英国《数据使用与访问法案2025》修订自动化决策规则解析
撰文、编辑 / Kaamel Labs
2025年6月19日,英国颁布《数据使用与访问法案2025》(DUAA 2025),修订了GDPR-UK、DPA 2018等数据法规部分条款。为配合实施,英国信息专员办公室(ICO)于2026年3月31日更新自动化决策指南草案,重点优化以下内容:
- 明确"仅自动化且具有重大影响决策"的界定标准
- 细化组织在特定限制条件下的操作规范
- 新增自动化决策安全保障措施要求
DUAA 2025对自动化决策规则的修订
DUAA 2025通过构建更灵活的框架,旨在平衡数据创新与保护:允许组织在保障措施完备的前提下,对一般个人数据实施自动化决策;同时严格限制敏感数据处理,确保重大决策需满足特定条件。
核心修订要点:
- 界定"实质性人类参与"标准:决策须包含主动的人工干预权,非象征性确认
- 放宽非敏感数据自动化决策路径,强化敏感数据处理限制
- 要求组织必须建立四重保障机制:信息透明、陈述渠道、人工干预及异议权
- 新增国务大臣规章制定权,细化"重大影响"判定规则
ICO自动化决策指南草案要点
新版指南为企业落实新规提供操作指引:
明确"实质性人类参与"标准
人工参与必须满足:实时影响决策结果、具备修改权限、接受专项培训。需避免仅形式化确认或系统设计阶段参与。特别强调应评估画像技术复杂性对人工干预效果的影响。
扩展合法决策路径
非敏感数据决策可基于更广泛合法利益开展;敏感数据处理则须同时满足:合同履行必需性+重大公共利益条件,或取得数据主体显性同意。
完善安全保障措施
组织需向数据主体提供决策依据详情(如风险因素、数据范围),并确保:及时告知权利、开放陈述通道、设置专业人工复审机制、建立异议反馈流程。指南特别要求企业监测人工复审结果,用于优化系统偏差。