英国新数据保护法：重大变革来袭

June 24, 2025

英国数据使用与访问法案生效，对数据保护迎来重大变革

英国数据使用与访问法案（DUA法案）于2025年6月19日正式生效，将彻底改变英国的数据保护格局。该法案修订了现有的《英国通用数据保护条例》（UK GDPR）、《数据保护法》以及《隐私和电子通信指令》(PECR)，对国际数据传输、合法使用依据、数据主体请求等方面进行了重大调整。

国际数据传输标准升级： DUA法案将国际数据传输的标准从“本质上同等”提高到“不会显著降低”与英国标准的数据保护措施，这可能影响英国与欧盟之间的数据转移现状。当前的EU-UK 适宜性决定将于2025年12月27日到期，未来欧盟委员会如何回应DUA法案的新标准值得密切关注。

新合法使用依据： DUA法案引入“公认正当理由”作为新的数据处理合法依据，允许在安全、公共安全和国家安全等领域进行某些数据处理活动，无需进行利害关系平衡测试。该法案还明确了“正当理由”的具体范围，例如直接营销、内部数据转移以及确保网络和信息系统安全的必要处理。

数据主体请求方面更加清晰： DUA法案对数据主体访问请求（DSAR）进行了修改，要求控制器在回应DSAR时进行“合理且适度的搜索”。同时，该法案明确了控制器在依法保留信息的依据，例如法律特权。

自动决策机制更加透明： DUA法案阐明了“有意义的人工干预”的要求，这意味着任何具有重大法律影响的自动化决策必须由合格人员进行审查。此外，组织在使用AI驱动流程时需确保透明度和问责性，并向个人提供信息，遵守《平等法》等反歧视法规。

关于Cookie的新豁免： DUA法案为某些情况下设置Cookie提供了新的豁免，例如为了地理位置定位来响应紧急通信或进行网站分析等。即使有这些豁免，组织仍然需要明确告知用户关于Cookie的用途并提供简单有效的退出机制。

数字身份信任框架： DUA法案建立了数字身份信任框架，旨在规范英国数字验证服务的运营，促进创新同时加强监管和咨询机制。该框架简化了法规，使数字验证服务更有效、更易于使用。

儿童数据保护加强： DUA法案针对儿童数据的保护采取了多项措施，强调“儿童更高的保护”原则，并规定在儿童使用服务时如何更好地保障和支持他们。

投诉处理方面更加严格： DUA法案规定控制器必须在30天内回应投诉，否则将被报告给信息管理局（ICO）。

信息管理局的角色升级： 信息管理局将接受更高的监督，由国务卿负责监管，这可能导致执法优先级发生变化。此外，信息管理局将转型为公司形式，由主席和非执行董事会领导。

企业下一步行动： DUA法案将于2025年6月至2026年6月逐步实施，企业应：

为了更好地理解英国数据使用与访问法案（DUA法案）的深远影响，建议您先了解以下相关内容：

GDPR 和 UK GDPR: 欧盟通用数据保护条例 (GDPR) 是目前欧洲大陆最具影响力的数据保护法规。英国脱欧后，制定了 UK GDPR 以代替 GDPR 在英国适用， DUA法案将进一步修订和调整 UK GDPR。
国际数据传输： 了解现有的跨境数据转移机制，例如欧盟与瑞士之间的数据转移协议以及“本质上同等”标准，以便更好地理解 DUA法案对此类转移的影响。
AI 和自动化决策: 熟悉人工智能技术在数据处理中的应用，包括自动决策机制和算法透明度要求，以了解 DUA法案对 AI 使用的规范。

英国数据使用与访问法案（DUA法案）的生效将对英国乃至全球的数据保护格局产生深远影响。它加强了国际数据传输标准、明确了合法数据处理依据、提升了数据主体权利、促进了自动决策机制透明度，并建立了数字身份信任框架。企业必须及时了解 DUA法案的内容和要求，调整其数据管理策略，以确保合规性和业务连续性。

如果你有其它意见，请评论留言。

Back to blog