《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 《個人信息保護(hù)法》與GDPR的個人信息權(quán)利對比

《個人信息保護(hù)法》與GDPR的個人信息權(quán)利對比

2021-08-28
來源: 中國信息安全
關(guān)鍵詞: 個人信息保護(hù)法 GDPR

  個人在個人信息處理活動中的權(quán)利是個人參與個人信息保護(hù)的重要手段之一,《個人信息保護(hù)法》對個人在個人信息處理活動中的權(quán)利進(jìn)行了充分規(guī)定,。參考以《通用數(shù)據(jù)保護(hù)條例》(GDPR)為代表的國外個人信息保護(hù)立法,,我國《個人信息保護(hù)法》賦予個人的權(quán)利種類基本一致。通過原則性條款明確了個人對其個人信息的處理享有知情權(quán),、決定權(quán),以及有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理(第四十四條);具體規(guī)定了查閱,、復(fù)制權(quán),可攜帶權(quán)(第四十五條),,更正補(bǔ)充權(quán)(第四十六條),,刪除權(quán)(第四十七條),要求解釋權(quán)(第四十八條),。對于自然人死亡的,,也明確了其近親屬行使相關(guān)權(quán)利的規(guī)定。

  一,、知情權(quán)

  《個人信息保護(hù)法》第四十四條對此作了原則性規(guī)定,,明確個人對其個人信息的處理享有知情權(quán)?!秱€人信息保護(hù)法》分別在第十七條,、第二十三條、第三十條針對具體要求進(jìn)行了細(xì)化,。第十七條規(guī)定個人信息處理者應(yīng)當(dāng)以顯著方式,、清晰易懂的語言真實、準(zhǔn)確,、完整地向個人告知以下事項:個人信息處理者的名稱或者姓名和聯(lián)系方式,;個人信息的處理目的、處理方式,,處理的個人信息種類,、保存期限;個人行使本法規(guī)定權(quán)利的方式和程序等,。第二十三條針對個人信息處理者向其他個人信息處理者提供其處理的個人信息的情況,,規(guī)定還應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式,、處理目的,、處理方式和個人信息的種類等內(nèi)容。第三十條針對個人信息處理者處理敏感個人信息的,,規(guī)定還應(yīng)當(dāng)向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響,。

  GDPR對“如何保障數(shù)據(jù)主體的知情權(quán)”提出了透明性以及形式上的要求。根據(jù)GDPR的規(guī)定,,收集個人數(shù)據(jù)的方式分為兩種,,一種是直接向數(shù)據(jù)主體收集,,另一種是通過其他渠道獲取個人數(shù)據(jù)。當(dāng)直接向數(shù)據(jù)主體收集個人數(shù)據(jù)時,,數(shù)據(jù)控制者應(yīng)當(dāng)告知數(shù)據(jù)主體的信息主要包括:控制者及法定代表人,、數(shù)據(jù)保護(hù)官(DPO)的身份、聯(lián)系方式,;個人數(shù)據(jù)的種類,;處理個人數(shù)據(jù)的目的和法律依據(jù);是否向第三者或第三國轉(zhuǎn)移個人數(shù)據(jù)以及接收者的具體情況,;數(shù)據(jù)的存儲期限等內(nèi)容,。當(dāng)通過其他渠道間接獲取個人數(shù)據(jù)時,數(shù)據(jù)控制者應(yīng)當(dāng)向數(shù)據(jù)主體告知以上信息(除法律或合同的必要性)外,,還應(yīng)當(dāng)告知個人數(shù)據(jù)的具體來源信息,。且數(shù)據(jù)控制者需要在一個月內(nèi)、一次性將上述信息告知數(shù)據(jù)主體,。但在下列情況中,如果數(shù)據(jù)控制者是通過其他渠道間接獲取個人數(shù)據(jù)的,,則不需要履行信息告知的義務(wù),,主要包括:數(shù)據(jù)主體已經(jīng)知道了相關(guān)信息;數(shù)據(jù)控制者提供相關(guān)信息被證明是不可能或者需要投入過多不必要精力的,,尤其是在數(shù)據(jù)處理是出于實現(xiàn)公共利益,、科學(xué)研究、歷史研究等需要的情況下,;數(shù)據(jù)控制者所遵守的歐盟或成員國法律已經(jīng)對數(shù)據(jù)控制者獲取或披露個人數(shù)據(jù)的行為做了明確規(guī)定,;依據(jù)歐盟或成員國法律關(guān)于職業(yè)保密義務(wù)的規(guī)定,數(shù)據(jù)控制者必須對相關(guān)信息進(jìn)行保密,。

  二,、查閱復(fù)制權(quán)

  《個人信息保護(hù)法》第四十五條規(guī)定個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息,,個人請求查閱,、復(fù)制其個人信息的,個人信息處理者應(yīng)當(dāng)及時提供,。但在下列情形中,,個人查閱復(fù)制權(quán)的行使受到限制:個人信息處理者處理個人信息,有法律,、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,;國家機(jī)關(guān)履行法定職責(zé)處理個人信息,告知將妨礙國家機(jī)關(guān)履行法定職責(zé)的,。

  GDPR第十五條規(guī)定了數(shù)據(jù)主體的訪問權(quán),,即數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處知悉個人數(shù)據(jù)是否被處理,。個人數(shù)據(jù)被處理的,數(shù)據(jù)主體有權(quán)訪問個人數(shù)據(jù)和以下信息:處理數(shù)據(jù)的目的,;相關(guān)個人數(shù)據(jù)的類別,;向第三方披露個人數(shù)據(jù)的,數(shù)據(jù)接收者的名稱或類別,;個人數(shù)據(jù)被存儲的預(yù)設(shè)期限,;數(shù)據(jù)主體享有的權(quán)利內(nèi)容;數(shù)據(jù)的來源等內(nèi)容,。

  三,、更正補(bǔ)充權(quán)

  《個人信息保護(hù)法》第四十六條規(guī)定個人發(fā)現(xiàn)其個人信息不準(zhǔn)確或者不完整的,有權(quán)請求個人信息處理者更正,、補(bǔ)充,。個人請求更正、補(bǔ)充其個人信息的,,個人信息處理者應(yīng)當(dāng)對其個人信息予以核實,,并及時更正、補(bǔ)充,。

  GDPR第十六條規(guī)定,,數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者立即更正個人數(shù)據(jù)的錯誤,有權(quán)要求完善不完整的個人數(shù)據(jù),。數(shù)據(jù)控制者可以以補(bǔ)充聲明等方式對個人數(shù)據(jù)進(jìn)行更正完善,。

  四、刪除權(quán)

  《個人信息保護(hù)法》第四十七條規(guī)定了應(yīng)當(dāng)刪除個人信息的情形,,主要包括:處理目的已實現(xiàn),、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要;個人信息處理者停止提供產(chǎn)品或者服務(wù),,或者保存期限已屆滿,;個人撤回同意;個人信息處理者違反法律,、行政法規(guī)或者違反約定處理個人信息,;法律、行政法規(guī)規(guī)定的其他情形,。在這些情形下,,個人信息處理者應(yīng)當(dāng)履行主動刪除個人信息的義務(wù),如果個人信息處理者未主動刪除,,個人則可以行使權(quán)利要求個人信息處理者刪除個人信息,。但該條同時明確,法律、行政法規(guī)規(guī)定的保存期限未屆滿,,或者刪除個人信息從技術(shù)上難以實現(xiàn)的,,個人信息處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護(hù)措施之外的處理。

  GDPR第十七條規(guī)定數(shù)據(jù)主體可以行使權(quán)利,,要求數(shù)據(jù)控制者立即刪除與其相關(guān)的個人數(shù)據(jù),,同時數(shù)據(jù)控制者也應(yīng)當(dāng)履行立即刪除的義務(wù),行使刪除權(quán)的場景主要涉及:數(shù)據(jù)對于收集或處理時的目的已經(jīng)不再必要,;數(shù)據(jù)主體撤回處理個人數(shù)據(jù)的同意,,且處理個人數(shù)據(jù)沒有其他合法性依據(jù);數(shù)據(jù)主體行使了拒絕權(quán),,且處理個人數(shù)據(jù)沒有其他合法性依據(jù),;個人數(shù)據(jù)被非法處理;歐盟或成員國規(guī)定了數(shù)據(jù)控制者刪除個人數(shù)據(jù)的法定義務(wù),;個人數(shù)據(jù)的收集涉及向兒童提供社會服務(wù)信息,。上述情形中,如果數(shù)據(jù)控制者已經(jīng)公開了個人數(shù)據(jù),,在刪除個人數(shù)據(jù)后,,還應(yīng)當(dāng)采取包括技術(shù)手段在內(nèi)的多種措施,將數(shù)據(jù)主體要求刪除的個人數(shù)據(jù)的鏈接,、副本和備份等告知正在處理該個人數(shù)據(jù)的其他數(shù)據(jù)控制者,。

  同時,GDPR也規(guī)定了刪除權(quán)行使的例外情形,,主要包括:涉及言論和信息自由權(quán)的行使,;基于歐盟或成員國法定義務(wù)以及為公共利益而處理個人數(shù)據(jù)的,;出于公共健康領(lǐng)域的公共利益需要處理個人數(shù)據(jù),;為實現(xiàn)科學(xué)研究、歷史研究,、統(tǒng)計等目的而處理個人數(shù)據(jù),;為提起訴訟或應(yīng)訴處理個人數(shù)據(jù)。在這些情形中,,刪除權(quán)的行使受到限制,。

  根據(jù)規(guī)定,GDPR的刪除權(quán)也同時包括被遺忘權(quán)的內(nèi)容,,但國內(nèi)外對于被遺忘權(quán)的爭議較大,,我國《個人信息保護(hù)法》中并未做規(guī)定。

  五,、限制處理權(quán)

  《個人信息保護(hù)法》第四十四條規(guī)定個人有權(quán)限制他人對其個人信息進(jìn)行處理,。

  GDPR第十八條規(guī)定,發(fā)生下列情形,數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者的處理行為:數(shù)據(jù)主體對個人數(shù)據(jù)的準(zhǔn)確性提出質(zhì)疑,,數(shù)據(jù)控制者需要時間進(jìn)行核實,;數(shù)據(jù)處理的行為違法,但數(shù)據(jù)主體僅要求限制數(shù)據(jù)使用而非刪除其個人數(shù)據(jù),;數(shù)據(jù)控制者無需繼續(xù)處理個人數(shù)據(jù),,但這些個人數(shù)據(jù)是數(shù)據(jù)主體提起訴訟或應(yīng)訴所必需;數(shù)據(jù)主體根據(jù)規(guī)定行使了拒絕權(quán),,但尚未確認(rèn)數(shù)據(jù)控制者的數(shù)據(jù)處理理由是否優(yōu)于數(shù)據(jù)主體的利益,。

  六、可攜帶權(quán)

  《個人信息保護(hù)法》第四十五條規(guī)定,,個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者,,符合國家網(wǎng)信部門規(guī)定條件的,個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑,。

  GDPR第二十條規(guī)定,,如果數(shù)據(jù)主體向數(shù)據(jù)控制者提供了與其有關(guān)的個人數(shù)據(jù),那么在滿足下列情形時,,數(shù)據(jù)主體有權(quán)從該數(shù)據(jù)控制者處獲取結(jié)構(gòu)化,、通用和可機(jī)讀的上述個人數(shù)據(jù):處理是基于數(shù)據(jù)主體的同意或者合同的約定進(jìn)行的;處理是通過自動化方式進(jìn)行的,。原數(shù)據(jù)控制者不得阻礙數(shù)據(jù)主體將這些數(shù)據(jù)轉(zhuǎn)移給其他的數(shù)據(jù)控制者,。GDPR規(guī)定,可攜帶權(quán)的行使不得影響刪除權(quán)的行使,,不適用于為執(zhí)行公共任務(wù),、行使職權(quán)所進(jìn)行的數(shù)據(jù)處理,且不應(yīng)對他人的權(quán)利和自由產(chǎn)生不利影響,。

  2016年12月13日,,歐盟數(shù)據(jù)工作保護(hù)組公布了《數(shù)據(jù)可攜帶權(quán)指南》(以下稱《指南》),在2018年5月EDPB第一次全體會議上,,《指南》獲得了批準(zhǔn),。根據(jù)《指南》,在以下兩種情形中,,用戶數(shù)據(jù)可攜帶權(quán)的行使可能對他人的權(quán)利和自由造成不利影響:

  1,、請求可攜數(shù)據(jù)中包含有數(shù)據(jù)主體以外的第三人數(shù)據(jù)。用戶要求可攜的信息中往往會存在第三人的個人信息,,而第三人與新的數(shù)據(jù)控制者間卻沒有相關(guān)的約定安排,。據(jù)此,在應(yīng)數(shù)據(jù)主體要求傳輸包含第三人數(shù)據(jù)信息時,,數(shù)據(jù)控制者應(yīng)注意以下幾點:首先,,數(shù)據(jù)傳輸方不能拒絕傳輸所有含有第三人信息的數(shù)據(jù),。其次,數(shù)據(jù)傳輸方需謹(jǐn)慎對待含有第三人信息的數(shù)據(jù),。最后,,數(shù)據(jù)接收方在應(yīng)數(shù)據(jù)主體要求接收數(shù)據(jù)時應(yīng)遵循最小化原則和合理目的原則。

  2,、請求可攜數(shù)據(jù)中包含他人的知識產(chǎn)權(quán)和商業(yè)秘密,。《指南》認(rèn)為,,在可攜數(shù)據(jù)含有第三人商業(yè)秘密和知識產(chǎn)權(quán)的情形下,,應(yīng)刪除可能侵犯第三人權(quán)利的相關(guān)信息。但是,,《指南》同時強(qiáng)調(diào),,數(shù)據(jù)控制者不得以此為由拒絕向數(shù)據(jù)主體提供所有信息,而是應(yīng)在不泄露第三人信息的情況下,,盡可能地向數(shù)據(jù)主體提供其要求轉(zhuǎn)移的數(shù)據(jù),。

  七、拒絕權(quán)

  《個人信息保護(hù)法》第四十四條規(guī)定個人有權(quán)拒絕他人對其個人信息進(jìn)行處理,。

  GDPR第二十一條規(guī)定,,數(shù)據(jù)主體有權(quán)基于自身特殊情況,隨時拒絕數(shù)據(jù)控制者依據(jù)自身職務(wù)權(quán)限,、第三方合法利益條款而實施的個人數(shù)據(jù)處理行為,。除非數(shù)據(jù)控制者能夠證明處理數(shù)據(jù)的合法依據(jù)優(yōu)先于數(shù)據(jù)主體的利益或數(shù)據(jù)處理為提起訴訟或應(yīng)訴所必要,否則數(shù)據(jù)控制者不得繼續(xù)處理個人數(shù)據(jù),。如果個人數(shù)據(jù)處理是用于直銷目的的,,數(shù)據(jù)主體有權(quán)隨時拒絕處理行為,且拒絕后,,該個人數(shù)據(jù)不應(yīng)繼續(xù)因此目的而被處理,。但在以下情況中,數(shù)據(jù)主體的拒絕權(quán)受到限制:數(shù)據(jù)控制者證明數(shù)據(jù)處理的合法性依據(jù)優(yōu)先于數(shù)據(jù)主體的利益或數(shù)據(jù)處理為提起訴訟或應(yīng)訴所必要(該條款不適用于為直銷目的處理個人數(shù)據(jù)),;數(shù)據(jù)處理是為執(zhí)行公眾利益所必須,。

  除上述權(quán)利外,,《個人信息保護(hù)法》還規(guī)定了個人的決定權(quán),、請求解釋權(quán)。第四十四條原則性規(guī)定了個人對其個人信息的處理享有決定權(quán),。第四十八條規(guī)定,,個人有權(quán)要求個人信息處理者對其個人信息處理規(guī)則進(jìn)行解釋說明。GDPR中并沒有明確將這兩項權(quán)利作為個人信息處理活動中的普遍性權(quán)利進(jìn)行規(guī)定,,但是針對自動化處理行為明確了類似的要求,,如第二十二條規(guī)定數(shù)據(jù)主體有權(quán)不受僅基于自動化處理行為得出的決定的制約,以避免對個人產(chǎn)生法律影響或與之相類似的顯著影響,這種規(guī)定類似于個人的決定權(quán),。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]