GDPR数据主体权利详解:全部八项权利(2026年版)

根据《(欧盟)2016/679号条例》第三章的规定,GDPR赋予欧盟境内个人八项可执行的权利:知情权、访问权、更正权、删除权、处理限制权、数据可携权、反对权,以及与自动化决策相关的权利(第13条至第22条)。组织必须在一个自然月内答复任何请求。
GDPR赋予欧盟境内每一位个人对自己个人数据可执行的权利。这些权利规定于《(欧盟)2016/679号条例》第三章(第12条至第22条),覆盖数据的整个生命周期:从组织首次收集数据的那一刻(知情权),到访问、更正、删除、迁移及挑战其使用方式的全过程。
理解这些权利对双方都很重要。个人需要知道自己可以主张什么、如何主张;组织需要知道自己被要求做什么、在什么期限内完成,以及例外情形适用于何处。
本文详细阐述全部八项权利,说明数据主体访问请求(DSAR)在实践中的运作方式,梳理塑造了这些解释的关键欧盟法院判例,并分析近期最重要的进展,包括欧洲数据保护委员会的协调执法报告以及《数字综合一揽子提案》。
有关更广泛的监管框架,请参阅什么是GDPR。有关合规落地步骤,请参阅GDPR合规清单。有关同意规则详情,请参阅GDPR同意要求。
管辖范围说明: 本文讨论的是《(欧盟)2016/679号条例》(GDPR)下的数据主体权利,不涵盖脱欧后已与欧盟GDPR产生分化的英国GDPR,也不涵盖可能适用于特定行业的成员国特定衍生规则。有关英国相关权利,请咨询ICO。
本文仅提供一般性法律信息,不构成法律意见。如需针对具体情况提供指导,请咨询合格的数据保护律师或隐私专业人士。
GDPR八项数据主体权利一览
GDPR第三章确立了八项各自独立的权利。第12条提供了总体程序框架:答复原则上应免费提供,须以简明、透明、易懂且易于获取的形式,使用清晰通俗的语言。默认的一个月答复期限适用于全部权利。
| 权利 | 主要条款 | 核心内容 |
|---|---|---|
| 知情权 | 第13条及第14条 | 在数据收集时获得隐私信息 |
| 访问权 | 第15条 | 获得确认及所持个人数据的副本 |
| 更正权 | 第16条 | 使不准确或不完整的数据得到更正 |
| 删除权 | 第17条 | 请求删除个人数据 |
| 限制处理权 | 第18条 | 在不删除数据的情况下限制其使用 |
| 数据可携权 | 第20条 | 以结构化、机器可读的格式获取数据 |
| 反对权 | 第21条 | 对基于合法利益或直接营销的处理提出异议 |
| 与自动化决策相关的权利 | 第22条 | 对完全由自动化系统作出的决定提出异议 |

知情权(第13条及第14条)
知情权是其他一切GDPR权利赖以存在的基础。它要求组织在收集个人数据之前或收集之时,向个人清晰说明将收集哪些个人数据以及如何使用这些数据。缺乏透明度,个人便无法有意义地行使其他七项权利中的任何一项。
第13条适用于组织直接从个人处收集个人数据的情形,例如通过网页表单、应用注册或书面申请。第14条适用于个人数据是从第三方而非个人本人处获得的情形。
组织必须披露的内容
根据第13条和第14条,组织至少必须提供以下信息:
- 数据控制者的身份及联系方式,若已指定数据保护官,还须提供其联系方式
- 处理目的及每一目的所依据的合法基础
- 若处理依据合法利益,须说明所追求的具体利益
- 接收方或接收方类别
- 向第三国传输的详情及适用的保障措施
- 保留期限,或用于确定该期限的标准
- 全部适用数据主体权利的存在及其行使方式
- 若合法依据为同意,还须说明撤回同意的权利
- 向监管机构投诉的权利
- 仅第14条要求:个人数据的来源
时限要求
对于第13条项下的直接收集,隐私信息须在获取数据之时提供。对于第14条项下的间接收集,须在获得数据后一个月内、或首次联系该个人时(若更早)、或向另一接收方披露时(若更早)提供该信息。
2026年CEF执法重点
欧洲数据保护委员会选定第12条、第13条和第14条作为其2026年协调执法框架(CEF)行动的主题,该行动已于2026年启动,欧盟各国共25家数据保护机构参与其中。欧洲数据保护委员会将知情权描述为“确保个人对自身数据拥有更多控制权的核心透明度要素”。预计执法结果将揭示各类隐私声明在实践中是否真正达到GDPR的标准。
访问权(第15条)
访问权是被行使次数最多、也最常涉诉的GDPR权利。第15条允许个人确认某组织是否处理其个人数据,若有,则获得该数据的副本以及规定的补充信息。
该权利涵盖的内容
根据第15(1)条,数据主体有权获得:
- 处理正在进行的确认
- 个人数据本身的副本
- 处理目的
- 所涉个人数据的类别
- 接收方或接收方类别,包括位于第三国的接收方
- 计划的保留期限,或用于确定该期限的标准
- 更正权、删除权、限制权及反对权的存在
- 向监管机构投诉的权利
- 若数据非来自本人,须说明其来源信息
- 是否使用了包括画像在内的自动化决策,以及所涉逻辑的有意义信息
关于第15条的欧盟法院判例
欧盟法院已大幅收窄了控制者此前在答复访问请求时所享有的裁量空间。
在C-154/21号案,RW诉奥地利邮政公司(2023年1月12日判决)中,法院认定第15(1)(c)条要求控制者披露个人数据已经或将要披露给的接收方的具体身份。只有在确实无法识别具体接收方时,控制者才可退而披露接收方类别。该判决终结了此前普遍存在的、仅提供模糊笼统类别描述的做法。
在C-487/21号案,F.F.诉奥地利数据保护局及CRIF GmbH(2023年5月4日判决)中,法院认定第15(3)条下获取“副本”的权利,意味着数据主体必须收到所持全部个人数据如实、易懂的复制件。在必要时,该权利可以延伸至文件摘录、完整文件或数据库摘录的副本,以便使个人能够以可理解的形式访问其数据。控制者不能提供经过筛选或概括的选定内容。
欧洲数据保护委员会关于访问权的01/2022号指南(2.0版,2023年4月)进一步确认,控制者不能仅将答复限定为其自认为“相关”或“重要”的数据,访问权必须覆盖所持有的全部个人数据。
2024年CEF关于访问权的调查结论
欧洲数据保护委员会于2025年1月发布了2024年CEF访问权报告,该协调行动共有31家数据保护机构参与。反复出现的问题包括:缺乏处理请求的内部流程;答复不完整;以及过度繁琐的身份核实要求,令合法的请求人望而却步。

更正权(第16条)
第16条赋予个人不无故拖延地更正不准确个人数据的权利。个人还可以要求补充不完整的数据,包括通过提供补充声明的方式。
适用范围及实际举例
每当组织所持有的事实性个人数据不正确或不完整时,该权利即可适用。常见情形包括姓名拼写错误、地址错误、电话号码过时,以及雇佣记录日期有误。该权利不适用于评估或意见(例如绩效评估评级属于意见而非事实性错误),但个人可以要求在存在争议的主观评估中附加补充声明。
第三方通知义务
当控制者更正数据时,GDPR第19条要求其通知此前曾向其披露过该数据的每一个接收方,除非这样做被证明不可能或需要付出不成比例的努力。若个人提出要求,控制者还必须告知其这些接收方的信息。
删除权/被遗忘权(第17条)
第17条允许个人请求删除其个人数据。删除权,又称“被遗忘权”,是GDPR中最引人关注的条款之一,但它并非绝对权利:第17(3)条列明了该权利不适用的情形。
删除的适用条件
根据第17(1)条,出现以下情形时须予以删除:
- 数据已不再为收集或处理的目的所必需
- 个人撤回同意,且不存在其他合法依据
- 个人依据第21条提出反对,且控制者不存在压倒性的合法理由
- 数据被非法处理
- 删除是遵守欧盟或成员国法定义务所必需
- 数据是就信息社会服务从儿童处收集的(第8条)
拒绝删除的依据
根据第17(3)条,当处理属于以下情形所必需时,控制者可以拒绝删除:
- 行使言论自由和信息自由的权利
- 遵守法定义务(例如法定税务记录保留要求)
- 出于公共利益的公共卫生目的(第9(2)(h)条和第9(2)(i)条)
- 出于公共利益的档案保存、科学研究或统计目的,且删除会严重妨碍该目的的实现
- 确立、行使或抗辩法律主张
注意事项: 法律主张这一例外经常被滥用。有些组织会以预防性方式援引该例外以规避删除义务。该例外要求诉讼程序确实已经处于待决、受到威胁或可合理预见的状态,而不是控制者理论上可能在未来面临某项主张。
搜索引擎删除
删除权对搜索引擎具有特殊意义。继Google Spain案(C-131/12号案,2014年)之后,个人可以要求搜索引擎从结果中移除有关自己的链接。欧洲数据保护委员会5/2019号指南规定了各国数据保护机构评估移除请求时所适用的标准。
2025年CEF:落实删除权面临的挑战
欧洲数据保护委员会于2026年2月发布了2025年CEF删除权报告。2025年全年共有32家数据保护机构参与,其中9家启动了正式调查,23家开展了事实调查。共识别出七类反复出现的落实难题:
- 组织以效率低下的匿名化技术替代真正的删除
- 备份系统中删除操作的做法不一致
- 难以确定保留期限并据此采取行动
- 控制者难以适用第17(3)条的权衡测试
- 缺乏内部流程,与2024年访问权调查中的发现相呼应
- 未向个人充分告知删除请求的处理结果
- 未充分向第三方接收方通知删除事宜
限制处理权(第18条)
第18条允许个人要求组织保留其数据但停止主动使用。在限制生效期间,控制者可以存储数据,但除非获得个人同意,或处理是出于法律主张、保护他人权利或重大公共利益的需要,否则不得处理该数据。
限制适用的情形
个人可以在以下四种情形下请求限制:
- 个人对数据的准确性提出异议,在控制者核实准确性期间适用限制
- 处理是非法的,但个人倾向于限制而非删除
- 控制者已不再需要该数据,但个人需要该数据用于确立、行使或抗辩法律主张
- 个人已依据第21条提出反对,权衡结果尚未确定
实际效果
限制实质上是对主动处理的一种“暂停”。控制者在解除任何限制之前必须告知个人。该权利在完全删除与不受限制处理之间提供了一种中间选择,在事实存在争议或诉讼进行期间尤为有用。
数据可携权(第20条)
第20条赋予个人以结构化、常用且机器可读的格式获取其提供给控制者的个人数据的权利,并在技术可行的情况下,要求将该数据直接传输给另一控制者。该权利旨在减少供应商锁定,支持在竞争性服务之间自由切换。
可携权的适用条件
数据可携权仅在同时满足以下两个条件时适用:
- 处理依据同意(第6(1)(a)条或第9(2)(a)条)或与个人订立的合同(第6(1)(b)条)
- 处理通过自动化方式进行
依据合法利益、法定义务或公共利益处理的数据不享有可携权。
涵盖哪些数据
可携权涵盖个人“提供给”控制者的数据,包括主动提交的数据(表单填写内容、上传的文件、个人资料信息)以及通过使用服务而产生的数据(交易记录、使用日志、应用产生的位置数据)。它不包括推断或衍生数据,例如风险评分、客户分群或算法画像输出结果,因为这些数据是由控制者生成的,而非由个人提供的。
格式要求
数据必须以结构化、常用且机器可读的格式提供。CSV、JSON和XML均属广泛接受的格式。若技术上可行且个人提出要求,控制者必须将数据直接传输给另一指定的控制者。
反对权(第21条)
第21条允许个人在两种法律后果截然不同的情形下对处理提出反对。
对基于合法利益或公共利益处理的反对
当处理依据合法利益(第6(1)(f)条)或公共利益(第6(1)(e)条)进行时,个人可以“基于其特定情形相关的理由”提出反对。除非控制者能够证明存在超越个人利益、权利和自由的令人信服的合法理由,或处理是法律主张所必需,否则控制者必须停止处理。
举证责任在控制者一方,须针对个人所述的具体情形开展真正的权衡分析,而非笼统地宣称自身利益重大。
反对直接营销的绝对权利
反对直接营销处理的权利是无条件的。第21(2)条和第21(3)条规定,当个人反对为直接营销目的进行的处理时,控制者必须立即停止该目的下的处理及任何相关画像活动,不适用任何权衡测试,也不存在任何可以凌驾于该权利之上的合法理由。
对研究处理的反对
个人还可以基于其特定情形相关的理由,对出于科学、历史或统计研究目的的处理提出反对,除非该处理是执行公共利益任务所必需。

与自动化决策及画像相关的权利(第22条)
第22条规定,个人有权不受完全基于自动化处理(包括画像)、且对其产生法律效果或类似重大影响的决定的约束。
核心保护
第22条的适用须同时满足以下三个条件:
- 该决定完全基于自动化处理作出(没有实质性的人工参与)
- 该处理包含画像(对个人特征进行分析以评估、预测或分类)
- 该决定产生法律效果(拒绝授信、拒签、拒绝雇佣)或类似重大影响(拒保、被排除在服务之外、严重的经济或社会后果)
允许的例外
第22(2)条允许在以下三种情形下,作出具有法律效果或类似重大影响的完全自动化决定:
- 该决定是订立或履行与个人之间合同所必需的
- 欧盟或成员国法律授权作出该决定,并规定了适当的保障措施
- 该决定基于个人的明确同意
强制性保障措施
当适用例外情形时,控制者必须实施适当措施以保护个人的权利。至少,个人必须有权:
- 要求对该决定进行人工介入
- 在决定作出前后表达自己的观点
- 对该决定提出异议
控制者还必须提供关于自动化系统所涉逻辑的有意义信息,以及该决定对个人的重要性和预期后果。
与《欧盟人工智能法案》的相互作用
《欧盟人工智能法案》(《(欧盟)2024/1689号条例》,自2024年8月起生效,核心条款自2026年8月起适用)为高风险人工智能系统引入了相互交叠的义务。附件三列出的高风险人工智能系统,涵盖信用评分、雇佣决策、基本服务获取及移民事务,除须满足第22条GDPR义务外,还须依据《人工智能法案》满足透明度、人工监督及准确性方面的要求。当两套制度同时适用时,两方面的义务都必须得到满足。随着《人工智能法案》相关条款于2026年全面生效,预计欧洲数据保护委员会和欧盟人工智能办公室将就第22条与《人工智能法案》的相互作用提供协调一致的指导意见。
数据主体访问请求(DSAR)在实践中的运作方式
第12条为答复所有数据主体权利请求提供了程序性框架。
提出请求
个人无需使用特定法律措辞,也无需援引任何GDPR条款。任何能够清楚表明个人诉求的沟通即已足够。请求可以通过电子邮件、网页表单、信函、电话或组织提供的其他任何渠道提出。
一个月的期限
控制者必须自收到请求次日起一个自然月内予以答复。欧洲数据保护委员会确认,这意味着一个自然月(例如3月5日收到的请求,须在4月5日前答复)。如果最后一天恰逢周末或控制者所在司法辖区的法定假日,期限顺延至下一个工作日。
延期
对于复杂请求,或同一个人同时提交了多项请求的情形,期限可再延长两个月(共计三个月)。要适用该延期,控制者必须在最初一个自然月内通知该个人,并说明延期理由。若未在第一个月内发出延期通知,则控制者不得援引该延期。
费用
对任何权利请求的首次答复必须免费提供。仅对明显毫无根据或过度(尤其是重复性)的请求,才可收取合理的行政费用。举证责任由控制者承担,证明请求达到该门槛。该门槛较高:一位此前未曾提出过相同请求的个人所提出的常规请求,并不构成过度请求。
身份核实
控制者可以要求提供信息以核实请求人身份,但仅限于存在真实疑虑的情形,核实措施必须与目的相称。控制者不得以过度的核实要求作为威慑手段。对于在线账户,要求用户通过现有账户凭证进行身份验证通常已经足够。除非所涉数据特别敏感或具体情形确有必要,否则要求提供护照复印件或政府身份证件通常是不成比例的。
何时可以拒绝请求
控制者可以拒绝答复明显毫无根据或过度的请求。若请求被拒绝,控制者必须告知个人:
- 拒绝的理由
- 向监管机构投诉的权利
- 寻求司法救济的权利
控制者不能对请求置之不理,即便是拒绝,也必须在一个月的期限内予以沟通。
提起投诉
每个欧盟成员国都设有一个国家数据保护机构,个人可以免费向其提起投诉。欧洲数据保护委员会公布了完整名单,列出各国监管机构及其联系方式。较为知名的机构包括法国CNIL、德国BfDI、爱尔兰数据保护委员会(DPC,负责监管许多在爱尔兰设有欧盟总部的美国科技公司),以及比利时的APD/GBA。
数据主体权利的例外及限制
数据主体权利并非无限制。序言第73段及多项条款允许成员国通过立法限制相关权利,以保障:
- 国家安全、公共安全及国防
- 刑事犯罪的预防、侦查和起诉
- 欧盟或成员国的其他重大公共利益目标,包括公共卫生、社会保障和税收
- 司法独立的保护
- 民事法律主张的执行
- 其他个人的权利和自由
在多个欧盟成员国运营的组织,必须逐一确认适用的成员国例外规定是否影响其在各司法辖区的处理活动。
近期发展动态(2024年至2026年)
欧洲数据保护委员会协调执法:全部权利中普遍存在的系统性缺口
欧洲数据保护委员会年度协调执法框架行动目前已覆盖访问权(2024年)和删除权(2025年)。两份报告均识别出相同的系统性缺陷:组织缺乏处理权利请求的内部流程;答复不完整或延迟;核实要求不成比例;对第三方接收方就更正或删除事宜的通知做法不一致。
2026年行动聚焦于第12条至第14条(透明度与信息义务)。根据往年模式,欧洲数据保护委员会预计将在隐私声明的质量和可获取性方面发现系统性缺口。预计25家参与国数据保护机构的执法结果将于2026年下半年公布。
欧盟法院:不断收窄控制者的裁量空间
欧盟法院在访问权方面的判例法持续收窄了控制者限制合规范围的空间。C-154/21号案(2023年1月)要求在可识别的情况下披露实际接收方身份。C-487/21号案(2023年5月)要求提供全部个人数据完整、如实的副本。此前直到2022年仍被普遍采用的答复方式(摘要表格、仅提供类别描述、经筛选的选定内容)如今已不再合规。
《数字综合一揽子提案》(2025年11月)
欧盟委员会于2025年11月19日公布了《数字综合一揽子提案》,作为一项更广泛简化改革的组成部分,提议对GDPR进行有针对性的修订。其中与数据主体权利最相关的提案包括:
- 新增一项自由裁量依据,允许控制者在发现个人“为保护其数据以外的目的”滥用权利时拒绝或收费处理DSAR。这针对的是诸如在劳动诉讼中将DSAR用作工具、而非用于真正隐私保护的情形。
- 拟在有限情形下缩小第13条透明度要求的适用范围:当数据直接从个人处收集、可以合理推定该个人已经知悉相关信息、且控制者的活动不属于数据密集型时。若涉及自动化处理、画像或数据传输,该豁免不适用。
- 明确新增一项针对为人工智能训练目的处理个人数据的无条件反对权。
上述内容目前仅为提案,该一揽子方案仍处于欧洲议会、欧盟理事会与欧盟委员会之间的三方谈判阶段。在任何修订性条例正式在《欧盟官方公报》上公布之前,本文所述的现行GDPR权利仍完全有效,保持不变。
常见问题
更多GDPR相关指南
- 什么是GDPR:全面了解该条例及其法律依据
- GDPR同意要求:有效同意的标准及其与数据主体权利的关系
- GDPR合规清单:分步合规落地指南
- GDPR罚款与处罚:执法数据及违规后果
- GDPR数据泄露通知72小时规则:数据泄露报告义务
- 欧盟数据隐私法:欧盟数据保护全面概览
免责声明
本文就《(欧盟)2016/679号条例》(GDPR)项下的数据主体权利提供一般性法律信息,仅涵盖欧盟GDPR,不涉及英国GDPR或成员国特有的衍生规则。信息截至2026年5月19日经核实。GDPR是一部持续演进的法律文件,监管机构的指导意见、欧盟法院判例及执法决定不断细化其条款的解释方式。本文不能替代法律意见,如需针对具体情况提供意见,请咨询在相关司法辖区获得执业资格的合格数据保护律师或隐私专业人士。
作者信息
[占位:作者名单待补充]
引用来源
- 《(欧盟)2016/679号条例》(GDPR):官方全文。https://eur-lex.europa.eu/eli/reg/2016/679/oj
- GDPR第12条:透明信息、沟通及方式。https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679
- 欧洲数据保护委员会关于访问权的01/2022号指南,2.0版(2023年4月)。https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf
- 欧洲数据保护委员会关于搜索引擎被遗忘权的5/2019号指南。https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201905_rtbfsearchengines_afterpublicconsultation_en.pdf
- 欧盟法院C-154/21号案,RW诉奥地利邮政公司,2023年1月12日判决。https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0154
- 欧盟法院C-487/21号案,F.F.诉奥地利数据保护局及CRIF GmbH,2023年5月4日判决。https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0487
- 欧洲数据保护委员会:识别妨碍删除权全面落实的挑战(2026年2月)。https://www.edpb.europa.eu/news/news/2026/edpb-identifies-challenges-hindering-full-implementation-right-erasure_en
- 欧洲数据保护委员会2025年CEF报告:删除权的落实情况。https://www.edpb.europa.eu/system/files/2026-02/edpb_cef-report_2025_right-to-erasure_en.pdf
- 欧洲数据保护委员会:2026年CEF启动,聚焦透明度与信息义务的协调执法。https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- 欧洲数据保护委员会:2024年CEF:访问权全面落实面临的挑战(2025年1月)。https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full-implementation-right-access_en
- 欧盟委员会:关于个人GDPR权利的信息。https://commission.europa.eu/law/law-topic/data-protection/information-individuals_en
- 欧盟委员会:处理数据主体权利请求。https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-exercising-their-data-protection-rights-be-dealt_en
- 欧洲数据保护委员会:国家监管机构名单。https://edpb.europa.eu/about-edpb/about-edpb/members_en
最后更新:2026年5月19日。文中引用的GDPR条款反映的是截至2026年5月19日有效的《(欧盟)2016/679号条例》。《数字综合一揽子提案》(2025年11月)仍处于三方谈判阶段,截至该日期尚未对GDPR作出任何修订。
Frequently Asked Questions
GDPR的八项数据主体权利分别是什么?
GDPR第三章下的八项权利分别是:(1)知情权(第13条和第14条);(2)访问权(第15条);(3)更正权(第16条);(4)删除权,又称被遗忘权(第17条);(5)限制处理权(第18条);(6)数据可携权(第20条);(7)反对权(第21条);以及(8)与自动化决策及画像相关的权利(第22条)。第12条规定了适用于全部权利的程序性义务。
我该如何提出GDPR数据主体访问请求?
通过任何可用渠道(电子邮件、信函、网页表单或电话)联系持有你数据的组织,清楚说明你希望访问自己的个人数据。你无需援引第15条,也无需使用“主体访问请求”这一表述。组织必须在一个自然月内答复,并免费提供首份副本。请保留请求内容及发送时间的记录。若组织未在一个月内答复,或拒绝时未作出充分说明,可向你所在国家的数据保护机构提起投诉。
组织可以就DSAR收费吗?
对数据主体访问请求的首次答复必须免费提供。仅对明显毫无根据或过度(尤其是重复性)的请求,才可收取合理的行政费用。控制者必须证明该请求达到这一门槛,且门槛较高:一位此前未曾提出过相同请求的人所提出的常规请求,并不构成过度请求。
GDPR下删除权是绝对权利吗?
不是。GDPR第17(3)条规定了六种删除权不适用的情形:处理是行使言论自由和信息自由所必需;遵守法定义务所必需;出于公共利益的公共卫生目的所必需;出于公共利益的档案保存、科学研究或统计目的、且删除会严重妨碍该目的所必需;或确立、行使或抗辩法律主张所必需。组织必须逐一对照这些例外情形评估每一项请求。
删除权与限制处理权有何区别?
删除权(第17条)要求组织彻底删除个人数据。限制处理权(第18条)要求组织停止主动使用数据,但允许其继续存储。限制适用于过渡性场景,例如个人对数据准确性提出争议、希望在控制者核实期间保留数据,或个人需要保留数据用于法律主张。
组织答复权利请求有多长时间?
自收到请求次日起一个自然月内。对于复杂请求,或同一个人提交了大量请求的情形,期限可再延长最多两个月(共计三个月)。组织必须在最初一个自然月内告知该个人延期事宜及理由。若未在该期限内发出延期通知,则一个月的期限继续有效。
数据可携权是否适用于我的全部个人数据?
不是。第20条项下的数据可携权仅在同时满足以下两个条件时适用:处理依据同意或与个人订立的合同,且处理通过自动化方式进行。该权利不适用于依据合法利益、法定义务或公共利益处理的数据,也仅涵盖个人提供给控制者的数据,不包括风险评分、客户分群或画像输出结果等推断或衍生数据。
我能否对算法或人工智能系统作出的决定提出异议?
在特定情形下可以。GDPR第22条赋予个人不受完全基于自动化处理(包括画像)、且产生法律效果或类似重大影响的决定约束的权利。当此类决定依据第22(2)条的例外情形被允许时,必须赋予个人获得人工介入、表达观点及对该决定提出异议的权利。对于依据《欧盟人工智能法案》被归类为高风险的人工智能系统,还须适用额外的透明度和人工监督义务。
如果我反对直接营销会怎样?
第21(2)条和第21(3)条规定的反对直接营销的权利是绝对且即时生效的。一旦你提出反对,组织必须停止为直接营销目的处理你的数据,包括与该营销相关的任何画像活动,不适用任何权衡测试,也不存在可以凌驾于该权利之上的合法理由。
《数字综合一揽子提案》是什么?它会改变我的GDPR权利吗?
欧盟委员会于2025年11月公布了《数字综合一揽子提案》,提议对GDPR进行有针对性的修订。相关提案包括新增一项在发现个人滥用权利时拒绝DSAR的依据、在有限情形下缩小透明度豁免范围,以及明确新增反对人工智能训练处理的权利。这些目前仅为提案,尚未获得通过。本文所述全部现行GDPR数据主体权利,在任何修订性条例正式在欧盟官方公报上公布之前,仍完全有效,保持不变。
Sources and References
- 《(欧盟)2016/679号条例》(GDPR)官方全文(eur-lex.europa.eu).gov
- GDPR第12条,透明信息及方式(eur-lex.europa.eu).gov
- 欧洲数据保护委员会关于访问权的01/2022号指南(2.0版,2023年4月)(edpb.europa.eu).gov
- 欧洲数据保护委员会关于搜索引擎被遗忘权的5/2019号指南(edpb.europa.eu).gov
- 欧盟法院C-154/21号案,RW诉奥地利邮政公司,2023年1月12日(eur-lex.europa.eu).gov
- 欧盟法院C-487/21号案,F.F.诉奥地利数据保护局及CRIF GmbH,2023年5月4日(eur-lex.europa.eu).gov
- 欧洲数据保护委员会:妨碍删除权全面落实的挑战(2026年2月)(edpb.europa.eu).gov
- 欧洲数据保护委员会2025年CEF报告:删除权的落实情况(edpb.europa.eu).gov
- 欧洲数据保护委员会:2026年CEF聚焦透明度与信息义务的协调执法(edpb.europa.eu).gov
- 欧洲数据保护委员会:2024年CEF访问权全面落实面临的挑战(2025年1月)(edpb.europa.eu).gov
- 欧盟委员会:关于个人GDPR权利的信息(commission.europa.eu).gov
- 欧盟委员会:处理数据主体权利请求(commission.europa.eu).gov
- 欧洲数据保护委员会:国家监管机构名单(edpb.europa.eu).gov