當英國於 2021 年 1 月正式脫離歐盟資料保護法時,許多組織認為這只是行政上的轉變。重新命名 GDPR、指定當地代表、更新隱私聲明。然而隨後的發展更為嚴峻。資訊專員辦公室在法律實施後的幾年內,開出約 6,500 萬英鎊的 GDPR 相關罰款。Capita 在 2025 年 10 月收到單筆 1,400 萬英鎊的罰款。ICO 於 2024 年 3 月發布更新的罰款指引,使從違規到最高罰款的路徑更加系統化。2025 年 6 月 19 日,《資料(使用與存取)法》獲得御准,引入自脫歐以來英國資料保護法最重大的修正:新增合法利益類別、改革 Cookie 同意規則、更新自動化決策規定,以及強化投訴處理義務。
雖然英國 GDPR 與歐盟版本非常相似,但它是一個獨立的監管框架,擁有自己的監管機構、傳輸機制和不斷演進的改革議程。對於任何處理英國居民個人資料的組織,無論總部位於倫敦或洛杉磯,了解英國 GDPR 的實際要求、適用對象,以及不合規在實務上的代價,已不再是可選的背景閱讀。本指南提供這些基礎知識。
英國 GDPR 適用於哪些對象?
英國 GDPR 適用於任何處理英國居民個人資料的組織,無論該組織總部位於何處。擁有英國客戶的美國軟體公司必須遵守。處理英國居民資料的歐盟企業必須遵守。該法規適用於資料控制者(決定處理目的和方式的一方)和資料處理者(代表控制者處理資料的一方)。兩者都有各自的義務,兩者都可能被罰款。
適用範圍由兩個條件確認:處理活動在英國機構的背景下進行,或處理活動涉及向英國資料主體提供商品或服務,或監控他們在英國的行為。總部位於英國境外但符合任一條件的組織必須指定英國代表,除非符合豁免資格。自 2021 年以來,ICO 已對非英國實體進行執法,包括對 Clearview AI 處以 750 萬英鎊罰款,以及對多家在英國市場營運但未建立合規基礎設施的美國資料經紀商採取監管行動。
英國 GDPR 的七項核心原則
英國 GDPR 第 5 條規定了管理所有個人資料處理的七項原則。這些不是願景性指引。違反基本原則將面臨最高級別的行政罰款:最高 1,750 萬英鎊或全球年營業額的 4%,以較高者為準。組織進行的每項資料處理活動都必須在以下七項原則下站得住腳。
| 原則 | 要求內容 | 業務風險 |
|---|---|---|
| 合法性、公平性與透明度 | 處理須有明確法律依據;不得有欺騙性資料做法 | 1,750 萬英鎊 / 全球營業額 4% |
| 目的限制 | 資料僅用於特定、明確、合法的目的 | ICO 執法通知 + 罰款 |
| 資料最小化 | 僅收集充分、相關且必要的資料 | 訓誡 + 合規命令 |
| 準確性 | 保持個人資料更新;及時刪除或更正 | 賠償請求 + 罰款 |
| 儲存限制 | 資料保留時間不得超過必要期限 | ICO 審計 + 執法 |
| 完整性與機密性 | 須採取技術和組織安全措施 | 最高 1,750 萬英鎊(Capita:1,400 萬英鎊) |
| 問責制 | 證明合規性;維護 ROPA | 審計失敗 = 立即罰款 |
問責制原則特別值得關注,因為它是執行所有其他原則的機制。英國 GDPR 下的問責制不是被動的:組織必須主動證明合規性、維護處理活動記錄(ROPA)、對高風險處理進行資料保護影響評估(DPIA),並在需要時指定資料保護長(DPO)。ICO 可隨時要求提供這些活動的證據,未能提供本身即構成違規。
處理的合法依據
每項處理活動都需要合法依據。英國 GDPR 提供六種:同意、合約、法律義務、重大利益、公共任務和合法利益。合法依據的選擇不可互換,必須在處理開始前確定。事後更改合法依據是不允許的。
英國 GDPR 下的同意必須是自由給予、具體、知情且明確的。預先勾選的方框、捆綁式同意,以及作為服務條件取得的同意都不符合標準。撤回同意必須與給予同意一樣容易。《2025 年資料(使用與存取)法》更新了 Cookie 同意規則,引入五種無需同意的例外情況,包括使用者要求的服務所嚴格必需的 Cookie、統計目的和緊急協助。然而,廣告、超出這些例外的分析,以及個人化 Cookie 仍需要明確的選擇加入同意。
合法利益經常被誤用。它需要三部分評估:確定合法利益、證明處理對該利益是必要的,並與資料主體的權利進行平衡。DUAA 2025 引入了經認可的合法利益清單,其中平衡測試被視為已滿足,包括防詐騙、網路安全,以及向現有客戶進行直接行銷。在這些類別之外,必須進行有記錄的平衡測試。
英國 GDPR 下的個人權利
英國 GDPR 賦予資料主體八項可執行的權利。組織必須在一個月內回應請求,複雜請求可延長兩個月。未能回應本身即是違規,可能引發 ICO 投訴和執法行動。
存取權(DSAR):個人可要求取得關於他們的所有個人資料。組織在大多數情況下必須免費提供副本。DUAA 2025 確立了「暫停計時」原則:當向資料主體要求澄清時,回應時限暫停。
刪除權:也稱為「被遺忘權」,允許個人在特定情況下要求刪除個人資料,包括撤回同意或資料不再必要時。
可攜權:當處理基於同意或合約時,個人可要求以機器可讀格式取得個人資料,以便傳輸給另一個控制者。
反對權:個人可反對基於合法利益的處理或直接行銷。對直接行銷的反對必須始終立即獲得遵守。
與自動化決策相關的權利:DUAA 2025 引入新規則,允許基於合法利益對非敏感資料進行 AI 自動化決策,並設有保障措施,包括人為介入權。
資料外洩通報要求
英國 GDPR 規定嚴格的外洩報告義務。當個人資料外洩對個人的權利和自由構成風險時,必須在組織得知外洩後 72 小時內通報 ICO。當外洩可能對個人造成高風險時,也必須在不當延遲的情況下通知受影響的資料主體。
72 小時計時從組織得知外洩時開始,而非外洩完全調查完畢時。因此,組織必須具備能夠滿足此時限的事件偵測、升級和報告基礎設施。導致 2025 年 10 月 1,400 萬英鎊罰款的 Capita 外洩事件,同時涉及不當的安全措施和延遲的事件回應:ICO 明確指出這兩者的結合是其罰款計算中的加重因素。
國際資料傳輸
將個人資料傳輸到英國境外需要適當的保障措施。英國擁有自己的充分性框架,並已發布涵蓋 EEA、歐盟成員國和若干第三國的充分性決定。對於傳輸到其他目的地,組織必須使用國際資料傳輸協議(IDTA)、歐盟標準合約條款的英國附錄,或具約束力的企業規則。2023 年建立的英國-美國資料橋樑為向參與的美國組織傳輸資料提供了機制。組織不應假設歐盟 GDPR 傳輸機制自動滿足英國 GDPR 要求:這些框架是獨立的,適用 ICO 指引。
在實務實施方面,能夠處理國際同意同步化並記錄合法傳輸機制的同意管理平台(CMP)提供了關鍵的合規層,確保在英國記錄的資料主體同意適當反映在非充分性國家的處理者的下游處理中。
英國 GDPR 不合規的實際代價
ICO 在 2019 年至 2025 年 9 月期間開出 16 筆英國 GDPR 罰款,總計約 6,500 萬英鎊。下表總結了最重大的罰款以及引發這些罰款的違規行為。
| 組織 | 罰款 | 年份 | 違規行為 |
|---|---|---|---|
| Capita plc + Capita Pension Solutions | 1,400 萬英鎊 | 2025 年 10 月 | 勒索軟體外洩;660 萬資料主體 |
| Advanced Computer Software Group | 307 萬英鎊 | 2025 年 | 勒索軟體漏洞;NHS 資料 |
| British Airways | 2,000 萬英鎊 | 2020 年 | 資料外洩;40 萬客戶受影響 |
| Clearview AI | 750 萬英鎊 | 2022 年 | 從網路非法抓取生物識別資料 |
財務罰款僅代表實際代價的一部分。非財務執法措施,包括處理禁令、合規命令和資料流程暫停,可能比罰款更嚴重地破壞營運。ICO 公開執法通知造成的聲譽損害導致客戶流失、合作夥伴關係惡化和企業合約損失。Ponemon Institute 的研究一致發現,資料外洩的總成本(包括偵測、通報、監管回應和業務中斷)超過監管罰款三到五倍。
2026 年英國 GDPR 合規基礎設施的樣貌
2026 年有效的英國 GDPR 合規需要的不僅僅是隱私政策和 Cookie 橫幅。它需要有記錄的流程、技術控制和持續的營運能力。ICO 的 2025 年線上追蹤策略加強了對同意實施的審查,特別關注同意記錄是否能在個人層面實際證明有效同意。
能在有效同意之前阻擋非必要 Cookie、維護細緻的時間戳同意記錄,以及在網頁和應用程式環境中同步偏好的同意管理平台(CMP),現已成為任何線上收集個人資料的英國組織的基礎設施。自 2025 年 1 月以來,ICO 一直與 IAB Tech Lab 合作研究資料刪除請求框架,強調同意撤回必須級聯到廣告科技生態系統中的第三方,而不僅僅是第一方控制者。
除了同意之外,組織必須維護涵蓋所有處理活動的最新 ROPA、在需要時指定 DPO、對高風險專案進行 DPIA、培訓員工資料保護義務,並實施包括加密、存取控制和外洩偵測能力在內的技術控制。《2025 年網路安全外洩調查》發現,43% 的英國企業在過去 12 個月內經歷過外洩或攻擊,相當於約 612,000 個組織需要進行外洩通報評估。
於 2026 年 2 月 5 日全面生效的《2025 年資料(使用與存取)法》代表自脫歐以來英國資料保護法最重大的更新。尚未根據 DUAA 2025 變更審查其合規計畫的組織,特別是在合法利益、Cookie 同意例外、自動化決策和投訴處理義務方面,應將此視為緊急優先事項。ICO 於 2024 年 3 月發布的更新罰款指引使從違規到最高罰款的路徑更加系統化,而 2025 年的執法記錄證明該機構願意在各部門實施重大罰款。
最有效應對英國 GDPR 的組織是那些將資料保護視為營運基礎設施而非法律負擔的組織。對於英國居民資料主體而言,遵守英國 GDPR 不是可選項;它是在一個擁有 6,700 萬人口、其資料權利受到積極執行的市場中經營的代價。實施穩健的同意管理基礎設施、維護全面的文件記錄,以及建立外洩回應能力不是合規成本;它們是永續資料營運的基礎。
有關同意技術和合規框架的進一步閱讀,請參閱《行銷合規技術:品牌如何大規模應對 GDPR、隱私法規和品牌安全》以及《同意管理平台:GDPR、CCPA 合規與消費者選擇技術》。
