《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 《個(gè)人信息保護(hù)法》與GDPR的個(gè)人信息權(quán)利對(duì)比

《個(gè)人信息保護(hù)法》與GDPR的個(gè)人信息權(quán)利對(duì)比

2021-08-28
來(lái)源: 中國(guó)信息安全

  個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利是個(gè)人參與個(gè)人信息保護(hù)的重要手段之一,,《個(gè)人信息保護(hù)法》對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利進(jìn)行了充分規(guī)定,。參考以《通用數(shù)據(jù)保護(hù)條例》(GDPR)為代表的國(guó)外個(gè)人信息保護(hù)立法,,我國(guó)《個(gè)人信息保護(hù)法》賦予個(gè)人的權(quán)利種類基本一致,。通過(guò)原則性條款明確了個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán),、決定權(quán),,以及有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理(第四十四條),;具體規(guī)定了查閱,、復(fù)制權(quán),,可攜帶權(quán)(第四十五條),,更正補(bǔ)充權(quán)(第四十六條),刪除權(quán)(第四十七條),,要求解釋權(quán)(第四十八條),。對(duì)于自然人死亡的,也明確了其近親屬行使相關(guān)權(quán)利的規(guī)定,。

  一,、知情權(quán)

  《個(gè)人信息保護(hù)法》第四十四條對(duì)此作了原則性規(guī)定,,明確個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)?!秱€(gè)人信息保護(hù)法》分別在第十七條,、第二十三條、第三十條針對(duì)具體要求進(jìn)行了細(xì)化,。第十七條規(guī)定個(gè)人信息處理者應(yīng)當(dāng)以顯著方式,、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確,、完整地向個(gè)人告知以下事項(xiàng):個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式,;個(gè)人信息的處理目的、處理方式,,處理的個(gè)人信息種類,、保存期限,;個(gè)人行使本法規(guī)定權(quán)利的方式和程序等,。第二十三條針對(duì)個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的情況,規(guī)定還應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名,、聯(lián)系方式,、處理目的、處理方式和個(gè)人信息的種類等內(nèi)容,。第三十條針對(duì)個(gè)人信息處理者處理敏感個(gè)人信息的,,規(guī)定還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。

  GDPR對(duì)“如何保障數(shù)據(jù)主體的知情權(quán)”提出了透明性以及形式上的要求,。根據(jù)GDPR的規(guī)定,,收集個(gè)人數(shù)據(jù)的方式分為兩種,一種是直接向數(shù)據(jù)主體收集,,另一種是通過(guò)其他渠道獲取個(gè)人數(shù)據(jù),。當(dāng)直接向數(shù)據(jù)主體收集個(gè)人數(shù)據(jù)時(shí),數(shù)據(jù)控制者應(yīng)當(dāng)告知數(shù)據(jù)主體的信息主要包括:控制者及法定代表人,、數(shù)據(jù)保護(hù)官(DPO)的身份,、聯(lián)系方式;個(gè)人數(shù)據(jù)的種類,;處理個(gè)人數(shù)據(jù)的目的和法律依據(jù),;是否向第三者或第三國(guó)轉(zhuǎn)移個(gè)人數(shù)據(jù)以及接收者的具體情況;數(shù)據(jù)的存儲(chǔ)期限等內(nèi)容,。當(dāng)通過(guò)其他渠道間接獲取個(gè)人數(shù)據(jù)時(shí),,數(shù)據(jù)控制者應(yīng)當(dāng)向數(shù)據(jù)主體告知以上信息(除法律或合同的必要性)外,還應(yīng)當(dāng)告知個(gè)人數(shù)據(jù)的具體來(lái)源信息,。且數(shù)據(jù)控制者需要在一個(gè)月內(nèi),、一次性將上述信息告知數(shù)據(jù)主體,。但在下列情況中,如果數(shù)據(jù)控制者是通過(guò)其他渠道間接獲取個(gè)人數(shù)據(jù)的,,則不需要履行信息告知的義務(wù),,主要包括:數(shù)據(jù)主體已經(jīng)知道了相關(guān)信息;數(shù)據(jù)控制者提供相關(guān)信息被證明是不可能或者需要投入過(guò)多不必要精力的,,尤其是在數(shù)據(jù)處理是出于實(shí)現(xiàn)公共利益,、科學(xué)研究、歷史研究等需要的情況下,;數(shù)據(jù)控制者所遵守的歐盟或成員國(guó)法律已經(jīng)對(duì)數(shù)據(jù)控制者獲取或披露個(gè)人數(shù)據(jù)的行為做了明確規(guī)定,;依據(jù)歐盟或成員國(guó)法律關(guān)于職業(yè)保密義務(wù)的規(guī)定,數(shù)據(jù)控制者必須對(duì)相關(guān)信息進(jìn)行保密,。

  二,、查閱復(fù)制權(quán)

  《個(gè)人信息保護(hù)法》第四十五條規(guī)定個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息,,個(gè)人請(qǐng)求查閱,、復(fù)制其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供,。但在下列情形中,,個(gè)人查閱復(fù)制權(quán)的行使受到限制:個(gè)人信息處理者處理個(gè)人信息,有法律,、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的,;國(guó)家機(jī)關(guān)履行法定職責(zé)處理個(gè)人信息,告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的,。

  GDPR第十五條規(guī)定了數(shù)據(jù)主體的訪問(wèn)權(quán),,即數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處知悉個(gè)人數(shù)據(jù)是否被處理。個(gè)人數(shù)據(jù)被處理的,,數(shù)據(jù)主體有權(quán)訪問(wèn)個(gè)人數(shù)據(jù)和以下信息:處理數(shù)據(jù)的目的,;相關(guān)個(gè)人數(shù)據(jù)的類別;向第三方披露個(gè)人數(shù)據(jù)的,,數(shù)據(jù)接收者的名稱或類別,;個(gè)人數(shù)據(jù)被存儲(chǔ)的預(yù)設(shè)期限;數(shù)據(jù)主體享有的權(quán)利內(nèi)容,;數(shù)據(jù)的來(lái)源等內(nèi)容,。

  三、更正補(bǔ)充權(quán)

  《個(gè)人信息保護(hù)法》第四十六條規(guī)定個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的,,有權(quán)請(qǐng)求個(gè)人信息處理者更正,、補(bǔ)充。個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的,,個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息予以核實(shí),,并及時(shí)更正、補(bǔ)充,。

  GDPR第十六條規(guī)定,,數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者立即更正個(gè)人數(shù)據(jù)的錯(cuò)誤,有權(quán)要求完善不完整的個(gè)人數(shù)據(jù),。數(shù)據(jù)控制者可以以補(bǔ)充聲明等方式對(duì)個(gè)人數(shù)據(jù)進(jìn)行更正完善,。

  四、刪除權(quán)

  《個(gè)人信息保護(hù)法》第四十七條規(guī)定了應(yīng)當(dāng)刪除個(gè)人信息的情形,,主要包括:處理目的已實(shí)現(xiàn),、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要;個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù),,或者保存期限已屆滿,;個(gè)人撤回同意;個(gè)人信息處理者違反法律,、行政法規(guī)或者違反約定處理個(gè)人信息,;法律、行政法規(guī)規(guī)定的其他情形,。在這些情形下,,個(gè)人信息處理者應(yīng)當(dāng)履行主動(dòng)刪除個(gè)人信息的義務(wù),,如果個(gè)人信息處理者未主動(dòng)刪除,,個(gè)人則可以行使權(quán)利要求個(gè)人信息處理者刪除個(gè)人信息。但該條同時(shí)明確,,法律,、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,,個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理,。

  GDPR第十七條規(guī)定數(shù)據(jù)主體可以行使權(quán)利,要求數(shù)據(jù)控制者立即刪除與其相關(guān)的個(gè)人數(shù)據(jù),,同時(shí)數(shù)據(jù)控制者也應(yīng)當(dāng)履行立即刪除的義務(wù),,行使刪除權(quán)的場(chǎng)景主要涉及:數(shù)據(jù)對(duì)于收集或處理時(shí)的目的已經(jīng)不再必要;數(shù)據(jù)主體撤回處理個(gè)人數(shù)據(jù)的同意,,且處理個(gè)人數(shù)據(jù)沒(méi)有其他合法性依據(jù),;數(shù)據(jù)主體行使了拒絕權(quán),且處理個(gè)人數(shù)據(jù)沒(méi)有其他合法性依據(jù),;個(gè)人數(shù)據(jù)被非法處理,;歐盟或成員國(guó)規(guī)定了數(shù)據(jù)控制者刪除個(gè)人數(shù)據(jù)的法定義務(wù);個(gè)人數(shù)據(jù)的收集涉及向兒童提供社會(huì)服務(wù)信息。上述情形中,,如果數(shù)據(jù)控制者已經(jīng)公開(kāi)了個(gè)人數(shù)據(jù),,在刪除個(gè)人數(shù)據(jù)后,還應(yīng)當(dāng)采取包括技術(shù)手段在內(nèi)的多種措施,,將數(shù)據(jù)主體要求刪除的個(gè)人數(shù)據(jù)的鏈接,、副本和備份等告知正在處理該個(gè)人數(shù)據(jù)的其他數(shù)據(jù)控制者。

  同時(shí),,GDPR也規(guī)定了刪除權(quán)行使的例外情形,,主要包括:涉及言論和信息自由權(quán)的行使;基于歐盟或成員國(guó)法定義務(wù)以及為公共利益而處理個(gè)人數(shù)據(jù)的,;出于公共健康領(lǐng)域的公共利益需要處理個(gè)人數(shù)據(jù),;為實(shí)現(xiàn)科學(xué)研究、歷史研究,、統(tǒng)計(jì)等目的而處理個(gè)人數(shù)據(jù),;為提起訴訟或應(yīng)訴處理個(gè)人數(shù)據(jù)。在這些情形中,,刪除權(quán)的行使受到限制,。

  根據(jù)規(guī)定,GDPR的刪除權(quán)也同時(shí)包括被遺忘權(quán)的內(nèi)容,,但國(guó)內(nèi)外對(duì)于被遺忘權(quán)的爭(zhēng)議較大,,我國(guó)《個(gè)人信息保護(hù)法》中并未做規(guī)定。

  五,、限制處理權(quán)

  《個(gè)人信息保護(hù)法》第四十四條規(guī)定個(gè)人有權(quán)限制他人對(duì)其個(gè)人信息進(jìn)行處理,。

  GDPR第十八條規(guī)定,發(fā)生下列情形,,數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者的處理行為:數(shù)據(jù)主體對(duì)個(gè)人數(shù)據(jù)的準(zhǔn)確性提出質(zhì)疑,,數(shù)據(jù)控制者需要時(shí)間進(jìn)行核實(shí);數(shù)據(jù)處理的行為違法,,但數(shù)據(jù)主體僅要求限制數(shù)據(jù)使用而非刪除其個(gè)人數(shù)據(jù),;數(shù)據(jù)控制者無(wú)需繼續(xù)處理個(gè)人數(shù)據(jù),但這些個(gè)人數(shù)據(jù)是數(shù)據(jù)主體提起訴訟或應(yīng)訴所必需,;數(shù)據(jù)主體根據(jù)規(guī)定行使了拒絕權(quán),,但尚未確認(rèn)數(shù)據(jù)控制者的數(shù)據(jù)處理理由是否優(yōu)于數(shù)據(jù)主體的利益。

  六,、可攜帶權(quán)

  《個(gè)人信息保護(hù)法》第四十五條規(guī)定,,個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者,符合國(guó)家網(wǎng)信部門(mén)規(guī)定條件的,,個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑,。

  GDPR第二十條規(guī)定,,如果數(shù)據(jù)主體向數(shù)據(jù)控制者提供了與其有關(guān)的個(gè)人數(shù)據(jù),那么在滿足下列情形時(shí),,數(shù)據(jù)主體有權(quán)從該數(shù)據(jù)控制者處獲取結(jié)構(gòu)化,、通用和可機(jī)讀的上述個(gè)人數(shù)據(jù):處理是基于數(shù)據(jù)主體的同意或者合同的約定進(jìn)行的;處理是通過(guò)自動(dòng)化方式進(jìn)行的,。原數(shù)據(jù)控制者不得阻礙數(shù)據(jù)主體將這些數(shù)據(jù)轉(zhuǎn)移給其他的數(shù)據(jù)控制者,。GDPR規(guī)定,可攜帶權(quán)的行使不得影響刪除權(quán)的行使,,不適用于為執(zhí)行公共任務(wù),、行使職權(quán)所進(jìn)行的數(shù)據(jù)處理,且不應(yīng)對(duì)他人的權(quán)利和自由產(chǎn)生不利影響,。

  2016年12月13日,,歐盟數(shù)據(jù)工作保護(hù)組公布了《數(shù)據(jù)可攜帶權(quán)指南》(以下稱《指南》),在2018年5月EDPB第一次全體會(huì)議上,,《指南》獲得了批準(zhǔn),。根據(jù)《指南》,在以下兩種情形中,,用戶數(shù)據(jù)可攜帶權(quán)的行使可能對(duì)他人的權(quán)利和自由造成不利影響:

  1,、請(qǐng)求可攜數(shù)據(jù)中包含有數(shù)據(jù)主體以外的第三人數(shù)據(jù)。用戶要求可攜的信息中往往會(huì)存在第三人的個(gè)人信息,,而第三人與新的數(shù)據(jù)控制者間卻沒(méi)有相關(guān)的約定安排,。據(jù)此,在應(yīng)數(shù)據(jù)主體要求傳輸包含第三人數(shù)據(jù)信息時(shí),,數(shù)據(jù)控制者應(yīng)注意以下幾點(diǎn):首先,,數(shù)據(jù)傳輸方不能拒絕傳輸所有含有第三人信息的數(shù)據(jù)。其次,,數(shù)據(jù)傳輸方需謹(jǐn)慎對(duì)待含有第三人信息的數(shù)據(jù),。最后,,數(shù)據(jù)接收方在應(yīng)數(shù)據(jù)主體要求接收數(shù)據(jù)時(shí)應(yīng)遵循最小化原則和合理目的原則,。

  2、請(qǐng)求可攜數(shù)據(jù)中包含他人的知識(shí)產(chǎn)權(quán)和商業(yè)秘密,?!吨改稀氛J(rèn)為,在可攜數(shù)據(jù)含有第三人商業(yè)秘密和知識(shí)產(chǎn)權(quán)的情形下,,應(yīng)刪除可能侵犯第三人權(quán)利的相關(guān)信息,。但是,《指南》同時(shí)強(qiáng)調(diào),,數(shù)據(jù)控制者不得以此為由拒絕向數(shù)據(jù)主體提供所有信息,,而是應(yīng)在不泄露第三人信息的情況下,盡可能地向數(shù)據(jù)主體提供其要求轉(zhuǎn)移的數(shù)據(jù)。

  七,、拒絕權(quán)

  《個(gè)人信息保護(hù)法》第四十四條規(guī)定個(gè)人有權(quán)拒絕他人對(duì)其個(gè)人信息進(jìn)行處理,。

  GDPR第二十一條規(guī)定,數(shù)據(jù)主體有權(quán)基于自身特殊情況,,隨時(shí)拒絕數(shù)據(jù)控制者依據(jù)自身職務(wù)權(quán)限,、第三方合法利益條款而實(shí)施的個(gè)人數(shù)據(jù)處理行為。除非數(shù)據(jù)控制者能夠證明處理數(shù)據(jù)的合法依據(jù)優(yōu)先于數(shù)據(jù)主體的利益或數(shù)據(jù)處理為提起訴訟或應(yīng)訴所必要,,否則數(shù)據(jù)控制者不得繼續(xù)處理個(gè)人數(shù)據(jù),。如果個(gè)人數(shù)據(jù)處理是用于直銷目的的,數(shù)據(jù)主體有權(quán)隨時(shí)拒絕處理行為,,且拒絕后,,該個(gè)人數(shù)據(jù)不應(yīng)繼續(xù)因此目的而被處理。但在以下情況中,,數(shù)據(jù)主體的拒絕權(quán)受到限制:數(shù)據(jù)控制者證明數(shù)據(jù)處理的合法性依據(jù)優(yōu)先于數(shù)據(jù)主體的利益或數(shù)據(jù)處理為提起訴訟或應(yīng)訴所必要(該條款不適用于為直銷目的處理個(gè)人數(shù)據(jù)),;數(shù)據(jù)處理是為執(zhí)行公眾利益所必須。

  除上述權(quán)利外,,《個(gè)人信息保護(hù)法》還規(guī)定了個(gè)人的決定權(quán),、請(qǐng)求解釋權(quán)。第四十四條原則性規(guī)定了個(gè)人對(duì)其個(gè)人信息的處理享有決定權(quán),。第四十八條規(guī)定,,個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說(shuō)明。GDPR中并沒(méi)有明確將這兩項(xiàng)權(quán)利作為個(gè)人信息處理活動(dòng)中的普遍性權(quán)利進(jìn)行規(guī)定,,但是針對(duì)自動(dòng)化處理行為明確了類似的要求,,如第二十二條規(guī)定數(shù)據(jù)主體有權(quán)不受僅基于自動(dòng)化處理行為得出的決定的制約,以避免對(duì)個(gè)人產(chǎn)生法律影響或與之相類似的顯著影響,,這種規(guī)定類似于個(gè)人的決定權(quán),。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]