脱欧后的英国GDPR:有哪些变化
英国《2025年数据保护与数字信息法》(DPDI)对欧盟GDPR规则作出14项调整,这是自脱欧以来欧英隐私法律之间出现的首次实质性分歧。欧英充分性认定协议正处于审查之中,其结果将影响到每一家在欧英两地之间传输个人数据的企业。
LastPass罚款案:新的技术标准
2025年12月,ICO对LastPass UK处以£120万的罚款,创下英国技术安全领域迄今最高罚款纪录。
ICO认定了两项核心违规行为。
**加密强度不足:**LastPass使用过时的加密方案存储用户密码库。ICO认定这违反了英国GDPR第32条关于「充分性」的要求。部分密码库仅使用PBKDF2-SHA256算法,迭代次数低至1次,而英国国家网络安全中心(NCSC)要求密钥至少迭代60万次。
**法律要求的新含义:**英国GDPR第32条要求采用与「技术现状」相匹配的「适当技术措施」。ICO认定,2022年的密钥派生标准远不止于LastPass所提供的水平。2015年认为合格的标准,到2022年已不再成立。
这一裁决意味着:供应商加密能力已成为可审计的合规事项。您必须确认所使用的工具采用了当前参数,而非沿用过时基线。有关我们如何应对这一要求,请参阅安全合规概览。
DPDI法案2025:六项核心变化
该法案对英国数据法律作出14项调整,其中六项对日常业务产生直接影响。
**一、正当利益。**法案列出了「已认可的正当利益」清单,无需进行欧盟法律仍要求的利益平衡测试,使这一合法依据对英国企业更易使用。
**二、研究与统计。**法案扩大了研究豁免范围,二次使用个人数据开展研究所需的同意条件少于欧盟法律要求。
**三、自动化决策。**法案以新规则取代欧盟第22条,规定更为宽松——部分自动化决策不再需要有意义的人工审查。
**四、记录保存。**法案免除了250人以下且无「系统性」处理活动的企业维护处理活动记录(ROPA)的强制要求。欧盟规则要求所有处理活动非偶发的企业均须维护ROPA。
**五、Cookie同意。**法案放宽了分析类Cookie的同意要求,支持「无Cookie」方案。欧盟《电子隐私指令》仍要求对追踪类Cookie获取同意。
**六、国际数据传输。**英国国务大臣获得更广泛的充分性认定授权,英国可能批准欧盟尚未认可的国家,导致双方传输框架进一步分歧。
充分性认定风险
欧盟委员会将审查英国法律是否提供与欧盟规则「实质等效」的保护。
欧盟监管机构关注以下三个领域。
DPDI法案扩大的正当利益范围可能存在欧盟委员会认为不充分的漏洞。英国《2016年调查权力法》仍引发与欧盟法院判例法相关的担忧。英国与美国在《云法案》框架下达成的协议可能使欧盟数据受美国执法部门管辖。
如果充分性认定被暂停,逾1万份英欧标准合同条款(SCC)须立即启用。仅依赖充分性认定处理英欧数据传输的企业将面临立即陷入合规空白的风险。请通过我们的合规指南评估自身风险敞口。
同时遵守两套制度
对于同时受欧英两套法律约束的企业,应对路径清晰。
**采用更严格标准。**欧盟第32条、欧盟正当利益测试及欧盟自动化决策规则均严于英国法案的对应规定。满足欧盟要求,即满足英国要求,外加少量英国特有要求。
**双重记录合法依据。**对于正当利益,须同时记录欧盟利益平衡测试结果,以及证明处理活动符合英国已认可类别的证据。双重记录可在规则进一步分歧时为您提供保障。
**备好SCC。**2026年充分性审查结果将决定您是否需要独立的数据传输工具。即便当前使用充分性认定,也请将标准合同条款保持激活状态作为备用方案。
**核查供应商加密能力。**LastPass案例使供应商加密成为活跃的合规事项。请确认处理个人数据的工具使用了当前参数:静态数据采用AES-256-GCM加密,密钥派生使用argon2id或当前迭代次数要求的PBKDF2。常见审计问题请参阅我们的FAQ。
英国与欧盟的分歧是欧洲隐私模式的首次实质性断裂。对于在两个地区同时运营的企业而言,最稳妥的做法是按照更高标准进行系统设计——而这仍是欧盟框架。
anonym.legal在位于欧盟的Hetzner数据中心处理文件,采用零知识架构设计,服务器端永远无法获取明文内容。即便服务器遭到全面入侵,攻击者得到的也只是AES-256-GCM密文。如需本地处理方案,桌面应用程序可在您的设备上运行,无需任何外部连接。
参考来源
- ICO:英国信息专员办公室 — 已验证外部链接
- ICO:执法行动 — 已验证外部链接
- 英国政府:DPDI法案2025年分析 — 已验证外部链接