英国：数据被泄露可获精神赔偿

胡裕岭

随着大数据、云计算技术的迅猛发展，人类已然进入了数据信息时代。新时代下，数据信息正成为政府、企业以及公民所掌握的重要资源和自由空间的载体，也同时成了网络黑客攻击的主要目标。网络信息搜集、通讯自由与数据安全问题一直存在着尖锐的矛盾。如何平衡这一矛盾，已成为困扰当今互联网技术发展与现代法治进程的世界性难题。

对此，英国政府进行了一系列卓有成效的法治尝试。尤其是启动“脱欧”程序以来，英国在数据保护方面的立法似乎要比欧盟更进一步。据英国《每日邮报》2017年10月22日的报道，根据一份新立法法案，数据泄露的受害者最高可获得6000英镑的经济赔偿。

数据法案出台背景

此次英国数字文化媒体和体育部公布的《数据保护法法案》，既有启动脱欧程序的立法需求，也有公民数据泄露现象严重的现实困境。依据《里斯本条约》第50条，英国正式启动“脱欧”程序。这个过程将是十分漫长而纷繁复杂的，需要办理各类法律文件的转接手续，英国政府预测最少需要两年，最长可能七年。届时，欧盟法原则上将不再适用于英国，英国议会也将索回期盼已久的立法主权，英国最高法院将“脱离”欧盟法院，重获最终审判权。

尽管欧盟法不再适用于英国，但英国当下尚未摆脱欧盟法的影响，其至少需要一个法律上的过渡和交接，以避免出现旧的英国法律脱离现实，新的欧盟法不再适用的“真空状态”。那么有多少欧盟法律条款能够被英国法律所直接吸收、改造发展或是直接废弃，将由英国政府自行决定。几乎就在英国启动脱欧程序的同时，欧盟宣布其制定的《通用数据保护条例》将在2018年5月25日正式生效。这是继1995年《个人数据保护指令》颁布后数据立法的全面制度变革，堪称世界范围数据保护立法的新标杆。除了制定统一的法律规则和数据主体权利外，该条例的最大亮点在于建立起了严格的数据控制者、处理者的问责机制和严苛的罚金制度。欧盟成员国将在2018年5月实施这一数据保护条例。对此，英国政府在2017年8月24日提出，在脱欧后将与欧盟保持“强大的未来数据关系”。英国议会需要制定新的数据保护法案来使欧盟《通用数据保护条例》能够在英国落地。

除了“脱欧”影响外，新的《数据保护法法案》也是推动英国数字经济发展和应对国内公民对数据泄露现象严重不满的需求。英国数字文化媒体和体育部在法案报告中指出，根据波士顿咨询公司的统计数据，英国是G20国家中互联网经济渗透率最高的国家。互联网经济在2016年的英国GDP中比重高达12.4%。然而，据国际电邮管理公司MIMECAST的调查，英国超过20%的网络公司并没有专门的数据保护预算。这意味着相当数量的英国公司并没有对其客户的数据资料进行有效监控。

现实中的客户数据泄露也是令人触目惊心的。据网景新闻2017年10月11日报道称，美国艾可飞通讯公司的消费者数据库受到未知黑客攻击，多达1500多万英国公民的通讯资料、银行账户信息等存在泄露风险。事发一个月后，该公司未能将这些风险及时告知英国消费者。对此，英国议会财政委员会要求美国艾可飞公司说明理由，并考虑该公司是否违反了英国相关法令以及监管者是否有权强迫该公司向消费者赔偿。据英国信息专员办公室称，他们正在向艾可飞公司施压，并开展相关调查。假如艾可飞公司的数据泄露属实，他们将面临最高50万英镑的罚款。而一旦新的《数据保护法法案》获得通过，那么这些数据控制、处理公司很可能因为没有采取合理措施导致消费者数据泄露而“一夜破产”。

数据保护立法历程

英国是数据保护立法起步较早的国家。几乎与互联网诞生同时，早在20世纪60年代，英国国内已经开始出现设立互联网和个人隐私保护立法的呼声。但相对于欧洲大陆成文法国家，以判例法为主要形式的英国对个人隐私权的保护一直采取一种比较保守的态度，侵害隐私的案件常常被纳入其他侵权行为的范畴，如侵害名誉等。直至1972 年、1978 年英国立法委员会分别通过了著名的《委员会隐私状况报告》和《委员会个人数据保护状况报告》。这两份报告对于通过计算机处理个人信息所带来隐私泄露的危险做出了详细分析，并第一次提出了“个人数据保护所应当采纳”的基本原則，这些原则后来成了今天英国个人数据保护立法的基础。

加入欧共体之后，英国数据立法开始受到欧洲大陆的影响。1980 年的欧洲经济合作组织《关于隐私个人保护和与个人资料跨国流通的指针的建议》和 1981 年欧洲理事会《关于个人资料自动化处理个人保护公约》，得到英国政府的承认。受此影响，1984年英国议会通过了英国历史上第一部《数据保护法令（Data Protection Bill）》，对个人数据资料的保护做出了相对全面的规定，第一次明确了个人数据的定义，即“个人数据是由有关一个活着的人的信息组成的数据，对于这个人，可以通过该信息（或者通过数据用户拥有的该信息的其他信息）识别出来，该信息包括对有关该个人的评价，也包括个人数据处理者或其他人对该个人表示的意图”。此定义，一直沿用至今。

之后由于欧盟1995年通过的《欧盟数据保护指令》要求，各成员国必须按照该指令修改本国法律。英国政府于1998年出台了新的《数据保护法（Data Protection Act）》，并于2000 年3月1日起生效。新的数据保护法沿用了1984年《数据保护法令》的结构篇章，针对欧盟要求和新的互联网发展环境，制定了更为细致的规定，确立了数据保护原则。如政府采集与公民自身或企业有关的信息，必须遵守资料保护的法律与相关程序；应当维护资料的安全，确保信息收集行为的合法性、收集目的的正当性、收集过程的科学性、信息内容的正确性、数据的完整性和准确性；公民拥有获得与自身相关的全部信息、数据的合法权利；并允许公民修正个人资料中的错误内容。直至今日，《数据保护法》已施行17年。

2017年3月13日，英国议会通过“脱欧”法案。同时，欧盟提出了数十个倡议和规则推动数字单一市场。如前所述，新的《数据保护条例》将于2018年5月取代被认为已经过时的1995年《个人数据保护指令》。根据英国的立法体系，该法案目前还是一项新的立法草案，但在2018年议会两院通过并经女王御准后将取代实施了近20年的《数据保护法》和一系列先前加入的欧盟网络数据相关法令条约。新的《数据保护法法案》旨在营造一个最好的、最安全的在线生活和商业环境，以维持可信、推动贸易发展和确保安全。除了部分原则与欧盟《数据保护条例》相一致外，还在其他方面加强。如特定情况下，个人可要求社交平台删除其曾发布的所有信息，并设定了专门的刑事司法数据保护框架等。

精神赔偿是否必要

值得关注的是，新的《数据保护法法案》不仅是英国“脱欧”和响应《数据保护条例》的要求，也是应对大数据时代个人数据保护和推动数字经济发展的重要变革。其中最引人注目的是，近日在法案的辩论中，有提案要求对数据泄露者施以巨额罚款，甚至是给予每个消费者精神赔偿。精神赔偿是否有必要，在英国国内引发不同的见解。英国消费者权益组织声称消费者数据泄露现象十分严重，对此持支持态度。并依据一项调查结果指出，有10%的被调查者认为自己的个人数据被泄露了，高达73%的被调查者认为自己在网上分享的数据存在泄露的风险。但消费者权益组织同时也指出了《数据保护法法案》的不足，甚至表达不满，并呼吁继续增加法案修订案。对于消费者来说，如何提起诉讼程序是十分困难的。他们期望政府修改法案允许包括自己在内的第三方机构能够代表消费者在数据泄露后寻求集体救济。

对此，有法律专家指出，该措施大大增加了企业的法律风险。一方面，法律生效期过短，众多企业很可能面临“一夜破产”。维护数据安全需要大量的经济投入，短时间内，企业无法做出有效而完备的调整。一旦遭到入侵，特别是经济效益不好难以加大数据保护投入的中小企业，将雪上加霜，甚至直面破产。另一方面，互联网技术的革新发展非常迅速，如何应对专业的黑客攻击，如何证明企业尽到了数据保护责任，如何界定数据入侵的“敏感度”而衡量精神或心理伤害的数额，将是法案实施的重要难题。

编辑：黄灵 yeshzhwu@foxmail.comendprint