一、英国公司须遵守哪个数据保护法律?
英国脱欧后,英国实施独立的 UK GDPR(UK General Data Protection Regulation)和《2018 年数据保护法》(Data Protection Act 2018),与欧盟 GDPR 内容高度相似,但独立运作。
适用范围:在英国设立的公司;向英国居民提供商品或服务的境外公司;监控英国居民行为的公司。
监管机构:ICO(Information Commissioner's Office,信息专员办公室)。
二、ICO注册:哪些公司必须注册?
大多数处理个人数据的公司须向 ICO 注册并缴纳年费: 微型企业(员工不超过10人,营业额不超过£632,000):£40/年;小型/中型企业:£60/年;大型企业:£2,900/年。
豁免情形:纯个人或家庭用途;仅处理员工工资和客户联系信息的最简单情形(须具体确认是否符合豁免条件)。
注册网址:ico.org.uk/registration,通常5-10分钟在线完成。
三、隐私政策:必须包含的内容
UK GDPR 要求网站隐私政策须清晰、简洁地告知用户以下信息:
数据控制者信息:公司名称、注册地址、联系方式; 收集的数据类型:如姓名、邮箱、IP地址、购买记录等; 数据收集目的:每种数据的使用目的(如订单处理、营销沟通、网站分析); 法律依据(Legal Basis):处理每类数据的法律依据,常见依据:合同履行、合法权益、用户同意; 数据保留期限:每类数据保存多久; 用户权利:访问权、更正权、删除权(被遗忘权)、反对权、数据可携权; 第三方共享:是否与 Google Analytics、广告平台、支付处理商等分享数据; 境外数据传输:如数据传输至英国境外(如中国服务器),须说明安全保障措施; Cookie 使用说明:须与 Cookie 政策配合说明; 联系方式:如何行使数据权利或提出投诉(含 ICO 投诉渠道)。
四、Cookie同意机制要求
除技术性必要 Cookie(如保持登录状态)外,所有分析性、营销性 Cookie 须先获得用户同意:
合规的 Cookie 同意机制须满足:用户访问时清晰展示 Cookie 同意弹窗(Banner);提供接受和拒绝的同等便利选项(不可预先勾选接受);用户可以选择性同意(如同意分析 Cookie 但拒绝营销 Cookie);用户可以随时撤回同意;在用户同意前,非必要 Cookie 不得加载。
推荐 Cookie 同意工具:Cookiebot、CookieYes、Usercentrics(均有免费基础版)。
五、违规处罚
ICO 对 UK GDPR 违规的处罚分为两级: 一般违规:最高 £8.7M 或全球年营业额的 2%(取较高者); 严重违规:最高 £17.5M 或全球年营业额的 4%(取较高者)。
对中小企业的实际执法:ICO 通常对主动改善合规的中小企业持宽容态度,重大违规(如数据泄露)才会触发大额罚款;但未注册 ICO 可能收到 £400-£4,000 的固定罚款。
六、常见问题
Q:用中文写隐私政策可以吗? A:如网站主要面向中文用户,中文隐私政策可以,但面向英国用户的网站应至少提供英文版。
Q:公司在中国没有英国用户,也需要遵守UK GDPR吗? A:若网站不向英国居民提供服务、不收集英国用户数据,通常不在 UK GDPR 直接适用范围内,但建议在隐私政策中明确说明服务对象范围。
Q:使用 Google Analytics 需要特别处理吗? A:是的,Google Analytics 属于分析性 Cookie,须在 Cookie 同意机制中获得用户同意后才能加载;同时须在隐私政策中说明与 Google 共享数据及数据可能传输至美国的情况。