【域外立法】英国：2025《数据（使用和访问）法》正式生效

本法是英国在数据治理领域出台的综合性立法，是数字经济、公共服务与新兴技术监管体系的重要组成部分。其规制范围不再局限于传统意义上的隐私保护，而是面向数据获取、共享、管理、应用与监督的全链条制度设计，并配套构建了数据标准体系、信任机制、监管与争议解决机制等制度性支撑。

本法的一项重要特点是，通过建立标准化接口、授权共享制度与受监管的数据服务体系，将抽象的数据‘原则性权利’转化为可操作的制度安排，即真正实现“可访问、可验证、可流通、可监督”的执行层面落地。这是其区别于以往仅强调保护的数据立法的关键亮点之一。

从结构上看，法案围绕八个部分构建了覆盖数据全生命周期的制度框架：

Part 1：客户数据与商业数据访问体系（Access to Customer Data and Business Data）

Part 2：数字验证服务框架（Digital Verification Services）

Part 3：国家地下资产登记系统（National Underground Asset Register, NUAR）

Part 4：电子出生与死亡登记制度（Registers of Births and Deaths）

Part 5：数据保护与隐私制度改革（Data Protection and Privacy）

Part 6：信息委员会设立（The Information Commission）

Part 7：特定领域数据使用与获取规则（Other Provision about Use of, or Access to, Data）

Part 8：新兴数据相关问题规制（Emerging Data-Related Issues）

根据官方解释性说明（Explanatory Notes），英国政府推动本法案立法的核心目标是“释放数据潜能（harness the power of data）”，以支持经济增长、公共服务效率与科技创新。

政府调研显示，数据利用长期受以下三方面制约：

1. 行业数据壁垒明显：数据格式与接口标准不统一，行业间和企业间数据难以互通。

2. 监管结构偏重防护，缺乏利用规则：既有制度侧重个人隐私保护，但未提供“如何合规共享与使用”的路径，企业因不确定风险而不敢使用数据。

3. 公共信任不足：数据滥用与泄露事件削弱了公众对数据处理的信赖，影响政策执行与社会合作意愿。

英国政府自 2018 年以来以“开放银行（Open Banking）”为试点推动“智能数据（Smart Data）”战略，试图复制“客户授权—标准API接口—受监管第三方服务提供者”的机制到能源、通信等行业。但由于缺乏强制性制度基础，企业参与有限，数据共享推进缓慢。因此，政府最终选择通过立法统一接口标准、建立授权共享机制并构建制度化监管体系，以实现数据安全、有序和可监督的使用。

本法案与英国现行数据法律体系并行且互为补充，其内容直接修订并重新整合了《2018 年数据保护法案》（DPA 2018）、《英国通用数据保护条例》（UK GDPR）及《2003年隐私与电子通信条例》（PECR）等核心法律条款。同时，本法案与《在线安全法案》（Online Safety Act 2023）、《反恐怖主义法案》（Counter-Terrorism Act 2008）等法律形成协同。

为便于理解，本编译稿围绕法案八个部分进行重新整合，形成以下五个主题：

·数据访问规则细化与流通场景拓展（Part 1 + Part 7）

·构建数字信任生态系统（Part 2 + Part 7 中可信服务）

·数据保护制度的现代化（Part 5）

·政府核心数据的设施与数据基础（Part 3 + Part 4）

·监管体系改革：从信息专员到信息委员会（Part 6 + Part 5）

法案首先通过Part 1建立了跨行业适用的数据可携带与共享框架（Smart Data framework），随后在Part 7中通过修改既有行业法律的方式，将该框架在能源、公共服务、研究安全及执法等领域中落地。因此，本部分体现的逻辑是，先确立可通用的制度基础，再根据不同应用场景进行差异化细化。

1. 数据访问规则、流通基础设施接口建设（Part 1）

Part 1并未直接规定具体行业的共享义务，而是授权国务大臣与财政部通过后续的“智能数据法规”（Smart Data Regulations）建立跨行业的数据访问的细化机制。本部分的核心意图是强化数据可携带权与数据使用选择权。

法案对关键概念进行了界定，包括客户数据（customer data），指与特定用户产生或关联的交易记录与使用信息；企业数据（business data）指与商家提供的商品、服务或相关经济行为相关的数据；数据持有者（data holder）指持有或控制上述数据的主体；授权接收方（authorised person / authorised third party）指经客户授权可接收与处理其数据的机构或服务提供者。

在数据保护与流动方面，需要通过“数据法规”细化的内容包括以下几个方面，一是数据持有者需应客户要求，向客户本人或其指定授权人提供客户数据，保障个人对数据的控制权；二是允许数据持有者向特定第三方或公共部门提供企业数据，促进商业协作与公共服务优化。

在基础设施层面，法案授权政府要求相关行业建立统一接口标准（common API standards）和数据访问网关体系，以保证不同领域间的数据能够在格式、传输方式与处理规范上实现技术互通。监管机构，包括在特定行业中具有法定监管地位的机构，如金融行为监管局 FCA）可根据行业风险与数据敏感度制定附加技术要求。

为保障框架落地，法案设立制度管理者（scheme administrator），并由其组织和维护数据流通机制的运行。同时，根据行业特性，由具备法定监管权限的部门监管机构负责监督合规、调查违规并实施罚款，形成管理与执法分离的结构安排。制度管理者和相关数据流通支持机构可以通过服务收费或获得财政资助以覆盖运营成本。

2. 数据流通在特定领域的细化（Part 7）

Part 7的作用是将Part 1所确立的原则性框架嵌入现行部门法体系之中，使数据共享制度能够在具体领域落地。

首先是个人数据可携带权的具体实施。第122条修订《2008年能源法》，要求在智能电表通信服务（smart meter communication services）的许可中加入数据可携带义务。要求天然气和电力市场管理局在发放智能电表通信服务许可证时，必须加入数据可携带的条件。这就强制规定，智能电表数据的持有者，比如能源公司，必须按照客户的要求，把客户的数据提供给客户授权的第三方。这正是Part 1中“客户数据向授权人流动”规则在能源行业的实际应用，解决了个人能源数据被单个企业垄断的问题，也为其他行业提供了范例。 

其次是公共数据的开放与合作。第123条允许公共部门为了改善公共服务，向“事业机构”（undertakings，包括企业）披露信息，这把Part 1中 “企业数据向第三方流动”的思路扩展到了公共领域，通过政府和企业的数据合作提高公共服务效率，有助于推动如交通出行优化、城市管理、健康服务提升等跨部门协作场景。第125条为研究机构和监管机构获取与网络风险、诈骗与有害内容传播相关的数据提供访问路径。这条规定允许相关监管机构协调数据持有者向研究者提供必要信息。在优先保障公共利益的前提下，突破了常规的数据使用限制。 

对于特殊数据，实行精细化管理。第124条、第126-128条是修订《反恐怖主义法案》中有关指纹与DNA信息的保留规则，允许执法机关在特定情况下对涉及可在境外构成等同罪行的个人延长生物识别信息保留期限。是Part 1中“数据流动需兼顾安全”原则在高风险领域的具体体现。

本部分构建了身份核验机制与可信电子行为工具，为个人、企业和政府之间的数据交互提供可靠的身份认证和技术支撑。其中，Part 2建立“数字验证服务（Digital Verification Services, DVS）”框架，侧重核实“人”与“事实”是否真实；Part 7则完善“可信服务（trust services）”的法律体系，为电子签名、电子时间戳等工具提供法律效力与技术可验证性。两者相互补充，共同构成数字信任生态结构。

1. 数字验证服务框架（Part 2）

Part 2 针对在线身份识别、年龄证明、资格核验等场景，建立了受监管的数字验证服务体系。法案将数字验证服务定义为：应个人请求，通过数字方式核实与该个人相关的某项事实，并向第三方提供“已核实”结论的服务（Digital Verification Service, DVS）。其特点在于，服务商仅提供“是或否”“已验证”这类结论，不涉及原始数据的提供。

为保障验结果可信，法案建立“DVS信任框架”（Trust Framework）和强制注册制度，所有服务提供者必须通过第三方评估并纳入官方DVS登记册（Register of DVS Providers），方可合法运营并使用政府授予的信任标识（trust mark）。

为确保验证准确性，法案设立安全信息网关，公共机构在获得个人明确同意后，可向已注册的服务商披露必要的核实信息。同时，国务大臣拥有充分监管权力，若服务商涉及国家安全风险或未持续遵守信任框架，可拒绝、暂停或撤销其注册资格，维护整个体系的信誉。

2. 可信服务的本地化完善（Part 7）

Part 7主要修订英国脱欧后保留的欧盟《电子身份识别和信任服务条例》（eIDAS）框架，明确并细化了“可信服务（trust services）”的法律基础。

本条款首次从法律层面明确“可信服务”，旨在保障电子数据的真实性（authenticity）与完整性（integrity），包括电子签名（electronic signatures）、电子密封、电子时间戳、电子交付服务等。同时，按安全等级将其分为“普通”（trust services）与“合格”（qualified trust services）两类，普通服务适用于日常信息交互等低风险场景。同时，新增“合格服务提供者”（Qualified Trust Service Provider, QTSP）认证制度，用于金融交易、跨境合同等高风险场景，需满足更高的加密、防伪与保存标准，打破原法仅适用一般市场登记的宽松模式。 

本部分授权国务大臣及指定监管机构制定统一的技术和互操作性标准（interoperability and technical standards），如统一加密算法、毫秒级时间戳规则、统一数据存储格式，以确保不同平台、系统和行业之间的可信服务结果可以被识别和验证。此举并非强制立即全面统一技术方案，而是通过标准制定、分阶段实施实现市场可互认与安全等级清晰化。

Part 5对英国现行的数据保护框架进行重要更新，主要涉及《英国通用数据保护条例》（UK GDPR）与《2018 年数据保护法案》（DPA 2018）的关键条款。其立法目标不是削弱隐私保护，而是在确保个人权益的前提下，使数据能够在科研、公共服务和商业创新场景中被合理、合规地使用。

这代表着数据保护理念的转向，从以往的“严格限制、例外开放”，调整为“以风险为基础，在具备充分保障的条件下允许负责任的数据使用”。这种转变不是放松监管，而是从形式合规转向实质保护。

1. 核心术语与原则  

本部分保留“数据主体（data subject）”“数据控制者（controller）”“数据处理者（processor）”等基本概念，并进一步明确“匿名化”（Anonymisation）和“假名化”（Pseudonymisation）之间的区分。经真正匿名化处理的数据不再属于个人数据，不受数据保护规则约束；假名化数据虽然降低识别风险，但仍属于个人数据，须持续遵循保护要求。

2. 原则及实操性优化

在原则层面，合法性、公平性、透明性、数据最小化、准确性、存储限制、安全性与问责制依然构成制度核心。修订的重点在于使这些原则在实际数字场景下更具可操作性。

在处理条件方面，本法案对科研、统计及公共档案领域的数据处理例外进行了明确。若数据处理目的具有公共利益基础，并采取适当的技术和组织性保护措施，控制者可以在不重新征得同意的情况下继续处理数据。该安排延续了既有例外机制，但强调必须进行风险评估与结果可证明性（accountability），以确保不会损害数据主体的基本权利。

在自动化决策方面，法案对原UK GDPR第22条进行了结构性调整。新的制度不以禁止自动化决策为基本立场，而是要求在自动化决策对个人具有重要影响的情形下，个人有权要求人工复核。控制者需要能够向数据主体提供有意义的解释。

在控制者责任方面，本法案强化了“问责制”原则的实质要求。控制者需能够证明其处理基于合法依据、与声明目的相符，并采取适当安全措施。风险越高，所需的评估与内部记录义务越严格。监管方式从“事后制裁”逐步转向“前置评估与持续监督”，以降低形式化合规成本，提高实际保护效果。

Part 3与Part 4面向公共管理中的基础数据体系，重点在于对涉及高社会必要性的数据进行数字化、标准化和集中化治理，为公共服务、城市规划和数字身份体系提供可靠的数据底层支撑。

1.国家地下资产登记册的建立与治理（part 3）

Part 3要求为英格兰、威尔士和北爱尔兰建立统一的国家地下资产登记册（National Underground Asset Register, NUAR），用于整合公共部门与私营基础设施运营者分别掌握的地下管线与相关设施信息，包括供水、排水、电力、燃气、通信及交通电缆等。

登记册的管理主体由国务大臣指定，资产持有者有义务按照规定的技术格式提交并持续更新数据。对于上述数据的访问按需分级授权，具体为，施工、规划等需要精确位置的数据可在许可条件下访问；与国家安全、商业竞争或运营风险相关的信息可设定豁免或遮蔽规则。同时，法案允许通过财政拨款与成本回收机制保障登记册的长期运行，并要求建立信息安全、数据质量与争议处理安排。

NUAR的意义在于将原本分散的地下资产数据整合为可查询、可维护的统一公共基础数据，降低施工风险，提升基础设施规划和应急响应能力，为智慧城市建设提供稳定的底层数据。

2.出生及死亡登记册的数字化（part 4）

Part 4 对传统民事登记制度进行现代化改革，将出生与死亡登记从以纸质记录与分散存档为主的模式转向全流程数字化。

法案废止了纸质登记册及季度纸质数据上报要求，改为由指定登记机关统一进行电子登记、存档和更新。数据用途被限定为公共服务目的，包括医疗、教育、社会福利、法律事务等。法案明确禁止将该类数据用于商业开发，敏感信息的访问继续实行限定主体、限定用途原则。

数字化登记系统的建立，有助于提高登记效率和准确性，减少人工处理错误，并为跨部门身份核验与公共服务数据联通提供可靠人口基础信息。同时，它为Part 2所构建的数字验证服务体系提供了可信的原始身份数据来源。

本法案对英国数据治理的监管进行了系统性调整，将原以单一专员为核心的监管模式转变为由集体作出决策的委员会模式。Part6设立“信息委员会（Information Commission）”，作为新的数据保护与信息治理监管机构，并规定其在正式接管时，全面承继原信息专员办公室（Information Commissioner’s Office, ICO）的职能、财产、权利和法律责任。为确保制度连续性，法案同时保留并更新了现行的信息专员体系，直至委员会正式履职，保持了监管连续性。

1. 信息委员会的组织与职能（Part 6）

法案规定，信息委员会由3至14名成员组成，且非执行成员人数必须多于执行成员，以实现内部制衡，减少决策集中所带来的风险。委员会成员由国务大臣任命，涵盖法律、信息治理、技术、公共政策等领域经验背景，以加强对人工智能、跨境数据治理和新型数字服务场景的专业应对能力。

信息委员会将接管信息专员办公室的全部监管职责，包括制定合规指导、监督数据处理活动、调查违法行为以及实施行政处罚等。同时，法案明确委员会享有经费管理自主性，以保障其在履职过程中保持机构独立性。

2. 信息专员制度的过渡及运行规则（Part 5）

在调整监管结构的同时，法案对监管权行使方式和程序保障进行了细化。此部分对调查权及控制者义务履行监督机制作出进一步明确。例如，法案为监管机构设立了进行访谈调查（interview powers）的法定程序。具体要求包括，访谈须以正式书面通知启动，通知中必须载明访谈目的、法律依据、可能使用的数据范围及被访谈方的权利；被访谈主体有权对超出合法范围的问题提出异议，并有权核对访谈记录。

这一制度旨在提升执法透明度，避免在调查过程中出现程序不明或执法不对称的情形。同时，监管目标被明确为，保障个人数据得到适当保护，增强公众对数据处理的信任。履职过程中，监管机构应综合考虑促进创新、维护公平竞争、保障公共安全及保护儿童等因素，实现数据权益保护与科技发展之间的平衡。

3. 监督与救济

信息委员会作为独立监管公共机构，依法受议会监督，重要工作事项和年度执行报告需提交议会审查。对于监管决定，被监管主体可向数据保护上诉法庭提出申诉，维持既有救济渠道不变。内部治理结构和决策程序由委员会依章程进一步细化，以确保内部决策的规范性和可审查性。