#Dora姑姑讲合规# 3

脱欧后，GDPR在英国将何去何从？

BY Leslie法商学院导师Dora

今天我们来讲讲GDPR。什么是GDPR？EU General Data Protection Regulation，欧盟《通用数据保护条例》。GDPR适用EEA（European Economic Area)，即欧盟28个成员国（含英国），再加上冰岛、挪威和列支敦斯登。

英国闹脱欧这么多年，几经波折，换过首相、惊动过英国最高院，现在终于确定要脱了。这会儿，英国处于脱欧过渡期，过渡期将于2020年12月31日结束。脱欧后，这部令无数巨型企业竞折腰的GDPR在英国还继续有效吗？

一、结论

大家时间宝贵，先说结论。看完这一节或者下面加粗加下划线的那一段，就可以该干嘛干嘛去了。当然，后面故事更精彩，欢迎继续深挖。

在脱欧过渡期，EU GDPR一直在英国有效，直至2020年12月31日。同一天，一部叫UK GDPR的法律生效。两部法律完美交接。

EU GDPR和UK GDPR是什么关系？这两部法律没有实质性区别，是英国为了脱欧后继续个人数据保护而为自己量身制定的一部法律。姑姑比对了这两部法律，法条几乎是一样的，绝大部分修改都集中在将“监管机构”的名字修改成“英国监管机构ICO”。

英国为了脱欧后将GDPR套嵌进入英国数据保护类法律，制定了一部新的法律叫《数据保护法案2018 》(Data Protection Act 2018)。这部新法替代了之前的《数据保护法案1998》。

英国还有其他与GDPR相关的法律怎么处理呢？英国又制定了《数据保护、隐私与电子通信（修改等）（脱欧）条例2019》，将所有含“GDPR”条款的法规里“GDPR”字眼都修改为“UK GDPR”。

至此，所有补丁增补完毕，脱欧后英国数据保护法律体系完成。当然，以上某些具体法条是否能生效，是否需要进一步修改，还要看英国与欧盟之间最终达成什么样的脱欧协议。所以，一切都还具有不确定性。

二、英国数据保护监管机构ICO大起底

看完大结局，如果你还想知道更多，我们再扯一下英国的监管机构ICO。

1、ICO是谁？

ICO的全称是Information Commissioner’s Office (信息委员办公室）。

ICO是一个做什么的机构呢？我们来摘一段ICO网站上的Slogan.

“The UK’s independent authority set up to uphold information rights in the public interest, promoting openness by public bodies and data privacy for individuals. ”

这段话翻译过来:

“英国独立监管机构，维护公共利益中的信息权、促进公共实体的信息公开和保护个人数据隐私。”

所以，ICO的工作分为三个部分，保护个人数据隐私只是其职能之一。这也印证了上面提及的，英国除了制定UK GDPR（专门保护个人数据）外，还制定了新的《数据保护法案2018》以涵盖ICO其他两个部分的职能。

2、ICO处罚案例分析

ICO自2005年以来，共管辖超过8500个与信息自由和环境信息有关的案件。其中对92个案件作出了处罚。

根据处罚类型来划分，罚金占主流，承诺函占比最小。但是，姑姑把ICO开的所有生效罚单撸了一遍，很失望。为啥呢？因为没有看到巨额罚单。最大罚单金额只有50万英镑。

比如，2020年3月4日ICO向香港国泰航空公司开出50万英镑罚单，因为国泰航空的计算机系统缺乏合适的保护机制，泄露了940万乘客的详细个人信息，其中包括11.1万英国居民的个人信息。

再比如，2018年10月24日，ICO向Facebook Irealand Ltd. 开出了50万英镑的罚单。2018年11月26日，ICO向Uber开出了38.5万英镑的罚单。2018年5月21日，ICO向Yahoo! UK Services Ltd. 开出25万英镑的罚单。

姑姑挑选的都是跨国集团公司，这些罚单金额为什么这么小？ICO为什么不下狠手呢？因为这些处罚都是基于《数据保护法案1998》做出的，根据这个法案，最高罚金金额只有50万英镑。

这个时候你是不是会反驳姑姑？不对呀，不是说ICO 2019年7月对英航开了一个1.83亿英镑的罚单么？向万豪酒店集团开了9920万英镑的罚单么？确实如此，罚单开是开了，但都尚未生效；因为这两家公司不服气，都分别提起了上诉，现在案子还没有最终裁决。

这两个罚单金额跟前面罚单金额有云泥之别，为什么呢？因为这两个罚单是根据EU GDPR作出的。根据EU GDPR，最高可以处罚2000万欧元或者上年全球营收的4%（取高者）。

这么一比对，只有在英国继续适用GDPR，ICO才可能更有威慑力。为了自身权势而言，姑姑妄加揣测ICO希望脱欧后把GDPR照搬到英国法中。从另一方面而言，如果整个EEA都继续适用GDPR而英国不跟着玩，这确实不能很好地保护英国国内个人数据主体的权益，也会造成跨国集团公司把违法的事儿都搬到英国来做。

再看一张图：

以上是被ICO处罚的行业，其中因为市场推广被处罚的比例最高，占27%；其次刑事程序、金融保险和信贷、一般商业行为和土地或财产服务这四个行业持平，各占9%。从上述处罚领域来看，ICO处理的还是本国违法主体居多，跨国集团占少数。这再次从另外一个角度印证了，如果ICO想要提高脱欧后的威慑力和国际地位，需要将EU GDPR内化到英国数据保护体系中来。

三、脱欧后，英国数据保护执法的变化

由于英国与欧盟之间尚未达成最终的脱欧协议，且欧委会还在不断更新EU GDPR的相关指南，最终英国数据保护法规尚未有最终定论。本阶段的变化，我们基于双方无协议脱欧来预测。

1、ICO地位的变化

在EU GDPR项下，欧盟委员会是主管机构，EU GDPR的制定者。欧盟每一个成员国都应设立监管机构，授权监管机构执行任务并行使完全独立的权力。各国监管机构应迅速和顺利地与其他监管机构和欧委会合作。

在英国脱欧之前，ICO是EU GDPR的监管机构，负责 EU GDPR在英国的执行。脱欧后，ICO不再受制于欧委会，也无需继续执行EU GDPR了。

我们前面提到，由于EU GDPR赋予了ICO超越英国国内数据保护法更大的权力，脱欧后的ICO肯定会不适应。

因此，英国决定将EU GDPR套嵌（照搬）到英国，并表示希望脱欧后继续跟欧委会和其他监管机构在个人数据保护方面保持密切合作。

姑姑对这个合作的态度是很赞赏的，毕竟跨国公司在各国都有不同的业务，这是一个谁也离不开谁的世界。

2、英国与EEA之间数据跨境传输将会面临巨大挑战

数据跨境传输一直是个人数据保护中最复杂的问题，各国监管机构都希望将数据留存在本国。

欧委会希望数据可以留存在EEA内部，但是鼓励各成员国之间数据的自由流动，因此创设了一个叫“one-stop-shop”的概念。顾名思义，就是一站式服务。一个成员国监管机构为主负责监管数据跨境流动，数据控制者或者处理者只需要与一个监管机构打交道，也只能被一个监管机构处罚。

脱欧后，英国不再属于EEA成员。根据EU GDPR的规定，英国与EEA成员之间的跨境传输必然会受到EU GDPR的严格限制。

此时，英国率先示好，表示不会限制英国的数据向EEA输出。但是，欧委会尚未表态是否不限制EEA数据向英国输出。

由于英国与欧盟国家地理上的联系及N个世纪之间的商业往来，如果双方之间数据跨境传输问题不能妥善解决，将会影响无数行业和领域。这也会为在英国和欧洲有业务的跨国集团公司带来更多的合规风险。

姑姑将在Uncle Leslie法商学院本周同步更新的#Dora姑姑讲合规#专栏详细解说EU GDPR项下如何进行跨境数据传输。

扫码进入Leslie法商学院听Dora讲述！

法商学院新上N多新课，扫码听课，一起提升！

点击阅读原文，查看LESLIE法商学院！