英国脱欧后的数据保护：GDPR 与英国 GDPR

英国脱欧从根本上改变了英国的数据保护格局。自2021年1月1日起，英国退出欧盟法律框架，欧盟GDPR不再直接适用。英国在国内法中保留了欧盟 GDPR，称为“英国 GDPR”（根据 2018 年欧盟（退出）法案），并由 2018 年数据保护法案 (DPA 2018) 进行补充。其结果是形成了一个与欧盟 GDPR 基本相似但存在重大差异的框架，以及英国和欧盟之间脆弱的充分性关系，企业必须密切监控。

了解英国 GDPR 和欧盟 GDPR 之间的确切差异，并管理在两个司法管辖区运营的企业的双重合规性，对于总部位于英国的企业以及在英国和欧盟有业务的国际公司至关重要。

要点

• 英国 GDPR 源自欧盟 GDPR，但现在是一项单独的国内法 — 欧盟 GDPR 不再直接适用于英国
• 欧盟于 2021 年 6 月批准了英国的充分性决定，允许欧盟→英国的数据流动——但须遵守日落条款和定期审查
• 英国→欧盟数据流：英国还授予欧盟国家根据英国法律的充分性，允许欧盟→英国根据英国 GDPR 进行数据流
• 主要区别：英国 GDPR 有不同的 SCC、不同的转移机制、ICO（而非 EDPB）监管以及不断变化的英国特定立场
• 2025 年数据保护和数字信息 (DPDI) 法案改革了英国 GDPR — 变化包括放宽合法利益、新认可的合法利益以及简化记录保存
• ICO 罚款达到 1750 万英镑，占全球营业额的 4%——与欧盟 GDPR 结构相同
• 同时受英国 GDPR 和欧盟 GDPR 约束的企业必须独立满足这两个框架

---

英国脱欧后的数据保护框架

英国 GDPR 和 2018 年数据保护法

英国的数据保护框架包括两个主要工具：

英国 GDPR：英国法律中保留的欧盟 GDPR，并经 2018 年 DPA 和后续法定文书修改。它保留了欧盟 GDPR 的六大合法依据、数据主体权利、控制者/处理者框架、DPIA 要求和 DPO 义务，并进行了一些针对英国的修改。

2018 年数据保护法：通过以下方式补充英国 GDPR：

• 实施英国特有的克减（例如，执法、国家安全、新闻业）
• 确立 ICO 的权力和角色
• 为处理特殊类别的数据提供附加条件
• 为公共机构制定 DPO 要求
• 创建刑事犯罪和执法框架

《2025 年数据保护和数字信息 (DPDI) 法案》：一项重大改革，修订了英国 GDPR，引入了更灵活的业务处理条款、放宽了合法利益条款、“公认的合法利益”（避免平衡测试的新类别）、简化了 DPIA 要求以及数字身份服务的新监管框架。

---

主要区别：英国 GDPR 与欧盟 GDPR

---

英国充足性状态和欧盟→英国数据传输

欧盟针对英国的充分性决定（2021 年 6 月）

欧盟委员会于 2021 年 6 月 28 日向英国授予两项充分性决定：

1. 欧盟 GDPR 下的充分性决定：允许个人数据从欧盟/欧洲经济区自由流动到英国，无需额外的传输机制
2. 执法指令下的充分性决定：允许执法数据共享

日落条款：欧盟针对英国的充分性决定包含一项为期四年的日落条款——除非续订，否则将于 2025 年 6 月 27 日到期。欧盟委员会进行了审查并表示有意续签，但续签过程和任何附加条件均取决于政治和法律的发展。

欧盟→英国充足关系面临的风险：

• 英国数据保护法与 GDPR 的分歧（通过 DPDI 法案和未来改革）可能会引发委员会审查
• 英国政府的监控立法和海量数据收集实践一直是欧盟审查的领域
• 任何显着降低数据保护标准的英国法院判决或立法变更都可能促使委员会暂停充分性

实际意义：依赖英国充足性进行欧盟→英国数据流的企业应该制定应急计划（英国 IDTA 或 BCR），以应对充分性被撤销或暂停，即使可能会更新。

英国→欧盟数据流

根据英国 GDPR 的国际传输条款，英国国务大臣已向欧盟/欧洲经济区国家授予充分的法规，这意味着个人数据可以从英国流向欧盟/欧洲经济区国家，而无需额外的传输机制。

---

国际数据传输协议 (IDTA)

对于从英国转移到没有英国充分性决定的国家/地区，英国 GDPR 要求采取适当的保障措施。 ICO 于 2022 年 3 月发布了国际数据传输协议 (IDTA) 和 IDTA 欧盟 SCC 附录，取代了英国传输的旧模型条款。

IDTA 的主要功能：

• 单一文档中涵盖所有四种欧盟 SCC 模块场景（C2C、C2P、P2P、P2C）的英国特定标准合同条款
• “风险评估”框架（而非欧盟SCC的强制性TIA）
• 英国特定定义和监管机构参考
• 不得修改的强制性条款；可选条款可用

欧盟 SCC 的 IDTA 附录：通过添加适用于英国目的的附录，允许企业使用欧盟 SCC 作为英国转账的基础。对于许多已经实施欧盟 SCC 并希望在没有单独文件的情况下涵盖英国转移的跨国企业来说，这是首选方法。

从欧盟 SCC 的过渡：ICO 延长了将旧版欧盟 SCC 合同更新为英国 IDTA 的截止日期 - 在 2022 年 9 月 21 日之前签订欧盟 SCC 合同的企业必须在 2024 年 3 月 21 日之前将其替换为英国 IDTA（根据 ICO 指南延长）。

选择适当的传输机制：

---

ICO 执法权力和方法

信息专员办公室 (ICO) 是英国独立的数据保护监管机构。英国脱欧后，ICO 不再是 EDPB 的一部分，并在各方面独立运作。

ICO 执行权：

• 发布信息通知，要求组织提供信息
• 发出评估通知（审核）
• 发出执行通知（要求采取合规行动）
• 发出处罚通知：
• 较低级别：对于不太严重的违规行为，最高可达 870 万英镑或全球年营业额的 2%（以较高者为准）
• 上层：对于最严重的违规行为，最高可达 1750 万英镑或全球年营业额的 4%（以较高者为准）
• 对故意数据犯罪的刑事起诉（根据 DPA 2018 第 3 部分和犯罪行为）

ICO 执法方法：ICO 历来采取基于风险的相称方法——在升级为罚款之前通过谴责和非正式指导与组织进行接触。然而，ICO 已开出巨额罚款：向英国航空公司 (British Airways) 处以 2000 万英镑（后来上诉后减至 2000 万英镑），向万豪国际 (Marriott International) 处以 1840 万英镑，并向公共当局处以多笔七位数的罚款。

后 DPDI 法案：2025 年 DPDI 法案修改了 ICO 的框架，引入了促进数字经济繁荣和数据保护的“主要目标”，并为负责任的人工智能制定了法定的行为准则。这标志着比 DPDI 之前更加支持创新的监管方式。

---

双重合规性：英国 GDPR 和欧盟 GDPR

对于同时受英国 GDPR 和欧盟 GDPR 约束的企业（这是在欧盟开展业务的英国企业最常见的情况），管理双重合规性需要仔细的计划设计。

双重合规架构：

1. 独立的法人实体：如果您的英国和欧盟业务是独立的法人实体，则每个实体都有自己的监管机构（英国的 ICO，欧盟的相关国家 DPA），并且必须维护单独的合规计划

2. 共同政策基础：英国 GDPR 和欧盟 GDPR 共享约 95% 的实质性要求。可以构建涵盖双方所有要求的单一综合隐私计划，并在顶部添加英国特定层和欧盟特定层

3. 转移机制：英国→欧盟转移使用英国充分性法规（目前不需要机制）。欧盟→英国转移使用欧盟对英国的充分性决定（目前不需要机制）。英国与其他国家/地区之间的内部转账需要英国 IDTA。欧盟与其他国家之间的内部转账需要欧盟 SCC

4. 主要监管机构：根据欧盟 GDPR，欧盟运营机构可以通过一站式机制为欧盟跨境处理指定一个主要监管机构。这不适用于英国——ICO 监管所有在英国成立的实体

5. 隐私声明：保留单独的隐私声明或明确区分英国和欧盟的法律依据、联系信息（DPO、英国代表、欧盟代表）和监管机构参考资料

6. DPO 任命：如果两个框架均要求，则单个 DPO 可以为两个司法管辖区提供服务。英国隐私声明中的 DPO 联系方式应提及英国义务；欧盟通知应提及欧盟义务

---

英国特定的数据保护注意事项

PECR（2003 年隐私和电子通信法规）

英国 PECR 管理 cookie、电子营销和流量/位置数据。尽管改革正在进行中，但它与英国 GDPR 是分开的，并且未根据 DPDI 法案进行更新。主要 PECR 要求：

• Cookie 同意：非必要 Cookie 需要明确知情同意
• 电子邮件/短信营销：需要个人选择同意；如果存在现有客户关系和相同/相似产品，则可以选择退出（软选择加入）
• 推销电话：禁止拨打电话偏好服务 (TPS) 上的号码；企业可以注册企业 TPS

生物识别数据（英国 GDPR 下的特殊类别）

为唯一识别个人而处理的生物识别数据是英国 GDPR 下的一个特殊类别。 DPA 2018 附表 1 规定了处理特殊类别的具体条件，包括明确同意和就业法条件。

非英国设立的控制人的英国代表

根据英国 GDPR 第 27 条，不在英国设立但受英国 GDPR 约束的控制者和处理者（因为他们向英国个人提供商品/服务或监控英国个人的行为）必须任命一名英国代表。这是 DPO 的独立角色，可以是自然人或法人实体。

---

英国数据保护合规清单

• 确定英国 GDPR、欧盟 GDPR 或两者是否适用于您的组织
• 如果非英国成立且受英国 GDPR 约束，则任命英国代表
• 更新隐私声明以引用英国 GDPR、ICO 和英国特定权利
• 针对从英国向非充足国家的转移实施的英国 IDTA 或 IDTA 附录
• 审查欧盟→英国转移机制（目前依赖欧盟对英国的充足性——监控变化）
• 根据英国 GDPR 的要求指定 DPO；已公布联系方式
• 保留处理活动记录（英国 GDPR 第 30 条）
• 针对高风险处理活动进行的 DPIA
• 记录合法利益评估，其中合法利益是法律依据
• PECR 合规性审查：cookie 同意、电子营销选择加入机制
• 已完成有关英国 GDPR 义务的员工培训
• 违规通知程序：72 小时向 ICO 发出通知，针对高风险违规进行单独通知
• 实施数据主体权利程序（英国 GDPR 时间表：一个月）
• 旧版欧盟 SCC 合同经过审查并根据需要更新至英国 IDTA

---

常见问题

英国脱欧后，欧盟 GDPR 是否仍然适用于英国？

不会。欧盟 GDPR 于 2021 年 1 月 1 日不再直接在英国适用。但是，英国以“英国 GDPR”的形式保留了欧盟 GDPR 作为国内法，该法案与英国 GDPR 基本相似，但现在是一项单独的英国法规。如果您处理欧盟/欧洲经济区个人的个人数据或在欧盟设有机构，则无论英国脱欧如何，欧盟 GDPR 都将继续适用于您业务的这些方面。

我是否需要为英国和欧盟运营单独的 DPO？

单个 DPO 可以同时履行英国和欧盟的义务，前提是他们对这两个框架有足够的了解，并且可以接受两个司法管辖区的数据主体和监管机构的访问。 DPO 的联系方式应在两个司法管辖区的隐私声明中公布，并且 DPO 应了解英国特定的 ICO 指南以及 EDPB 针对欧盟义务的指南。

如果欧盟撤销英国的充足性，会发生什么？

欧盟→英国的数据流需要替代的传输机制——通常是欧盟 SCC。企业需要签署欧盟→英国转移的欧盟标准合同条款并进行转移影响评估。这对于运营来说意义重大，但对于已计划突发事件的企业来说是可以管理的。对于依赖非正式数据流（员工数据、欧盟和英国实体之间共享的云基础设施）而没有正式传输文件的企业来说，实际中断将是最大的。

DPDI 法案中的“公认的合法利益”是什么？

2025 年 DPDI 法案引入了“公认的合法利益”——一种新的处理目的类别，不需要根据英国 GDPR 进行完整的三部分合法利益平衡测试。公认的合法利益包括： 收集数据的组织的直接营销；出于行政目的的集团内转移；网络与信息安全目的；员工监控和管理以确保安全/法律合规性。企业可以依赖这些，而无需记录正式的平衡测试，从而简化了这些特定用例的合规性。

英国数据保护如何适用于居住在国外的英国公民？

英国 GDPR 保护英国境内的个人——它与英国公民身份或国籍无关。居住在英国的欧盟公民受到英国 GDPR 的保护。居住在法国的英国公民受到适用于法国的欧盟 GDPR 的保护。这些法律的主要适用范围是地域性的，而不是基于公民身份的。当英国公民的数据位于英国境外时，它们本身并不受到英国 GDPR 的约束，除非控制者/处理者是在英国设立的或针对英国个人。

英国的 cookie 受英国 GDPR 或 PECR 管辖吗？

Cookie 主要受英国《2003 年隐私和电子通信条例》(PECR) 管辖，而不是直接受英国 GDPR 管辖。 PECR 需要有关 Cookie 的明确信息以及非必要 Cookie 的同意。英国 GDPR 适用于通过 cookie 收集的个人数据（其中 cookie 处理个人数据）。两个框架必须同时满足——PECR 控制 cookie 的放置；英国 GDPR 管辖所收集的个人数据的后续处理。

---

后续步骤

英国脱欧后的数据保护格局比许多企业预期的更加复杂，特别是对于同时在英国和欧盟司法管辖区运营的企业而言。与 ICO 指导、DPDI 法案改革和欧盟充分性关系保持同步需要持续关注。

ECOSIRE 帮助企业设计和维护英国/欧盟双重合规计划，实施适当的国际数据传输机制，并将隐私设计融入其技术平台。

了解更多：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。英国数据保护法正在通过立法和 ICO 指导不断发展。请咨询合格的英国法律顾问，获取针对您的组织的具体建议。