中心解读 | 《个人信息保护法》与GDPR的个人信息权利对比
全文共计约4000字,细读时间约13分钟
作者介绍:刘耀华 中国信息通信研究院互联网法律研究中心高级研究员
一、知情权
《个人信息保护法》第四十四条对此作了原则性规定,明确个人对其个人信息的处理享有知情权。《个人信息保护法》分别在第十七条、第二十三条、第三十条针对具体要求进行了细化。第十七条规定个人信息处理者应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知以下事项:个人信息处理者的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序等。第二十三条针对个人信息处理者向其他个人信息处理者提供其处理的个人信息的情况,规定还应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类等内容。第三十条针对个人信息处理者处理敏感个人信息的,规定还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
GDPR对“如何保障数据主体的知情权”提出了透明性以及形式上的要求。根据GDPR的规定,收集个人数据的方式分为两种,一种是直接向数据主体收集,另一种是通过其他渠道获取个人数据。当直接向数据主体收集个人数据时,数据控制者应当告知数据主体的信息主要包括:控制者及法定代表人、数据保护官(DPO)的身份、联系方式;个人数据的种类;处理个人数据的目的和法律依据;是否向第三者或第三国转移个人数据以及接收者的具体情况;数据的存储期限等内容。当通过其他渠道间接获取个人数据时,数据控制者应当向数据主体告知以上信息(除法律或合同的必要性)外,还应当告知个人数据的具体来源信息。且数据控制者需要在一个月内、一次性将上述信息告知数据主体。但在下列情况中,如果数据控制者是通过其他渠道间接获取个人数据的,则不需要履行信息告知的义务,主要包括:数据主体已经知道了相关信息;数据控制者提供相关信息被证明是不可能或者需要投入过多不必要精力的,尤其是在数据处理是出于实现公共利益、科学研究、历史研究等需要的情况下;数据控制者所遵守的欧盟或成员国法律已经对数据控制者获取或披露个人数据的行为做了明确规定;依据欧盟或成员国法律关于职业保密义务的规定,数据控制者必须对相关信息进行保密。
二、查阅复制权
《个人信息保护法》第四十五条规定个人有权向个人信息处理者查阅、复制其个人信息,个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。但在下列情形中,个人查阅复制权的行使受到限制:个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的;国家机关履行法定职责处理个人信息,告知将妨碍国家机关履行法定职责的。
GDPR第十五条规定了数据主体的访问权,即数据主体有权从数据控制者处知悉个人数据是否被处理。个人数据被处理的,数据主体有权访问个人数据和以下信息:处理数据的目的;相关个人数据的类别;向第三方披露个人数据的,数据接收者的名称或类别;个人数据被存储的预设期限;数据主体享有的权利内容;数据的来源等内容。
三、更正补充权
《个人信息保护法》第四十六条规定个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
GDPR第十六条规定,数据主体有权要求数据控制者立即更正个人数据的错误,有权要求完善不完整的个人数据。数据控制者可以以补充声明等方式对个人数据进行更正完善。
四、删除权
《个人信息保护法》第四十七条规定了应当删除个人信息的情形,主要包括:处理目的已实现、无法实现或者为实现处理目的不再必要;个人信息处理者停止提供产品或者服务,或者保存期限已届满;个人撤回同意;个人信息处理者违反法律、行政法规或者违反约定处理个人信息;法律、行政法规规定的其他情形。在这些情形下,个人信息处理者应当履行主动删除个人信息的义务,如果个人信息处理者未主动删除,个人则可以行使权利要求个人信息处理者删除个人信息。但该条同时明确,法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
GDPR第十七条规定数据主体可以行使权利,要求数据控制者立即删除与其相关的个人数据,同时数据控制者也应当履行立即删除的义务,行使删除权的场景主要涉及:数据对于收集或处理时的目的已经不再必要;数据主体撤回处理个人数据的同意,且处理个人数据没有其他合法性依据;数据主体行使了拒绝权,且处理个人数据没有其他合法性依据;个人数据被非法处理;欧盟或成员国规定了数据控制者删除个人数据的法定义务;个人数据的收集涉及向儿童提供社会服务信息。上述情形中,如果数据控制者已经公开了个人数据,在删除个人数据后,还应当采取包括技术手段在内的多种措施,将数据主体要求删除的个人数据的链接、副本和备份等告知正在处理该个人数据的其他数据控制者。
同时,GDPR也规定了删除权行使的例外情形,主要包括:涉及言论和信息自由权的行使;基于欧盟或成员国法定义务以及为公共利益而处理个人数据的;出于公共健康领域的公共利益需要处理个人数据;为实现科学研究、历史研究、统计等目的而处理个人数据;为提起诉讼或应诉处理个人数据。在这些情形中,删除权的行使受到限制。
根据规定,GDPR的删除权也同时包括被遗忘权的内容,但国内外对于被遗忘权的争议较大,我国《个人信息保护法》中并未做规定。
五、限制处理权
《个人信息保护法》第四十四条规定个人有权限制他人对其个人信息进行处理。
GDPR第十八条规定,发生下列情形,数据主体有权限制数据控制者的处理行为:数据主体对个人数据的准确性提出质疑,数据控制者需要时间进行核实;数据处理的行为违法,但数据主体仅要求限制数据使用而非删除其个人数据;数据控制者无需继续处理个人数据,但这些个人数据是数据主体提起诉讼或应诉所必需;数据主体根据规定行使了拒绝权,但尚未确认数据控制者的数据处理理由是否优于数据主体的利益。
六、可携带权
《个人信息保护法》第四十五条规定,个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
GDPR第二十条规定,如果数据主体向数据控制者提供了与其有关的个人数据,那么在满足下列情形时,数据主体有权从该数据控制者处获取结构化、通用和可机读的上述个人数据:处理是基于数据主体的同意或者合同的约定进行的;处理是通过自动化方式进行的。原数据控制者不得阻碍数据主体将这些数据转移给其他的数据控制者。GDPR规定,可携带权的行使不得影响删除权的行使,不适用于为执行公共任务、行使职权所进行的数据处理,且不应对他人的权利和自由产生不利影响。
2016年12月13日,欧盟数据工作保护组公布了《数据可携带权指南》(以下称《指南》),在2018年5月EDPB第一次全体会议上,《指南》获得了批准。根据《指南》,在以下两种情形中,用户数据可携带权的行使可能对他人的权利和自由造成不利影响:
1、请求可携数据中包含有数据主体以外的第三人数据。用户要求可携的信息中往往会存在第三人的个人信息,而第三人与新的数据控制者间却没有相关的约定安排。据此,在应数据主体要求传输包含第三人数据信息时,数据控制者应注意以下几点:首先,数据传输方不能拒绝传输所有含有第三人信息的数据。其次,数据传输方需谨慎对待含有第三人信息的数据。最后,数据接收方在应数据主体要求接收数据时应遵循最小化原则和合理目的原则。
2、请求可携数据中包含他人的知识产权和商业秘密。《指南》认为,在可携数据含有第三人商业秘密和知识产权的情形下,应删除可能侵犯第三人权利的相关信息。但是,《指南》同时强调,数据控制者不得以此为由拒绝向数据主体提供所有信息,而是应在不泄露第三人信息的情况下,尽可能地向数据主体提供其要求转移的数据。
七、拒绝权
《个人信息保护法》第四十四条规定个人有权拒绝他人对其个人信息进行处理。
GDPR第二十一条规定,数据主体有权基于自身特殊情况,随时拒绝数据控制者依据自身职务权限、第三方合法利益条款而实施的个人数据处理行为。除非数据控制者能够证明处理数据的合法依据优先于数据主体的利益或数据处理为提起诉讼或应诉所必要,否则数据控制者不得继续处理个人数据。如果个人数据处理是用于直销目的的,数据主体有权随时拒绝处理行为,且拒绝后,该个人数据不应继续因此目的而被处理。但在以下情况中,数据主体的拒绝权受到限制:数据控制者证明数据处理的合法性依据优先于数据主体的利益或数据处理为提起诉讼或应诉所必要(该条款不适用于为直销目的处理个人数据);数据处理是为执行公众利益所必须。
除上述权利外,《个人信息保护法》还规定了个人的决定权、请求解释权。第四十四条原则性规定了个人对其个人信息的处理享有决定权。第四十八条规定,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。GDPR中并没有明确将这两项权利作为个人信息处理活动中的普遍性权利进行规定,但是针对自动化处理行为明确了类似的要求,如第二十二条规定数据主体有权不受仅基于自动化处理行为得出的决定的制约,以避免对个人产生法律影响或与之相类似的显著影响,这种规定类似于个人的决定权。
中心解读|《个人信息保护法》正式出台——中国走出第三条路(后附历次审议稿修改对照表)中心研究|十问十答看懂我国个人信息去标识化规则中心会议|《个人信息保护法(草案二次审议稿)》研讨会顺利召开中心研究|商务部《阻断办法》解读与“国际阻断立法”比较研究
中心研究|数据治理 |数据价值演变下的个人信息保护:反思与重构
域外观察|数字市场秩序 | 欧盟公布《数字服务法案》和《数字市场法案》,单一数字市场促进举措大力推进
中心研究|数据跨境流动 |RCEP迈出全球数据跨境流动规则体系构建重要一步
中心研究|未成年网络保护 | 《未成年人保护法》修订:十大制度亮点推动未成年人网络保护进入新阶段
域外观察|欧洲议会发表了《欧洲数字主权》报告
中心研究|关于美国实体清单制裁事件有关情况的梳理
全文翻译|新加坡发布《个人数据保护法(修订)》草案
全球跨境数据流动国际规则及立法趋势观察和思考
域外观察│美国制裁华为相关法律问题梳理中心研究│个人信息保护中的“用户同意”规则:问题与解决中心研究│人工智能发展与个人隐私保护问题