英國隱私維權組織Good Law Project(GLP)和Open Rights Group(ORG)向英國數據監管機構資訊專員辦公室(ICO)發出法律行動威脅,指控其長期"擱置"來自公眾的大量數據保護投訴,並對其新推出的投訴處理框架提出強烈質疑。
根據英國《通用數據保護條例》(UK GDPR),ICO負有依法執行數據保護規定、調查投訴的法律義務。然而,儘管僅在2025年就收到了近4萬件投訴,該機構最終發出的罰款卻寥寥無幾。
GLP與ORG指出,這已形成一種固定模式:過去六年間,ICO共收到超過22萬件投訴,但平均每年發出的罰款還不到7次。兩個組織認為,這種狀況為企業違反數據保護規定提供了"幾乎不受懲罰"的土壤。
在此背景下,ICO於2026年2月5日發布了新的投訴處理框架,進一步引發外界擔憂。該框架依據"危害程度"對投訴進行分級處理,ICO稱此舉有助於"將有限資源集中在能產生最大影響的領域"。除危害程度外,框架還將考量以下因素:對弱勢群體的影響、受波及人數、投訴議題與監管戰略優先事項的相關性,以及公眾的整體利益。
該框架的出台,是英國《數據使用與訪問法》(DUAA)推動數據保護法律改革的結果之一,相關法規要求組織在2026年6月19日前建立數據保護投訴處理機制。
然而,GLP和ORG批評指出,一旦ICO認定某項投訴的危害程度屬於"低度"或"中度",該投訴將被自動歸檔為"僅供參考",既不展開調查,也不追究相關企業責任。兩個組織警告,若絕大多數數據保護違規行為都不產生任何後果,UK GDPR實際上將淪為一種"可選項",公眾要麼被迫默許企業侵犯其隱私權,要麼獨自承擔高昂的訴訟成本。
在由Mischon de Raya律師事務所數據保護律師協助起草的訴前函中,GLP和ORG明確指出,ICO的投訴處理框架與UK GDPR對個人數據高水平保護的立法目標存在"明顯矛盾"。
訴前函寫道:"可以預見,在該框架的實際運作下,大量投訴將被分類歸檔,僅供資訊記錄,而永遠不會進入正式調查環節。"函件還指出,"分類歸檔"與"正式調查"之間存在本質區別,這一區分使新框架無法滿足UK GDPR的部分核心要求;該框架還削弱了立法層面設立的投訴機制,並將妨礙ICO在發現違規行為後依法採取"糾正措施"。
對此,ICO回應稱,其初步篩選與分類程序在法律層面已構成"調查",並堅持認為其對資源調配擁有"專屬自由裁量權"。
Good Law Project技術與數據負責人鄧肯·麥坎(Duncan McCann)批評稱,ICO的新框架清楚表明,該機構"從未真正打算保護公眾的數據權利"。
"ICO終於把一直不願明說的話說出來了,"麥坎表示,"除非你面臨嚴重且持續的傷害,否則監管機構只會把你的投訴扔進數字垃圾桶。這讓我們每一個人都暴露在那些隨意處置我們數據的不良企業的風險之下。"
GLP同時強調,"把投訴塞進數字檔案櫃,不過是一種走過場的官僚行為,根本談不上對事實進行有意義的評估",並表示若ICO繼續以現行框架"逃避對有效投訴的處理",將採取法律行動。
ICO方面回應稱:"我們收到的投訴量已創歷史新高,因此必須在處理方式上保持戰略性,將有限資源集中在危害風險最高、我們的介入能產生最大影響的投訴上。我們去年就擬議中的新方案徵詢了公眾意見,為各方提供了反饋和參與塑造最終框架的機會。我們將繼續致力於為每一位用戶提供適當、及時的回應,同時推動各機構切實履行數據保護合規義務。"
值得注意的是,ICO此前於2026年4月就曾因遲遲未就內政部電子簽證(eVisa)系統可能存在的數據保護違規問題啟動正式調查而遭受批評。數字權利團體指出,該系統存在大量數據質量和完整性錯誤,導致用戶無法可靠證明其移民身份。
Computer Weekly曾獨家報道一起相關案例:由於內政部所持數據錯誤嚴重,ICO此前已認定存在違反UK GDPR的情況。當事人表示,由於eVisa系統持續出現技術故障,其賬戶近半年來一直顯示已過期的學生簽證,而非最新的配偶簽證,且護照資訊亦存在錯誤。
在一場針對該系統、最終被駁回的司法審查程序中披露的數據顯示:2025年4月至10月間,公眾共向內政部提交了116,011件eVisa查詢,其中81,461件(占70.2%)與隨後需要處理的錯誤直接相關。
Q&A
Q1:ICO的新投訴處理框架具體是怎麼運作的?
A:ICO於2026年2月發布的新框架依據"危害程度"對投訴進行分級。若投訴被評定為低度或中度危害,將自動歸檔為"僅供參考",不展開調查,也不追究相關企業責任。此外,框架還考量對弱勢群體的影響、受波及人數、投訴與監管戰略優先事項的相關性等因素。批評者認為,這實際上讓大多數數據保護違規行為逃脫了任何實質性追責。
Q2:過去六年ICO在處理數據保護投訴方面的表現如何?
A:根據GLP和ORG的統計,過去六年間ICO共收到超過22萬件數據保護投訴,但平均每年發出的罰款不足7次。僅2025年一年,ICO就收到近4萬件投訴,最終卻只處罰了極少數案例。批評者認為,這種低執法率為企業違規提供了溫床,實質上使UK GDPR形同虛設。
Q3:GLP和ORG計劃採取什麼行動來應對ICO的做法?
A:GLP和ORG已通過Mischon de Raya律師事務所向ICO發出正式訴前函,指出其新投訴處理框架與UK GDPR的立法目標相悖,並明確表示若ICO繼續以現行框架逃避對有效投訴的處理,將正式提起法律訴訟。兩個組織的核心訴求是,ICO應切實履行調查義務,而非以分級歸檔取代實質性審查。
