2018至2019年，英国西米德兰兹郡警察局、伦敦大都会警察局和大曼彻斯特警察局等八个警察部门共同参与研发了一个利用人工智能和数据统计分析学技术来预判严重暴力犯罪的人工智能系统，名为“国家数据分析解决方案”（NDAS）。在投入大量研发资金后，该系统却因为误判率高、涉及数据保护等人权问题被叫停。作为犯罪预判和防范的一大利器，大数据分析在英国未来警务工作中的应用仍将面临各项挑战，包括英国数据保护法律的监督与制约。

保障执法数据安全合法

英国政府在1984年、1998年和2018年共颁布了三部《数据保护法案》（DPA1984、DPA1998和DPA2018）。 《2018年数据保护法案》新增多项内容。其中新增的第三部分内容是执法数据处理，为刑事司法机构设立了专门的数据保护框架。警察队伍是个人数据的收集者、控制者、处理者、传输者和分享者，也是数据保护法约束的主要对象之一。除电话信息拦截和网络连接记录获取等信息技术以外，英国警察开始尝试在警务工作中开发运用人工智能技术、生物特征识别技术和大数据分析技术，产生了更多的数据处理和数据保护问题。英国警察被要求在“数据控制和处理中不超出执法必要性”。面对英国独立数据保护监督机构信息专员办公室（ICO）的定期审计调查和越来越严格的数据保护工作需求，英国警方不但要制定适用于警方的数据保护政策，还要任命专门负责数据保护工作的数据保护官（DPO），设立信息权保护部门，所有警察和文职都要经过专门数据保护培训。

1. 以执法为目的的数据收集、控制和处理

根据英国《通用数据保护条例》（UK GDPR）第10条规定，只有公务职权机构，出于执法目的，有权处理有关刑事定罪和罪行的个人数据。以执法为目的是指出于预防发现犯罪、维护秩序、保护生命财产、抓获犯罪分子归案受审、执行刑事诉讼搜查令和出庭作证等目的。但英国《2018年数据保护法案》第10条和附则1第3部分又加以规定，如符合特定情形之一，则其他部门和个人可处理该类数据。特定情形包括取得个人同意、保护个人重大利益、非牟利团体处理、公共领域个人数据、合法要求、司法行为、用于实施猥亵儿童罪账户管理、重大公共利益和保险条件延伸等。该补充法条为英国警察打击犯罪破除了数据保护和隐私保护法律的一部分阻力，有利于警方开展工作。

2. 执法数据的特点与分类

根据《2018年数据保护法案》规定，执法数据包括姓名、地址等很多个人细节信息，以及受害人或目击者提供的信息、监控音视频、银行财务信息、情报、报案人、案件和事故细节、被指控或事实违法信息、警察和文职存取的执法记录等。除一般个人数据外，还包括敏感个人信息，如种族、民族、政治观点、宗教或哲学信仰、工会会员身份、基因数据、生物特征识别数据、健康数据、性生活或性取向等。在敏感信息的收集、控制、处理、传输和分享方面，警方要遵循更严格的流程和規定。

3.执法数据控制和处理中的常见问题

英国《通用数据保护条例》和《2018年数据保护法案》明确规定了“执法数据处理六大原则”，包括数据处理合法且公平、数据处理目的具体明确正当、数据准确相关且不超量、数据修正更新及时、数据保留不超期限和数据安全有保障等。在警方的数据控制和处理中，媒体曝光最多的是数据储存权限、删除及时性和数据泄露问题。

（1）数据存储权限问题

警方数据库和IT系统须定期审核，由专门管理人员利用专门软件删除无权持有的数据。在《2018年数据保护法案》的第三部分“执法处理六大原则”中，第一原则是“为了任何执法目的的处理数据必须合法且公平”，第二原则是“个人数据必须具体、明确、正当地收集”，第三原则是“处理的个人数据必须准确、相关且不超过与预期处理目的相关的量”。此外，对于特殊敏感数据，一旦数据主体撤销“同意”处理其特殊类别数据的意见，其个人数据应在其撤销同意后立即销毁。警方数据库中的个人数据是否合法持有、是否正当收集、是否与某执法目的相关和是否超量等是数据保护团体关注的主要问题。

案例一：

2012年，伦敦大都会警察局遭起诉，两名英国公民要求警方删除其数据库储存的两人的面部照片，并胜诉。法院要求英国所有警察局“在数月内”修改有关使用面部照片的规定。2015年2月，英格兰和威尔士警方在面相辨认数据库输入1800万张警方拍摄的涉及很多无辜民众面部的照片，且被指这一举措并未通知生物信息专员和内政部。此后，伦敦警方暂停面部照片输机的做法。

在《通用数据保护条例》和《数据保护法案》数据保护制度下，警方的执法数据收集和控制受到更多监督。

（2）数据处理保留期限问题

英国警察和文职须确保处理的个人数据准确，并及时更新。根据《2018年数据保护法案》执法数据处理第四原则规定，“出于任何执法目的处理的个人数据必须准确，并且在必要时更新至最近日期;以及考虑到其处理的执法目的，必须采取全部合理步骤来确保不准确的个人数据被毫不延迟地删除或纠正”。执法数据处理第五原则规定“出于任何执法目的处理的数据必须只能被保留不超过其基于该目的进行处理之必要的期限”。除存档和科研等需要以外，对于一般执法数据，英国警方须根据其官网公布的“记录保留标准操作流程”，在规定特定场景下个人数据可保留的时限前删除无权持有的数据记录。

案例二：

据2021年1月20日媒体通报，因为人为编码错误，删除电脑无权持有的记录的软件失灵，英国国家警务计算机系统内约40.3万份记录以及其他数据库的2.6万份DNA记录和3万份指纹记录被错误删除，包括已被定罪人员、被通缉人员、失踪人口、失踪车辆以及赃物数据等。

这起人为编码错误导致的误删事件以及删除记录软件的使用，一方面反映了英国警方具有较高的数据保护意识，数据隐私保护和定期删除无权持有的数据记录已经成为日常工作惯例;另一方面，也体现了警方IT系统和数据安全方面的脆弱性。969059FC-4669-412F-A75E-32FDDE7C4FF0

（3）数据处理安全保障

根据《2018年数据保护法案》的执法数据第六原则规定，执法机构“应当采取适当的组织和技术措施，确保以适当的安全方式处理出于任何执法目的而处理的个人数据”。在技术措施方面，根据内阁办公室和内政部规定的信息安全标准，英国警方应采取包括加密、防火墙、杀毒软件、IT健康检查、网络弱点评估和渗透测试过程、用户认证、不同身份访问权限及密码访问、技术保证、技术审核和端点管理，尤其是在邮件与网络安全、信息安全事件报告、信息安全分享、移动数据与遥控、记录保存期限、数据安全销毁处理、记录存储和审计等各方面按照规定办理。在组织措施方面，所有警察和文职须在任职前经过审查，访问警方数据系统前须经过信息保障和反腐部门专门培训，并就数据系统使用和数据保护经过专门培训。警方数据系统所在场所仅限特定权限人群进入。但百密仍有一疏，英国警方在2019年6月至2021年6月的两年间共发生12起数据泄露事件，英格兰和威尔士地区的警察数据平均每周受到8次破坏。数据泄露问题牵连甚广，是警方和数据保护团体最关注和头疼的问题。

案例三：

据2021年12月报道，达科尔公司（Dacoll）网络系统遭到网络钓鱼攻击。该公司为英国 90% 的警队提供“关键”网络服务，警方数据系统被克拉普勒索软件团伙（Clop）侵入访问，机密数据在暗网中被泄露，包含1300 万人的个人信息和记录，如从国家自动车牌识别（ANPR）系统中窃取的驾驶者图像、镜头以及犯有交通违法行为的驾驶员面部特写图像。

开展数据保护案件犯罪调查

英国信息专员办公室，是负责英国信息公开、信息自由和数据隐私权保障的一家独立执法监管机构。信息专员办公室日常工作包括负责收缴数据费，登记组织机构数据保护信息，审计组织机构数据保护工作，受理数据保护申诉，处理数据保护咨询，推动数据保护国际合作，资助数据保护科研、论坛和创新项目，以及推动儿童数据保护新立法。但在数据保护案件尤其是数据泄露案件，以及由数据泄露衍生的诈骗、儿童数据违法和网络安全犯罪案件等刑事犯罪调查和犯罪预防工作中，英国警方责任重大，并积极开展与各国警方的国际合作。

案例四：

2020年初，英国国家打击犯罪局（NCA）会同美国联邦调查局（FBI）、荷兰国家警察部队（NNPC）、德国联邦刑事警察局（BKA）和北爱尔兰警察局（PSNI）联合查封了泄露数据售卖网站域名。该在线服务网站因提供有偿访问非法获取的个人信息的搜索引擎，以及客户数据泄露通知服务，被各国警方联合执法。据称，该数据售卖网站持有10000多个数据泄露事件中非法获取的120亿条个人信息，涉及姓名、电子邮件地址、用户名、电话号码和账户密码等信息。英国国家打击犯罪局逮捕了利用被盗证件从事违法活动的21名嫌疑人，并查获了价值41000英镑的比特币。嫌疑人年龄18至38岁，其中9人因滥用计算机行为被拘，9人因诈骗被拘，3人同時涉及滥用计算机行为和诈骗。上述嫌疑人中有人还购买了其他网络犯罪工具，如远程控制木马和加密工具，其中3人还持有儿童淫秽照片。负责网络犯罪防范的警察同时还调查了英国、威尔士和北爱尔兰的69名年龄16至40岁的潜在违法活动嫌疑人，对他们提出了警告。

保障数据主体隐私权和警方政务信息公开透明

按照英国《通用数据保护条例》和《数据保护法案》规定，每个数据主体都享有数据保护法授予的各项数据保护隐私权。除特殊豁免情形和执法情形外，数据主体享有数据处理者所掌握的个人数据的各项权力：获取权，可向警方提出“数据主体数据获取申请”;修正权，可指明警方个人数据不准确之处，并加以修改;擦除权，可要求警方销毁其持有的非执法目的或超出执法需求或逾期的任何个人数据;限制或反对处理权，在特定情形下，可提出限制性要求。例如，限制个人数据的访问者或分享者。执法数据处理的数据主体包括受害人、目击者、违法人员、嫌疑人、顾问和其他专家、警察与文职等。因此，英国警察作为一个自然人，也是一个数据主体。此外，根据英国《信息自由法案》（FOIA）和《环境信息法规》（EIR）要求，所有公共部门包括警方还应制定信息发布计划，并定期发布可公开的数据信息，保障英国公民的信息自由权利。

1. 数据主体信息获取申请

在保障数据主体权力方面，警方信息权管理部门和数据保护官的一项日常工作之一是处理数据主体数据获取申请（SARs），即由数据主体向处理其个人数据的警方提出的数据获取申请，可要求警方提供一份个人数据拷贝及其他附加信息。数据主体提出申请时须填报全名、出生日期、地址、能证明出生日期和现住址的正式证件的扫描件、照片或复印件、申请查阅具体信息的详细描述等。警方须及时回复数据主体提出的数据获取申请。英国信息专员办公室会定期审查统计警方回复及时性，并将其作为考察警方数据保护工作的一项重要指标。

2.警方政务和可公开执法数据信息访问申请

因为防范、调查和起诉刑事犯罪行为，执行刑事处罚，处理公共安全威胁防范等执法目的产生和处理的很多数据不适用于公开，《信息自由法案》和《环境信息法规》要求的政务数据公开透明原则不适用于这类执法数据处理。但除不宜公开的信息外，警方仍须公布其他可公开信息。此外，根据《信息自由法案》和《环境信息法规》规定，公共部门包括警方应为公众提供信息访问权限，保障信息自由。对于公众的信息访问申请，除特殊豁免案例外，警方应在20个工作日内予以回复。

尽管在及时处理数据主体数据获取申请和信息访问方面存在很多困难，如资金不足、人力不足、招聘信息保护员工困难、信息系统陈旧低效、信息保护在警队中不受重视、各部门提供信息不配合和信息公开申请激增等，近年来英国警方仍取得了一定的进步。据英国信息专员办公室公布的数据，2019年9月到2020年8月，向英国警方提出的数据主体访问申请和信息访问申请从69%增加到了80%。19支警队在数据访问申请回复及时性方面达到了90%，18支回复信息访问申请及时性达到了90%。逾期未处理的申请从7393 件下降到3750件，下降了49%。969059FC-4669-412F-A75E-32FDDE7C4FF0

《调查权力法案》赋予的监控权力与制约

2016年11月29日，英国《调查权力法案》（IPA）在上议院通过，并于12月30日正式生效。该法案是英国执法机构和情报机构开展合法监控的法律依据，赋予了警察部门等执法机构新的监视权力，也是打击控制非法监控、非法拦截信息、非法設备干预和非法获取通讯信息等违法行为的执法依据。在该法律框架下，警方可从通信服务供应商处收集通话记录，要求互联网供应商提供每个设备连接的网址记录并保存一年，收集使用大数据，干预设备和拦截信息（如在嫌疑人的手机和电脑中植入黑客软件加以监视等）。尽管该法案致力于全力打击非法监控行为，并对政府部门的数据工作安全保障提出了更高的标准，隐私权团体却为公众的数据隐私权深感担忧。例如，近年来英国警方尝试使用人脸识别技术打击防范犯罪，该技术被认为是继DNA分析后的执法新飞跃，却被隐私权团体抨击浪费资金，侵犯隐私。

案例五：

从2016年开始，伦敦大都会警察局利用脸部电脑数据库与监控录像监控人群和识别嫌疑人。2019年，警方邀请埃塞克斯大学对该人脸识别技术系统进行评估，结果发现该面部识别技术将一个普通人识别成通缉犯的错误概率高达81%。但据警方数据，经过结合其他技术手段，其正确率达到99.9%。大都会警察局技术人员表示人脸识别的技术更新需要大量资金投入。但英国内政部对大都会警察局的技术革新尝试表示支持，认为在数据保护法律框架内利用这项技术打击犯罪未来可期。

在英国数据保护领域，英国警察扮演了多个角色，同时受到英国信息自由和数据保护法律的保护和约束。作为自然人，警察个人享有英国《通用数据保护条例》和《数据保护法案》保障的数据主体权力。作为数据控制者和处理者，警察队伍肩负着《通用数据保护条例》和《数据保护法案》规定的各项数据安全防护职责。作为国家公共部门，《信息自由法案》和《环境信息法规》要求警方在政务服务方面做到信息公开透明。作为执法部门，警方在涉及数据保护的刑事案件中，要开展调查取证等一系列工作。而新的《调查权力法案》既赋予了英国警方利用监控调查取证的权力，也为打击非法监控制定了法律依据。在多个角色的扮演中，信息技术时代给英国警方带来了机遇，也带来了更多的挑战。

【作者简介】夏建兰，女，北京警察学院教师，主要作品有：《公安院校线上英语教学探讨》《浅析基层涉外警务困境与人才培养》《关于公安院校英语口语测试体系建设的几点思考》《浅谈大学英语听力自主学习策略应用——北京警察学院听力自主学习策略应用研究》和《公安院校大学生英语阅读现状分析和培养策略研究》等。

（责任编辑：古静）969059FC-4669-412F-A75E-32FDDE7C4FF0