你合法拿到了数据,但还是违法了——这可能是当前最被低估的一类数据合规风险。不是黑客入侵,不是系统漏洞,不是员工误操作,而是你按流程申请、经过审批、合法下载了数据,然后用错了。
2026年4月,英国下议院迎来一次罕见的政府紧急声明。科技部长Ian Murray向议员们确认:英国生物银行(UK Biobank)约50万名志愿者的健康数据,出现在某中国电商平台上被公开叫卖。涉事的三家中国科研机构(医院),是持有合法访问资格的正规机构,按正常程序申请、审批、下载了数据。但违规,发生在数据到手之后。
英方给这种行为起了一个专门的名字:compliant misuse——合规滥用。获取行为本身合规,使用行为严重违规。
核心问题: 为什么“合法拿到”不等于“用得合规”?这个问题,GDPR有一套非常精准的法律答案。而这个答案,对中国出海企业同样构成直接警示。
大多数企业的数据合规工作,集中在“数据怎么收”这个环节——隐私政策、用户同意、跨境传输机制。UK Biobank事件揭示的是另一个系统性盲区:数据入库之后,合规义务并没有结束。真正的风险高发区,恰恰在于数据的后续使用与流转。
本文将以GDPR的分析框架,逐层拆解这起事件的法律定性逻辑,并为出海企业提供明确的合规建议。
(注:英国脱欧后适用UK GDPR,规则与《欧盟通用数据保护条例(GDPR)》实质一致,本文统称GDPR)
文 | 郑炜
理解这起事件,首先要解决一个认知误区:去标识化处理,是否意味着数据不再受GDPR保护?英国官员在处理这起事件时反复强调,涉事数据“不含直接标识符”——没有姓名、地址、联系方式。这个表述在政治上有降温作用,但在法律上,它推导不出“数据不受保护”的结论。
去标识化≠ GDPR豁免
GDPR对“个人数据”的定义,采用的是可识别性标准,而非直接标识性标准。只要存在合理可能性,通过关联其他信息识别出特定自然人,该数据就仍属个人数据,受到完整保护。
本案有两个细节支撑这一判断:其一,英国官员本人承认存在通过数据关联进行再识别的风险;其二,《卫报》在另一起事件中已经实证——仅凭出生日期和一次手术日期,就成功识别出了一名UK Biobank参与者。
GDPR的真正豁免门槛,是真正意义上的“匿名化”:在合理考虑所有可能方法之后,任何人都无法识别出数据主体。这是极高的标准。大多数实践中的“去标识化”只是降低了风险,达不到豁免门槛。
对出海企业的合规建议①:
采购或使用第三方数据集时,不能仅凭供应商声称“数据已匿名化”就放弃合规审查。需要自行评估实际可识别风险,并在合同中要求供应商对匿名化标准作出法律承诺,同时保留审计权利。
目的限制原则
——这一刀,切中了几乎所有出海企业
确认数据仍在GDPR调整范围之后,接下来的问题是:三家机构到底违反了哪条规则?答案指向GDPR第5条第1款(b)项:目的限制原则。这是本案最直接的违规点,也是对出海企业最有杀伤力的一个原则。
原则的逻辑
目的限制原则的要求是:个人数据只能用于收集时声明的特定目的,或与该目的实质相容的其他目的。
三家机构申请访问UK Biobank时,声明的用途是科学研究。这一声明构成了它们获得访问资格的法律基础,也划定了使用数据的法律边界。将科研数据挂牌出售,是否属于与科研目的“实质相容”的用途?答案是明确的否定——商业变现与科研公益在性质上存在根本冲突。
顺带说一句:GDPR第89条为科研目的设有豁免条款,但这一豁免的适用前提,是处理行为本身服务于科研。一旦数据离开科研场景,豁免即告失效。
这一刀,切的不只是三家医院
这里是本文最值得停下来想一想的地方。目的限制原则的违反,在实践中通常不以“出售数据”这种极端形式出现,而是以更隐蔽的“目的漂移”悄然发生:
用户数据最初收集用于改善产品体验,后被用于精准广告投放;
员工数据收集用于薪酬发放,后被用于绩效评估模型训练;
客户数据收集用于履行合同,后被提供给集团内其他业务线使用。
每一种情形,在企业内部看来都“顺理成章”。但在GDPR框架下,本质上和本案没有区别,只是严重程度不同。
换句话说,如果你的企业把数据用途写成“用于优化产品体验”,但实际拿去做了广告投放、卖给了合作方、或者用来训练AI模型——从GDPR的角度,这已经不是灰色问题。
对出海企业的合规建议②:
建立数据使用变更的内部审批机制。每一次新的数据使用场景,都必须经过目的相容性评估:新用途与原始目的是否存在关联?数据主体是否会对这一用途感到意外?是否需要重新获取同意?评估过程必须留有书面记录。
UK Biobank事件还有一个容易被忽视的问题:当三家机构违规使用数据时,UK Biobank自己要承担什么责任?这个问题的答案,直接影响出海企业在数据共享场景下的合规策略。
控制者vs. 处理者:一个决定责任边界的区分
GDPR将数据处理链条中的主体区分为数据控制者和数据处理者。控制者决定处理目的和方式,承担主要合规义务;处理者仅按控制者指示处理数据,义务相对较轻。
为什么这个区分重要?因为一旦被认定为独立控制者,就意味着不能再把责任推给平台——罚款和法律责任要自己扛。
在UK Biobank案例中,三家医院在获批后,对数据的处理目的和方式拥有相当大的自主决策权——它们独立决定了研究方向、数据用途、存储方式,并最终独立作出了出售数据的决定。这使它们更接近独立控制者,而非UK Biobank的处理者。英方的处置方式也印证了这一判断:主要措施是撤销三家机构的访问资格,而非追究UK Biobank的主要责任。
但UK Biobank也没能完全免责。即便三家机构承担了主要责任,UK Biobank仍面临问责制层面的合规瑕疵。GDPR第5条第2款的问责制原则要求:数据控制者不仅要遵守各项保护原则,还必须能够证明其遵守。
UK Biobank的审计机制,未能在事前或事中发现任何异常。数据从下载到出现在电商平台出售,整个过程没有任何预警触发,直到匿名举报才介入。更能说明问题的是,它在事后紧急实施的整改措施——暂停平台访问、限制文件导出大小——这些手段本可早就落实,但没有。
对出海企业的合规建议③:
向第三方提供数据访问时,合同中必须明确双方的控制者/处理者定性,并据此分配合规义务。同时建立可审计的访问日志和异常检测机制,定期审查访问方的实际使用情况。“签完协议放手不管”的模式,在GDPR框架下是系统性的问责制风险。
GDPR要求的
不仅是“你有没有写制度”
UK Biobank事件暴露的不只是三家机构的个体违规,而是整个数据访问生态的治理短板。从GDPR的视角,问责制原则的真正含义,是要求数据控制者将合规义务转化为可验证的系统能力。GDPR真正要求的,从来不仅是“你有没有写制度”,而是——你能不能证明你真的在按制度做。
合规体系的三个层次
在实践中,数据合规体系可以分为三个层次。大多数企业只做到了第一层:
第一层:文件合规
制定隐私政策、签署数据处理协议、完成跨境传输法律机制(如SCCs)。很多企业认为做完这些就完成了合规,这是一个危险的误解。文件合规只是建立了规则,并不能确保规则被遵守。
第二层:流程合规
在文件基础上建立可执行的内部流程:数据使用申请与审批、新业务场景的隐私影响评估(DPIA)、数据访问权限的定期审查、员工数据保护培训。这个层次解决的是“规则有没有被执行”的问题。
第三层:可证明合规
这是GDPR问责制原则所要求的最高层次:合规行为必须留有记录,审计机制必须持续运行,异常行为必须能够被检测和溯源。UK Biobank在这个层次上的缺失,是其问责制漏洞的根本所在。
技术管控与合同管控,缺一不可。单纯依赖合同约束的问题在于:违约成本再高,也是事后追责。技术手段才能在事前或事中阻断违规行为,或在违规发生时立即预警。
UK Biobank被迫实施的整改措施——限制导出文件大小、建立数据流出监控——本质上就是用技术手段补上了合同约定的执行漏洞。对出海企业而言,凡是涉及数据共享或访问的场景,合规工作不能止步于合同文本,必须同步建立技术层面的访问控制和日志记录机制。
对出海企业的合规建议④:
建议企业对照“三层合规”模型自我评估。大多数中小规模出海企业停留在第一层,具备合规意识的企业能做到第二层,而能够满足GDPR问责制要求的第三层,需要在技术基础设施和内部审计机制上进行系统性投入。
UK Biobank事件发生在科研数据领域,但其揭示的合规逻辑,对任何涉及境外数据处理的出海企业都有直接参照价值。以下是实践中最高风险的三类场景。
场景一:采购第三方数据或API
越来越多的出海企业通过采购第三方数据服务支撑业务决策——用户画像、行为数据、市场数据。容易陷入的误区是:数据从“合规渠道”买来的,用起来就没问题了。
事实上,购买数据只解决了数据来源的合规问题,没有解决使用目的的合规问题。如果供应商在收集阶段声明的目的,与你实际的使用场景不符,你可能在不知情的情况下参与了对GDPR目的限制原则的违反。
更值得警惕的是:部分第三方数据供应商可能本身就处于合规灰色地带。购买来源不明的数据,自身也可能承担法律责任——这正是UK Biobank事件中潜在买家所面临的处境。
场景二:向合作伙伴或关联方共享数据
联合营销、技术对接、数据互通——这类场景有两个容易被忽视的合规问题:
共享目的的合规性:原始数据收集时的目的声明,是否覆盖了向合作伙伴共享这一场景?如果没有,可能需要重新获取数据主体的同意;
共享后的管控缺失:数据一旦出门,接收方如何使用,通常无法直接控制。合同约定只是起点,技术管控和定期审查才能真正管住后端风险。
场景三:AI模型训练与数据复用
这是当前出海企业面临的最新合规挑战,也是被忽视最多的一类风险。
如果你的企业正在用历史数据训练模型——客服对话训练智能客服、用户行为训练推荐算法——但从来没有重新评估这一用途的合法性,那么从GDPR的角度,这已经不是灰色问题,而是高概率违规问题。
在GDPR框架下,AI模型训练是独立的数据处理活动,需要独立的法律依据,并需要评估其是否与原始收集目的相容。欧盟《人工智能法案》(AI Act)已于2024年正式生效,与GDPR叠加适用。AI相关的数据合规,将是未来两至三年内出海企业最集中的合规压力来源。
对出海企业的合规建议⑤:
建议在内部建立“数据使用场景登记表”,将每一批数据的来源、收集目的、获批用途、存储位置、访问人员和使用记录系统性地记录在案。这不仅是合规的基础工作,也是发生争议时的关键证据。
合规的终点
是数据生命周期的终结
GDPR的合规逻辑,是围绕数据的整个生命周期设计的——从收集、存储、使用、共享,到最终删除,每一个环节都有对应义务。
UK Biobank事件是对“前端合规”思维的一次系统性纠正。三家机构在数据访问的前端——申请、审批、协议签署——完全合规。问题出在后端:数据到手之后,企业内部缺乏将协议义务转化为操作规程的机制,也缺乏技术手段对实际使用进行追踪和管控。
这种“前端合规、后端失控”的模式,在出海企业中并不少见。法务合规团队通常在交易前端介入,协议签署后往往退出日常管理,数据的实际使用由业务团队负责,而业务团队通常不具备识别合规风险的专业能力。
弥合这个缺口,需要在两个维度同时发力:
组织机制:建立数据使用变更的内部审批流程,确保每一次新的数据使用场景都经过合规评估;
技术基础设施:部署访问日志、权限管控和异常检测系统,使合规义务从书面约定转化为可验证的系统能力;
定期审查:对已有数据处理活动进行周期性复盘,识别因业务发展而产生的目的漂移风险;
供应链管理:将合规义务向上下游延伸,要求数据供应商和合作方在合同中作出明确承诺,并保留审计权利。
在我们实际接触的出海企业中,绝大多数的数据合规问题,并不出在“是否合规”这个认知层面,而是出在“并不知道自己什么时候已经不合规了”这个执行层面。
数据拿到手的那一刻,不是合规的终点,而是合规责任的起点。如果你正在使用第三方数据、推进跨境业务、或者已经在做AI模型训练,以上几个高风险场景值得重点排查。
BOSS & YOUNG
律师介绍
郑炜
上海邦信阳律师事务所 合伙人 📍上海
Wayne.zheng@boss-young.com
郑炜律师曾执业于多家头部律师事务所。曾为包括多家证券公司、基金公司于境内外投融资交易提供法律服务;为多家在医疗行业、高端设备制造行业以及房地产行业内领先企业的资本市场运作提供法律服务;为知名餐饮集团、某国际知名体育用品零售集团、某乳制品公司、某新能源公司提供常年法律顾问服务。其服务的客户涵盖生物医药、餐饮、金融、机械制造、新能源、体育零售等诸多行业。
郑炜律师还曾在一家知名餐饮集团任独任法务,并拥有在头部生物创新医药企业从事法务工作的执业经历,期间负责全球临床研发、商业化和信息技术部门的法律事务,在个人信息保护以及跨境数据传输、医药授权类交易、临床试验争议解决、医药产品商业化等领域具备丰富的实践经验。
郑炜律师主要执业领域包括资本市场、企业境内外投融资以及公司常年法律顾问业务等。
Boss & Young Since 1995
法治兴邦·知行于信·大道向阳
使 命:让律师成为法治社会的重要助推
愿 景:法治天下·诗意栖居
价值观:可靠、高效、富有创造力,守正、相与、永葆进取心
来源:邦信阳律师事务所
编辑:鱼仔
责任编辑:高兴、陈默
声明:本文仅代表作者本人观点,不得视为邦信阳律师事务所及律师出具的正式法律意见或建议。转载请注明来自“邦信阳律师事务所”公众号。如您有意就相关议题进一步交流或探讨,欢迎与我们联系,电话:+8621 23169090,邮箱:shanghai@boss-young.com
点击“阅读原文”,登录邦信阳律师事务所官网了解更多资讯。
