十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

十国/地区个人信息保护法十大合规要点大比对

本文是“十国/地区数据保护法十大合规要点对比”系列的第五部分，主要是围绕数据主体在个人信息处理活动中的权利进行解读、对比与分析。

第一部分请参见：十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

第二部分请参见：十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

第三部分请参见：十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

第四部分请参见：十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

第五部分：数据主体在个人信息处理活动中的权利

每个人都有权保护与他或她有关的个人信息或数据，对个人信息主体进行数据处理的，必须出于特定目的并在相关人员同意或法律规定等其他的合法基础的基础上进行，且数据处理的过程需要是公平的、平等的、自愿的。这样的权利会分为不同的类型，有包括维护数据主体尊严的权利，例如每个人都有权访问已收集的有关他或她的数据（知情权、访问权），并有权对其进行纠正（更正权）；有包括进行消极的控制数据使用的权利，例如删除权/被遗忘权、限制处理权/拒绝权等权利；也有包括对数据进行积极处理与控制的权利，例如数据转移权/可携带权等。

通过法律赋予数据主体在个人信息处理活动中的权利，是非常重要与关键的，这不仅意味着每个人都有权保护他们的个人信息，更体现了企业、个人在使用这些数据主体的个人信息时，更应以公平、合法、合规的方式进行处理和使用，并尊重每个人的个人信息权利。

（一）我国个人信息保护法解读：

我国个保法在借鉴海外优秀数据法律的同时，也结合了自己的特色，从八大个方面赋予了个人信息主体所享有的主体权利，并特别就数据主体行使个人权利的可触达途径，以及逝者在个人信息主体权利方面做了进一步的完善，使到我国个人信息保护的整体架构更为丰满.

01 知情权

个人信息主体对于自己的个人信息是如何被收集、使用、处理的进行充分的知悉和了解，是最为基础的权利，也与我国个保法要求企业、个人等信息处理者需要履行告知义务，获得用户的自愿明确的同意相辅相成。

企业在处理个人信息时，应通过明示个人信息保护政策让个人信息主体清晰地了解到有关个人信息处理的各项内容与规则，包括但不限于企业的主体身份、联系方式等基本情况、所收集的个人信息的具体类型与范围、个人信息的收集方式、存储期限、数据出境的处理规则、个人信息处理和使用的目的、使用方式与范围等等。

02 决定权

个人信息主体对自己的个人信息权利享有自主决定的权利是保护数据主体权利的核心内容，有权决定是否接受个人信息处理者对其个人信息的收集、使用和处理。企业在处理个人信息时应该对个人信息主体的决定权提供充分的保障，例如通过主动勾选同意协议、通过区分必要与附加业务功能来为个人信息主体提供是否选择接受服务功能等方式进行。

03 限制权

个人信息主体的限制权是决定权的延伸体现，例如个人信息主体有权要求企业、组织在收集个人信息的时候应当限于实现处理目的的最小范围，不得过度收集个人信息；有权要求企业、组织在处理个人信息的时候仅在已经告知和获得同意的限定范围内进行使用，如果超出已约定的范围或者超出合理合法的范围的，则需要另外再行告知与获得同意。

04 拒绝权

个人信息主体的拒绝权也可以理解为决定权的延伸体现，例如，对于不是非必需提供个人信息才能使用的某些业务功能，个人信息主体可以拒绝提供。我国四部门在2021年3月联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》进行了明确要求与呼应，明确规定了移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App基本功能服务。我国个保法也在个人信息处理规则中，通过要求个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务（但处理个人信息属于提供产品或者服务所必需的除外）来进一步保障了个人信息主体实现拒绝权的可能性。

05 查询、复制权

个人信息主体有权对自己被收集和处理的个人信息进行查看、访问与复制，但是也给出了豁免条款，例如企业、组织在处理个人信息时候被法律所要求应当进行保密或者不需要进行告知的情形。

本次个保法还特别新增了数据可携权，这个权利在此前的一审、二审稿中都没有体现过。该权利明确要求了当个人信息主体在请求将其个人信息转移到其指定的其他个人信息处理者的时候，如果也符合了网信办规定的条件的，则个人信息处理者应当为该个人主体提供转移的途径。

关于数据可携权在实操方面亦带来了很大的问题与争议，我们将可能在另外的文章中进行讨论，暂不在此展开。

06 更正、补充权

个人信息也会有一个动态的变化，赋予个人信息主体的修正、更改的权利非常重要，因为不准确、不完整的个人信息，不仅会对个人在生活、工作中造成影响，也会为企业在处理个人信息时候带来其他风险（特别是涉及征信、金融、医疗等敏感特殊领域与情况）。因此，在个人信息主体提出要求对自己的个人信息进行更正、补充或其他异议的时候，企业、组织等个人信息处理者应该及时进行回复、处理，核实个人信息的准确性，并对错误、不完整的信息进行及时的纠正与补充。

07 删除权

个人信息主体的删除权是数据主体权利保护方面的重要体现，在其他国家或地区可能也有不同的称呼，例如镲除权、被遗忘权（会有具体细微的区别）。

对比之前的草案，个保法在删除理由中新增了“处理目的无法实现”，同时还就个人信息处理者提供了关于删除权的救济保障的规定，即在个人信息主体要求行使删除权的时候，而实际上其他法律法规要求的保存期限尚未届满，或技术上存在很大困难的，则个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理，以作为对数据主体行使删除权而企业或组织等信息处理者又无法满足时候的救济。

同时，需要特别注意的是，原则上，在一些特别的情形下，个人信息处理者应当主动删除个人信息。如果个人信息处理者没有主动删除的，则我国个保法赋予了个人有权请求个人信息处理者进行删除。因此，作为企业，在处理用户个人信息时候，应特别注意这些情形：

处理目的已实现、无法实现或者为实现处理目的不再必要；

个人信息处理者停止提供产品或者服务，或者保存期限已届满；

个人撤回同意；

个人信息处理者违反法律、行政法规或者违反约定处理个人信息；

法律、行政法规规定的其他情形。

08 解释说明权

如前所述，企业应当向用户明确告知个人信息的处理规则以及相关的各项内容，这是对个人信息主体的各项权利的有效保障，因此，个保法赋予了个人信息主体有权请求企业对其个人信息处理规则进行解释说明的权利，当个人提起该要求时，作为个人信息处理者的企业、组织应该进行及时的反馈与答复。

09 关于逝者个人信息的近亲属继承权

这也是本次个保法新增的亮点内容之一。从全球角度来看，法律对于逝者的个人信息保护与隐私权保护，很多国家还在不断探索中，有部分国家有明确的立法规定，例如美国HIPPA对逝者在医疗方面的隐私保护。

我国个保法也为逝者的个人信息保护提供了一定程度的保护，在自然人死亡情况下，当该逝者的近亲属是为了自身的合法、正当利益的，其近亲属可以对逝者的相关个人信息行使包括个保法规定的查阅、复制权、更正权、删除权等相关权利，但如果逝者在生前通过协议、约定等方式另有安排的除外。

可见，逝者近亲属行使的逝者数据主体权利的法定基础是明确的，包括合法、正当、或遵从逝者生前的安排等。同时，对于可以行使的权利类型也给出了较为明确的规定，包括查阅权、复制权、更正权和删除权等可以由近亲属等继承人实现的权利。

10 行使个人权利的途径

如果没有个人权利有效的实现途径，上述个人信息主体的权利将会仅是纸上谈兵。

因此我国个保法，特别在本章的最后，增加并明确要求企业、组织等个人信息处理者应当建立便捷的、可真正触达的、方便用户（个人信息主体）行使数据主体权利的途径，包括申请受理途径和具体可落地的处理机制。

同时，明确要求企业、组织等个人信息处理者在拒绝个人行使权利的请求的，应当明确说明其具体的理由。在遭受个人信息处理者拒绝行使数据主体权利请求的的时候，用户个人有权向法院提起诉讼，以获得有效的司法救济。

（二）海外主要个人信息保护法律对比：

总体来说

各国数据保护法律在个人信息主体权利方面的保护还是比较充分的，特别是在知情权、访问权、更正权、删除权等最为核心基础权利的保障上。随着数据保护法律的不断迭代更新与发展，个人信息主体的权利将会得到更为有效、完善的法律保障。

作者介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：

夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

爱尔兰数据保护委员会：Facebook5.33亿用户数据泄露

欧盟委员会提出AI专门立法提案