重要的数据保护法原则

《数据保护法》适用于英国境内处理数据的专业或商业组织。该法基于数据主体保护和数据安全的八项原则。

数据法原则

（原则 1）公平合法使用、透明

- 原则 1 详细说明任何企业只能以公平、透明的方式收集、处理和保存个人数据和信息。

（原则 2）针对特定目的

- 原则 2 详细说明数据控制者和处理者必须仅出于数据主体授权的特定预期用途收集数据。

（原则 3）最低数据要求

- 数据保护法 8 项原则中的第 3 项原则详细说明，控制者不得要求提供不相关的信息。根据立法规定，“所有持有的数据必须充分且相关”。

（原则 4）需要准确性

- 原则 4 要求控制者定期检查，以确保所保存的数据符合数据要求并保持准确。在英国、欧洲和美国，不超过 12 个月的时间段被认为是“可接受的”。

（原则 5）数据保留期限

- 原则 5 详细说明了控制者可以存储主体数据的时间长度。如果没有收到撤回同意，那么根据 GDPR，数据可以永久存储，因为该法规没有给出关于数据存储具体时间限制的声明，只要控制者保持信息专员办公室 (ICO) 定义的“合理推理”。

（原则 6）被遗忘权

- 根据 DPA 第 6 条，数据主体有权准确了解与其相关的个人数据，并有权阻止这些数据的使用。

（原则七）确保数据安全

- 原则 7 规定，应采取充分的数据保护措施，并由数据控制者在“良好数据治理实践”中承担此类行动的责任。必须实施“抵御攻击”的安全系统和安全网络，并且安全级别应适合业务。

（原则 8）问责制

- DPA 原则 8 详细说明了确保英国境内负责数据控制的企业和组织证明他们遵守 DPA 八项原则并履行其法律义务。他们还必须表明在发生数据泄露时他们已采取适当的安全措施，并保留其数据处理的记录。

信息专员办公室 (ICO)