anonym.legal

By · Last updated 2026-06-05

Quay lại BlogGDPR & Tuân Thủ

UK GDPR Sau Brexit: Sự Khác Biệt Kỹ Thuật

Đạo luật DPDI 2025 tạo ra 14 điểm khác biệt so với EU GDPR. Quyết định tương đương EU-UK đang được xem xét lại năm 2026. Phán quyết phạt £1,2 triệu với LastPass xác lập mã hóa là yêu cầu pháp lý.

June 5, 202610 phút đọc
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

Đạo luật Bảo vệ Dữ liệu và Thông tin Kỹ thuật số (DPDI) 2025 của Anh tạo ra 14 điểm khác biệt đáng kể so với EU GDPR — tạo nên sự phân kỳ pháp lý thực chất đầu tiên giữa khung bảo vệ dữ liệu EU và Anh kể từ Brexit. Quyết định tương đương EU-UK, ban đầu có hiệu lực đến tháng 6 năm 2025 và được gia hạn trong khi chờ xem xét, đang phải đối mặt với sự giám sát ngày càng tăng từ các chuyên gia thực hành GDPR và Ủy ban Châu Âu.

Phán Quyết Phạt LastPass: Chuẩn Mực Kỹ Thuật của UK GDPR

Khoản phạt £1,2 triệu của ICO đối với LastPass UK vào tháng 12 năm 2025 là vụ thực thi bảo mật kỹ thuật quan trọng nhất của Anh. ICO phát hiện:

Mã hóa không đầy đủ: LastPass lưu trữ kho mật khẩu chính của khách hàng với mã hóa lỗi thời mà ICO cho là "không đầy đủ" theo Điều 32 UK GDPR. Cụ thể, ICO phát hiện rằng một số lần lặp kho dùng PBKDF2-SHA256 chỉ với 1 lần lặp — thấp hơn rất nhiều so với khuyến nghị tối thiểu 600.000 lần lặp của UK NCSC cho các khóa dẫn xuất từ mật khẩu.

Tiêu chuẩn pháp lý được thiết lập: Điều 32 UK GDPR yêu cầu "các biện pháp kỹ thuật phù hợp" phản ánh "tình trạng kỹ thuật hiện tại." ICO phát hiện rằng "tình trạng kỹ thuật hiện tại" cho việc dẫn xuất khóa mã hóa năm 2022 (khi vi phạm xảy ra) đòi hỏi nhiều hơn những gì LastPass cung cấp. Điều này xác lập rằng các tiêu chuẩn bảo mật phát triển theo thời gian — những gì có thể chấp nhận vào năm 2015 có thể không chấp nhận được vào năm 2022.

Hàm ý trực tiếp cho các công cụ mã hóa: Các tổ chức sử dụng công cụ xử lý dữ liệu phải xác minh rằng các triển khai mã hóa của công cụ đó đáp ứng các tiêu chuẩn "tình trạng kỹ thuật hiện tại," không chỉ các tiêu chuẩn tối thiểu cơ bản. Việc ICO thực thi phán quyết LastPass làm cho chất lượng mã hóa của nhà cung cấp trở thành yêu cầu tuân thủ có thể kiểm tra trực tiếp.

Đạo Luật DPDI 2025: Những Điểm Khác Biệt Chính So Với EU GDPR

Đạo luật DPDI tạo ra 14 điểm khác biệt đã được xác định so với EU GDPR. Những điểm quan trọng nhất về mặt hoạt động:

1. Cải cách lợi ích hợp pháp: Đạo luật DPDI tạo ra danh sách các "lợi ích hợp pháp được công nhận" không yêu cầu bài kiểm tra cân bằng của EU GDPR so với lợi ích của chủ thể dữ liệu. Điều này làm cho lợi ích hợp pháp trở thành cơ sở pháp lý dễ tiếp cận hơn cho các tổ chức Anh — giảm yêu cầu đồng ý cho một số xử lý thương mại.

2. Nghiên cứu, thống kê và lưu trữ: Đạo luật DPDI mở rộng đáng kể ngoại lệ nghiên cứu, cho phép sử dụng thứ cấp rộng hơn đối với dữ liệu cá nhân cho mục đích nghiên cứu mà không cần các yêu cầu đồng ý rõ ràng mà EU GDPR áp đặt.

3. Quyết định tự động: Quy định thay thế Điều 22 GDPR (quyền về quyết định tự động) của Đạo luật DPDI linh hoạt hơn cho các quyết định tự động thương mại. Yêu cầu về việc xem xét của con người có ý nghĩa được nới lỏng đối với một số danh mục xử lý tự động.

4. Lưu trữ hồ sơ: Đạo luật DPDI bãi bỏ yêu cầu ROPA bắt buộc (hồ sơ hoạt động xử lý) cho các tổ chức nhỏ (dưới 250 nhân viên) không có xử lý "có hệ thống." EU GDPR yêu cầu ROPA cho tất cả các tổ chức có xử lý không phải ngẫu nhiên.

5. Đồng ý cookie: Đạo luật DPDI bao gồm các quy định về "các phương án thay thế không dùng cookie" và giảm yêu cầu đồng ý đối với cookie phân tích — được thiết kế cụ thể để giảm gánh nặng của bảng đồng ý cookie. Các yêu cầu ePrivacy của EU GDPR (được thực thi song song) vẫn yêu cầu đồng ý đối với cookie theo dõi.

6. Chuyển giao quốc tế: Đạo luật DPDI trao cho Bộ trưởng Nhà nước Anh quyền hạn rộng hơn để cấp quyết định tương đương — có khả năng cho phép Anh cấp tương đương cho các quốc gia mà EU chưa cấp, tạo ra các khung chuyển giao khác biệt.

Rủi Ro Tương Đương: Điều Gì Có Thể Kích Hoạt Xem Xét Của EU

Xem xét tương đương của Ủy ban EU đối với Anh sẽ đánh giá liệu UK GDPR (như được sửa đổi bởi Đạo luật DPDI) có cung cấp sự bảo vệ "về cơ bản tương đương" với EU GDPR hay không:

Các lĩnh vực được giám sát EU xác định là đáng lo ngại:

  • Việc mở rộng lợi ích hợp pháp của Đạo luật DPDI có thể tạo ra các khoảng trống mà EU cho là không đầy đủ
  • Luật giám sát của Anh (Đạo luật Quyền hạn Điều tra 2016) vẫn không tương thích với các tiêu chuẩn GDPR theo tiền lệ của CJEU trong các vụ liên quan
  • Các thỏa thuận chia sẻ dữ liệu Anh-Mỹ theo CLOUD Act tạo ra khả năng dữ liệu EU tiếp xúc với quyền truy cập thực thi pháp luật của Mỹ

Nếu quyết định tương đương bị đình chỉ hoặc thu hồi: Hơn 10.000 thỏa thuận Điều khoản Hợp đồng Tiêu chuẩn Anh-EU sẽ cần được kích hoạt ngay lập tức. Các tổ chức hiện chỉ dựa vào quyết định tương đương cho các chuyển giao Anh-EU sẽ phải đối mặt với khoảng trống tuân thủ.

Duy Trì Tuân Thủ Kép EU + UK GDPR

Đối với các tổ chức phải tuân theo cả EU GDPR lẫn UK GDPR, cách tiếp cận thực tế:

Dùng tiêu chuẩn nghiêm ngặt hơn làm đường cơ sở: Điều 32 EU GDPR, bài kiểm tra cân bằng lợi ích hợp pháp của GDPR và các yêu cầu về quyết định tự động của GDPR nghiêm ngặt hơn so với các tương đương trong Đạo luật DPDI. Các tổ chức đáp ứng tiêu chuẩn EU GDPR tự động đáp ứng tiêu chuẩn UK GDPR (với một số bổ sung đặc thù của Anh nhỏ).

Lập hồ sơ cả hai cơ sở pháp lý: Đối với xử lý theo lợi ích hợp pháp, hãy lập hồ sơ cả bài kiểm tra cân bằng EU GDPR lẫn việc xử lý có thể rơi vào các lợi ích hợp pháp được công nhận của Đạo luật DPDI Anh. Tài liệu kép bảo vệ chống lại sự phân kỳ.

Theo dõi tình trạng quyết định tương đương: Kết quả xem xét tương đương năm 2026 sẽ xác định liệu có cần các cơ chế chuyển giao riêng biệt cho các chuyển giao Anh-EU hay không. Các tổ chức nên duy trì SCCs như một cơ chế dự phòng ngay cả khi hiện đang dựa vào quyết định tương đương.

Mã hóa theo tình trạng kỹ thuật hiện tại: Phán quyết thực thi LastPass của ICO làm cho các tiêu chuẩn mã hóa của nhà cung cấp trở thành mối quan tâm tuân thủ tích cực. Xác minh rằng các công cụ PII, kho dữ liệu và triển khai quản lý khóa sử dụng các thông số được khuyến nghị hiện tại (AES-256-GCM, argon2id để dẫn xuất khóa với các thông số được khuyến nghị hiện tại).

Sự phân kỳ GDPR hậu Brexit của Anh đại diện cho sự phá vỡ đáng kể đầu tiên của các tiêu chuẩn bảo vệ dữ liệu của EU. Đối với các tổ chức hoạt động trên cả hai khu vực tài phán, tư thế an toàn nhất là thiết kế theo các yêu cầu nghiêm ngặt nhất có thể áp dụng — vẫn là các tiêu chuẩn kỹ thuật cốt lõi của EU GDPR.

Nguồn tham khảo:

Các Bài viết Liên quan

GDPR & Tuân Thủ

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Tuân Thủ

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Tuân Thủ

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Sẵn sàng bảo vệ dữ liệu của bạn?

Bắt đầu ẩn danh PII với 285+ loại thực thể trên 48 ngôn ngữ.

Bắt đầu Dùng Thử Miễn PhíXem Tính Năng

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.