第五部分：數(shù)據(jù)主體在個人信息處理活動中的權利

　　每個人都有權保護與他或她有關的個人信息或數(shù)據(jù)，對個人信息主體進行數(shù)據(jù)處理的，必須出于特定目的并在相關人員同意或法律規(guī)定等其他的合法基礎的基礎上進行，且數(shù)據(jù)處理的過程需要是公平的、平等的、自愿的。這樣的權利會分為不同的類型，有包括維護數(shù)據(jù)主體尊嚴的權利，例如每個人都有權訪問已收集的有關他或她的數(shù)據(jù)（知情權、訪問權），并有權對其進行糾正（更正權）；有包括進行消極的控制數(shù)據(jù)使用的權利，例如刪除權/被遺忘權、限制處理權/拒絕權等權利；也有包括對數(shù)據(jù)進行積極處理與控制的權利，例如數(shù)據(jù)轉移權/可攜帶權等。

　　通過法律賦予數(shù)據(jù)主體在個人信息處理活動中的權利，是非常重要與關鍵的，這不僅意味著每個人都有權保護他們的個人信息，更體現(xiàn)了企業(yè)、個人在使用這些數(shù)據(jù)主體的個人信息時，更應以公平、合法、合規(guī)的方式進行處理和使用，并尊重每個人的個人信息權利。

　?。ㄒ唬┪覈鴤€人信息保護法解讀：

　　我國個保法在借鑒海外優(yōu)秀數(shù)據(jù)法律的同時，也結合了自己的特色，從八大個方面賦予了個人信息主體所享有的主體權利，并特別就數(shù)據(jù)主體行使個人權利的可觸達途徑，以及逝者在個人信息主體權利方面做了進一步的完善，使到我國個人信息保護的整體架構更為豐滿。

　　01 知情權

　　個人信息主體對于自己的個人信息是如何被收集、使用、處理的進行充分的知悉和了解，是最為基礎的權利，也與我國個保法要求企業(yè)、個人等信息處理者需要履行告知義務，獲得用戶的自愿明確的同意相輔相成。

　　企業(yè)在處理個人信息時，應通過明示個人信息保護政策讓個人信息主體清晰地了解到有關個人信息處理的各項內容與規(guī)則，包括但不限于企業(yè)的主體身份、聯(lián)系方式等基本情況、所收集的個人信息的具體類型與范圍、個人信息的收集方式、存儲期限、數(shù)據(jù)出境的處理規(guī)則、個人信息處理和使用的目的、使用方式與范圍等等。

　　02 決定權

　　個人信息主體對自己的個人信息權利享有自主決定的權利是保護數(shù)據(jù)主體權利的核心內容，有權決定是否接受個人信息處理者對其個人信息的收集、使用和處理。企業(yè)在處理個人信息時應該對個人信息主體的決定權提供充分的保障，例如通過主動勾選同意協(xié)議、通過區(qū)分必要與附加業(yè)務功能來為個人信息主體提供是否選擇接受服務功能等方式進行。

　　03 限制權

　　個人信息主體的限制權是決定權的延伸體現(xiàn)，例如個人信息主體有權要求企業(yè)、組織在收集個人信息的時候應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息；有權要求企業(yè)、組織在處理個人信息的時候僅在已經告知和獲得同意的限定范圍內進行使用，如果超出已約定的范圍或者超出合理合法的范圍的，則需要另外再行告知與獲得同意。

　　04 拒絕權

　　個人信息主體的拒絕權也可以理解為決定權的延伸體現(xiàn)，例如，對于不是非必需提供個人信息才能使用的某些業(yè)務功能，個人信息主體可以拒絕提供。我國四部門在2021年3月聯(lián)合發(fā)布的《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》進行了明確要求與呼應，明確規(guī)定了移動互聯(lián)網(wǎng)應用程序（App）運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用App基本功能服務。我國個保法也在個人信息處理規(guī)則中，通過要求個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務（但處理個人信息屬于提供產品或者服務所必需的除外）來進一步保障了個人信息主體實現(xiàn)拒絕權的可能性。

　　05 查詢、復制權

　　個人信息主體有權對自己被收集和處理的個人信息進行查看、訪問與復制，但是也給出了豁免條款，例如企業(yè)、組織在處理個人信息時候被法律所要求應當進行保密或者不需要進行告知的情形。

　　本次個保法還特別新增了數(shù)據(jù)可攜權，這個權利在此前的一審、二審稿中都沒有體現(xiàn)過。該權利明確要求了當個人信息主體在請求將其個人信息轉移到其指定的其他個人信息處理者的時候，如果也符合了網(wǎng)信辦規(guī)定的條件的，則個人信息處理者應當為該個人主體提供轉移的途徑。

　　關于數(shù)據(jù)可攜權在實操方面亦帶來了很大的問題與爭議，我們將可能在另外的文章中進行討論，暫不在此展開。

　　06 更正、補充權

　　個人信息也會有一個動態(tài)的變化，賦予個人信息主體的修正、更改的權利非常重要，因為不準確、不完整的個人信息，不僅會對個人在生活、工作中造成影響，也會為企業(yè)在處理個人信息時候帶來其他風險（特別是涉及征信、金融、醫(yī)療等敏感特殊領域與情況）。因此，在個人信息主體提出要求對自己的個人信息進行更正、補充或其他異議的時候，企業(yè)、組織等個人信息處理者應該及時進行回復、處理，核實個人信息的準確性，并對錯誤、不完整的信息進行及時的糾正與補充。

　　07 刪除權

　　個人信息主體的刪除權是數(shù)據(jù)主體權利保護方面的重要體現(xiàn)，在其他國家或地區(qū)可能也有不同的稱呼，例如镲除權、被遺忘權（會有具體細微的區(qū)別）。

　　對比之前的草案，個保法在刪除理由中新增了“處理目的無法實現(xiàn)”，同時還就個人信息處理者提供了關于刪除權的救濟保障的規(guī)定，即在個人信息主體要求行使刪除權的時候，而實際上其他法律法規(guī)要求的保存期限尚未屆滿，或技術上存在很大困難的，則個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理，以作為對數(shù)據(jù)主體行使刪除權而企業(yè)或組織等信息處理者又無法滿足時候的救濟。

　　同時，需要特別注意的是，原則上，在一些特別的情形下，個人信息處理者應當主動刪除個人信息。如果個人信息處理者沒有主動刪除的，則我國個保法賦予了個人有權請求個人信息處理者進行刪除。因此，作為企業(yè)，在處理用戶個人信息時候，應特別注意這些情形：

　　01

　　處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；

　　02

　　個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；

　　03

　　個人撤回同意；

　　04

　　個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；

　　05

　　法律、行政法規(guī)規(guī)定的其他情形。

　　08 解釋說明權

　　如前所述，企業(yè)應當向用戶明確告知個人信息的處理規(guī)則以及相關的各項內容，這是對個人信息主體的各項權利的有效保障，因此，個保法賦予了個人信息主體有權請求企業(yè)對其個人信息處理規(guī)則進行解釋說明的權利，當個人提起該要求時，作為個人信息處理者的企業(yè)、組織應該進行及時的反饋與答復。

　　09 關于逝者個人信息的近親屬繼承權

　　這也是本次個保法新增的亮點內容之一。從全球角度來看，法律對于逝者的個人信息保護與隱私權保護，很多國家還在不斷探索中，有部分國家有明確的立法規(guī)定，例如美國HIPPA對逝者在醫(yī)療方面的隱私保護。

　　我國個保法也為逝者的個人信息保護提供了一定程度的保護，在自然人死亡情況下，當該逝者的近親屬是為了自身的合法、正當利益的，其近親屬可以對逝者的相關個人信息行使包括個保法規(guī)定的查閱、復制權、更正權、刪除權等相關權利，但如果逝者在生前通過協(xié)議、約定等方式另有安排的除外。

　　可見，逝者近親屬行使的逝者數(shù)據(jù)主體權利的法定基礎是明確的，包括合法、正當、或遵從逝者生前的安排等。同時，對于可以行使的權利類型也給出了較為明確的規(guī)定，包括查閱權、復制權、更正權和刪除權等可以由近親屬等繼承人實現(xiàn)的權利。

　　10 行使個人權利的途徑

　　如果沒有個人權利有效的實現(xiàn)途徑，上述個人信息主體的權利將會僅是紙上談兵。

　　因此我國個保法，特別在本章的最后，增加并明確要求企業(yè)、組織等個人信息處理者應當建立便捷的、可真正觸達的、方便用戶（個人信息主體）行使數(shù)據(jù)主體權利的途徑，包括申請受理途徑和具體可落地的處理機制。

　　同時，明確要求企業(yè)、組織等個人信息處理者在拒絕個人行使權利的請求的，應當明確說明其具體的理由。在遭受個人信息處理者拒絕行使數(shù)據(jù)主體權利請求的的時候，用戶個人有權向法院提起訴訟，以獲得有效的司法救濟。

　?。ǘ?海外主要個人信息保護法律對比：

　　總體來說

　　各國數(shù)據(jù)保護法律在個人信息主體權利方面的保護還是比較充分的，特別是在知情權、訪問權、更正權、刪除權等最為核心基礎權利的保障上。隨著數(shù)據(jù)保護法律的不斷迭代更新與發(fā)展，個人信息主體的權利將會得到更為有效、完善的法律保障。