What law protects my personal data in the UK?

Personal data in the UK is protected by the UK GDPR together with the Data Protection Act 2018, regulated by the Information Commissioner's Office (ICO). The Data (Use and Access) Act 2025 has introduced reforms that are being implemented in stages, including changes to complaints handling and automated decision-making and reconstituting the regulator as the Information Commission. Any organisation that processes your data is a 'controller' and must follow the data protection principles and respect your rights.

What are my data rights and what is a Subject Access Request?

Under UK GDPR Articles 12–22 you have rights to be informed, to access your data, to rectification, to erasure (the right to be forgotten), to restrict processing, to data portability, to object, and rights around solely automated decision-making. A Subject Access Request (SAR) is how you ask an organisation — such as an employer, bank, landlord, school, the Home Office or the NHS — for a copy of the personal data it holds about you, along with information about how and why it is processed.

Is a Subject Access Request free, and how long does it take?

A SAR is usually free, and the organisation must normally respond within one month, which can be extended by up to two further months for complex or numerous requests if they tell you. They can refuse or limit a response in some cases — for example if the request is manifestly unfounded or excessive, involves other people's data, is covered by legal professional privilege, or where an immigration exemption applies. You can make a SAR in writing or verbally and may need to prove your identity.

Can I claim compensation if my data is breached or misused?

Yes, potentially. Under Article 82 UK GDPR and section 168 of the Data Protection Act 2018 you can claim compensation for material damage (financial loss) and non-material damage, which expressly includes distress, caused by a breach of data protection law. Where private information has been wrongly disclosed or used, you may also bring the tort of misuse of private information (Campbell v MGN; Vidal-Hall v Google). The ICO does not pay compensation — you claim it through the courts, with the small claims court suitable for lower-value claims.

Can I get damages just for 'loss of control' of my data after Lloyd v Google?

No. In Lloyd v Google [2021] UKSC 50 the Supreme Court held that mere 'loss of control' of personal data is not by itself compensable; you must prove actual damage or distress on an individual basis. This also effectively halted opt-out representative (class) actions for data breaches. So a claim needs evidence of real financial loss or genuine distress for you specifically, not just the fact that a breach occurred.

Will a trivial breach like one misdirected email succeed?

Usually not. In Rolfe v Veale Wasbrough Vizards [2021] EWHC 2809 (QB) the court applied a de minimis threshold and rejected a claim arising from a trivial breach. While there is no high 'seriousness' bar for distress, the distress must be more than minimal, and the courts discourage small, low-value or mass data-breach claims. Be wary of claims-management companies advertising easy payouts, as many such claims fail and the firms take a cut.

What's the difference between complaining to the ICO and claiming compensation?

Complaining to the ICO is free: the regulator can investigate, issue enforcement notices, fine organisations and require them to put things right, but it does not pay you compensation. To obtain compensation you must bring a claim in the courts under Article 82 UK GDPR / section 168 DPA 2018 (and possibly misuse of private information), proving material loss or distress. It is usually best to complain to the organisation first, then the ICO, and to take legal advice before a compensation claim.

Someone is misusing my personal data but I don't know who — what can I do?

If private information about you has been disclosed or used by an anonymous person — for example posted online — you may have a claim for misuse of private information, and you can apply for a Norwich Pharmacal Order to require a platform, ISP or other third party to disclose the wrongdoer's identity so you can pursue them. Preserve evidence (screenshots, URLs, dates), consider an ICO complaint if a known organisation mishandled your data, and take legal advice on whether a compensation claim is worthwhile.

UK GDPR 与个人数据权利 / 索赔完整指南：数据主体权利、SAR 查阅、数据泄露、ICO 投诉与赔偿判例

📚 本文属于〈英国法律体系与免费帮助总览〉系列——该领域全部指南的总入口。

📌 Key Takeaways 核心要点
框架：英国个人数据由 UK GDPR + 《数据保护法 2018》（DPA 2018）规管，监管机构为 ICO（信息专员办公室）；2025 年的 《数据使用与获取法》（Data (Use and Access) Act 2025, DUAA）对其做了改革（分阶段实施，ICO 正改组为”Information Commission”）。
你的数据权利（UK GDPR 第 12–22 条）：知情、查阅（Subject Access Request, SAR）、更正、删除（”被遗忘权”）、限制处理、可携带、反对、以及对纯自动化决策的权利。
SAR 查阅你的数据：通常免费、机构须在1 个月内回复（复杂可延 2 个月）。可用于向雇主、银行、房东、学校、Home Office、NHS 索取它们持有的你的数据。
就个人数据可以索赔（这是法律重点）：依 UK GDPR 第 82 条 + DPA 2018 第 168 条，因违反数据保护法造成的财产损失与非财产损失（含 distress 精神困扰）均可索赔；私密信息被不当使用还可走“滥用私密信息（misuse of private information）”侵权（Campbell v MGN [2004] UKHL 22；Vidal-Hall v Google [2015] EWCA Civ 311）。
⚠️ 门槛与现实：Lloyd v Google [2021] UKSC 50——单纯”失去控制”不构成可赔损害，须逐人证明实际损失或困扰；Rolfe v Veale [2021]——琐碎泄露（如一封误发邮件）不予赔偿（de minimis）。法院不鼓励小额、批量”数据泄露索赔”——小心索赔公司的夸大宣传。
ICO 投诉 vs 法院索赔：ICO 免费，可调查、处罚机构，但不向你支付赔偿；要赔偿须自行向法院起诉（小额 / 县法院）。
数据泄露：机构若泄露且有风险，须72 小时内报 ICO、高风险时通知你；你应尽快查清泄露内容、改密码、防诈骗、留证据。
法域：UK GDPR / DPA 全英通行；下列侵权判例主要为英格兰法。

你的个人数据——姓名、地址、护照 / 签证信息、银行与就业记录、健康信息、网上言行——在英国受 UK GDPR 与 《数据保护法 2018》保护。你有权查阅、更正、删除这些数据；当机构滥用、泄露或拒不配合时，你可以向 ICO 投诉，并在符合条件时向法院索赔（含精神困扰赔偿）。

本文讲清数据保护框架、你的各项权利、如何用 SAR 拿到自己的数据、数据泄露怎么办、ICO 投诉，以及就个人数据提起法律索赔的依据、关键判例与现实门槛。

主要依据与机构：

UK GDPR（保留并修订的 EU GDPR）+ Data Protection Act 2018（DPA 2018）+ Data (Use and Access) Act 2025（DUAA，改革）
ICO（Information Commissioner’s Office）——监管者（ico.org.uk）
索赔：UK GDPR Art 82 + DPA 2018 s.168（非财产损失含 distress）；侵权法上的滥用私密信息 / 违反保密

一、UK GDPR 与 DPA 2018：框架

UK GDPR + DPA 2018 共同规管”个人数据（personal data）”的处理；特殊类别数据（special category，如健康、种族、政治、性取向等）保护更严（需 Art 9 条件）。
ICO 是独立监管者，可调查、发整改通知、处以巨额罚款；2025 年 DUAA 改革了部分规则（如”被认可的合法利益”、自动化决策、投诉处理流程），并将 ICO 改组为 Information Commission——细节分阶段实施，以 ico.org.uk 为准。
任何处理你数据的机构都是“控制者（controller）”，须遵守下列原则并尊重你的权利。

二、数据保护七项原则（UK GDPR Art 5）

原则	含义
合法、公平、透明	须有合法依据、公平并告知你
目的限制	只为明确、正当目的收集
数据最小化	只收集必要的
准确	保持准确、及时更正
存储限制	不超必要期限保存
完整与保密	妥善保护、防泄露
问责	能证明合规

三、你的数据权利（UK GDPR Art 12–22）

权利	说明
知情权	被告知谁、为何、如何处理你的数据（隐私政策）
查阅权（SAR）	索取机构持有的你的个人数据副本（见第四节）
更正权	更正不准确 / 补全不完整的数据
删除权	“被遗忘”——在特定条件下要求删除
限制处理	争议期间要求暂停处理
可携带权	以通用格式取得 / 转移你提供的数据
反对权	反对某些处理（如直销）
自动化决策	对纯自动化、有重大影响的决策有权要求人工介入

四、Subject Access Request（SAR）——怎么拿到你的数据

怎么做：向机构（雇主 / 银行 / 房东 / 学校 / Home Office / NHS 等）书面或口头提出（写明你要”个人数据副本 / Subject Access Request”），附身份证明；
免费 + 1 个月：通常免费，机构须在1 个月内回复（复杂或多项请求可再延 2 个月并告知）；
能拿到什么：它持有的关于你的个人数据、处理目的、来源、接收方等；
例外：可拒绝或部分提供——如请求”明显无依据或过分”、涉及他人数据、受法律专业特权保护、或适用移民豁免（immigration exemption）等；
移民数据注意：DPA 2018 设有”移民豁免”，可能限制就移民事务的查阅权（经法院挑战后增设保障）——涉移民数据建议咨询专业人士。

💡 SAR 是维权利器：劳资纠纷、被错误处理、想知道机构掌握你什么——先发 SAR 拿到证据。

五、数据泄露（data breach）——发生了怎么办

机构的义务：发生可能造成风险的泄露，控制者须在72 小时内报告 ICO；高风险时还须及时通知你。
你该做的：① 弄清泄露了哪些数据；② 立即改密码 / 开启双重验证；③ 警惕随之而来的诈骗 / 冒名（见诈骗应对）；④ 保留证据（通知信、时间、影响）；⑤ 评估是否投诉 ICO / 索赔。

六、向 ICO 投诉

对机构处理你数据的方式不满，可免费向 ICO 投诉（通常先向该机构投诉，未果再找 ICO）；
ICO 能做什么：调查、发整改 / 执法通知、处以罚款、要求机构改正；
⚠️ ICO 不向你支付赔偿——要赔偿须自行向法院索赔（见第七节）。

七、就个人数据提起法律索赔（赔偿）

这是很多人关心的”能不能告、能不能赔“。

路径	依据 / 内容
数据保护赔偿	UK GDPR Art 82 + DPA 2018 s.168：因违反数据保护法造成的财产损失与非财产损失（含 distress 精神困扰）可索赔
滥用私密信息（侵权）	私密信息被不当披露 / 使用——Campbell v MGN、Vidal-Hall v Google；可就 distress 索赔
违反保密 / 其他	视情形并行主张

怎么走： ICO 投诉不给赔偿 → 向法院起诉（金额低走小额索赔法庭，见小额法庭指南）；起诉前发正式催告函（letter before claim）；时效一般 6 年。

⚠️ 现实门槛（务必看）：① 须证明实际损失或够格的精神困扰——不能只主张”我的数据失控了”（Lloyd v Google）；② 琐碎泄露（如一封误发邮件）通常得不到赔偿（Rolfe v Veale，de minimis）；③ 法院不鼓励小额、批量数据索赔——警惕索赔公司的夸大宣传与抽成。

八、关键判例（你能否索赔、能拿多少）

判例	要点
Vidal-Hall v Google [2015] EWCA Civ 311	“滥用私密信息”是侵权；可仅就 distress 索赔（无需经济损失）
Lloyd v Google [2021] UKSC 50	单纯”失去控制“不构成可赔损害；须逐人证明损失 / 困扰；变相叫停 opt-out 集体索赔
Rolfe v Veale Wasbrough Vizards [2021] EWHC 2809 (QB)	de minimis：琐碎、轻微的泄露 / 困扰不予受理
Warren v DSG Retail [2021] EWHC 2168 (QB)	黑客泄露案中通常只能走 DPA 索赔（不能叠加保密 / 疏忽 / 滥用），影响费用与保险
Various Claimants v WM Morrisons [2020] UKSC 12	雇主对流氓员工泄露数据的替代责任——此案雇主不担责
TLT v Home Office [2016] EWHC 2217 (QB)	因数据被错误公开而获 distress 赔偿的示例

📌 综合：有真实损害 / 够格困扰的案子可索赔（distress 无需达到很高”严重性”门槛，但须高于 de minimis）；琐碎、无实际影响的难成立。

九、华人社区高频场景与陷阱

想拿就业 / 银行 / 移民 / NHS 数据 → 发 SAR（免费、1 个月）。
私照 / 私信被人发上网、被冒用 → 可走滥用私密信息索赔；不知对方是谁可用 Norwich Pharmacal 令揭开身份。
数据被泄露 → 随后被诈骗 → 改密码、防骗（见诈骗应对）、留证据、评估索赔。
移民数据 → 注意”移民豁免”可能限制查阅，涉移民事务先咨询。
收到”数据泄露索赔，轻松拿赔偿”广告 → 警惕：法院对琐碎索赔不友好（Lloyd / Rolfe），索赔公司常抽成。
银行 / 金融数据 → 也可并行投诉 FOS。
错过时限 → 一般 6 年，但越早越好（证据 / 困扰举证）。

常见问题（FAQ）

Q1. 英国哪部法律保护我的个人数据？

英国个人数据由 UK GDPR + 《数据保护法 2018》（DPA 2018）共同规管，监管者为 ICO（信息专员办公室）。2025 年的 《数据使用与获取法》（DUAA 2025）分阶段推出改革（含投诉处理、自动化决策，并将 ICO 改组为 Information Commission）。任何处理你数据的机构都是”控制者”，须遵守数据保护原则并尊重你的权利。

Q2. 我有哪些数据权利？什么是 SAR（查阅请求）？

依 UK GDPR 第 12–22 条，你有知情、查阅、更正、删除（被遗忘）、限制处理、可携带、反对，以及对纯自动化决策的权利。Subject Access Request（SAR）就是你向机构（雇主、银行、房东、学校、Home Office、NHS 等）索取它所持有的、关于你的个人数据副本，以及处理的目的与方式。

Q3. SAR 是免费的吗？多久回复？

通常免费，机构须在1 个月内回复；复杂或多项请求可再延最多 2 个月（须告知你）。如请求”明显无依据或过分”、涉及他人数据、受法律专业特权保护、或适用移民豁免，机构可拒绝或部分提供。SAR 可书面或口头提出，可能需证明身份。

Q4. 数据被泄露 / 滥用，我能索赔吗？

有可能。依 UK GDPR 第 82 条 + DPA 2018 第 168 条，因违反数据保护法造成的财产损失与非财产损失（含 distress 精神困扰）均可索赔；私密信息被不当披露 / 使用还可走滥用私密信息侵权（Campbell v MGN；Vidal-Hall v Google）。ICO 不付赔偿——赔偿须向法院起诉，金额低可走小额索赔法庭。

Q5. Lloyd v Google 之后，单凭”失去数据控制”能拿赔偿吗？

不能。Lloyd v Google [2021] UKSC 50 裁定单纯”失去控制”本身不构成可赔损害，须逐人证明实际损失或精神困扰；该案也变相叫停了 opt-out 集体（代表）数据索赔。因此索赔须有针对你个人的真实经济损失或够格困扰的证据，而非仅”发生了泄露”。

Q6. 像一封误发邮件这样的琐碎泄露能告赢吗？

通常不能。Rolfe v Veale Wasbrough Vizards [2021] EWHC 2809 (QB) 适用 de minimis（琐碎不究）门槛，驳回了源于轻微泄露的索赔。distress 虽无很高的”严重性”门槛，但须高于 de minimis；法院也不鼓励小额、批量数据索赔。警惕”轻松拿赔偿”的索赔公司广告——多数此类索赔失败且公司会抽成。

Q7. 向 ICO 投诉和向法院索赔有何区别？

ICO 投诉免费：监管者可调查、发执法通知、罚款、要求机构改正，但不向你支付赔偿。要拿赔偿，须依 UK GDPR 第 82 条 / DPA 2018 第 168 条（必要时加滥用私密信息）向法院起诉，并证明财产损失或困扰。一般先向机构投诉，未果再找 ICO；索赔前宜先咨询法律意见。

Q8. 有人在滥用我的个人数据，但我不知道是谁，怎么办？

若你的私密信息被匿名者披露 / 使用（如发上网），你可能可走滥用私密信息索赔，并申请 Norwich Pharmacal 令要求平台 / ISP 等第三方披露作恶者身份以便追究。请保全证据（截图、URL、时间）；若是已知机构处理不当，可考虑 ICO 投诉；是否值得索赔宜先咨询律师。

圆景基金会服务

圆景基金会（Circle Vision Foundation，慈善登记号 1209727）为在英华人提供信息性协助：

SAR 协助——起草向雇主 / 银行 / 机构索取数据的请求
维权路径判断——ICO 投诉 vs 法院索赔，是否值得
双语沟通——与机构 / ICO 沟通、起草投诉与催告函
泄露应对——查清泄露、防诈骗、证据保全
转介——数据保护 / 隐私律师，必要时配合 Norwich Pharmacal 令揪出匿名滥用者

联络方式：

邮箱：[email protected]
地址：5th Floor, 167-169 Great Portland Street, London, W1W 5PF
网站：circle-vision.org/contact-us

本文为信息性指南，不构成法律意见；数据索赔技术性强，个案请咨询数据保护 / 隐私律师或圆景基金会。

相关文章：

《Norwich Pharmacal 令指南》——揭开匿名滥用 / 泄露你数据者的身份
《网购 / 诈骗应对》——数据泄露后防诈骗
《英国反洗钱完整指南》——身份 / 资金数据的核查
《金融监察使（FOS）指南》——金融机构数据 / 投诉
《英国小额索赔法庭完整指南》——小额数据赔偿起诉
《英国投诉维权总览》——各类纠纷找谁

📌 法域 / 数据版本说明
适用范围：UK GDPR 与 DPA 2018 全英通行；侵权（滥用私密信息）判例主要为英格兰与威尔士；苏格兰 / 北爱法院程序不同。
数据版本：UK GDPR、DPA 2018、Data (Use and Access) Act 2025（分阶段实施）、Art 82 / s.168 赔偿、SAR 免费 1 个月、判例（Vidal-Hall；Lloyd v Google；Rolfe；Warren；Morrisons；TLT）——含截至 2026 年 6 月情况，以 ico.org.uk 为准。
本文非法律意见——数据索赔技术性强，个案请咨询律师或圆景基金会。

版本与责任：

法域：英国（UK-wide），侵权判例主要为 England and Wales
数据来源：ico.org.uk、legislation.gov.uk（DPA 2018、UK GDPR、DUAA 2025）、判例
本文最后核对日期：2026-06-17
发布主体：圆景基金会（Circle Vision Foundation，England & Wales 慈善登记号 1209727）
反馈与勘误：发现规则过时或事实错误？请邮件 [email protected]，我们将在 14 天内核实并修订。

这篇文章对您有帮助吗？ · Was this helpful?