作者 | 万坤

单位：西南政法大学民商法学院

在科技持续进步的背景下，数据已成为各国推动经济发展的关键要素。为充分发挥数据要素价值，各国积极探索并制定相应的法律规范。与此同时，数据主体的权利在数据利用过程中也面临遭受侵害的风险，数据保护问题因而备受关注。英国在数据司法保护方面具有典型代表性，早在2018年就颁布了《数据保护法》，对数据保护的司法管辖作出了明确规定。2025年，《数据（使用与访问）法》出台，对数据保护的法院程序作了进一步明晰。这两部法律共同构建了英国数据司法保护的规范体系。

范围划分：司法管辖事由的明确列举

《数据保护法》第180条是对司法管辖的规定，该条文明确列举了法院享有管辖权的数据保护相关事由。这些事由涉及信息令、执行通知、处罚通知与特殊目的处理、合规令、赔偿等方面。

信息令。根据《数据保护法》第142条，信息专员有权向数据控制者、数据处理者等主体发送书面形式的信息通知，要求其提供信息专员为实现以下三类目的而合理所需的信息：其一，履行数据保护立法职能；其二，调查因出现“第一类违规”或违反该法规定而涉嫌的犯罪；其三，判定个人数据处理活动是否由个人在纯粹个人或家庭活动中实施。“第一类违规”，指的是数据控制者或数据处理者存在违反相关规定的行为，具体包括违反数据处理原则、侵害数据主体权利、违反法定义务、未遵守向信息专员或数据主体通报个人数据泄露的规定以及违反向第三国、非公约国家和国际组织传输个人数据的相关原则等。信息专员因第一类目的发送的信息通知，接收对象为数据控制者或数据处理者；因第二、三类目的发送的信息通知，接收对象可以是任何人。

该法第145条规定，信息专员发送信息通知后，确信接收对象未遵照通知要求提供信息时，可向法院提交要求接收对象提供相关信息的申请。基于该申请，法院可作出命令，要求接收对象向信息专员提供通知中所指明的信息或其他合理信息。法院作出的此类命令，即为信息令。

执行通知、处罚通知与特殊目的处理。《数据保护法》第152、156条规定，针对因特殊目的进行的个人数据处理，信息专员原则上不得向数据控制者或数据处理者发出执行通知、处罚通知。

特殊目的，根据该法第174条，是指新闻目的、学术目的、艺术目的和文学目的。在因特殊目的处理个人数据的场合，信息专员向数据控制者或数据处理者发出执行通知或处罚通知前，须向法院提出申请；经法院批准后，信息专员方可发出。法院在批准前，必须确信：信息专员有理由怀疑存在涉及重大公共利益的“第一类违规”行为，且法院已向数据控制者或数据处理者送达批准申请的通知或虽未送达但情况紧急。否则，法院不批准信息专员提交。

合规令。《数据保护法》第167条规定，当存在违反数据保护法、侵害数据主体权利时，该数据主体就此提出申请的，法院有权作出命令，要求违法者按照要求停止违法行为。该命令即为合规令。

赔偿。依据《数据保护法》第168、169条，数据控制者或数据处理者违反数据保护相关立法，使他人遭受经济损失或精神损害的，受害人有权向法院提起诉讼，请求对方承担赔偿责任。

法院确定：属地管辖与级别管辖相结合的管辖原则

英国本土由英格兰、苏格兰、威尔士和北爱尔兰四个政治实体组成，《数据保护法》规定数据保护由事发生地法院管辖，即属地管辖。同时，考虑到数据保护有轻重缓急之分，又将部分事由明确划分给特定级别的法院予以管辖，即级别管辖。

属地管辖。《数据保护法》第180条规定，信息令，执行通知、处罚通知与特殊目的处理，合规令和赔偿，属于法院有权管辖的数据保护事由。这些事由，若发生在英格兰和威尔士，由英格兰和威尔士高等法院或郡法院管辖；若发生在北爱尔兰，则由北爱尔兰高等法院或郡法院管辖；若发生在苏格兰，苏格兰最高民事法院或郡法院有权管辖。这体现了对地方司法机构管辖权的尊重：英格兰、苏格兰、威尔士和北爱尔兰均设有地方法院负责本地司法审判事宜，各政治实体对发生在本地的数据保护均有权管辖。

级别管辖。依照《数据保护法》第180条，若存在情报机构或适格主管机关处理个人数据的情形，其管辖权行使需区分地域：在英格兰、威尔士和北爱尔兰，仅由高等法院行使；在苏格兰，仅由最高民事法院行使。“情报机构”特指安全局、秘密情报局和政府通信总部；“适格主管机关”则指由国务大臣在法规中指明或描述的主管机关。

此外，对法院有权管辖的数据保护事由，若信息通知中包含信息专员作出的声明——明确需紧急获取相关信息，那么，法院基于信息令而享有的管辖权，同样按地域划分行使：英格兰、威尔士和北爱尔兰由高等法院行使，苏格兰由最高民事法院行使。

综上，第180条针对特定数据保护事由设置了更高级别的管辖要求，仅英格兰、威尔士和北爱尔兰的高等法院与苏格兰的最高民事法院享有管辖权，郡法院则无相关管辖权。

程序明晰：数据保护司法管辖的法院履职要求

就数据保护的法院履职程序而言，《数据（使用与访问）法》第104条对与数据主体访问请求相关的法院程序作出了规定。

适用条件。法院需根据“法定权利”判定数据主体是否有权获取信息时，应适用与数据主体访问请求相关的法院程序。“法定权利”具体有两类：一是数据访问权。英国《通用数据保护条例》第15条明确，数据主体有权向数据控制者确认其个人数据是否正在被处理；若处于被处理状态，数据主体还可访问该数据，了解处理目的、接收方等相关信息。该权利不仅适用于数据控制者，还涵盖执法处理、情报部门处理场景下的数据访问权。二是数据可携带权。数据可携带权，即数据主体有权以结构化、常用且机器可读的格式，接收其此前提供给数据控制者的个人数据，并可将该数据传输给另一数据控制者。

处理要求。法院可要求数据控制者提供其持有的可查阅信息。但需注意的是，在法院就数据主体是否有权基于“特定权利”获得信息、作出有利于数据主体的裁定前，相关信息不得通过证据开示或其他任何方式披露给数据主体或其代表。“特定权利”包括数据控制者相关的数据访问权、数据可携带权、执法处理中以及情报部门处理中数据主体的访问权。此外，法院判定数据主体是否有权获取信息时，若涉及数据主体的访问权（无论是数据控制者，还是与执法处理、情报部门处理相关），均无权要求数据控制者进行超出合理适度范围的信息检索。

*本文系2022年度国家社会科学基金一般项目“数字经济时代个人信息侵权损害赔偿责任研究”（22BFX079）的阶段性成果

来源：人民法院报

编辑：Sharon