總的來說,《個人信息保護法》對個人的權利的規定是原則性、方向性的,但數安條例對個人權利的規定相對詳細。在此逐一做個對比。
刪除權
《個人信息保護法》
數安條例
第四十七條 有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿;
(三)個人撤回同意;
(四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。
第二十二條 有下列情況之一的,數據處理者應當在十五個工作日內刪除個人信息或者進行匿名化處理:
(一)已實現個人信息處理目的或者實現處理目的不再必要;
(二)達到與用戶約定或者個人信息處理規則明確的存儲期限;
(三)終止服務或者個人注銷賬號;
(四)因使用自動化采集技術等,無法避免采集到的非必要個人信息或者未經個人同意的個人信息。
刪除個人信息從技術上難以實現,或者因業務復雜等原因,在十五個工作日內刪除個人信息確有困難的,數據處理者不得開展除存儲和采取必要的安全保護措施之外的處理,并應當向個人作出合理解釋。
法律、行政法規另有規定的從其規定。
兩者比較,可以看出,數安條例明確了十五個工作日的響應時限;將法律中的“撤回同意”縮限為“個人注銷賬號”。很有意思的是,在數安條例第二十三條還出現了“撤回授權同意”和“注銷賬號”,從這樣的行文推測條例應當認為這是兩件事,可法律中明確是撤回同意,且沒有出現過“注銷賬號”。建議對此作出厘清。
數安條例同時增加了“因使用自動化采集技術等,無法避免采集到的非必要個人信息或者未經個人同意的個人信息”,這個應當是考慮到了網聯汽車收集到車外人員的信息這個情形。
查詢、更正、補充權利
《個人信息保護法》
數安條例
第四十五條 個人有權向個人信息處理者查閱、復制其個人信息;有本法第十八條第一款、第三十五條規定情形的除外。
個人請求查閱、復制其個人信息的,個人信息處理者應當及時提供。
第四十六條 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
個人請求更正、補充其個人信息的,個人信息處理者應當對其個人信息予以核實,并及時更正、補充。
第五十條 個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。拒絕個人行使權利的請求的,應當說明理由。
個人信息處理者拒絕個人行使權利的請求的,個人可以依法向人民法院提起訴訟。
第二十三條 個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的,數據處理者應當履行以下義務:
(一)提供便捷的支持個人結構化查詢本人被收集的個人信息類型、數量等的方法和途徑,不得以時間、位置等因素對個人的合理請求進行限制;
(二)提供便捷的支持個人復制、更正、補充、限制處理、刪除其個人信息、撤回授權同意以及注銷賬號的功能,且不得設置不合理條件;
(三)收到個人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權同意或者注銷賬號申請的,應當在十五個工作日內處理并反饋。
法律、行政法規另有規定的從其規定。
查詢、更正、補充是經典的個人信息主體權利。法律中主要要求是邊界的行權機制,以及拒絕響應權利請求時應當說明理由。在數安條例中,進行了一定的細化。
很有意思的是,數安條例似乎認為查詢是一項比復制、更正、補充、限制、刪除、撤回同意、注銷賬號“等級”更高的一項權利,因為查詢權中,除了便捷之外,還明確說結構化查詢,而且不得以時間、位置等因素限制合理請求。但其他權利僅僅是說便捷,以及不得設置不合理條件。建議對此作出厘清。
限制處理:從原則性表述演變成具體的權利
《個人信息保護法》
數安條例
GDPR
第四十四條 個人對其個人信息的處理享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理;法律、行政法規另有規定的除外。
第二十三條 個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的,數據處理者應當履行以下義務:
(一)提供便捷的支持個人結構化查詢本人被收集的個人信息類型、數量等的方法和途徑,不得以時間、位置等因素對個人的合理請求進行限制;
(二)提供便捷的支持個人復制、更正、補充、限制處理、刪除其個人信息、撤回授權同意以及注銷賬號的功能,且不得設置不合理條件;
(三)收到個人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權同意或者注銷賬號申請的,應當在十五個工作日內處理并反饋。
法律、行政法規另有規定的從其規定。
第十八條 數據主體限制數據處理的權利
1) 存在以下情形之一時,數據主體有權限制數據控制者對數據的處理:
a) 數據主體對數據的準確性提出異議時,在數據控制者確認準確性的階段;
b) 數據處理為非法,而數據主體反對清除其數據而是要求限制對數據的使用的;
c) 數據控制者出于特定目的不再需要數據主體的個人數據,但數據主體需要這些數據以建立、行使和保護自己的法律訴求的;
d) 數據主體反對根據第21條(1)款的數據處理,但尚不清楚數據控制者是否有高于數據主體利益的正當事由;
2) 在上述情形中,除存儲外,個人數據僅能在數據主體表達同意,或用于建立、行使和保護法律訴求時,或為保護其他自然人、法人的利益,或出于歐盟、成員國重要的公共利益時,才可處理
3) 數據控制者應告知數據主體何時對數據限制處理的要求失效。
《個人信息保護法》中限制他人對個人信息進行處理是個原則性的表述,體現在撤回同意、刪除等,和GDPR第十八條規定的限制權利有區別。GDPR中的限制權主要是“凍結”或者暫停數據處理的權利。
數安條例在第二十三條出現了限制處理的表述,但是對該權利的內涵并沒有做出任何解釋。建議對此作出厘清。
轉移個人信息的權利
《個人信息保護法》
數安條例
GDPR
第四十五條 個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。
第二十四條 符合下列條件的個人信息轉移請求,數據處理者應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務:
(一)請求轉移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息;
(二)請求轉移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息;
(三)能夠驗證請求人的合法身份。
數據處理者發現接收個人信息的其他數據處理者有非法處理個人信息風險的,應當對個人信息轉移請求做合理的風險提示。
請求轉移個人信息次數明顯超出合理范圍的,數據處理者可以收取合理費用。
第二十條 數據主體攜帶數據的權利
1)存在以下情形的,數據主體有權從數據控制者獲得關于其個人數據(僅限其向數據控制者提供的)的副本;副本應以結構化、普遍使用、可機讀的形式;數據主體有權要求數據控制者將其個人數據向其他數據控制者提供:
a) 數據處理是基于第6條第一款a)項或第9條第2款a)項,或基于第6條第一款b)項所指涉的合同
b) 數據處理以自動化的形式進行。
2) 如技術上可行的話,數據主體有權要求數據控制者將其個人數據直接傳輸給另一數據控制者。
行使該權利不應對他人的權利和自由造成不利影響。
數安條例提出了法律中的“符合國家網信部門規定的條件”,具體來說:條件一:限制于基于同意,以及履行合同所必需兩個合法性事由。條件二:只能局限于自己的信息,這個顯然是題中之意,但“請求人合法獲得且不違背他人意愿的他人信息”這個是相對于法律來說比較大的擴展。在關于GDPR第20條的序言(recital 68)中,歐盟立法者解釋道:“如果在某一組個人數據中,涉及一個以上的數據主體,根據本條例,接收個人數據的權利應不影響其他數據主體的權利和自由”(Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation),但這句話的意思是當在申請個人信息的副本時,不可避免涉及到其他人的情況,但并不是允許個人直接申請關于別人的個人信息副本--也就是條例中的他人信息。
與此相比,GDPR提出了另外一個限制條件,即“如技術上可行的話,數據主體有權要求數據控制者將其個人數據直接傳輸給另一數據控制者”。換句話說,GDPR僅僅是規定個人有權獲得個人信息副本,有權要求數據控制者將個人數據副本向其他數據控制者提供(也就包括發送郵件、鏈接等),僅是在技術可行的情況下,數據控制者直接傳輸給另一個數據控制者,例如提供API接口。這一點在Recital 68中明確指出:數據主體傳送或接收有關他或她的個人數據的權利不應造成控制者有義務采用或維護技術上兼容的處理系統(The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible.)。
但數安條例的行文似乎是“數據處理者應當為個人指定的其他數據處理者訪問、獲取其個人信息提供轉移服務”,這樣的行文中明確提出了“轉移服務”,其與法律中的“轉移途徑”不一樣。從文意理解,服務似乎更加偏向了技術兼容,例如API接口。綜合理解,數安條例提出了比GDPR更強的數據可攜帶權,對數據處理者的系統改造要求更直接。建議對此作出厘清。
