11月25日,欧盟成员国领导人在布鲁塞尔举行的欧盟特别峰会上,正式通过此前与英国达成的“脱欧”协议。英国脱欧的帷幕正式拉开,这为与英国有频繁贸易往来的其他欧盟国的企业引入了诸多不确定因素。由于GDPR(《通用数据保护条例》)的主要实施地区即欧盟国家,而英国在此之前已经引入了GDPR,加之数据保护在最近一年中一直是人们的关注重点,英国脱欧对GDPR的实施影响也成为了焦点。

简单来看,从英国本国角度出发,脱欧并不影响境内公司遵守GDPR。GDPR在英国的DPA法律中推行,在英国脱欧后,它将继续实施。区别在于,英国只需要把欧盟推行的管理条例转变为本国管理条例即可。目前看来,完成这一过程并不困难。

而综合观察,则需要具体问题具体分析。如果脱欧后,英国企业将数据输出至欧盟成员国,或者需要求欧盟国家接收数据,这就涉及数据转移——恰好是监管机构最关注的领域。输出至欧盟国家的数据无论来源都将自动成为GDPR的管辖对象;同时从欧盟国家接收的数据也必须符合GDPR的标准,如果没有具体的法律保障措施,贸然数据数据到“第三方国家”将被定义为违法,英国脱欧后将成为“第三方国家”,极易受到这些规则约束。

第一项保障措施“adequacy”即获取接收第三方国家国的法律数据保护的等效性。目前只有少数几个国家拥有。英国可以申请获得这一等效性,不过申请结果当前难以预测。英国的在公民监督方面的做法(通过2016年《调查权力法案》)及其退出欧盟基本权利宪章(GDPR所依据的)的意愿是申请的主要障碍。虽然信息专员办公室(ICO,英国数据监管机构)希望能够成功申请,但这终究是一项政治决定,所以他们还准备了替代方案——制定英国和欧盟的相关双边协议(形式类似美国和欧盟的隐私护盾公约)。

其他需要再公司层面运作的保障措施包括::具有约束力的公司规则、标准的示范合同条款、行为准则等。对于公司来说,所有措施的实施都很重要。Forcepoint的观点是,企业运转计划宜在GDPR继续实施的框架中制定实施。相关方面需要遵守的条例预估变化不大,尤其是对于需要从其他欧盟成员国接收数据的公司来说,他们更需要足够的法律保障。

同理,云计算相关的服务也会受到影响,只要数据传输涉及欧盟27国家,云服务提供商都需要符合GDPR标准,供应商也迫切需要相关法律保障措施,为其交易提供合规性和法律保护的凭据。

总而言之,英国脱欧对GDPR的实施存在实际影响,但影响的波及面仍旧有赖于后续保障措施的推行进程和落地程度,具体细则的变化需要以英国ICO的说法为准。