2025年6月19日，《数据(使用与访问)法案》(Data (Use and Access) Act 2025, DUAA)获得皇家批准，标志着英国数据保护法自脱欧以来最重大的本土化改革正式落地。这部历经近八个月议会辩论的法案，不仅是英国继《英国通用数据保护条例》(UK GDPR)之后对数据治理框架的首次系统性修订，更成为重塑英国数字监管格局的制度基石。

　　DUAA并非对既有规则的推倒重来，而是一次“精准校准”。它在保留UK GDPR核心保护水平的同时，通过引入“认可的合法利益”处理依据、放宽自动决策限制、调整Cookie规则、强化信息专员办公室(ICO)执法权等一系列变革，回应了业界对合规负担的关切，也为人工智能时代的数字创新开辟了空间。更重要的是，DUAA的影响远超出数据保护法范畴，其辐射效应正深刻重塑在线安全、人工智能治理、网络安全乃至关键基础设施管理等多个领域，推动英国数字监管进入一个“权力强化、协同深化、领域融合”的新格局。

　　本文将从DUAA的核心变革入手，系统分析其对监管权力配置、行业合规实践、跨领域监管协同以及国际数据流动格局的深远影响。

　　一、DUAA的核心变革：从合规义务到监管权力的系统性变化

　　DUAA对英国数字监管格局的重塑，根植于其对数据保护基本规则的多维度调整。这些调整既体现在对组织合规义务的精简，也体现在对监管机构权力的强化。

　　1.1 自动决策规则重构：从“原则禁止”到“原则允许”

　　DUAA最引人注目的变革在于对自动决策(ADM)规则的重新设计。在欧盟GDPR框架下，基于完全自动化处理(即无有意义人工干预)且对个人产生法律或类似重大影响的决策，原则上被禁止，仅适用于合同必要、法律授权或基于明确同意的例外情形。

　　DUAA彻底扭转了这一逻辑。根据新规，涉及非特殊类别个人数据的自动决策将“原则上允许“，前提是组织实施适当保障措施，包括向个人提供决策逻辑信息、允许个人表达观点、获得人工干预权以及质疑决策的权利。在自动决策方面，取消部分不必要限制，适配AI技术在招聘、公共服务等领域的应用需求，同时保留对高风险自动决策的监管约束。但对于涉及特殊类别数据的自动决策仍然严格管控，并明确医疗、遗传等敏感数据的处理边界。

　　这一变革对科技行业意义深远。例如，在招聘预筛选场景中，使用AI系统对候选人进行无人工审核的自动筛选，在欧盟仍属原则禁止，但在英国只要保障措施到位即可合法进行。DUAA对“有意义的人工干预”作出重要澄清：干预必须是实质性的、知情的，审核者必须能够质疑或推翻AI系统的输出。这意味着，仅仅在流程末端设置一个例行盖章的人工角色，不足以使决策脱离“完全自动化”的范畴。

　　1.2 合法利益依据扩容：新增“认可的合法利益”

　　DUAA在UK GDPR第6条既有六项合法处理依据之外，引入了第七项依据——“认可的合法利益”(legitimate interests)。这一新依据的核心创新在于，对于列入法定清单的处理活动，组织无需再进行传统的合法利益评估(Legitimate Interest Assessment，LIA)，即可直接依据此条进行处理。

　　制度设计的深层逻辑在于破解GDPR框架下的"同意疲劳"困境。LIA的模糊性已成为企业创新的制度性摩擦成本。目前清单涵盖的处理活动包括：国家安全、国防、公共安全、犯罪预防与侦查、保护面临伤害风险的个人等。国务大臣有权通过次级立法扩展这一清单。此外，DUAA还以非穷尽列举方式明确了可构成合法利益的典型场景，包括网络与信息安全、集团内部数据共享、直销营销等。对于网络安全运营而言，这一明确尤为有价值——监测网络流量和用户访问日志以防范网络攻击，现已被正式承认为可构成合法利益的活动。

　　1.3 Cookie规则调整：更多场景免于同意

　　DUAA对《隐私与电子通信条例》(PECR)的Cookie规则作出重要修订，允许在无需用户同意的情况下使用某些“低影响”Cookie，前提是：仅用于受众测量和网络分析目的、不跨网站或应用追踪用户、向用户提供清晰信息并提供便捷的退出机制。营销Cookie仍需获得用户同意。

　　这一变革旨在缓解“同意疲劳”对用户体验和网站运营的负面影响，解决了企业长期面临的合规模糊问题，同时保留透明度和用户控制的核心价值。实践中，组织将能够将分析类Cookie的默认开关设为“开启”，但必须确保用户被告知并能够随时退出。

　　1.4 数据主体权利程序的明确化

　　DUAA在数据主体访问请求(DSAR)处理方面引入了多项实用澄清。首先，明确组织只需进行“合理且相称”的检索，而非穷尽式搜索——这一条款在DUAA生效之日(2025年6月19日)即已实施，并追溯至2024年1月1日。其次，引入“暂停计时”机制，允许组织在需要向数据主体进一步核实身份或澄清请求范围时，暂停一个月的响应期限。

　　DUAA创设了数据主体向控制者直接投诉的正式权利，赋予消费者强制企业转移数据的权利，并引入"数据中介"(Data Intermediary)机制——代表数据主体利益促进数据交换的第三方机构。

　　1.5 执法权力的显著强化

　　DUAA对ICO的执法权进行了全面升级。PECR项下的罚款上限从长期不变的50万英镑提升至1750万英镑或全球年营业额的4%(取其高者)，与UK GDPR的罚款标准看齐。这一跃升向市场释放了明确信号：不合规的直销营销、Cookie使用等行为将面临实质性财务风险。

　　此外，DUAA赋予ICO一系列新权力，包括强制证人接受采访、索取技术报告等。这些权力使ICO在面对复杂技术调查(如AI系统数据处理审查)时具备更强的取证能力。

　　二、监管新格局：权力强化、协同深化、领域融合

　　DUAA的生效不仅是规则文本的更新，更触发了监管机构角色、监管协同机制以及监管边界的一系列深层变化。

　　2.1 ICO角色的转型：从“指南发布者”到“强力执法者”

　　在DUAA赋予的强大执法权加持下，ICO迅速展现出“强力执法者”的姿态。

　　在执法力度上，2025年下半年ICO已对多起重大数据泄露案件开出数百万英镑罚单：Capita案800万英镑、Advanced案307万英镑、LastPass案122万英镑、23andMe案231万英镑。这些案件指向的突出问题仍然是安全措施缺失，如缺乏多因素认证、渗透测试不足、漏洞管理缺位。

　　在执法范围上，ICO的触角正延伸至算法治理前沿。2026年2月，ICO宣布对X平台Grok AI系统展开正式调查，重点评估其在处理个人数据及生成有害性化图像方面的合规性。标志着ICO开始介入生成式AI的内容安全层面，数据保护监管正与AI治理深度融合。

　　DUAA生效后，ICO首次动用清盘令(Winding-up Order)关闭Breathe Services Ltd，因其未缴纳17万英镑罚款。这一工具将监管后果从"财务负担"提升至"主体存续"，对违规模式形成精准打击。

　　2.2 跨机构协同监管的常态化

　　DUAA推动ICO与其他监管机构的协作走向“常态”。2025年12月，ICO与金融行为监管局(FCA)联合发布关于定向支持与直销的声明，协调数据保护规则与金融营销规则的交叉地带。同期，ICO与通信办公室(Ofcom)在AI聊天机器人监管上保持密切沟通，确保《在线安全法案》与UK GDPR的一致性适用。

　　在竞争与市场领域，ICO与竞争与市场管理局(CMA)在数字市场竞争制度中亦存在交集。随着CMA依据《数字市场、竞争与消费者法》启动对具有“战略市场地位”企业的调查，数据保护与竞争法的协同将日益紧密，共同约束科技巨头行为。

　　2.3 数据保护与多领域监管的深度融合

　　DUAA的影响呈现溢出数据保护法范畴之势，与在线安全、人工智能、网络安全等领域监管形成交织。

　　在在线安全领域，Ofcom依据《在线安全法案》发布的AI聊天机器人指南，明确援引UK GDPR关于用户数据处理的要求，要求服务提供者评估并降低对用户的伤害风险，尤其是儿童用户。ICO 发布《儿童代码战略：中期影响评估》，针对推荐系统、定向广告、年龄保障等六大高风险领域强化监管，已有8个平台完成合规改进，影响74.7万名英国儿童，与 DUAA 2025的特殊群体数据保护规则形成呼应。

　　在人工智能领域，ICO于2025年发布《人工智能与生物识别战略》，聚焦基础模型、招聘自动决策、执法人脸识别等高风险领域。与DUAA最新自动决策规定呼应，ICO计划于2026年出台AI法定准则，《人工智能(监管)法案》于3月提交议会，确立安全性、透明度、公平性等五大监管原则。

　　在网络安全领域，DUAA对PECR罚款上限的提升，使Cookie合规、直销营销等“传统”数据保护问题与网络安全风险直接挂钩。国家网络安全中心(NCSC)与ICO于2025年联合发布针对零售商的网络事件指南，强调强密码、多因素认证、异常登录监测等“数据安全基础措施”的重要性。

　　2.4 技术措施的法律界定升级

　　DUAA框架下，加密从"安全措施"上升为具有独立法律地位的技术手段。ICO 2025年9月2日发布的最终版加密指南明确：

　　◈加密属于UK GDPR第4(2)条定义的"处理"活动;

　　◈保留解密能力时，加密数据仍属个人数据(非匿名化);

　　◈对称与非对称加密的选择需基于风险考量。

　　三、行业实践的深刻变革

　　DUAA带来的规则变化正在转化为行业实践的深层调整，尤其在高风险领域引发系统性变革。

　　3.1 科技行业：AI部署的合规新框架

　　对于AI开发者与部署者，DUAA的自动决策规则重构意味着更广阔的应用空间，但也带来更严格的保障要求。企业需全面审计AI系统，识别涉及自动决策的流程，确保内置“有意义的人工干预”机制，并为即将出台的ICO法定准则做好准备。在招聘、信贷、保险等行业，AI驱动的决策系统将加速落地，但算法影响评估、公平性测试、透明度披露将成为合规标配。

　　3.2 直销营销：边界重塑与风险升级

　　DUAA对PECR罚款上限的提升，使直销营销合规风险急剧上升。2025年ICO已对多起非法营销案件开出重罚——个体经营者因发送近百万条未经同意营销短信被罚20万英镑，Green Spark Energy因拨打950万次自动营销电话被罚25万英镑。企业需全面审查营销实践，确保同意机制健全、退出通道畅通、数据来源合法。慈善机构虽获“软opting-in”豁免，但仍需确保营销限于“慈善目的”并提供退出选项。

　　3.3 数据安全：投入成为刚需

　　DUAA生效后的罚款案例表明，数据泄露的代价已今非昔比。企业需强化技术防护：多因素认证成为基础门槛，定期渗透测试成为常规动作，漏洞管理必须系统化。ICO在Capita案中明确指出，延迟响应(58小时才回应安全警报)和测试不足(系统仅在投入使用前接受渗透测试)构成违规。数据安全投入已从“可选项”变为“必选项”。

　　3.4 DSAR与投诉处理：程序规范化

　　DUAA对DSAR检索范围的合理限制为企业带来实用缓解，但投诉处理程序的强制化也意味着新的合规负担。组织必须在2026年6月前建立正式投诉处理流程，配备专人响应，确保30日内确认收悉、及时调查并告知结果。对于中小企业，这可能构成资源压力，但也是提升用户信任、降低监管风险的契机。

　　四、国际协同与监管主权平衡

　　2025年7月22日欧盟委员会发布的充分性决定续期草案，确认英国数据保护水平"实质等效"。尽管评估过程中欧洲数据保护委员会(EDPB)的意見指出，DUAA中多项变革(如自动决策规则放松、新增合法利益依据、国际数据传输标准调整)存在潜在风险，但欧盟最终认可其保护"实质"未降。

　　其他国际合作中英国也做出积极动作，包括：

　　◈与美国加利福尼亚隐私保护署(CPPA)签署合作宣言，通过联合研究、分享最佳实践，强化跨境隐私执法协同，应对数据跨境流动带来的监管挑战;

　　◈作为五眼联盟成员，共同发布边缘设备安全指南，要求制造商默认内置安全日志和取证功能，体现"安全设计"原则的国际共识;

　　◈加强国际执法协调，包括与泽西、根西、马恩岛信息专员联合调查Prospect数据泄露事件，说明DUAA构建的监管标准正成为更广泛的英国司法管辖区的共同基准。

　　五、总结与展望

　　DUAA 2025的生效，标志着英国数字监管进入一个“强监管、高处罚、深协同”的新时代。它既是对UK GDPR的本土化校准，也是对数字经济发展需求的制度回应。通过放松自动决策限制、扩容合法利益依据、简化Cookie规则，DUAA为企业创新松绑;通过强化投诉程序、提升罚款上限、扩张执法权，DUAA为个人权利护航。

　　与此同时，技术发展将持续挑战现有规则。随着生成式AI、量子计算、元宇宙等技术的发展，英国将进一步细化新兴领域的监管规则。ICO已发布人工智能和生物识别战略，计划更新自动决策指南、制定人工智能法定准则，重点关注 AI 模型训练中的数据保护、算法偏见防控等问题;NCSC发布2035年抗量子加密过渡指导，提出三阶段迁移计划，确保敏感数据在量子时代的安全;针对物联网产品，ICO将完善隐私设计、同意管理等合规要求，推动隐私设计理念落地。

　　在更宏观层面，DUAA与《在线安全法案》《人工智能(监管)法案》等基础法规共同构成英国数字治理根基。对于企业而言，适应DUAA的要求不再是孤立的隐私合规工作，而是涉及技术、流程、文化的系统性变革。对于监管机构而言，DUAA赋予的权力既是利器，也是责任——如何在积极执法与促进创新之间取得平衡，将是未来持续的考验。

　　※部分内容AI生成