英国数据监管机构因忽视投诉遭到法律威胁

英国隐私维权组织Good Law Project（GLP）和Open Rights Group（ORG）向英国数据监管机构信息专员办公室（ICO）发出法律行动威胁，指控其长期"搁置"来自公众的大量数据保护投诉，并对其新推出的投诉处理框架提出强烈质疑。

根据英国《通用数据保护条例》（UK GDPR），ICO负有依法执行数据保护规定、调查投诉的法律义务。然而，尽管仅在2025年就收到了近4万件投诉，该机构最终发出的罚款却寥寥无几。

GLP与ORG指出，这已形成一种固定模式：过去六年间，ICO共收到超过22万件投诉，但平均每年发出的罚款还不到7次。两个组织认为，这种状况为企业违反数据保护规定提供了"几乎不受惩罚"的土壤。

在此背景下，ICO于2026年2月5日发布了新的投诉处理框架，进一步引发外界担忧。该框架依据"危害程度"对投诉进行分级处理，ICO称此举有助于"将有限资源集中在能产生最大影响的领域"。除危害程度外，框架还将考量以下因素：对弱势群体的影响、受波及人数、投诉议题与监管战略优先事项的相关性，以及公众的整体利益。

该框架的出台，是英国《数据使用与访问法》（DUAA）推动数据保护法律改革的结果之一，相关法规要求组织在2026年6月19日前建立数据保护投诉处理机制。

然而，GLP和ORG批评指出，一旦ICO认定某项投诉的危害程度属于"低度"或"中度"，该投诉将被自动归档为"仅供参考"，既不展开调查，也不追究相关企业责任。两个组织警告，若绝大多数数据保护违规行为都不产生任何后果，UK GDPR实际上将沦为一种"可选项"，公众要么被迫默许企业侵犯其隐私权，要么独自承担高昂的诉讼成本。

在由Mischon de Raya律师事务所数据保护律师协助起草的诉前函中，GLP和ORG明确指出，ICO的投诉处理框架与UK GDPR对个人数据高水平保护的立法目标存在"明显矛盾"。

诉前函写道："可以预见，在该框架的实际运作下，大量投诉将被分类归档，仅供信息记录，而永远不会进入正式调查环节。"函件还指出，"分类归档"与"正式调查"之间存在本质区别，这一区分使新框架无法满足UK GDPR的部分核心要求；该框架还削弱了立法层面设立的投诉机制，并将妨碍ICO在发现违规行为后依法采取"纠正措施"。

对此，ICO回应称，其初步筛选与分类程序在法律层面已构成"调查"，并坚持认为其对资源调配拥有"专属自由裁量权"。

Good Law Project技术与数据负责人邓肯·麦坎（Duncan McCann）批评称，ICO的新框架清楚表明，该机构"从未真正打算保护公众的数据权利"。

"ICO终于把一直不愿明说的话说出来了，"麦坎表示，"除非你面临严重且持续的伤害，否则监管机构只会把你的投诉扔进数字垃圾桶。这让我们每一个人都暴露在那些随意处置我们数据的不良企业的风险之下。"

GLP同时强调，"把投诉塞进数字档案柜，不过是一种走过场的官僚行为，根本谈不上对事实进行有意义的评估"，并表示若ICO继续以现行框架"逃避对有效投诉的处理"，将采取法律行动。

ICO方面回应称："我们收到的投诉量已创历史新高，因此必须在处理方式上保持战略性，将有限资源集中在危害风险最高、我们的介入能产生最大影响的投诉上。我们去年就拟议中的新方案征询了公众意见，为各方提供了反馈和参与塑造最终框架的机会。我们将继续致力于为每一位用户提供适当、及时的回应，同时推动各机构切实履行数据保护合规义务。"

值得注意的是，ICO此前于2026年4月就曾因迟迟未就内政部电子签证（eVisa）系统可能存在的数据保护违规问题启动正式调查而遭受批评。数字权利团体指出，该系统存在大量数据质量和完整性错误，导致用户无法可靠证明其移民身份。

Computer Weekly曾独家报道一起相关案例：由于内政部所持数据错误严重，ICO此前已认定存在违反UK GDPR的情况。当事人表示，由于eVisa系统持续出现技术故障，其账户近半年来一直显示已过期的学生签证，而非最新的配偶签证，且护照信息亦存在错误。

在一场针对该系统、最终被驳回的司法审查程序中披露的数据显示：2025年4月至10月间，公众共向内政部提交了116,011件eVisa查询，其中81,461件（占70.2%）与随后需要处理的错误直接相关。

Q&A

Q1：ICO的新投诉处理框架具体是怎么运作的？

A：ICO于2026年2月发布的新框架依据"危害程度"对投诉进行分级。若投诉被评定为低度或中度危害，将自动归档为"仅供参考"，不展开调查，也不追究相关企业责任。此外，框架还考量对弱势群体的影响、受波及人数、投诉与监管战略优先事项的相关性等因素。批评者认为，这实际上让大多数数据保护违规行为逃脱了任何实质性追责。

Q2：过去六年ICO在处理数据保护投诉方面的表现如何？

A：根据GLP和ORG的统计，过去六年间ICO共收到超过22万件数据保护投诉，但平均每年发出的罚款不足7次。仅2025年一年，ICO就收到近4万件投诉，最终却只处罚了极少数案例。批评者认为，这种低执法率为企业违规提供了温床，实质上使UK GDPR形同虚设。

Q3：GLP和ORG计划采取什么行动来应对ICO的做法？

A：GLP和ORG已通过Mischon de Raya律师事务所向ICO发出正式诉前函，指出其新投诉处理框架与UK GDPR的立法目标相悖，并明确表示若ICO继续以现行框架逃避对有效投诉的处理，将正式提起法律诉讼。两个组织的核心诉求是，ICO应切实履行调查义务，而非以分级归档取代实质性审查。