政策相吻合,即英國對人工智能不斷發展的監管方法,與歐盟迅速形成的AI法案相比,是不太可能扼殺創新的。
最後,我們用兩條消息來總結本文,一條是壞消息,一條是好消息。壞消息是,許多英國企業現在必須適應兩個獨立且可能越來越不同的數據保護制度,一個在海峽的這一邊,一個在海峽的那一邊。好消息是,這些變化可能意味著鄉村樂團和當地童子軍可能需要應對的繁文縟節會減少。
