英国即将通过《数据使用与访问法》（简称“DUA法案”）重塑数据保护格局。作为自欧盟《一般数据保护条例》（GDPR）生效以来英国数据法领域最重大的改革之一，该法案彰显了英国在脱欧后主张监管独立性、同时促进创新和减轻合规负担的雄心。

该法案于2023年被提出，在议会审议过程中因人工智能条款引发了诸多争议。总体而言，改革旨在简化数据保护要求、增强数据使用灵活性并鼓励创新，尤其惠及中小企业（SMEs）。对众多企业而言，这项新立法既是重新评估数据合规框架的机遇，也是一项必然要求。

经历漫长而争议不断的立法程序后，DUA法案已获得皇家御准成为法律，未来数月将随着具体法规的陆续通过逐步生效。

‌DUA法案的主要内容‌

更新英国GDPR及《2018年数据保护法案》条款‌：修订内容是对已废弃的《数据保护与数字信息法案》原始提案的精简版本。

‌国务大臣扩权‌：信息专员办公室（ICO）将接受国务大臣更严格的监督，可能导致执法重点转移。

‌扩大合法利益适用范围‌：法案拓展了企业可依赖合法利益（而非明确同意）的场景，大幅简化反欺诈等活动的合规流程。

数据传输灵活性‌：新建“数据桥”机制促进国际数据传输，提升全球业务敏捷性。

科学研究的法定新定义‌：明确英国GDPR各项条款的适用规则。

Cookie改革‌：修订《隐私与电子通信条例》（PECR），免除分析类与用户体验类Cookie的同意要求。

设立“智能数据”计划‌：建立类似欧盟《数据法》和《数据治理法》的框架，推行“开放银行”式数据共享安排框架，涵盖消费者和企业数据（但非完全对标欧盟条款）。

减轻中小企业行政负担‌：中小企业和特定处理者可豁免繁复的记录保存要求，释放运营资源。

人工智能与版权争议‌：英国政府与上议院就该法案是否纳入人工智能运营商版权合规条款争执不断。最终上议院让步放弃2025年1月提出的人工智能和版权修正案，使‌DUA法案在没有这些修正案的情况下获得通过。作为妥协，政府承诺在法案御准后9个月内发布报告，提出“通过透明度、执法和报酬为版权所有人提供尽可能多保护”的方案。

‌受影响主体‌

所有处理数据（含个人与非个人数据）的企业及组织应主动根据这些改革评估合规计划和政策。总体而言，修正案为管理者提供了更大灵活性而非新增合规负担。

‌后续进程‌

尽管DUA法案承诺提升操作便利性，但企业仍需谨慎应对过渡期。由于多数英国企业同时在欧盟运营，仍需遵守更严格的欧盟标准，英国政府预期的“监管负担减轻”效果可能有限。（编译自www.jdsupra.com）

翻译：吴娴　校对：王丹