GDPR数据主体访问请求(DSAR):如何答复(2026年版)

数据主体访问请求(DSAR)是依据《(欧盟)2016/679号条例》(GDPR)第15条提出的正式请求,个人借此要求某组织确认其是否持有与自己相关的个人数据,并在持有的情况下提供一份副本。受GDPR管辖的组织必须在收到请求后一个自然月内,以简明易懂的形式免费予以答复。
有关该条例的背景介绍,请参阅什么是GDPR。有关数据主体拥有的全部权利,包括删除权和反对权,请参阅GDPR数据主体权利。
什么是DSAR?谁可以提出DSAR?
DSAR是指自然人以任何形式行使第15条访问权的任何沟通行为。请求人无需援引第15条,也无需填写组织提供的任何表格。“你们持有关于我的哪些信息?”这样一句话,就是一份有效的DSAR。
该项权利专属于自然人,即其个人数据正在被处理的在世个人。公司及其他法律实体不能提出DSAR。已故人士一般不在GDPR的适用范围之内,但若干欧盟成员国赋予了遗产代表人或近亲属访问权。
请求可以由本人直接提出,也可以通过律师或代表16岁以下儿童的父母等经授权代表人提出。当请求通过代表人提出时,控制者应在披露数据前核实其授权,但该步骤不会延长一个月的计时。
请求可以口头或书面方式提出,可以通过电子邮件、邮寄或其他任何方式提出。第12(1)条要求答复使用清晰通俗的语言;序言第59段鼓励控制者简化请求提交流程,包括提供电子化方式。设立在线门户或专门的电子邮箱是最佳实践,但并非法律强制要求。
该权利适用于控制者以任何格式(电子或纸质、结构化或非结构化、当前或存档)处理的、与数据主体相关的全部个人数据,但须受下文所述的例外情形限制。
管辖范围
本文讨论的是欧盟GDPR及欧洲数据保护委员会指导意见下的访问权,适用于设立于欧盟/欧洲经济区的组织,以及虽非设立于欧盟境内、但向欧盟/欧洲经济区个人提供商品或服务、或监测其行为的组织(第3(2)条)。英国的英国GDPR与之基本相同,文中会随文标注差异之处。加拿大、美国及其他国家的类似制度不在本文讨论范围之内。
组织必须提供哪些信息?
第15(1)条和第15(3)条要求提供两方面不同的内容:确认处理是否正在进行(或未持有相关数据),以及提供个人数据副本连同补充信息。
个人数据副本
第15(3)条要求提供“正在处理的个人数据的副本”,即实际数据本身,而非其描述性说明。如果控制者持有包含请求人个人数据的电子邮件往来、账户记录、通话录音、监控录像片段或信贷申请,只要不存在例外情形,请求人就有权获得副本。
欧洲数据保护委员会关于访问权的01/2022号指南(2.1版,2023年3月28日通过)确认,“副本”指的是如实的复制件,而非摘要或数据可携权项下的导出文件。第15条的副本权与第20条的数据可携权是相互独立的两项权利:可携权仅适用于以同意或合同为合法依据、且通过自动化方式进行的处理。
如果控制者处理的数据量庞大,序言第63段规定,控制者“可以在提供信息之前,要求数据主体明确其请求涉及的信息或处理活动”。这是一种实用的管理工具,而非拒绝答复或将请求缩小范围作为答复条件的权利。
第15(1)条要求的补充信息
| 第15(1)条条款 | 控制者必须说明的内容 |
|---|---|
| (a)处理目的 | 按每一具体目的说明组织为何持有该数据 |
| (b)个人数据的类别 | 所持数据的类型:联系信息、财务信息、健康信息、位置信息等 |
| (c)接收方或接收方类别 | 数据已经或将要披露给的每一个第三方;对于第三国接收方,还须说明所适用的第46条保障措施 |
| (d)预计保留期限 | 具体的保留期限,或用于确定该期限的标准 |
| (e)更正权、删除权、限制权及反对权 | 有关数据主体在第16条、第17条、第18条及第21条项下权利的信息 |
| (f)投诉权 | 相关国家数据保护机构的名称及联系方式 |
| (g)数据来源 | 若数据并非直接从数据主体处收集,须说明其来源 |
| (h)自动化决策与画像 | 若第22条适用,须提供关于逻辑、重要性及预期后果的有意义信息 |
第(g)项(第三方数据来源)是执法行动中最常被指出的缺失事项之一。如果控制者购买了营销名单,或从数据经纪商处获得了数据,就必须披露这一来源。
对于第三国传输,第(c)项要求披露所采用的具体保障措施:标准合同条款、充分性认定、约束性公司规则,或第46条项下的其他机制。
组织有多长时间答复?
第12(3)条要求组织不无故拖延,并在任何情况下须在收到请求后一个月内予以答复。“收到”指请求送达组织之日,而非某员工阅读该请求之日。
两个月的延期
第12(3)条允许在请求复杂或控制者同时收到大量请求的情况下延长两个月。复杂性是指请求需要跨多个系统付出大量精力,或涉及棘手的范围或例外情形问题,而不仅仅是因为控制者持有大量数据。
延期通知必须在最初一个月期限届满之前送达数据主体;在第二个月才发出的通知无效。通知必须说明具体理由;欧洲数据保护委员会01/2022号指南要求,笼统地以“复杂性”为由、而不说明具体细节的通知不满足要求。
| 情形 | 期限 |
|---|---|
| 常规请求 | 自收到之日起一个月 |
| 复杂或数量众多的请求 | 自收到之日起三个月,前提是在第一个月内发出延期通知 |
| 控制者拒绝请求 | 须依据第12(4)条在一个月内通知数据主体,并说明理由及救济方式 |
计时起点
计时从收到请求之日起算,而非从身份核实之日起算。如果控制者在没有额外信息的情况下无法识别数据主体,可以要求提供识别所必需的最少信息;在此期间计时实际上处于暂停状态。控制者不得将要求每一位请求人提供政府颁发的带照片身份证件作为常规拖延手段。
答复必须以何种方式提供?
第12(3)条要求以书面或其他方式(在适当情况下包括电子方式)提供信息。第15(3)条进一步规定,若请求以电子方式提出,答复须采用常用的电子格式,除非数据主体另有要求。PDF、Word、Excel或安全门户均符合要求。要求请求人使用其不太可能拥有的专用软件才能打开的专有格式则不符合要求。
答复必须符合第12(1)条的标准:简明、透明、易懂,并使用清晰通俗的语言。仅仅倾倒原始数据库字段而不作任何字段含义说明,即便包含了全部所需数据,依据欧洲数据保护委员会指南也很可能不满足易懂性要求。
若数据包含第9条特殊类别信息(健康记录、种族或民族出身、生物识别数据),通过未加密的电子邮件或访问控制不足的门户发送该数据,既构成不完善的DSAR答复,也构成一次个人数据泄露事件。控制者对包含第9条数据的任何答复都应采用加密传输方式。
身份核实:控制者可以要求什么,不可以要求什么
序言第64段规定,控制者应采取“一切合理措施核实提出访问请求的数据主体的身份”。核实是被允许的,但必须与目的相称,控制者不得要求超出必要限度的信息。
如果控制者已经持有数据主体的电子邮箱地址,而请求正是从该邮箱发出,此时要求提供政府颁发的带照片身份证件就显得不成比例。如果某个人首次以邮寄方式联系某组织并声称自己是客户,要求其提供账户信息以核实身份则是合理的。
控制者不应:
- 在请求来自现有客户已注册的电子邮箱地址时,仍常规性地要求提供经认证的护照或驾照复印件。
- 除非披露错误会造成严重损害,否则要求当面核实身份。
- 将身份核实作为将答复推迟至超过一个月期限的借口。
拒绝DSAR或收取费用
“明显毫无根据或过度”的门槛
第12(5)条是唯一可以收取费用或拒绝行动的依据:请求必须“明显毫无根据或过度,特别是因其具有重复性质”。重复性只是一个考量因素,而非充分条件。请求人在六个月后再次提出DSAR(因为出现了新的处理活动,或此前答复不完整),并不属于第12(5)条意义上的重复请求。
举证责任在控制者一方。第12(5)条明确规定:“控制者应承担证明请求明显毫无根据或过度的举证责任。”监管机构已多次对以含糊的“过度”为由拒绝DSAR的组织处以罚款。
当门槛被满足时,控制者有两种选择:收取反映行政成本的合理费用,或拒绝该请求。若选择拒绝,则适用第12(4)条的程序:须在一个月内通知数据主体,说明理由,并告知其向监管机构投诉及寻求司法救济的权利。
额外副本的费用
第15(3)条单独允许就“数据主体要求的任何进一步副本”收取费用,指的是已披露数据的额外副本,而非针对新处理的数据提出的新DSAR。该条款适用范围狭窄,实践中很少适用。
例外情形:何时可以拒绝提供个人数据
第23条允许欧盟成员国在特定情形下限制访问权,各成员国的国内实施规则差异较大。
常见的例外类别包括:
刑事犯罪的预防、侦查和起诉。 多数成员国允许执法和监管机构在披露会损害调查的情况下拒绝提供数据。
国家安全和情报事务。 各成员国实施法律中普遍存在的例外。
律师与委托人保密特权。 委托人与律师之间的通信,或为诉讼准备的相关工作,在成员国法律保留此项例外时可予以保留。
保密商业信息和商业秘密。 该限制仅适用于保护属于组织自身、而非数据主体的信息,且限于严格必要的范围。
雇佣与谈判事项。 若披露会暴露雇主的管理或谈判策略,若干成员国允许对相关信息予以保留。
例外情形限制的是披露哪些数据,而不是组织是否必须答复。即便某项例外适用于部分数据,组织仍必须在期限内答复、确认持有数据、披露所有不属于例外的数据,并告知数据主体哪些数据被保留以及原因。
英国的例外情形
英国GDPR通过《2018年数据保护法》第2至4附表及第4部分,纳入了更为广泛的例外清单,其中包括当披露会损害企业经营时适用的管理预测和规划例外。
第三方数据:应遮蔽而非拒绝
当针对请求人所持有的数据同时包含其他个人的个人数据时(这在雇佣纠纷、消费者投诉和医疗记录中很常见),依据第15条及欧洲数据保护委员会01/2022号指南,正确的做法是有针对性地遮蔽,而非整体拒绝。
控制者必须提供数据主体本人的个人数据,同时对披露会侵犯第三方权利的部分予以遮蔽。需要权衡的因素包括:
- 该第三方是否已同意披露。
- 请求人是否已经知晓该第三方的身份(例如,若该第三方是绩效评估中提及的请求人直属主管,其姓名在该文件中并不受保护而免于披露)。
- 在不征得第三方同意的情况下提供该信息,是否在具体情形下具有合理性。
- 第三方信息是否与请求人的数据高度交织,以致无法有效遮蔽。
监管机构一贯反对在可以进行有针对性遮蔽的情况下,以保护第三方数据为由笼统地拒绝提供整份文件。
DSAR答复中的常见错误
在没有有效延期的情况下错过期限。 将一个月视为目标而非法定要求的控制者,会面临罚款和执法通知。
答复不完整。 忽略存档或备份系统、离线文件,或处理者持有的数据,是一种反复出现的缺陷。答复必须涵盖控制者以任何格式持有的全部个人数据。
要求过度的身份识别信息。 通过已知渠道向现有客户要求提供政府颁发的带照片身份证件,会延误答复,且本身可能构成GDPR违规。
未说明第三方数据的来源。 第15(1)(g)条经常被系统性遗漏。若数据来自数据经纪商、推荐合作方或公开来源,必须予以披露。
遮蔽了请求人自己的数据。 控制者不能以数据与第三方数据同时出现为由,从DSAR答复中遮蔽请求人本人的个人数据。
在没有证据的情况下以“明显毫无根据”为由拒绝。 仅因请求带来不便、涉及诉讼或需要投入大量工作而拒绝,并不满足第12(5)条的门槛。
发送未加密的特殊类别数据。 通过未加密邮件传输第9条数据,会将DSAR处理失误与个人数据泄露事件叠加在一起。
忽视口头请求。 第12(1)条允许口头请求。只接受书面或在线表单形式DSAR的控制者,可能错过合法的请求;一线员工需要接受培训,以识别并上报此类请求。
分步DSAR答复流程
第一步:识别请求。 培训所有与客户、员工或公众接触的员工,使其能够识别DSAR,无论对方使用何种措辞。立即记录收到的日期。
第二步:确认数据主体身份。 确认能否根据已提供的信息识别该个人。如果不能,请求提供识别所需的最少额外信息,并记录索要该信息的原因。
第三步:启动计时。 记录收到日期,设定内部28天的处理目标,以便在一个月硬性期限之前留出准备时间。
第四步:检索所有系统。 检索所有数据库、电子邮件存档、纸质档案,以及处理者代表你方持有的记录,检索必须全面彻底。
第五步:评估例外情形和第三方数据。 将检索到的数据与适用的第23条国内例外情形逐一核对;对于同时包含第三方个人数据的记录,判断是否可以进行有针对性的遮蔽。
第六步:考虑延期。 若请求确实复杂,或同时收到大量请求,须记录延期决定,并在一个月期限届满前发出延期通知。
第七步:准备答复。 汇总数据副本及第15(1)(a)至(h)项全部补充信息。若请求以电子方式提出,须采用常用的电子格式。
第八步:安全交付。 对包含第9条数据的答复采用加密传输方式,记录发送内容、时间及格式。
第九步:记录处理过程。 依据第5(2)条问责原则,维护DSAR处理日志:收到日期、身份核实步骤、检索方法、已披露的数据、适用的例外情形、延期通知(如有),以及答复发出日期。
第十步:处理后续请求。 对于任何关于答复完整性的后续咨询,或关于新产生数据的新请求,均应单独按其自身情况处理。
英国对应制度:英国GDPR下的主体访问请求
英国脱欧后,通过《2018年欧盟(脱欧)法》将GDPR保留为“英国GDPR”,并辅以《2018年数据保护法》加以补充。一个月的期限、须提供信息的范围、费用规则及拒绝理由,在英国法律文本中均予以保留。
主要差异包括:
- 执法权归属于ICO,而非欧盟监管机构。脱欧后从欧盟向英国的数据传输需要充分性认定(欧盟委员会于2021年6月28日通过)或其他适当保障措施。
- 《2018年数据保护法》第2至4附表包含英国特有的额外例外:管理预测、谈判事项,以及扩展的执法例外。
- 同时在欧盟和英国运营的组织可能面临并行义务:来自欧盟居民的DSAR适用欧盟GDPR,来自英国居民的DSAR则适用英国GDPR。
有关详细的ICO指南,请参见ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/。
雇佣关系中的DSAR
雇佣关系产生的DSAR数量几乎超过其他任何一种关系,尤其是在雇佣关系即将终止或刚刚终止时。
诉讼本身不构成例外事由。 存在或威胁提起的劳动仲裁程序,并不会使DSAR变得明显毫无根据或过度。监管机构和ICO均一贯确认了这一点。以预期存在诉讼为由拒绝雇佣类DSAR,几乎必然引发额外的执法投诉。
商业保密的例外范围有限。 绩效管理文件、纪律处分记录和会议记录中包含员工本人的个人数据,必须予以披露。控制者可以遮蔽关于其他员工的意见,但不能遮蔽请求人本人的数据。
律师保密特权仅适用于特定文件。 若某雇佣律师曾就预期诉讼向组织提供建议,该受保护通信可以予以保留,但仅限于这些特定文件,而非整个人力资源档案类别。
推荐信和面试记录属于个人数据。 关于某员工的推荐信及面试评分表属于该员工的个人数据,通常必须予以披露,仅可对涉及其他个人的信息进行有针对性遮蔽。
DSAR与自动化决策
当控制者使用产生法律效果或类似重大影响的自动化决策或画像时,第15(1)(h)条要求DSAR答复须包含“关于所涉逻辑的有意义信息,以及此类处理对数据主体的重要性和预期后果”。
欧洲数据保护委员会关于自动化决策的06/2022号指南明确,“关于逻辑的有意义信息”不必是完整的算法或源代码,但必须超越笼统的描述。数据主体有权了解:使用了哪些输入数据;算法如何处理这些数据;在其具体案例中输出结果是什么;以及该结果带来了什么后果。
这适用于信用评分、保险核保、招聘筛选和内容审核等场景。若某项信贷拒绝决定由自动化评估触发,却未对该模型作出有意义的说明,则同时违反第15(1)(h)条以及第22(3)条的人工复核权。
DSAR执法:监管机构的实际做法
各欧洲数据保护委员会成员监管机构的执法呈现出一些共同主题:
金融服务业。 银行和保险公司曾因答复不完整而被罚款,尤其是因未披露遗留系统或处理者所持数据。
医疗行业。 医院和医疗保险公司曾因错过期限、或以存在本可遮蔽的第三方临床数据为由拒绝披露记录而受到处罚。
科技公司。 大型平台曾因以非机器可读的专有格式作出答复、导致数据主体无法理解其数据而受到审查。
雇主。 以“诉讼”或“过度”为由、且缺乏证据支持而拒绝DSAR的雇主,一贯面临不利的认定结果。
欧洲数据保护委员会在edpb.europa.eu/about-edpb/who-we-are/members_en及各国数据保护机构网站上公布了执法行动的中央登记信息。
访问权与其他GDPR权利的关系
访问权通常先于其他权利的行使。尚不了解自己数据被持有情况的数据主体,往往先提出DSAR,再依据所披露的信息决定是否请求依据第16条更正、依据第17条删除(参见GDPR被遗忘权)、依据第18条限制处理,或依据第21条提出反对。
访问权与第20条的数据可携权是不同的权利。可携权仅适用于以同意或合同为合法依据、且通过自动化方式进行的处理,要求以结构化、机器可读的格式提供数据。第15条的副本获取权则不因合法依据而有所限制,但格式要求相对较低。
DSAR也不同于信息公开请求。信息自由法及类似法律赋予的是获取公共机构就其公共职能所持信息的权利,而DSAR赋予的是获取关于请求人本人个人数据的权利。当数据主体联系某公共机构时,这两项权利可能同时产生,许多公共部门组织会并行处理这两类请求。
免责声明: 本文就GDPR访问权(第15条)和数据主体访问请求提供一般性法律信息,不构成法律意见,也不能替代在相关司法辖区获得执业资格的合格律师的意见。GDPR法律及监管机构、法院对其的解释持续演变,本文信息截至2026年6月经核实。若你负责某组织的DSAR合规工作,或希望行使自己的数据主体权利,请咨询相关欧盟成员国或英国司法辖区的数据保护专业人士或律师。
Frequently Asked Questions
答复DSAR需要多长时间?
第12(3)条要求不无故拖延,并在任何情况下须在收到请求后一个月内答复。若请求复杂或同时收到大量请求,可延长最多两个月,前提是控制者在最初一个月期限届满之前通知数据主体。在没有有效延期的情况下错过一个月期限,即构成对GDPR的违反。
可以对主体访问请求收费吗?
一般情况下不可以。第12(5)条规定的唯一例外是请求明显毫无根据或过度,此时控制者可以基于行政成本收取合理费用,或拒绝该请求。证明请求达到该门槛的举证责任由控制者承担。第15(3)条另行允许就已披露数据的额外副本收费,但不适用于新的DSAR请求。
可以拒绝DSAR吗?
可以,但仅限于有限情形。第12(5)条仅允许在请求明显毫无根据或过度时拒绝,举证责任由控制者承担。第23条允许欧盟成员国出于国家安全、刑事侦查或职业保密特权等原因限制访问权。若拒绝,控制者必须在一个月内通知数据主体,说明理由,并解释如何向监管机构投诉及寻求司法救济。
DSAR与被遗忘权有何区别?
第15条项下的DSAR是获取个人数据副本并了解其处理方式的请求。第17条项下的被遗忘权(删除权)是在六种法定情形之一下要求删除数据的请求。两者是各自独立的权利,具有不同的适用条件和程序。实践中,许多人会先提出DSAR以了解现有情况,再决定是否请求删除。详情请参阅[GDPR被遗忘权](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/gdpr-right-to-be-forgotten/)。
DSAR必须以书面形式提出吗?
不必须。第12(1)条规定,可以应数据主体的请求以口头方式提供信息,口头请求同样有效。只接受通过正式书面表格或在线门户提出DSAR的控制者,可能会错过通过电话或当面提出的口头请求。一线员工应接受培训,以识别并上报口头DSAR。
如果组织未答复DSAR会怎样?
未在适用期限内答复即构成对第12(3)条的违反。数据主体可以向其所在欧盟成员国的主管监管机构投诉。监管机构可依据第83条处以罚款;违反第12条或第15条的GDPR罚款最高可达2000万欧元或全球年营业总额百分之四(以较高者为准)。
DSAR是否涵盖组织的数据处理者所持有的数据?
是的。控制者对其处理的全部个人数据负责,包括由云服务商、薪资服务或营销平台等第三方处理者代表其处理的数据。控制者必须依据第28条要求的数据处理协议,指示处理者协助进行DSAR检索。数据主体向控制者提交DSAR,由控制者负责从处理者处检索数据并纳入答复。
雇主能否以正在进行的诉讼为由拒绝雇佣类DSAR?
不能。涉及劳动仲裁程序本身不会使DSAR依据第12(5)条被认定为明显毫无根据或过度。监管机构和ICO均一贯确认了这一点。律师保密特权可能适用于特定的受保护通信,但不能以此为由拒绝或拖延整个DSAR。
DSAR答复必须采用什么格式?
第15(3)条要求,若请求以电子方式提出,答复须采用常用的电子格式,除非数据主体另有要求。PDF、Word、Excel及安全门户访问均属可接受格式。答复同时必须满足第12(1)条的要求:简明、透明、易懂,并使用清晰通俗的语言。
欧盟以外的组织是否也有GDPR DSAR义务?
是的,对于受第3(2)条约束的组织而言如此。GDPR适用于向欧盟/欧洲经济区个人提供商品或服务、或监测其行为的非欧盟组织。向欧盟客户销售产品的美国公司,或应用程序追踪欧盟用户位置信息的全球性公司,都必须答复来自这些个人的DSAR。除非存在例外情形,此类组织还必须依据第27条指定一名欧盟代表。
Sources and References
- 《欧洲议会和理事会(欧盟)2016/679号条例》(通用数据保护条例),第15条(数据主体的访问权)(eur-lex.europa.eu).gov
- 《(欧盟)2016/679号条例》,第12条(数据主体权利行使的透明信息、沟通及方式)(eur-lex.europa.eu).gov
- 《(欧盟)2016/679号条例》,序言第63段(获取个人数据的权利)(eur-lex.europa.eu).gov
- 《(欧盟)2016/679号条例》,序言第64段(数据主体访问请求的身份核实)(eur-lex.europa.eu).gov
- 欧洲数据保护委员会关于数据主体权利之访问权的01/2022号指南,2.1版,2023年3月28日通过(edpb.europa.eu).gov
- 欧洲数据保护委员会关于GDPR第65(1)(a)条适用(自动化个人决策与画像)的06/2022号指南(edpb.europa.eu).gov
- 英国信息专员办公室,英国GDPR下的访问权指南(ico.org.uk).gov
- 爱尔兰数据保护委员会,GDPR第15条项下的信息访问权(dataprotection.ie).gov
- 欧盟委员会,关于英国的充分性认定,2021年6月28日(ec.europa.eu).gov
- 英国《2018年欧盟(脱欧)法》及《2018年数据保护法》第2附表(访问权例外情形)(legislation.gov.uk).gov