GDPR的推出对数字时代个人数据保护具有重要意义，它赋予数据主体七项数据权利，极大地保障了个人对其数据的控制权。GDPR第三章规定，数据主体享有的七项数据权利分别是：访问权、更正权、删除权（“被遗忘权”）、限制处理权、可携带权、反对权，以及不受制于自动化决策的权利。

01 访问权

GDPR第15条规定，数据主体有权要求数据控制者告知其个人数据是否正在被处理；如果是，数据主体有权获取其个人信息以及以下相关信息：

（1）处理目的；

（2）正在处理的数据类别；

（3）将接收其数据的第三方或第三方的类别，尤其是位于欧盟以外的第三方或国际组织；

（4）如果有的话，须告知数据的预估存储期限；如果没有，也应告知用户影响存储期限的决定因素；

（5）告知用户拥有更正权、被遗忘权、限制处理权、反对权；

（6）用户有权向监管机构投诉；

（7）如果个人数据不是从数据主体处收集，应告知数据来源；

（8）告知其数据将被用于自动化决策，以及有关自动化决策逻辑的有用信息、决策的重要性及预估后果。

GDPR规定，如果个人数据被传输到欧盟以外的第三国或“国际组织”，数据主体有权被告知与这一传输有关的现行保障措施。

数据控制者应免费提供一份正在处理的个人数据的副本。如果数据主体索要多份副本，数据控制者可以按照管理成本收取合理费用。如果数据主体通过电子方式提出请求，数据应当以常用的电子形式提供。

02 更正权

GDPR第16条规定，“数据主体有权要求控制者对其不准确的个人数据做出更正，并不得无故拖延。考虑到处理目的，数据主体有权要求将不完整的个人数据补充完整，包括以提供补充说明的方式。”

简言之，用户可在两种情况下要求企业更正个人数据：1）数据不准确；2）数据不完整。在收到用户提交的更正数据请求后，企业应及时响应，在收到用户请求一个月之内完成更正。此外，GDPR也规定，企业不仅有义务配合用户进行个人数据的更正处理，还必须及时通知用户具体的更正情况。如果拒绝用户的更正请求，也应告知拒绝理由。

如果企业与第三方共享该用户的个人信息，企业也应通知第三方做出相应的信息更正。

03 删除权（“被遗忘权”）

删除权也被称作“被遗忘权”，它起源于2014年欧盟法院的一则判决。2010年，西班牙公民冈萨雷斯向西班牙数据保护机构SDPA提出申请，希望删除谷歌搜索引擎上有关他的负面信息。1998年，西班牙公民冈萨雷斯因无力偿还债务被没收房产，拍卖广告被刊登在《先锋报》上。2010年，此时冈萨雷斯已还清债务，但他发现，如果在谷歌搜索他的名字，会出现指向《先锋报》报道的链接。冈萨雷斯认为，由于这些信息不再有相关性，希望可以删除报道和谷歌链接。2014年，历经四年裁决，欧盟法院支持冈萨雷斯保护其被遗忘权的诉讼请求，这也使之成为欧盟被遗忘权第一案。

GDPR第17条规定，数据主体有权要求控制者及时删除其个人数据，控制者有义务及时删除个人数据，不得无故拖延。但删除权并非任何情况下都可使用，GDPR对删除权的行使条件也作出了明确的规定，必须满足以下情形：

（1）当个人数据不再为收集或处理它们的用途所需时；

（2）数据主体撤回了同意，并且没有其他合法理由再进行处理时；

（3）如果数据主体基于其合法权益对处理提出反对，且控制者无任何优先于其利益诉求的处理法律依据时；

（4）根据控制者对欧盟或其成员国的法律义务，控制者必须删除数据时；

（5）收集的数据是用于“信息社会服务”时；

（6）当数据被非法处理而违反条例时。

同时，GDPR也进一步限制了删除权的行使条件：

（1）为了保护言论自由和信息自由；

（2）为遵从欧盟或其成员国的法律义务；

（3）基于公共卫生的理由；

（4）为归档、科学或历史研究；

（5）为提出、行使或维护法律主张。

必须要注意的是，完全删除以电子信息形式存储的数据是有困难的，因此企业应确保拥有合适的存储系统来响应用户的删除请求。即使无法删除用户个人数据，企业也应至少采取措施确保该用户数据不会再被处理。

谷歌删除权页面

04 限制处理权

GDPR第18条规定，只有在以下四种情形下，用户才有权限制企业处理其个人数据：

（1）数据不准确。数据主体对个人数据的准确性提出质疑，因此限制其处理，直到控制者能够证实其准确性；

（2）数据处理非法。对该数据的处理属于非法，但数据主体不希望其数据被删除，而是要求对其使用做出限制；

（3）需作为证据留存。对于控制者的处理目的来说不再需要此个人数据，但数据主体要求保留该数据以用于提出、行使和维护其法律主张（这一情况可能要求从事某些行业的控制者保留以往客户的记录）；

（4）企业其他合法主张。个人依据其反对权，反对对其数据进行处理。在控制者寻求继续处理的合法理由时可使用该限制。

企业可以采取一些方法来响应用户的限制处理请求。例如，可以暂时将该用户数据迁移至另一套处理系统中，使该用户数据无法被用户获取，或者暂时从网站上撤下相关数据。

05 可携带权

GDPR第20条规定，“数据主体应有权以结构化的、常用的和机器可读的格式接收其提供给控制者的个人数据，并有权将这些数据传递给另一个控制者，而不受提供此个人数据的控制者的阻碍。”

用户行使数据可携带权需满足两个前提条件。

首先，必须是征得用户同意后采集的数据，如勾选《用户协议》便视作与数据控制者达成协议，同意其收集数据。要注意的是，控制者基于公共利益、政府授权以及履行法定义务等取得的用户数据，不属于可携带数据的范畴，比如政府因疫情防控需要获取的居民行程信息。

其次，必须是以自动化方式采集的数据。也就是说，用户通过提交纸质材料提交的个人数据不属于可携带数据的范畴。

相比于备受争议的被遗忘权，可携带权在全球范围内的接受度要高得多。美国加州的CCPA和我国的《个人信息保护法》也都将数据可携带权列为数据主体享有的权利之一，国内多家互联网产品也开始支持导出个人信息。可携带权的落地也将有助于数据流动，发挥更大价值。

微信个人信息导出页面

06 拒绝权

GDPR第21条规定，数据主体有权拒绝控制者处理其个人数据。当出现这种情况时，必须暂停处理活动，或由控制者来证明其“处理的法律依据较之数据主体的利益、权利和自由优先，或其处理是为了提出、行使或维护有关的法律主张。”

GDPR列举了三种拒绝权的适用情形：基于科学研究或统计目的的数据处理的场景、基于直接营销的目的、用于提供信息社会服务。

07 不受制于自动化决策的权利

GDPR第22条规定，“数据主体有权不受仅基于自动化决策所做决定的影响，包括那些会对他们产生法律效力或类似重大影响的特征分析”。

自动化决策是指利用计算机技术、算法程序、深度学习或神经网络替代人类处理关键数据，并自动生成决策的行为。当一个决定完全依靠自动化决策来完成，且这个决定可能会对该用户带来法律效力时，用户有权免受其限制。

GDPR也列出三种可以使用自动化决策的情形：

（1）有欧盟或其他成员国某项法律的授权；

（2）数据主体与控制者之间签订合同；

（3）个人明确表示了同意。

但是，在任何情况下，自动化决策应配有相应的保障措施，确保把潜在的风险因素考虑在内，避免对用户的权益造成损失。例如，用户应有权干预相关决策和发表观点，在得到自动化决策评估后应得到解释，且有权质疑这一决策。

以某购物网站的cookies偏好选择为例，用户在首次进入网站时便会出现cookies设置弹窗，用户可自主选择是否同意网站将收集到的个人信息用于自动化推荐等业务。

某购物网站上设置cookies偏好选项

08 合规建议

每个数据主体都有权向监管机构投诉。根据违反GDPR的严重程度，企业会被判处不同等级的罚款金额，侵犯数据主体的权利被认为是严重违规行为，可能会导致2000万欧元或4%全球年营业额的最高行政处罚。出海企业应充分理解GDPR赋予数据主体的权利，并采取相应的组织手段和技术手段确保数据主体权利不受侵犯。

《通用数据保护条例》(GDPR)系列解读二：个人七大数据权利，企业违反或面临2000万罚款相关推荐

欧盟通用数据保护条例GDPR.docx数据摘要导读：GDPR通用数据保护条例中文版由中国政法大学互联网金融法律研究院组织翻译，新法案由11章共99条组成。 GDPR的通过意味着欧盟对个人信息保
欧盟通用数据保护条例GDPR.docx数据摘要导读:GDPR通用数据保护条例中文版由中国政法大学互联网金融法律研究院组织翻译, 新法案由11章共99条组成. GDPR的通过意味着欧盟对个人信息保护 ...
通用数据保护条例GDPR今日起正式生效，不会影响机器学习
内容来源:ATYUN AI平台通用数据保护条例(GDPR)于5月25日生效.虽然这个特定的法律适用于欧盟,但不仅在那里注册的企业需要关注这件事:每个有欧盟客户的实体都必须遵守它. GDPR没有先例, ...
通用数据保护条例的监管下，你的数据湖“断舍离”了吗？
通用数据保护条例(GDPR)是当今技术世界中的重要法规,也是众多在亚马逊云科技公有云当中建立解决方案的用户们所必须遵循的数据处理要求.GDPR中提出一项"删除权",或者叫" ...
《通用数据保护条例》(GDPR)系列解读一：如何判断出海企业是否受GDPR管辖？
2018年被称为"世界数据治理元年".在这一年的5月25日,<通用数据保护条例>(GDPR)在经过两年的缓冲期后正式步入执法阶段.作为全球首部全面的个人数据保护法,它的 ...
《通用数据保护条例》(GDPR)系列解读五：出海欧洲，企业必须做好四大义务
01 采取数据保护措施两大原则 GDPR规定,数据控制者有义务采取适当的技术和组织措施来保护数据主体权利,确保数据处理原则得到贯彻执行,这也是控制者的核心义务.GDPR并没有要求企业必须实行某项具体的 ...
出海欧洲《通用数据保护条例》解读，附GDPR白皮书下载
2018年被称为"世界数据治理元年".在这一年的5月25日,<通用数据保护条例>(GDPR)在经过两年的缓冲期后正式步入执法阶段.作为全球首部全面的个人数据保护法,它的 ...
gdpr通用数据保护条例_从信息安全角度看通用数据保护条例（GDPR）
gdpr通用数据保护条例 The General Data Protection Regulation (GDPR) is a European law adopted by the European ...
gdpr通用数据保护条例_关于通用数据保护法规（GDPR），您需要了解的15件事
gdpr通用数据保护条例 The General Data Protection Regulation (GDPR) comes into force on 25th May 2018. Design ...
欧洲通用数据保护条例（GDPR）合规的6个步骤
两年后会发生很多事情.2018年人们将目睹首例人类头颅移植手术.据调查机构IDC的预测,无论英国脱离还是不脱离欧盟,其组织数据的流量将增加五倍. 而两年另一个重大的进展是,由于2018年欧洲新规定的个 ...

《通用数据保护条例》(GDPR)系列解读二：个人七大数据权利，企业违反或面临2000万罚款