個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利是個(gè)人參與個(gè)人信息保護(hù)的重要手段之一，《個(gè)人信息保護(hù)法》對個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利進(jìn)行了充分規(guī)定。參考以《通用數(shù)據(jù)保護(hù)條例》（GDPR）為代表的國外個(gè)人信息保護(hù)立法，我國《個(gè)人信息保護(hù)法》賦予個(gè)人的權(quán)利種類基本一致。通過原則性條款明確了個(gè)人對其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，以及有權(quán)限制或者拒絕他人對其個(gè)人信息進(jìn)行處理（第四十四條）；具體規(guī)定了查閱、復(fù)制權(quán)，可攜帶權(quán)（第四十五條），更正補(bǔ)充權(quán)（第四十六條），刪除權(quán)（第四十七條），要求解釋權(quán)（第四十八條）。對于自然人死亡的，也明確了其近親屬行使相關(guān)權(quán)利的規(guī)定。

　　一、知情權(quán)

　　《個(gè)人信息保護(hù)法》第四十四條對此作了原則性規(guī)定，明確個(gè)人對其個(gè)人信息的處理享有知情權(quán)?！秱€(gè)人信息保護(hù)法》分別在第十七條、第二十三條、第三十條針對具體要求進(jìn)行了細(xì)化。第十七條規(guī)定個(gè)人信息處理者應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知以下事項(xiàng)：個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；個(gè)人行使本法規(guī)定權(quán)利的方式和程序等。第二十三條針對個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的情況，規(guī)定還應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類等內(nèi)容。第三十條針對個(gè)人信息處理者處理敏感個(gè)人信息的，規(guī)定還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響。

　　GDPR對“如何保障數(shù)據(jù)主體的知情權(quán)”提出了透明性以及形式上的要求。根據(jù)GDPR的規(guī)定，收集個(gè)人數(shù)據(jù)的方式分為兩種，一種是直接向數(shù)據(jù)主體收集，另一種是通過其他渠道獲取個(gè)人數(shù)據(jù)。當(dāng)直接向數(shù)據(jù)主體收集個(gè)人數(shù)據(jù)時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)告知數(shù)據(jù)主體的信息主要包括：控制者及法定代表人、數(shù)據(jù)保護(hù)官（DPO）的身份、聯(lián)系方式；個(gè)人數(shù)據(jù)的種類；處理個(gè)人數(shù)據(jù)的目的和法律依據(jù)；是否向第三者或第三國轉(zhuǎn)移個(gè)人數(shù)據(jù)以及接收者的具體情況；數(shù)據(jù)的存儲(chǔ)期限等內(nèi)容。當(dāng)通過其他渠道間接獲取個(gè)人數(shù)據(jù)時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)向數(shù)據(jù)主體告知以上信息（除法律或合同的必要性）外，還應(yīng)當(dāng)告知個(gè)人數(shù)據(jù)的具體來源信息。且數(shù)據(jù)控制者需要在一個(gè)月內(nèi)、一次性將上述信息告知數(shù)據(jù)主體。但在下列情況中，如果數(shù)據(jù)控制者是通過其他渠道間接獲取個(gè)人數(shù)據(jù)的，則不需要履行信息告知的義務(wù)，主要包括：數(shù)據(jù)主體已經(jīng)知道了相關(guān)信息；數(shù)據(jù)控制者提供相關(guān)信息被證明是不可能或者需要投入過多不必要精力的，尤其是在數(shù)據(jù)處理是出于實(shí)現(xiàn)公共利益、科學(xué)研究、歷史研究等需要的情況下；數(shù)據(jù)控制者所遵守的歐盟或成員國法律已經(jīng)對數(shù)據(jù)控制者獲取或披露個(gè)人數(shù)據(jù)的行為做了明確規(guī)定；依據(jù)歐盟或成員國法律關(guān)于職業(yè)保密義務(wù)的規(guī)定，數(shù)據(jù)控制者必須對相關(guān)信息進(jìn)行保密。

　　二、查閱復(fù)制權(quán)

　　《個(gè)人信息保護(hù)法》第四十五條規(guī)定個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息，個(gè)人請求查閱、復(fù)制其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。但在下列情形中，個(gè)人查閱復(fù)制權(quán)的行使受到限制：個(gè)人信息處理者處理個(gè)人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的；國家機(jī)關(guān)履行法定職責(zé)處理個(gè)人信息，告知將妨礙國家機(jī)關(guān)履行法定職責(zé)的。

　　GDPR第十五條規(guī)定了數(shù)據(jù)主體的訪問權(quán)，即數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處知悉個(gè)人數(shù)據(jù)是否被處理。個(gè)人數(shù)據(jù)被處理的，數(shù)據(jù)主體有權(quán)訪問個(gè)人數(shù)據(jù)和以下信息：處理數(shù)據(jù)的目的；相關(guān)個(gè)人數(shù)據(jù)的類別；向第三方披露個(gè)人數(shù)據(jù)的，數(shù)據(jù)接收者的名稱或類別；個(gè)人數(shù)據(jù)被存儲(chǔ)的預(yù)設(shè)期限；數(shù)據(jù)主體享有的權(quán)利內(nèi)容；數(shù)據(jù)的來源等內(nèi)容。

　　三、更正補(bǔ)充權(quán)

　　《個(gè)人信息保護(hù)法》第四十六條規(guī)定個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請求個(gè)人信息處理者更正、補(bǔ)充。個(gè)人請求更正、補(bǔ)充其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)對其個(gè)人信息予以核實(shí)，并及時(shí)更正、補(bǔ)充。

　　GDPR第十六條規(guī)定，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者立即更正個(gè)人數(shù)據(jù)的錯(cuò)誤，有權(quán)要求完善不完整的個(gè)人數(shù)據(jù)。數(shù)據(jù)控制者可以以補(bǔ)充聲明等方式對個(gè)人數(shù)據(jù)進(jìn)行更正完善。

　　四、刪除權(quán)

　　《個(gè)人信息保護(hù)法》第四十七條規(guī)定了應(yīng)當(dāng)刪除個(gè)人信息的情形，主要包括：處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；個(gè)人撤回同意；個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息；法律、行政法規(guī)規(guī)定的其他情形。在這些情形下，個(gè)人信息處理者應(yīng)當(dāng)履行主動(dòng)刪除個(gè)人信息的義務(wù)，如果個(gè)人信息處理者未主動(dòng)刪除，個(gè)人則可以行使權(quán)利要求個(gè)人信息處理者刪除個(gè)人信息。但該條同時(shí)明確，法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。

　　GDPR第十七條規(guī)定數(shù)據(jù)主體可以行使權(quán)利，要求數(shù)據(jù)控制者立即刪除與其相關(guān)的個(gè)人數(shù)據(jù)，同時(shí)數(shù)據(jù)控制者也應(yīng)當(dāng)履行立即刪除的義務(wù)，行使刪除權(quán)的場景主要涉及：數(shù)據(jù)對于收集或處理時(shí)的目的已經(jīng)不再必要；數(shù)據(jù)主體撤回處理個(gè)人數(shù)據(jù)的同意，且處理個(gè)人數(shù)據(jù)沒有其他合法性依據(jù)；數(shù)據(jù)主體行使了拒絕權(quán)，且處理個(gè)人數(shù)據(jù)沒有其他合法性依據(jù)；個(gè)人數(shù)據(jù)被非法處理；歐盟或成員國規(guī)定了數(shù)據(jù)控制者刪除個(gè)人數(shù)據(jù)的法定義務(wù)；個(gè)人數(shù)據(jù)的收集涉及向兒童提供社會(huì)服務(wù)信息。上述情形中，如果數(shù)據(jù)控制者已經(jīng)公開了個(gè)人數(shù)據(jù)，在刪除個(gè)人數(shù)據(jù)后，還應(yīng)當(dāng)采取包括技術(shù)手段在內(nèi)的多種措施，將數(shù)據(jù)主體要求刪除的個(gè)人數(shù)據(jù)的鏈接、副本和備份等告知正在處理該個(gè)人數(shù)據(jù)的其他數(shù)據(jù)控制者。

　　同時(shí)，GDPR也規(guī)定了刪除權(quán)行使的例外情形，主要包括：涉及言論和信息自由權(quán)的行使；基于歐盟或成員國法定義務(wù)以及為公共利益而處理個(gè)人數(shù)據(jù)的；出于公共健康領(lǐng)域的公共利益需要處理個(gè)人數(shù)據(jù)；為實(shí)現(xiàn)科學(xué)研究、歷史研究、統(tǒng)計(jì)等目的而處理個(gè)人數(shù)據(jù)；為提起訴訟或應(yīng)訴處理個(gè)人數(shù)據(jù)。在這些情形中，刪除權(quán)的行使受到限制。

　　根據(jù)規(guī)定，GDPR的刪除權(quán)也同時(shí)包括被遺忘權(quán)的內(nèi)容，但國內(nèi)外對于被遺忘權(quán)的爭議較大，我國《個(gè)人信息保護(hù)法》中并未做規(guī)定。

　　五、限制處理權(quán)

　　《個(gè)人信息保護(hù)法》第四十四條規(guī)定個(gè)人有權(quán)限制他人對其個(gè)人信息進(jìn)行處理。

　　GDPR第十八條規(guī)定，發(fā)生下列情形，數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者的處理行為：數(shù)據(jù)主體對個(gè)人數(shù)據(jù)的準(zhǔn)確性提出質(zhì)疑，數(shù)據(jù)控制者需要時(shí)間進(jìn)行核實(shí)；數(shù)據(jù)處理的行為違法，但數(shù)據(jù)主體僅要求限制數(shù)據(jù)使用而非刪除其個(gè)人數(shù)據(jù)；數(shù)據(jù)控制者無需繼續(xù)處理個(gè)人數(shù)據(jù)，但這些個(gè)人數(shù)據(jù)是數(shù)據(jù)主體提起訴訟或應(yīng)訴所必需；數(shù)據(jù)主體根據(jù)規(guī)定行使了拒絕權(quán)，但尚未確認(rèn)數(shù)據(jù)控制者的數(shù)據(jù)處理理由是否優(yōu)于數(shù)據(jù)主體的利益。

　　六、可攜帶權(quán)

　　《個(gè)人信息保護(hù)法》第四十五條規(guī)定，個(gè)人請求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。

　　GDPR第二十條規(guī)定，如果數(shù)據(jù)主體向數(shù)據(jù)控制者提供了與其有關(guān)的個(gè)人數(shù)據(jù)，那么在滿足下列情形時(shí)，數(shù)據(jù)主體有權(quán)從該數(shù)據(jù)控制者處獲取結(jié)構(gòu)化、通用和可機(jī)讀的上述個(gè)人數(shù)據(jù)：處理是基于數(shù)據(jù)主體的同意或者合同的約定進(jìn)行的；處理是通過自動(dòng)化方式進(jìn)行的。原數(shù)據(jù)控制者不得阻礙數(shù)據(jù)主體將這些數(shù)據(jù)轉(zhuǎn)移給其他的數(shù)據(jù)控制者。GDPR規(guī)定，可攜帶權(quán)的行使不得影響刪除權(quán)的行使，不適用于為執(zhí)行公共任務(wù)、行使職權(quán)所進(jìn)行的數(shù)據(jù)處理，且不應(yīng)對他人的權(quán)利和自由產(chǎn)生不利影響。

　　2016年12月13日，歐盟數(shù)據(jù)工作保護(hù)組公布了《數(shù)據(jù)可攜帶權(quán)指南》（以下稱《指南》），在2018年5月EDPB第一次全體會(huì)議上，《指南》獲得了批準(zhǔn)。根據(jù)《指南》，在以下兩種情形中，用戶數(shù)據(jù)可攜帶權(quán)的行使可能對他人的權(quán)利和自由造成不利影響：

　　1、請求可攜數(shù)據(jù)中包含有數(shù)據(jù)主體以外的第三人數(shù)據(jù)。用戶要求可攜的信息中往往會(huì)存在第三人的個(gè)人信息，而第三人與新的數(shù)據(jù)控制者間卻沒有相關(guān)的約定安排。據(jù)此，在應(yīng)數(shù)據(jù)主體要求傳輸包含第三人數(shù)據(jù)信息時(shí)，數(shù)據(jù)控制者應(yīng)注意以下幾點(diǎn)：首先，數(shù)據(jù)傳輸方不能拒絕傳輸所有含有第三人信息的數(shù)據(jù)。其次，數(shù)據(jù)傳輸方需謹(jǐn)慎對待含有第三人信息的數(shù)據(jù)。最后，數(shù)據(jù)接收方在應(yīng)數(shù)據(jù)主體要求接收數(shù)據(jù)時(shí)應(yīng)遵循最小化原則和合理目的原則。

　　2、請求可攜數(shù)據(jù)中包含他人的知識產(chǎn)權(quán)和商業(yè)秘密?！吨改稀氛J(rèn)為，在可攜數(shù)據(jù)含有第三人商業(yè)秘密和知識產(chǎn)權(quán)的情形下，應(yīng)刪除可能侵犯第三人權(quán)利的相關(guān)信息。但是，《指南》同時(shí)強(qiáng)調(diào)，數(shù)據(jù)控制者不得以此為由拒絕向數(shù)據(jù)主體提供所有信息，而是應(yīng)在不泄露第三人信息的情況下，盡可能地向數(shù)據(jù)主體提供其要求轉(zhuǎn)移的數(shù)據(jù)。

　　七、拒絕權(quán)

　　《個(gè)人信息保護(hù)法》第四十四條規(guī)定個(gè)人有權(quán)拒絕他人對其個(gè)人信息進(jìn)行處理。

　　GDPR第二十一條規(guī)定，數(shù)據(jù)主體有權(quán)基于自身特殊情況，隨時(shí)拒絕數(shù)據(jù)控制者依據(jù)自身職務(wù)權(quán)限、第三方合法利益條款而實(shí)施的個(gè)人數(shù)據(jù)處理行為。除非數(shù)據(jù)控制者能夠證明處理數(shù)據(jù)的合法依據(jù)優(yōu)先于數(shù)據(jù)主體的利益或數(shù)據(jù)處理為提起訴訟或應(yīng)訴所必要，否則數(shù)據(jù)控制者不得繼續(xù)處理個(gè)人數(shù)據(jù)。如果個(gè)人數(shù)據(jù)處理是用于直銷目的的，數(shù)據(jù)主體有權(quán)隨時(shí)拒絕處理行為，且拒絕后，該個(gè)人數(shù)據(jù)不應(yīng)繼續(xù)因此目的而被處理。但在以下情況中，數(shù)據(jù)主體的拒絕權(quán)受到限制：數(shù)據(jù)控制者證明數(shù)據(jù)處理的合法性依據(jù)優(yōu)先于數(shù)據(jù)主體的利益或數(shù)據(jù)處理為提起訴訟或應(yīng)訴所必要（該條款不適用于為直銷目的處理個(gè)人數(shù)據(jù)）；數(shù)據(jù)處理是為執(zhí)行公眾利益所必須。

　　除上述權(quán)利外，《個(gè)人信息保護(hù)法》還規(guī)定了個(gè)人的決定權(quán)、請求解釋權(quán)。第四十四條原則性規(guī)定了個(gè)人對其個(gè)人信息的處理享有決定權(quán)。第四十八條規(guī)定，個(gè)人有權(quán)要求個(gè)人信息處理者對其個(gè)人信息處理規(guī)則進(jìn)行解釋說明。GDPR中并沒有明確將這兩項(xiàng)權(quán)利作為個(gè)人信息處理活動(dòng)中的普遍性權(quán)利進(jìn)行規(guī)定，但是針對自動(dòng)化處理行為明確了類似的要求，如第二十二條規(guī)定數(shù)據(jù)主體有權(quán)不受僅基于自動(dòng)化處理行為得出的決定的制約，以避免對個(gè)人產(chǎn)生法律影響或與之相類似的顯著影響，這種規(guī)定類似于個(gè)人的決定權(quán)。