【域外动态】ICO就2025《数据（使用和访问）法》修正案展开咨询意见

2025年《数据（使用与访问）法》（DUAA 2025）于6月19日获批，首批条款于8月19日至20日生效。ICO为此启动公开咨询并发布指引草案，以制定最终适用指引。咨询核心含两点：一是新增“公认的合法利益”数据处理合法依据，独立于传统“合法利益”，仅适用于公共任务披露等五类场景；二是要求组织建立数据保护投诉处理机制，遵循“必须-应当-可以”三级标准，含受理、调查、反馈等流程。

为响应2025年《数据（使用与访问）法》（Data (Use and Access) Act 2025，简称DUAA）的生效，信息专员办公室（Information Commissioner's Office，简称ICO）已启动公开咨询意见，以助力制定最终指引。ICO已制定相关指引草案并开展咨询意见，帮助组织理解和适用即将实施的修订内容，核心包括两方面：

“公认的合法利益”：一项区别于“合法利益”的新合法依据

《公认的合法利益指引》聚焦General Data Protection Regulation（《通用数据保护条例》，简称GDPR）下新增的“公认的合法利益”数据处理合法依据。其核心是明确该依据独立于传统“合法利益”，仅适用于五类预先批准的公共利益场景（见下表），无需组织自行平衡个人权利与利益，但需满足“必要性”要求。同时明确适用限制，且组织仍需遵守GDPR透明性、信息留存等其他数据保护原则，但可豁免“数据可携带权”相关义务。另外需要明确告知个人所依据的具体条件及处理目的，紧急场景下可预先制定专项隐私说明，个人享有异议权，组织仅在能证明“正当理由”时才能拒绝中止处理个人信息。

“数据保护投诉”：所有组织必须建立数据保护投诉处理流程

《数据保护投诉指引》要求组织必须建立投诉处理机制，明确“必须-应当-可以”三级合规标准：“必须 ”对应法定或判例确定的强制性义务，组织不得违反；“应当”为ICO推荐的合规实践，除非有正当理由可不执行，但需证明替代方案合法；“可以”为可选操作示例，组织可结合实际选择适配方式。核心流程包括：准备阶段需提供多元投诉渠道、制定书面流程并培训员工；接收后30日内确认，及时开展调查并更新进度；调查完成后需反馈结果，告知投诉人向ICO投诉的权利。同时强调需适配儿童等特殊群体需求，且ICO通常要求投诉人先向组织投诉再受理其直接申诉。

咨询详情

这些指引草案及咨询是ICO践行承诺的重要一步——为修订内容提供清晰指引，以增强组织处理个人信息的信心。ICO副专员艾米丽・基尼（Emily Keaney）表示：“我们深知，在法律发生变化的背景下，为企业提供所需的确定性至关重要。这些咨询为我们提供了倾听、学习并清晰引领的宝贵机会，我们鼓励所有利益相关方参与咨询，助力我们制定出严谨且切合实际的最终指引。”DUAA于2025年6月19日获得批准，首批条款于2025年8月19日至20日生效。科学与创新部（Department for Science and Innovation，简称DSI）已公布生效计划。

“公认的合法利益” 是一项新的合法依据。该依据将增强组织出于特定预先批准目的使用个人信息的信心，这些公共利益目的包括预防犯罪、公共安全、保障、紧急情况处理，以及共享个人信息以协助其他组织履行公共职能等。ICO的详细指引将通过解释其运作机制并提供实用案例，帮助组织更顺利地运用“公认的合法利益”这一依据。公共机构在为履行公共职能或官方职责使用个人信息时，仍应采用“公共任务”合法依据。有关此次为期10周的咨询（截止日期为2025年10月30日）。

截至2026年6月，所有组织必须建立数据保护投诉处理流程。任何对组织处理其个人信息的方式不满的人都可提出投诉。ICO的指引明确了新要求，并告知组织为合规必须做、应当做和可以做的事项。有关此次为期8周的咨询（截止日期为2025年10月19日）。

编译｜高   渊

排版｜孙小舟

审核｜裴   轶