什么是英国数据主权——脱欧后的"第三条道路"
英国的数据主权是英国脱欧催生的独特概念。
2020年12月31日过渡期结束的同时,欧盟的GDPR以"UK GDPR"的形式被继承为英国国内法。内容与欧盟GDPR基本相同,但参考机构替换为ICO(信息专员办公室),权力也从欧盟委员会转移至英国国务大臣。《2018年数据保护法》(DPA 2018)是这一框架的基础性法律。
2024年5月24日通过的《数据保护与数字信息法》(DPDI法),成为英国数据保护法与欧盟实质性分歧的转折点。该法将DPO(数据保护官)要求放宽为"高级责任人",简化了DPIA(数据保护影响评估)要求,将cookie同意模式转变为选择退出机制,并扩大了"合法利益"的适用范围。在国际数据传输方面,也允许基于更广泛的因素进行审批,而非沿用"本质上等同"这一严格标准。
英国政府将这一做法定位为"引领全球的数据体制"和"脱欧红利"。信息专员John Edwards(2022年1月就任,前新西兰隐私专员)表示:"数据保护法不应是阻碍创新的壁垒,而应是实现可信创新的框架。"然而,隐私倡导团体Open Rights Group的执行主任Jim Killock对英国数据保护与主权的侵蚀发出了警告。
与欧盟的走钢丝——充分性认定的延续及其脆弱性
英国数据主权最大的制约,是对欧盟充分性认定的依赖。
欧盟委员会于2021年6月28日通过了对英国的充分性认定,允许个人数据从欧洲经济区自由流转至英国。该认定包含四年日落条款,原定于2025年6月27日失效,但已于2025年6月获得延期。欧洲数据保护委员会(EDPB)在认可英国因DPDI法所作修改的同时,也表达了"实质等同性依然存续"的意见。
然而,失效风险并未消散。DPDI法对DPO要求的松绑、DPIA的简化、cookie同意改革以及国际传输标准的扩展,均是欧盟方面的顾虑所在。Max Schrems先后通过法律挑战使欧美《安全港协议》(Schrems I,2015年)与《隐私盾》(Schrems II,2020年)相继无效的先例,同样可能适用于英国充分性认定。一旦充分性认定失效,英欧之间的数据传输将须依赖标准合同条款(SCC)或约束性企业规则(BCR),这将给英国企业带来每年数十亿英镑的合规成本。
英国正试图走一条"在维持与欧盟充分性认定的同时,比欧盟更具灵活性"的"第三条路",然而这两个目标在本质上存在张力。
M365的数据主权争议——最严重的结构性风险
英国数据主权最为严峻的争议焦点,是Microsoft 365(M365)的数据主权问题。
英国政府对M365的依赖规模极为庞大。内阁办公室、内政部、国防部、教育部、HMRC(税务海关总署),乃至英国议会本身均在使用M365。NHS也已将NHS Mail迁移至Exchange Online。数十万名政府工作人员和公共部门从业者日常使用M365。
微软的数据驻留承诺如下:英国租户的"核心客户数据"将存储于UK South(伦敦)和UK West(卡迪夫)的数据中心。涵盖范围包括Exchange Online、SharePoint Online、OneDrive for Business以及Microsoft Teams(聊天/频道消息)。
然而存在重大例外。第一,遥测数据、诊断数据、支持数据及部分处理操作可能流出英国境外。第二,部分操作可能临时在英国境外进行处理。第三,Bing集成、Copilot功能、Delve等全球服务并不具备区域专属性。
最大的问题在于,微软的EU Data Boundary(2024年1月1日起实施)将英国排除在外。EU/EFTA客户可获得数据存储与处理均在EU/EFTA境内的强化保障,而英国并不包含在内。这造成了一种不对称:EU政府客户所享有的保护,英国政府客户却无法获得。
美国《云法案》(CLOUD Act,2018年3月23日颁布)是结构性风险的根源。《云法案》允许美国执法机构强制要求总部位于美国的科技企业提交数据,无论数据存储于美国境内还是境外。也就是说,即便英国政府数据存储在微软的英国数据中心,美国政府仍可依据《云法案》命令微软披露该数据。
英美数据访问协定(2019年10月3日签署,2022年10月生效)是基于《云法案》签订的首份双边协议。该协定允许各国执法机构直接向对方国家的科技企业请求数据,但仅限于严重犯罪案件,且不得以对方国家的本国公民为目标。然而,国家安全层面的请求(如FISA第702条等)不在协定范围之内,美国情报机构仍有可能访问英国政府工作人员的数据。
英国下议院和上议院均已就M365数据主权问题提出质询。Open Rights Group就政府使用微软产品及数据主权问题开展了倡导活动,Privacy International也就《云法案》与政府数据问题表达了关切。
AI集成正在放大风险。Microsoft Copilot与M365的深度整合,引发了关于AI处理在何处进行、哪些数据被输入AI模型的新问题。随着地缘政治紧张局势升温,各界对数字主权的关注也日益增强。工党政府(2024年7月以来)已表现出对数字主权的关切,但在M365问题上尚未采取决定性行动。
UKCloud的崩溃——主权云的结构性困境
英国主权云历史上最具标志性的事件,是UKCloud的崩溃。
UKCloud成立于2011年,是英国唯一的本土主权云服务提供商。数据仅存储于英国境内、仅由英国公民运营、仅遵守英国法律——这是其核心卖点。NHS(英国国家医疗服务体系)、国防部、警察、地方政府及中央政府均为其客户。
2022年10月24日,UKCloud进入强制清算程序,普华永道被任命为清算人。其年收入约为4000万至5000万英镑,但始终未能盈利,最终败于与超大规模云服务商(AWS、Azure、Google)的价格竞争。公司曾尝试追加融资与出售,均以失败告终。
此次崩溃带来的教训十分明确。第一,主权云服务提供商在规模经济上相对于超大规模服务商处于绝对劣势。第二,英国政府的采购流程倾向于将成本置于主权之上。第三,"主权"本身不足以构成差异化竞争优势。第四,有批评认为,政府本应像对待国防工业一样,将UKCloud视为战略性基础设施加以扶持。
颇具讽刺意味的是,崩溃之后,大量原UKCloud客户纷纷迁移至AWS或Azure,反而进一步加深了政府对超大规模服务商的依赖。
NHS与金融服务的数据要求
NHS与金融服务是英国数据主权中最敏感的领域。
NHS的患者数据,除UK GDPR/DPA 2018外,还受普通法保密义务、Caldicott原则(八项原则)以及NHS数据安全与保护工具包(DSPT)的约束。事实上,NHS数据必须存储在英国境内。
最大的争议在于Palantir联邦数据平台(FDP)。NHS England于2023年11月向Palantir Technologies(美国企业,CIA投资部门In-Q-Tel为其早期投资方)授予了约3.3亿英镑(约610亿日元)的七年期合同。FDP旨在整合各NHS机构间的数据,以提升运营效率和候诊时间管理,但因将患者数据委托给美国企业而遭到强烈批评。openDemocracy与Foxglove提起了法律挑战,民调结果显示公众对Palantir处理NHS数据存在明显不满。据称已有逾百万人选择退出NHS数据共享。Palantir方面则辩称,FDP采用"联邦式"架构——数据留存于各NHS机构自身的基础设施内,不会集中存储——且数据不会离开英国。
金融服务方面,FCA/PRA联合监管声明SS2/21(外包与第三方风险管理)至关重要。英国境内数据驻留虽无直接强制要求,但基于维持监管监督能力、审计访问及业务连续性等要求,数据实质上须处于英国监管机构可触达的范围之内。《2023年金融服务与市场法》针对"关键第三方"(AWS、Azure、Google Cloud等)引入了直接监管权限。
政府安全分类与主权云的现实
英国政府的数据具有三个安全分类级别。
OFFICIAL(包含OFFICIAL-SENSITIVE)约占政府数据的90%,可在经过认证的公有云(包括超大规模云服务商的英国区域)中处理。SECRET需要更严格的管控,通常要求基于英国的基础设施及额外保障措施。TOP SECRET为最高分类,一般要求在气隙隔离环境中、在英国境内本地部署,并由持有安全许可的英国公民运营。
NCSC的14项云安全原则涵盖传输中数据的保护、资产保护、用户间隔离、治理框架、运营安全、人员安全、安全开发及供应链安全等方面。NCSC已针对这些原则对AWS、Azure及Google Cloud的各项服务进行评估并公开发布结果。
值得关注的是,NCSC明确指出:"数据的物理位置通常不如其所属的法律管辖权或保护该数据的安全措施重要"。但同时也承认,对于特定分类或威胁模型,英国境内数据驻留可能是合适的要求。
市场数据——欧洲最大的云市场
英国是欧洲最大的云计算市场,也是最大的数据中心市场。
英国云基础设施服务市场规模估计每年约150至180亿英镑(约2.775万亿至3.33万亿日元),正以每年20至25%的速度增长。市场份额由AWS(约30至33%)、Microsoft Azure(约25至28%)和Google Cloud(约10至12%)主导。
通过G-Cloud框架(Crown Commercial Service)进行的政府云采购累计已超过120亿英镑。英国数据中心容量超过800MW,位居欧洲第一,伦敦是欧洲最大的数据中心枢纽。网络安全市场规模约为120至130亿英镑,位居全球第三。
UKCloud崩溃后,英国主权云市场以超大规模云服务商的英国区域为主流,采用的是通过技术和合同层面进行管控的方式,而非专属主权云服务提供商。
未来展望——AI时代的数据主权与主权云的未来
英国的数据主权正处于多股力量交汇的转折点。
DPDI法的影响将在未来数年内逐步显现。该法于2024年5月通过,但许多条款需要二级立法,截至2026年初仍在制定中。若未来的监管与欧盟的分歧进一步扩大,维持充分性认定将愈发困难。
人工智能与数据主权的交叉是当前最重要的新议题。AI模型训练数据的存储与处理地点、AI推理过程中的敏感数据处理、Microsoft Copilot通过M365集成产生的数据流——所有这些都在放大数据主权问题。英国AI安全研究所(2023年11月成立)专注于AI安全,但其与数据主权的交叉点也在视野之内。
主权云的未来方面,尽管UKCloud已宣告失败,但全球范围内对主权云的投资正在加速。法国Thales-Google、德国T-Systems-Google等合作伙伴模式有可能在英国得到采用。若英国政府承诺落实主权要求,市场规模到2028至2030年有望达到50至80亿英镑。
英国"数据桥梁"构想是最为乐观的情景。在维持与欧盟充分性关系的同时,借助与美国的紧密关系(英美数据访问协议、五眼联盟、"特殊关系"),并扩大与日本、韩国、澳大利亚等国的数据传输协议。若能成功,英国将成为跨国数据运营的理想管辖地。然而,若英国被视为以较弱保护标准充当欧盟流向美国的数据管道,欧盟将会限制这一路径。
M365的数据主权问题是短期内无法解决的结构性难题。LibreOffice、Nextcloud、Matrix等开源替代方案虽被积极倡导,但目前尚无任何替代品能够匹敌M365的生态系统。英国政府对M365的依赖根深蒂固,迁移将付出极高代价且具有高度破坏性。这一问题深刻揭示了数字主权绝非单纯的技术挑战,而是一项地缘政治、法律与经济相互交织的复合性课题。
对行业的影响
第一,英国《数据保护与数字信息法》(DPDI)与欧盟GDPR之间的分歧,在"促进创新"与"维持充分性认定"之间制造了结构性张力。2025年6月的延期虽带来了暂时的宽慰,但进一步的背离将加剧失效风险,并可能给英国企业带来每年数十亿英镑的合规成本。
第二,M365数据主权问题是英国政府面临的最为严峻、且最难立即应对的挑战。微软的"欧盟数据边界"将英国排除在外,由此在欧盟政府客户与英国政府客户之间形成了不对等的保护格局。《CLOUD法案》所带来的美国数据访问风险,虽可通过技术手段(客户自管加密密钥、保密计算)加以缓解,但无法彻底消除。
第三,UKCloud的崩溃证明,主权云在缺乏规模经济的情况下难以为继。然而,在全球范围内,Thales-Google、T-Systems-Google等合作伙伴模式已取得成功,英国也有可能探索类似的合作路径。
第四,NHS与Palantir签订的合同(3.3亿英镑)表明,数据主权并非抽象概念,而是与公民最敏感的数据——健康记录——直接相关的现实议题。逾百万人选择退出的事实,证明公众信任是数据主权战略成败的关键所在。
参考资料:UK Data Protection Act 2018、UK GDPR(保留欧盟法律)、Data Protection and Digital Information Act 2024(2024年5月24日获得御准)、European Commission UK Adequacy Decision(2021年6月28日)、US CLOUD Act(2018年3月23日)、UK-US Data Access Agreement(2019年10月签署,2022年10月生效)、NCSC Cloud Security Guidance & 14 Cloud Security Principles、FCA/PRA SS2/21外包与第三方风险管理、Financial Services and Markets Act 2023(关键第三方机制)、NHS数据安全与保护工具包、Microsoft EU Data Boundary(2024年1月1日)、Microsoft UK数据驻留文档、G-Cloud框架文档(Crown Commercial Service)、UKCloud清算记录(普华永道,2022年10月)、ICO年度报告及John Edwards声明、Palantir NHS FDP合同(2023年11月,3.3亿英镑)、议会议事录(M365数据主权质询)、Open Rights Group出版物、Privacy International报告、EDPB关于英国充分性的意见、NCSC对AWS/Azure/Google Cloud的评估、techUK云计算与数据报告、英国政府云战略(2023/2024)、UK AI Safety Institute、DPDI法案二级立法进展