当英国于2021年1月正式脱离欧盟数据保护法时,许多组织认为过渡只是行政手续。重新命名GDPR、任命本地代表、更新隐私声明。但随之而来的要求更为严格。在法律实施后的几年里,信息专员办公室(ICO)开出了约6500万英镑的GDPR相关罚款。Capita在2025年10月收到了一笔1400万英镑的单笔罚款。ICO于2024年3月发布了更新的罚款指引,使从违规到最高罚款的路径更加系统化。2025年6月19日,《数据(使用和访问)法案》获得御准,对英国脱欧以来的数据保护法进行了最重大的修订:新的合法权益类别、改革的cookie同意规则、更新的自动化决策条款以及加强的投诉处理义务。
虽然英国GDPR与欧盟版本非常相似,但它是一个独立的监管框架,拥有自己的监管机构、传输机制和不断演进的改革议程。对于任何处理英国居民个人数据的组织,无论总部设在伦敦还是洛杉矶,了解英国GDPR的实际要求、适用对象以及实践中不合规的成本,不再是可选的背景阅读。本指南提供了这一基础。
英国GDPR适用于谁?
英国GDPR适用于任何处理英国居民个人数据的组织,无论该组织总部位于何处。拥有英国客户的美国软件公司必须遵守。处理英国居民数据的欧盟企业必须遵守。该法规适用于数据控制者(决定处理目的和方式的一方)和数据处理者(代表控制者处理数据的一方)。两者都承担不同的义务,都可能被罚款。
领土范围由两个条件确认:处理活动是在英国机构的背景下进行的,或者处理涉及向英国数据主体提供商品或服务,或监控他们在英国的行为。总部位于英国境外但满足任一条件的组织必须任命英国代表,除非符合豁免条件。自2021年以来,ICO一直对非英国实体进行执法,包括对Clearview AI处以750万英镑的罚款,以及对多家在英国市场运营但没有合规基础设施的美国数据经纪商采取监管行动。
英国GDPR的七项核心原则
英国GDPR第5条规定了管理所有个人数据处理的七项原则。这些不是理想化的指导方针。违反基本原则将面临最高级别的行政罚款:最高1750万英镑或全球年营业额的4%,以较高者为准。组织进行的每项数据处理活动都必须符合以下七项原则。
| 原则 | 要求内容 | 业务风险 |
|---|---|---|
| 合法性、公平性和透明度 | 明确的处理法律依据;禁止欺骗性数据实践 | 1750万英镑 / 全球营业额4% |
| 目的限制 | 数据仅用于特定、明确、合法的目的 | ICO执行通知 + 罚款 |
| 数据最小化 | 仅收集充分、相关和必要的数据 | 训诫 + 合规命令 |
| 准确性 | 保持个人数据最新;及时删除或更正 | 赔偿索赔 + 罚款 |
| 存储限制 | 保留数据的时间不超过必要期限 | ICO审计 + 执法 |
| 完整性和保密性 | 需要技术和组织安全措施 | 最高1750万英镑(Capita:1400万英镑) |
| 问责制 | 证明合规;维护ROPA | 审计失败 = 立即罚款 |
问责制原则尤其值得关注,因为它是执行所有其他原则的机制。英国GDPR下的问责制不是被动的:组织必须主动证明合规性,维护处理活动记录(ROPA),对高风险处理进行数据保护影响评估(DPIA),并在需要时任命数据保护官(DPO)。ICO可以随时要求提供这些活动的证据,未能提供本身就构成违规。
处理的合法依据
每项处理活动都需要合法依据。英国GDPR提供六种:同意、合同、法律义务、重要利益、公共任务和合法权益。合法依据的选择不可互换,必须在处理开始前确定。事后切换合法依据是不允许的。
英国GDPR下的同意必须是自由给予的、具体的、知情的和明确的。预先勾选的方框、捆绑同意以及作为服务条件获得的同意都不符合标准。撤回同意必须与给予同意一样容易。2025年《数据(使用和访问)法案》更新了cookie同意规则,引入了五种不需要同意的例外情况,包括用户请求服务严格必需的cookie、统计目的和紧急援助。但是,广告、超出这些例外的分析以及个性化cookie仍需要明确的选择加入同意。
合法权益经常被误用。它需要三部分评估:确定合法权益、证明处理对该权益是必要的,以及将其与数据主体的权利进行平衡。DUAA 2025引入了认可合法权益清单,其中平衡测试被视为已满足,包括欺诈预防、网络安全和对现有客户的直接营销。在这些类别之外,必须有书面的平衡测试。
英国GDPR下的个人权利
英国GDPR赋予数据主体八项可执行权利。组织必须在一个月内回应请求,对于复杂请求可延长两个月。未能回应本身就是违规行为,可能引发ICO投诉和执法行动。
访问权(DSAR):个人可以要求获得关于他们的所有个人数据。在大多数情况下,组织必须免费提供副本。DUAA 2025编纂了"暂停计时"原则:当向数据主体请求澄清时,回应时限暂停。
删除权:也称为"被遗忘权",允许个人在特定情况下要求删除个人数据,包括撤回同意或数据不再必要的情况。
可携带权:当处理基于同意或合同时,个人可以要求以机器可读格式获取个人数据以转移给另一控制者。
反对权:个人可以反对基于合法权益的处理或用于直接营销。对直接营销的反对必须立即得到尊重。
与自动化决策相关的权利:DUAA 2025引入了新规则,允许基于合法权益对非敏感数据进行基于AI的自动化决策,并提供包括人工干预权在内的保障措施。
数据泄露通知要求
英国GDPR规定了严格的泄露报告义务。当个人数据泄露对个人的权利和自由构成风险时,必须在组织意识到泄露后72小时内通知ICO。当泄露可能对个人造成高风险时,还必须及时通知受影响的数据主体。
72小时计时从组织意识到泄露时开始,而不是泄露完全调查完毕时。因此,组织必须具备能够满足此时限的事件检测、升级和报告基础设施。导致2025年10月1400万英镑罚款的Capita泄露事件既涉及不充分的安全措施,也涉及延迟的事件响应:ICO明确将这种组合列为罚款计算中的加重因素。
国际数据传输
将个人数据传输到英国境外需要适当的保障措施。英国拥有自己的充分性框架,并已发布涵盖欧洲经济区、欧盟成员国和若干第三国的充分性决定。对于传输到其他目的地,组织必须使用国际数据传输协议(IDTA)、欧盟标准合同条款的英国附录或有约束力的公司规则。2023年建立的英国-美国数据桥为传输到参与的美国组织提供了机制。组织不应假设欧盟GDPR传输机制自动满足英国GDPR要求:这些框架是分开的,适用ICO指引。
在实际实施中,处理国际同意同步并记录合法传输机制的同意管理平台(CMP)提供了关键的合规层,确保在英国记录的数据主体同意在非充分性国家的处理者进行的下游处理中得到适当体现。
英国GDPR不合规的真实成本
ICO在2019年至2025年9月期间开出了16笔英国GDPR罚款,总计约6500万英镑。下表总结了最重大的罚款以及触发这些罚款的违规行为。
| 组织 | 罚款 | 年份 | 违规行为 |
|---|---|---|---|
| Capita plc + Capita Pension Solutions | 1400万英镑 | 2025年10月 | 勒索软件泄露;660万数据主体 |
| Advanced Computer Software Group | 307万英镑 | 2025年 | 勒索软件漏洞;NHS数据 |
| 英国航空 | 2000万英镑 | 2020年 | 数据泄露;影响40万客户 |
| Clearview AI | 750万英镑 | 2022年 | 非法从互联网抓取生物识别数据 |
财务罚款仅代表真实成本的一部分。非财务执法措施,包括处理禁令、合规命令和数据流暂停,对运营的干扰可能比罚款更严重。公开ICO执法通知造成的声誉损害导致客户流失、合作伙伴关系恶化和企业合同损失。Ponemon研究所的研究一致发现,数据泄露的总成本,包括检测、通知、监管响应和业务中断,超过监管罚款的三到五倍。
2026年英国GDPR合规基础设施的面貌
2026年有效的英国GDPR合规不仅需要隐私政策和cookie横幅。它需要书面流程、技术控制和持续的运营能力。ICO的2025年在线跟踪策略特别加强了对同意实施的审查,重点关注同意记录是否真正能够在个人层面证明有效同意。
在有效同意之前阻止非必要cookie、维护精细的带时间戳同意记录并在网络和应用环境中同步偏好的同意管理平台(CMP),现在是任何在线收集个人数据的英国组织的基准基础设施。ICO自2025年1月以来一直与IAB Tech Lab就数据删除请求框架进行合作,强化同意撤回必须级联到广告技术生态系统中的第三方,而不仅仅是第一方控制者。
除了同意,组织还必须维护涵盖所有处理活动的最新ROPA,在需要时任命DPO,对高风险项目进行DPIA,培训员工了解数据保护义务,并实施包括加密、访问控制和泄露检测能力在内的技术控制。2025年网络安全泄露调查发现,43%的英国企业在过去12个月内经历过泄露或攻击,相当于约61.2万个组织需要进行泄露通知评估。
于2026年2月5日全面生效的2025年《数据(使用和访问)法案》代表了英国脱欧以来数据保护法最重大的更新。尚未根据DUAA 2025变化审查其合规计划的组织,特别是在合法权益、cookie同意例外、自动化决策和投诉处理义务方面,应将此作为紧急优先事项。ICO于2024年3月发布的更新罚款指引使从违规到最高罚款的路径更加系统化,整个2025年的执法记录表明,该机构愿意在各行业施加巨额罚款。
最有效应对英国GDPR的组织是那些将数据保护视为运营基础设施而非法律负担的组织。对于英国居民数据主体,遵守英国GDPR不是可选的;这是在一个拥有6700万人口且其数据权利得到积极执行的市场中开展业务的代价。实施强大的同意管理基础设施、维护全面的文档记录以及建立泄露响应能力不是合规成本;它们是可持续数据运营的基础。
如需进一步了解同意技术和合规框架,请参阅《营销合规技术:品牌如何大规模应对GDPR、隐私法规和品牌安全》和《同意管理平台:GDPR、CCPA合规与消费者选择技术》。
