個人在個人信息處理活動中的權利是個人參與個人信息保護的重要手段之一，《個人信息保護法》對個人在個人信息處理活動中的權利進行了充分規(guī)定。參考以《通用數(shù)據(jù)保護條例》（GDPR）為代表的國外個人信息保護立法，我國《個人信息保護法》賦予個人的權利種類基本一致。通過原則性條款明確了個人對其個人信息的處理享有知情權、決定權，以及有權限制或者拒絕他人對其個人信息進行處理（第四十四條）；具體規(guī)定了查閱、復制權，可攜帶權（第四十五條），更正補充權（第四十六條），刪除權（第四十七條），要求解釋權（第四十八條）。對于自然人死亡的，也明確了其近親屬行使相關權利的規(guī)定。

　　一、知情權

　　《個人信息保護法》第四十四條對此作了原則性規(guī)定，明確個人對其個人信息的處理享有知情權?！秱€人信息保護法》分別在第十七條、第二十三條、第三十條針對具體要求進行了細化。第十七條規(guī)定個人信息處理者應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知以下事項：個人信息處理者的名稱或者姓名和聯(lián)系方式；個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；個人行使本法規(guī)定權利的方式和程序等。第二十三條針對個人信息處理者向其他個人信息處理者提供其處理的個人信息的情況，規(guī)定還應當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類等內(nèi)容。第三十條針對個人信息處理者處理敏感個人信息的，規(guī)定還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。

　　GDPR對“如何保障數(shù)據(jù)主體的知情權”提出了透明性以及形式上的要求。根據(jù)GDPR的規(guī)定，收集個人數(shù)據(jù)的方式分為兩種，一種是直接向數(shù)據(jù)主體收集，另一種是通過其他渠道獲取個人數(shù)據(jù)。當直接向數(shù)據(jù)主體收集個人數(shù)據(jù)時，數(shù)據(jù)控制者應當告知數(shù)據(jù)主體的信息主要包括：控制者及法定代表人、數(shù)據(jù)保護官（DPO）的身份、聯(lián)系方式；個人數(shù)據(jù)的種類；處理個人數(shù)據(jù)的目的和法律依據(jù)；是否向第三者或第三國轉移個人數(shù)據(jù)以及接收者的具體情況；數(shù)據(jù)的存儲期限等內(nèi)容。當通過其他渠道間接獲取個人數(shù)據(jù)時，數(shù)據(jù)控制者應當向數(shù)據(jù)主體告知以上信息（除法律或合同的必要性）外，還應當告知個人數(shù)據(jù)的具體來源信息。且數(shù)據(jù)控制者需要在一個月內(nèi)、一次性將上述信息告知數(shù)據(jù)主體。但在下列情況中，如果數(shù)據(jù)控制者是通過其他渠道間接獲取個人數(shù)據(jù)的，則不需要履行信息告知的義務，主要包括：數(shù)據(jù)主體已經(jīng)知道了相關信息；數(shù)據(jù)控制者提供相關信息被證明是不可能或者需要投入過多不必要精力的，尤其是在數(shù)據(jù)處理是出于實現(xiàn)公共利益、科學研究、歷史研究等需要的情況下；數(shù)據(jù)控制者所遵守的歐盟或成員國法律已經(jīng)對數(shù)據(jù)控制者獲取或披露個人數(shù)據(jù)的行為做了明確規(guī)定；依據(jù)歐盟或成員國法律關于職業(yè)保密義務的規(guī)定，數(shù)據(jù)控制者必須對相關信息進行保密。

　　二、查閱復制權

　　《個人信息保護法》第四十五條規(guī)定個人有權向個人信息處理者查閱、復制其個人信息，個人請求查閱、復制其個人信息的，個人信息處理者應當及時提供。但在下列情形中，個人查閱復制權的行使受到限制：個人信息處理者處理個人信息，有法律、行政法規(guī)規(guī)定應當保密或者不需要告知的情形的；國家機關履行法定職責處理個人信息，告知將妨礙國家機關履行法定職責的。

　　GDPR第十五條規(guī)定了數(shù)據(jù)主體的訪問權，即數(shù)據(jù)主體有權從數(shù)據(jù)控制者處知悉個人數(shù)據(jù)是否被處理。個人數(shù)據(jù)被處理的，數(shù)據(jù)主體有權訪問個人數(shù)據(jù)和以下信息：處理數(shù)據(jù)的目的；相關個人數(shù)據(jù)的類別；向第三方披露個人數(shù)據(jù)的，數(shù)據(jù)接收者的名稱或類別；個人數(shù)據(jù)被存儲的預設期限；數(shù)據(jù)主體享有的權利內(nèi)容；數(shù)據(jù)的來源等內(nèi)容。

　　三、更正補充權

　　《個人信息保護法》第四十六條規(guī)定個人發(fā)現(xiàn)其個人信息不準確或者不完整的，有權請求個人信息處理者更正、補充。個人請求更正、補充其個人信息的，個人信息處理者應當對其個人信息予以核實，并及時更正、補充。

　　GDPR第十六條規(guī)定，數(shù)據(jù)主體有權要求數(shù)據(jù)控制者立即更正個人數(shù)據(jù)的錯誤，有權要求完善不完整的個人數(shù)據(jù)。數(shù)據(jù)控制者可以以補充聲明等方式對個人數(shù)據(jù)進行更正完善。

　　四、刪除權

　　《個人信息保護法》第四十七條規(guī)定了應當刪除個人信息的情形，主要包括：處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；個人信息處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；個人撤回同意；個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；法律、行政法規(guī)規(guī)定的其他情形。在這些情形下，個人信息處理者應當履行主動刪除個人信息的義務，如果個人信息處理者未主動刪除，個人則可以行使權利要求個人信息處理者刪除個人信息。但該條同時明確，法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現(xiàn)的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

　　GDPR第十七條規(guī)定數(shù)據(jù)主體可以行使權利，要求數(shù)據(jù)控制者立即刪除與其相關的個人數(shù)據(jù)，同時數(shù)據(jù)控制者也應當履行立即刪除的義務，行使刪除權的場景主要涉及：數(shù)據(jù)對于收集或處理時的目的已經(jīng)不再必要；數(shù)據(jù)主體撤回處理個人數(shù)據(jù)的同意，且處理個人數(shù)據(jù)沒有其他合法性依據(jù)；數(shù)據(jù)主體行使了拒絕權，且處理個人數(shù)據(jù)沒有其他合法性依據(jù)；個人數(shù)據(jù)被非法處理；歐盟或成員國規(guī)定了數(shù)據(jù)控制者刪除個人數(shù)據(jù)的法定義務；個人數(shù)據(jù)的收集涉及向兒童提供社會服務信息。上述情形中，如果數(shù)據(jù)控制者已經(jīng)公開了個人數(shù)據(jù)，在刪除個人數(shù)據(jù)后，還應當采取包括技術手段在內(nèi)的多種措施，將數(shù)據(jù)主體要求刪除的個人數(shù)據(jù)的鏈接、副本和備份等告知正在處理該個人數(shù)據(jù)的其他數(shù)據(jù)控制者。

　　同時，GDPR也規(guī)定了刪除權行使的例外情形，主要包括：涉及言論和信息自由權的行使；基于歐盟或成員國法定義務以及為公共利益而處理個人數(shù)據(jù)的；出于公共健康領域的公共利益需要處理個人數(shù)據(jù)；為實現(xiàn)科學研究、歷史研究、統(tǒng)計等目的而處理個人數(shù)據(jù)；為提起訴訟或應訴處理個人數(shù)據(jù)。在這些情形中，刪除權的行使受到限制。

　　根據(jù)規(guī)定，GDPR的刪除權也同時包括被遺忘權的內(nèi)容，但國內(nèi)外對于被遺忘權的爭議較大，我國《個人信息保護法》中并未做規(guī)定。

　　五、限制處理權

　　《個人信息保護法》第四十四條規(guī)定個人有權限制他人對其個人信息進行處理。

　　GDPR第十八條規(guī)定，發(fā)生下列情形，數(shù)據(jù)主體有權限制數(shù)據(jù)控制者的處理行為：數(shù)據(jù)主體對個人數(shù)據(jù)的準確性提出質疑，數(shù)據(jù)控制者需要時間進行核實；數(shù)據(jù)處理的行為違法，但數(shù)據(jù)主體僅要求限制數(shù)據(jù)使用而非刪除其個人數(shù)據(jù)；數(shù)據(jù)控制者無需繼續(xù)處理個人數(shù)據(jù)，但這些個人數(shù)據(jù)是數(shù)據(jù)主體提起訴訟或應訴所必需；數(shù)據(jù)主體根據(jù)規(guī)定行使了拒絕權，但尚未確認數(shù)據(jù)控制者的數(shù)據(jù)處理理由是否優(yōu)于數(shù)據(jù)主體的利益。

　　六、可攜帶權

　　《個人信息保護法》第四十五條規(guī)定，個人請求將個人信息轉移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應當提供轉移的途徑。

　　GDPR第二十條規(guī)定，如果數(shù)據(jù)主體向數(shù)據(jù)控制者提供了與其有關的個人數(shù)據(jù)，那么在滿足下列情形時，數(shù)據(jù)主體有權從該數(shù)據(jù)控制者處獲取結構化、通用和可機讀的上述個人數(shù)據(jù)：處理是基于數(shù)據(jù)主體的同意或者合同的約定進行的；處理是通過自動化方式進行的。原數(shù)據(jù)控制者不得阻礙數(shù)據(jù)主體將這些數(shù)據(jù)轉移給其他的數(shù)據(jù)控制者。GDPR規(guī)定，可攜帶權的行使不得影響刪除權的行使，不適用于為執(zhí)行公共任務、行使職權所進行的數(shù)據(jù)處理，且不應對他人的權利和自由產(chǎn)生不利影響。

　　2016年12月13日，歐盟數(shù)據(jù)工作保護組公布了《數(shù)據(jù)可攜帶權指南》（以下稱《指南》），在2018年5月EDPB第一次全體會議上，《指南》獲得了批準。根據(jù)《指南》，在以下兩種情形中，用戶數(shù)據(jù)可攜帶權的行使可能對他人的權利和自由造成不利影響：

　　1、請求可攜數(shù)據(jù)中包含有數(shù)據(jù)主體以外的第三人數(shù)據(jù)。用戶要求可攜的信息中往往會存在第三人的個人信息，而第三人與新的數(shù)據(jù)控制者間卻沒有相關的約定安排。據(jù)此，在應數(shù)據(jù)主體要求傳輸包含第三人數(shù)據(jù)信息時，數(shù)據(jù)控制者應注意以下幾點：首先，數(shù)據(jù)傳輸方不能拒絕傳輸所有含有第三人信息的數(shù)據(jù)。其次，數(shù)據(jù)傳輸方需謹慎對待含有第三人信息的數(shù)據(jù)。最后，數(shù)據(jù)接收方在應數(shù)據(jù)主體要求接收數(shù)據(jù)時應遵循最小化原則和合理目的原則。

　　2、請求可攜數(shù)據(jù)中包含他人的知識產(chǎn)權和商業(yè)秘密?！吨改稀氛J為，在可攜數(shù)據(jù)含有第三人商業(yè)秘密和知識產(chǎn)權的情形下，應刪除可能侵犯第三人權利的相關信息。但是，《指南》同時強調，數(shù)據(jù)控制者不得以此為由拒絕向數(shù)據(jù)主體提供所有信息，而是應在不泄露第三人信息的情況下，盡可能地向數(shù)據(jù)主體提供其要求轉移的數(shù)據(jù)。

　　七、拒絕權

　　《個人信息保護法》第四十四條規(guī)定個人有權拒絕他人對其個人信息進行處理。

　　GDPR第二十一條規(guī)定，數(shù)據(jù)主體有權基于自身特殊情況，隨時拒絕數(shù)據(jù)控制者依據(jù)自身職務權限、第三方合法利益條款而實施的個人數(shù)據(jù)處理行為。除非數(shù)據(jù)控制者能夠證明處理數(shù)據(jù)的合法依據(jù)優(yōu)先于數(shù)據(jù)主體的利益或數(shù)據(jù)處理為提起訴訟或應訴所必要，否則數(shù)據(jù)控制者不得繼續(xù)處理個人數(shù)據(jù)。如果個人數(shù)據(jù)處理是用于直銷目的的，數(shù)據(jù)主體有權隨時拒絕處理行為，且拒絕后，該個人數(shù)據(jù)不應繼續(xù)因此目的而被處理。但在以下情況中，數(shù)據(jù)主體的拒絕權受到限制：數(shù)據(jù)控制者證明數(shù)據(jù)處理的合法性依據(jù)優(yōu)先于數(shù)據(jù)主體的利益或數(shù)據(jù)處理為提起訴訟或應訴所必要（該條款不適用于為直銷目的處理個人數(shù)據(jù)）；數(shù)據(jù)處理是為執(zhí)行公眾利益所必須。

　　除上述權利外，《個人信息保護法》還規(guī)定了個人的決定權、請求解釋權。第四十四條原則性規(guī)定了個人對其個人信息的處理享有決定權。第四十八條規(guī)定，個人有權要求個人信息處理者對其個人信息處理規(guī)則進行解釋說明。GDPR中并沒有明確將這兩項權利作為個人信息處理活動中的普遍性權利進行規(guī)定，但是針對自動化處理行為明確了類似的要求，如第二十二條規(guī)定數(shù)據(jù)主體有權不受僅基于自動化處理行為得出的決定的制約，以避免對個人產(chǎn)生法律影響或與之相類似的顯著影響，這種規(guī)定類似于個人的決定權。