GDPR与英国GDPR对比:《数据(使用和访问)法案》2025如何催生实质性分歧
英国脱欧后,欧盟GDPR与英国GDPR最初的文本完全相同。自2026年2月起生效的《数据(使用和访问)法案》2025(Data (Use and Access) Act 2025)带来了首个实质性分歧:认可合法利益、经过改革的自动化决策规则、SAR暂停计时机制,以及分析类Cookie豁免,如今仅适用于英国框架之下。
英国于2020年1月31日脱离欧盟时,欧盟GDPR并未随之停止适用。《2018年欧盟(退出)法案》将其留存于英国国内法中,从而形成了英国GDPR。英国GDPR由《2018年数据保护法》加以补充,最初几乎与欧盟GDPR逐字对应。
在此后的四年间,两者的比较在很大程度上仅具学术意义。随后,《数据(使用和访问)法案》2025(DUAA)应运而生。该法案于2025年6月19日获御准,并自2026年初起分阶段实施,对合法利益处理、自动化决策、数据主体访问权、Cookie同意,以及ICO自身的治理结构进行了结构性调整。两套制度已不再相同。
本指南将说明英国GDPR是如何产生的、DUAA带来了哪些变化、欧盟充分性认定的现状,以及2026年双重合规意味着什么。
英国《通用数据保护条例》(UK GDPR)的由来
欧盟GDPR自2018年5月25日起在英国直接适用,一直持续到2020年12月31日,其间英国先是作为欧盟成员国,其后进入脱欧过渡期。2021年1月1日,留存版GDPR成为英国GDPR。
其技术机制相当直接。《欧盟(退出)法案》将GDPR纳入英国国内法,并授权通过法定文书修正那些不再适用的表述:"欧盟"改为"英国",欧盟机构改为相应的英国机构,信息专员办公室(ICO)也从30多个欧洲数据保护机构组成的网络中的英国国家数据保护机构,转变为覆盖整个英国的唯一监管机构。
《2018年数据保护法》与英国GDPR并行适用,其关系与欧盟的结构相仿:该法提供英国特有的条款和减损规定,其作用与欧盟成员国制定国内实施立法相同。截至2021年1月1日,英国GDPR与《2018年数据保护法》共同构成的框架,在实质内容上与欧盟GDPR完全一致。
英国政府早期便宣布有意对该框架进行改革。经过数次搁置后,《数据保护与数字信息(DPDI)法案》于2024年10月24日获御准,带来了较为温和的修改。规模更大、雄心更高的《数据(使用和访问)法案》2025在八个月后随之而来。
历史上近乎一致的时期
从2021年到2025年的大部分时间里,英国GDPR与欧盟GDPR在几乎所有实际用途上都发挥着相同的效力。处理个人数据的六项合法依据完全相同。数据主体的权利(访问权、更正权、删除权、可携权、限制权、反对权)也相同。72小时违规通知义务相同。设计中的数据保护、影响评估、DPO要求、处理者合同,以及特殊类别数据规则,均与欧盟文本保持一致。
这一时期主要的实际差异体现在结构层面:ICO作为唯一监管机构(相较于欧盟30多个数据保护机构)、英国自身针对国际传输的充分性认定、作为欧盟标准合同条款英国国内对应版本的英国国际数据传输协议(IDTA),以及以英镑而非欧元计算罚款。
正是这种近乎一致的状态,构成了欧盟委员会于2021年6月授予英国充分性认定的基础。
《数据(使用和访问)法案》2025:分歧的起点
DUAA于2025年6月19日颁布。英国政府将其定位为一项有利于创新的改革,旨在保持较高的数据保护标准,同时减少不必要的合规负担。包括EDPB在内的批评者指出,其中部分变化实质上偏离了欧盟GDPR的原则。
该法案的大部分数据保护条款于2026年2月5日生效。投诉处理要求将于2026年6月19日生效。ICO治理结构改革则将在新董事会成员任命后展开,预计于2026年下半年完成。
认可合法利益
结构性意义最重大的变化,是设立了一项新的合法依据:"认可合法利益",其被纳入英国GDPR第6条(由DUAA第70条及附表4插入)。
在欧盟GDPR之下,任何以合法利益作为合法依据的处理,都需要进行一项合法利益评估(LIA),权衡控制者的利益与数据主体的权利和自由。此处没有任何捷径可走。英国GDPR针对一般性的合法利益主张,保留了这一完整的权衡要求。
然而,DUAA附表4插入了一份特定"认可合法利益"清单,针对这些情形无需进行权衡测试。所列类别包括:
- 预防和侦查犯罪,包括预防欺诈
- 保护弱势群体(保护个人免受忽视,或身体、精神或情感伤害)
- 应对紧急情况,依据《2004年国内紧急状况法》所作的定义
- 国家安全、公共安全与国防
- 协助公共机构完成法律授权的公共利益任务
- 集团内部为内部行政目的传输个人数据
针对这些特定类别,控制者可以依据认可合法利益这一依据进行处理,而无需开展或记录权衡测试。数据主体依然保留根据第21条提出反对的权利,但相关处理被推定为合法。
欧盟GDPR没有与之对应的条款。在欧盟,无论出于何种目的,以合法利益为由的处理始终需要进行权衡测试。这是一个存在真实实质性分歧的领域。
自动化决策
GDPR第22条赋予欧盟数据主体一项权利,即不受完全基于自动化处理、且会产生法律效力或类似重大影响的决定约束,但有限的例外情形除外。这一直是对完全自动化画像、信用评分及类似系统的重大制约。
DUAA以新的第22A条至第22D条(第80条及附表6)取代了英国GDPR第22条。英国政府将改革后的英国框架描述为"更为宽松"。主要变化包括:
- 对完全自动化决策(ADM)的禁止,如今仅适用于该决定完全或部分基于特殊类别数据、且产生法律效力或类似重大影响的情形。
- 对于其他类型的ADM决定,组织必须提供透明度,允许数据主体提出申辩意见,并在数据主体提出请求时提供人工介入的途径。
- 在执法场景下,一项新的"积极人工审查豁免"允许在人工审查会妨碍调查或危及国家安全的情况下,先作出不利的自动化决定而无需立即进行人工审查,但须在合理可行的情况下尽快进行人工复核。
这一变化的实际效果是,更广泛的自动化决策在英国将合法生效,而无需触发第22条的完整保护。在更宽松的英国框架下构建的系统,对于欧盟数据主体而言,可能并不符合欧盟GDPR的要求。ICO已于2026年初就更新的ADM指南启动咨询。
SAR暂停计时机制
DUAA第75条至第78条针对数据主体访问请求(SAR)引入了一项"暂停计时"机制,欧盟GDPR中并无对应制度。
在两套框架下,控制者都必须在一个日历月内回应SAR(对于复杂或数量众多的请求,可再延长两个月)。在欧盟GDPR之下,该期限自收到SAR之日起连续计算。
在修订后的英国GDPR之下,当控制者需要数据主体澄清或细化其请求,或提供额外信息以定位相关数据时,回应期限会暂停计算。计时在提出澄清请求时暂停,并在收到澄清回复后重新开始。
上述条款还将SAR搜索只需做到"合理且相称"这一原则加以成文化,此前该原则仅通过英国判例法确立。
暂停计时机制使英国的控制者在处理复杂SAR时拥有更大的灵活性。欧盟的控制者则没有对应的工具,任何澄清请求都必须在持续计算的一个月期限内处理完毕。
Cookie与PECR改革
《2003年隐私与电子通讯条例》(PECR)在英国法律中实施了欧盟的《电子隐私指令》,规范Cookie及类似追踪技术。PECR历来要求对所有非必要Cookie事先取得同意,由此产生了英国及欧盟各网站上常见的Cookie同意横幅。
DUAA对PECR进行了修订,设立了三类豁免同意要求的新型存储与访问技术(自2026年2月5日起生效):
- 统计类Cookie:用于衡量和改善网站性能的分析Cookie,前提是相关数据不得用于其他目的,且须向用户提供免费的选择退出机制。
- 外观类Cookie:用于记住用户偏好设置(如语言或显示设置)的Cookie,前提是须提供免费的选择退出机制。
- 紧急协助类Cookie:为实现紧急协助服务所必需的Cookie。
对于统计类和外观类Cookie,该豁免仅在控制者提供免费且便捷的选择退出机制时才适用。ICO已于2025年秋季发布指南草案,最终版指南预计于2026年春季公布。
在欧盟,《电子隐私指令》尚未修订。所有非必要Cookie仍需事先取得选择加入式同意。长期悬而未决的《电子隐私条例》草案仍未获通过。如今,英国网站可以在提供选择退出机制的前提下使用分析Cookie而无需弹出同意横幅,而面向欧盟用户的同一类Cookie,则仍需事先取得同意。
此外,DUAA将PECR罚款上限从50万英镑提高至1750万英镑或全球年营业额的4%(以较高者为准),与英国GDPR的罚款水平保持一致。这使电子通讯执法与数据保护执法趋于统一。
科学研究相关条款
DUAA第67条及第68条对英国的研究相关条款作出了澄清和扩展。其中两项变化值得关注。
首先,"科学研究"的定义被写入主体立法(此前仅出现在序言中),并明确纳入商业性科学研究,例如药企开展临床试验。这消除了商业研究主体能否受益于研究处理相关便利措施的不确定性。
其次,DUAA允许针对科学研究采用"广泛同意":当在起始阶段无法合理界定具体研究目的时,涵盖相关研究领域的更广泛同意即为有效。这反映了长期追踪研究和生物样本库中的常见做法。
在欧盟GDPR之下,这些原则出现在序言及第89条中,但在部分成员国被作出了更为限制性的解释。英国的成文化处理提供了更高的法律确定性。
智慧数据计划
DUAA第一部分为"智慧数据计划"建立了一套法定框架。这与英国GDPR的核心变化相互独立,但与数据从业者相关。
智慧数据计划将英国的开放银行模式,即允许客户通过API与获得授权的第三方共享金融数据,扩展至其他行业。国务大臣与财政部可以在任何行业(能源、按揭贷款、保险、养老金等)指定"数据持有者",要求其应授权第三方的请求提供客户数据。
截至2025年,英国约有五分之一的消费者和企业使用开放银行服务。DUAA为开放银行提供了法定基础,并建立了将该模式推广至整个经济领域的法律基础设施。英国政府的目标是到2035年建立20多项新的智慧数据计划。
智慧数据计划本身并不直接修改英国GDPR,但通过智慧数据计划共享的数据,仍须符合每一参与控制者所应遵守的英国GDPR要求。
ICO更名为信息委员会
DUAA第六部分将信息专员办公室更名为信息委员会(IC),并对其治理结构进行了重组。ICO今后将由一个董事会领导,主席与首席执行官分设,而不再由单一的信息专员负责。
信息委员会还将承担一项法定职责,即在履行职能时须考虑促进创新的必要性。批评者指出,这与欧盟GDPR要求监管机构须以"完全独立"(第52条)方式行事、不受商业目标干扰的规定之间存在张力。
治理结构的全面过渡取决于新董事会成员的任命,预计将于2026年下半年完成。在此之前,现有的ICO结构将以新名称继续运作。
DUAA还赋予ICO更强的执法工具:有权要求控制者自费委托进行独立审计,并有权通过信息通知强制进行证人访谈。
欧盟充分性认定:续期至2031年
英国于2021年1月1日脱离欧盟单一市场时,欧盟GDPR第46条要求组织在将个人数据从欧盟传输至英国之前,须取得充分性认定、标准合同条款、具有约束力的公司规则,或其他经批准的机制。
欧盟委员会于2021年6月通过了对英国的充分性认定,认定英国的框架提供了本质上相当的保护水平。最初的认定含有一项四年日落条款,除非续期,否则将于2025年6月到期。
2025年12月的续期
欧盟委员会于2025年12月19日续期了两项对英国的充分性认定,一项依据欧盟GDPR,另一项依据《执法指令》。续期后的认定有效期延长至2031年12月27日,即延长六年。
在续期过程中,欧盟委员会评估了英国的数据保护框架,包括新颁布的DUAA 2025,并得出结论认为,尽管存在DUAA的改革,英国的保护水平仍与欧盟标准"本质上相当"。
EDPB已于2025年10月20日就充分性认定草案发表意见,支持续期,但同时提出了具体关切:
- 国务大臣的权力:通过附属立法修改自动化决策规则、国际传输机制及ICO治理结构的权力,其议会审查程度有限,应受到持续监测。
- 英国对外传输充分性测试:英国针对第三国充分性评估的新标准(要求保护水平"不实质性低于"英国标准),省略了此前英国标准中所包含的部分要素,可能使数据得以对外传输至那些达不到欧盟充分性标准的国家。
- ICO的结构与独立性:ICO治理结构的变化,以及其新设的须考虑创新因素的职责,需要持续评估。
- 国家安全豁免:允许规避加密的技术能力通知,以及数据保护原则中的国家安全豁免情形,需要密切监测。
EDPB主席安努·塔卢斯(Anu Talus)表示,委员会"欢迎英国与欧洲数据保护框架之间持续保持一致",同时呼吁在这六年期间进行有效监测。
充分性认定在实践中意味着什么
该充分性认定涵盖将个人数据从欧盟和欧洲经济区成员国传输至英国的情形。在实践中:
- 从欧盟/欧洲经济区控制者处接收个人数据的英国组织,无需使用标准合同条款、具有约束力的公司规则或其他传输保障机制。
- 向英国的处理者或共同控制者发送数据的欧盟控制者,可以自由进行传输。
- 若该认定被撤销或中止,所有此类传输都将立即需要采用替代机制。
英国至欧盟的传输则单独处理:英国已根据其充分性认定规则,认定欧盟/欧洲经济区提供充分保护,因此这些传输同样无需额外保障措施。
执法比较:ICO与欧盟数据保护机构
| ICO / 信息委员会(英国) | 欧盟数据保护机构 | |
|---|---|---|
| 监管机构数量 | 1个(全国性) | 30多个(每个成员国一个) |
| 主导机构模式 | 不适用 | 一站式机制:跨境处理由主导数据保护机构负责 |
| GDPR / 英国GDPR罚款上限 | 1750万英镑或全球营业额的4% | 2000万欧元或全球营业额的4% |
| PECR罚款上限(2026年2月起) | 1750万英镑或全球营业额的4% | 《电子隐私指令》:因成员国而异 |
| 数据保护机构独立性 | 负有考虑创新因素的法定职责 | "完全独立"(第52条) |
| DUAA后的审计权力 | 可要求由控制者自费进行外部审计 | 因成员国而异 |
两地的罚款级别在金额上大体相当。对于同时受两方监管的组织而言,一起影响英国和欧盟数据主体的违规事件,需要在知悉后72小时内分别通知ICO及相关的欧盟主导数据保护机构。
分歧是否威胁充分性认定?
2025年12月的续期确认,当前的分歧程度仍处于欧盟委员会"本质上相当"的容忍范围之内。在2025年至2031年期间,最可能引起关注的六个领域是:
对外传输:英国针对第三国充分性认定的新标准"不实质性低于",可能允许英国一侧对外传输至欧盟尚未认可的国家。若欧盟数据流入英国后又进一步流向保护水平较低的国家,可能削弱充分性认定的正当性基础。
附属立法权力:国务大臣可通过附属立法进一步修改英国GDPR框架,包括ADM规则及国际传输机制,而无需主体立法。若该权力的行使削弱了数据主体的保护,可能触发欧盟委员会的重新审查。
ICO的独立性:如果信息委员会的执法模式显得更多受商业或创新因素驱动,而非受数据保护法所驱动,可能引发EDPB的评论。
ADM实践:若英国组织开始运行在欧盟GDPR第22条下属于违法、但在英国新的第22A至22D条下获准的自动化决策系统,且这些决定影响到欧盟居民,可能引发充分性方面的摩擦。
充分性认定可能在2031年之前的任何时候被中止或撤销。对于存在大量欧盟至英国数据流的组织,应作为预防措施持续保留应急用的标准合同条款或IDTA。
并列比较
| 特征 | 欧盟GDPR | 英国GDPR(DUAA后,2026年) |
|---|---|---|
| 生效日期 | 2018年5月25日 | 2021年1月1日(留存);DUAA:2026年2月5日 |
| 监管机构 | 各国数据保护机构(30多个) | ICO(更名为信息委员会) |
| 认可合法利益 | 无对应制度,始终须完成完整的LIA | 附表4清单(犯罪、保护弱势群体、紧急情况、国家安全、集团内部):无需LIA |
| 自动化决策(第22条) | 不受完全自动化ADM约束的权利(有例外情形) | 由第22A至22D条取代;禁止范围缩小至特殊类别数据;透明度与异议权利广泛适用 |
| SAR回应期限 | 1个月(连续计算) | 1个月(澄清请求期间暂停计时) |
| 分析类Cookie | 须事先取得同意 | 提供免费选择退出机制即可豁免 |
| 外观类Cookie | 须事先取得同意 | 提供免费选择退出机制即可豁免 |
| PECR罚款上限 | 不适用(电子隐私规则因成员国而异) | 1750万英镑或全球营业额的4%(自2026年2月起) |
| 科学研究范围 | 第89条,源自序言,商业研究存在争议 | 已成文化;明确纳入商业研究;允许广泛同意 |
| 对外传输充分性测试 | "本质上相当" | "不实质性低于" |
| 数据保护机构独立性 | "完全独立"(第52条) | 负有考虑创新因素的职责 |
| 罚款上限(GDPR / 英国GDPR) | 2000万欧元或全球营业额的4% | 1750万英镑或全球营业额的4% |
| 数据泄露通知 | 72小时内通知数据保护机构 | 72小时内通知ICO |
| DPO要求 | 有(特定组织) | 有(特定组织) |
| 传输机制 | 充分性认定、标准合同条款、具有约束力的公司规则 | 相同机制;新增"不实质性低于"充分性测试 |
| 数据可携权/智慧数据 | GDPR第20条(仅限个人权利) | 第20条加DUAA智慧数据计划(行业层面的可携性) |
双重合规:2026年同时运行两套框架
同时收集英国和欧盟居民个人数据的组织,必须同时满足两套框架的要求。DUAA生效后需要采取的关键实务步骤包括:
隐私声明:在两套框架存在差异之处,更新隐私声明以体现英国GDPR和欧盟GDPR各自的合法依据。依据英国法律以认可合法利益为依据的处理,在面向欧盟的处理场景中,仍需完成完整的LIA。声明应清楚说明哪一监管机构(ICO或相关欧盟数据保护机构)适用于哪一类处理。
合法利益评估:即使对应的英国处理依据的是认可合法利益,仍应为面向欧盟的处理单独保留LIA。英国无需LIA的规定,并不能免除欧盟层面的义务。
自动化决策:对照第22条(欧盟)以及新的英国第22A至22D条,审查所有完全自动化决策系统。在更宽松的英国框架下合法的系统,针对欧盟数据主体,仍必须遵守更为严格的欧盟规则。
SAR处理流程:暂停计时机制仅适用于英国GDPR项下的SAR。欧盟GDPR项下的SAR仍按连续计算的一个月期限处理。若单一SAR同时涉及英国和欧盟的个人数据,应以欧盟GDPR的期限作为约束性标准。
Cookie同意:面向欧盟用户的网页仍需就分析类和外观类Cookie取得完整的选择加入式同意。面向英国用户的网页,则可在PECR豁免范围内,对这些类别的Cookie转为选择退出模式。对于混合受众,可考虑基于地理位置或用户偏好设置的差异化方案。
国际传输:欧盟至英国的传输受充分性认定覆盖。英国至欧盟的传输受英国充分性认定规则覆盖。作为应对充分性认定可能被中止的对冲手段,应为欧盟至英国的数据流持续保留应急用的标准合同条款。
代表人:仅在英国设立(未在欧盟设立)的组织,针对面向欧盟的处理,需依据欧盟GDPR第27条指定一名欧盟代表。仅在欧盟设立的组织,则需依据英国GDPR第27条指定一名英国代表。这两个代表可以是不同的主体。
违规通知:单一事件若同时影响英国和欧盟数据主体,须在知悉后72小时内,分别通知ICO及相关的欧盟主导数据保护机构。
如需详细了解英国框架本身,请参阅我们关于英国数据隐私法的指南。关于欧盟一方,请参阅我们的欧盟数据隐私法指南。
近期动态(2024年至2026年)
2026年5月:ICO预计即将发布最终版Cookie指南。ICO关于ADM指南的咨询仍在进行中。
2026年2月:DUAA主要数据保护条款生效。认可合法利益、新的ADM框架、SAR暂停计时机制以及Cookie豁免现已开始施行。PECR罚款上限升至1750万英镑档。
2025年12月:欧盟委员会将针对GDPR和《执法指令》的英国充分性认定续期,有效期至2031年12月27日。
2025年10月:EDPB通过意见,支持充分性认定续期,同时就国务大臣的权力、英国对外传输测试及ICO独立性提出监测关切。
2025年6月:DUAA获御准(2025年6月19日)。ICO宣布将以相称且具支持性的方式,应对新条款的生效实施。
2024年10月:DPDI法案获御准,率先启动了在DUAA之前的第一轮英国脱欧后GDPR改革。
2021年6月:欧盟委员会通过最初对英国的充分性认定。
2021年1月:英国GDPR作为留存版欧盟法律正式产生。
Frequently Asked Questions
英国脱欧后是否仍受GDPR约束?
欧盟GDPR不再直接适用于英国。取而代之的是英国自身的英国GDPR,通过《2018年欧盟(退出)法案》留存于国内法中,并由《2018年数据保护法》加以补充。两部法律最初几乎逐字相同,但自2026年2月起生效的《数据(使用和访问)法案》2025,已在合法利益、自动化决策、SAR处理和Cookie同意方面引入了实质性差异。
《数据(使用和访问)法案》2025是什么?何时生效?
《数据(使用和访问)法案》2025(DUAA)于2025年6月19日获御准。其主要数据保护条款于2026年2月5日生效。该法案修订了英国GDPR和《2018年数据保护法》,引入了认可合法利益(列明类别无需LIA)、经过改革的自动化决策规则、SAR暂停计时机制、PECR下的新Cookie豁免、更高的PECR罚款上限、更广泛的科学研究条款,以及ICO向信息委员会的转型。
个人数据能否继续在欧盟与英国之间自由流动?
可以。欧盟委员会已于2025年12月19日续期了两项对英国的充分性认定,涵盖欧盟GDPR及《执法指令》项下的传输。续期后的认定有效期至2031年12月27日。在此期间,只要底层处理符合欧盟GDPR的其他要求,欧盟至英国的个人数据传输无需使用标准合同条款或其他传输机制。
英国GDPR下的认可合法利益是什么?
认可合法利益是由DUAA附表4插入英国GDPR第6条的一类新的合法处理依据。它涵盖预防和侦查犯罪、保护弱势群体、应对紧急情况、国家安全与公共安全、协助法律授权的公共利益任务,以及集团内部数据传输。与普通的合法利益处理不同,这些类别无需进行合法利益评估。欧盟GDPR没有对应制度,欧盟境内任何依赖合法利益的处理,都需要完成完整的权衡测试。
DUAA对数据主体访问请求带来了哪些变化?
DUAA引入了一项暂停计时机制:当控制者要求数据主体澄清或提供额外信息时,一个月的SAR回应期限会暂停计算,待澄清回复到达后再重新开始。该法案还将SAR搜索只需做到合理且相称这一原则加以成文化。这些变化仅适用于英国GDPR项下的SAR。欧盟GDPR项下的SAR,无论是否存在澄清往来,仍按连续计算的一个月期限处理。
企业是否需要同时遵守英国GDPR和欧盟GDPR?
如果企业同时处理英国和欧盟居民的个人数据,则需要同时遵守两套框架。一家总部位于英国、向欧盟客户销售产品的公司,必须针对这些客户遵守欧盟GDPR,并针对英国居民遵守英国GDPR。这如今要求企业分别管理认可合法利益评估(欧盟需完整LIA,英国可能无需LIA)、SAR时间表、自动化决策逻辑,以及针对英国与欧盟受众的Cookie同意方案。
DUAA是否会威胁欧盟充分性认定?
短期内不会。欧盟委员会在评估DUAA后,于2025年12月续期了充分性认定,并认定当前的分歧程度可以接受。不过,EDPB提出了需要持续监测的领域:英国新的对外充分性测试、国务大臣通过附属立法进一步修改该框架的权力,以及ICO须考虑创新因素的职责。若这些权力被用于削弱数据主体的保护,充分性认定可能在2031年到期前被重新审查。
Sources and References
- 《数据(使用和访问)法案》2025,c.18(legislation.gov.uk).gov
- 《2018年数据保护法》(legislation.gov.uk).gov
- 《数据(使用和访问)法案》2025:数据保护与隐私变化(英国政府网站GOV.UK)(gov.uk).gov
- 《数据(使用和访问)法案》概况说明:英国GDPR与DPA(英国政府网站GOV.UK)(gov.uk).gov
- 《数据(使用和访问)法案》2025(ICO)(ico.org.uk).gov
- 关于DUAA生效实施的声明(ICO,2026年2月)(ico.org.uk).gov
- 认可合法利益(ICO)(ico.org.uk).gov
- 委员会续期决定,以保障与英国之间个人数据的自由与安全流动(欧盟委员会,2025年12月)(ec.europa.eu).gov
- 英国充分性认定草案:EDPB通过相关意见(EDPB,2025年10月)(edpb.europa.eu).gov
- 欧盟充分性认定(欧盟委员会)(commission.europa.eu).gov
- 从欧洲经济区接收个人信息(ICO)(ico.org.uk).gov
- 英国国际数据传输协议(ICO)(ico.org.uk).gov