總的來說，《個人信息保護法》對個人的權(quán)利的規(guī)定是原則性、方向性的，但數(shù)安條例對個人權(quán)利的規(guī)定相對詳細。在此逐一做個對比。

　　刪除權(quán)

　　《個人信息保護法》

　　數(shù)安條例

　　第四十七條 有下列情形之一的，個人信息處理者應(yīng)當主動刪除個人信息；個人信息處理者未刪除的，個人有權(quán)請求刪除：

　?。ㄒ唬┨幚砟康囊褜崿F(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；

　　（二）個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；

　　（三）個人撤回同意；

　?。ㄋ模﹤€人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；

　?。ㄎ澹┓?、行政法規(guī)規(guī)定的其他情形。

　　法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的，個人信息處理者應(yīng)當停止除存儲和采取必要的安全保護措施之外的處理。

　　第二十二條 有下列情況之一的，數(shù)據(jù)處理者應(yīng)當在十五個工作日內(nèi)刪除個人信息或者進行匿名化處理：

　?。ㄒ唬┮褜崿F(xiàn)個人信息處理目的或者實現(xiàn)處理目的不再必要；

　　（二）達到與用戶約定或者個人信息處理規(guī)則明確的存儲期限；

　?。ㄈ┙K止服務(wù)或者個人注銷賬號；

　?。ㄋ模┮蚴褂米詣踊杉夹g(shù)等，無法避免采集到的非必要個人信息或者未經(jīng)個人同意的個人信息。

　　刪除個人信息從技術(shù)上難以實現(xiàn)，或者因業(yè)務(wù)復雜等原因，在十五個工作日內(nèi)刪除個人信息確有困難的，數(shù)據(jù)處理者不得開展除存儲和采取必要的安全保護措施之外的處理，并應(yīng)當向個人作出合理解釋。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　兩者比較，可以看出，數(shù)安條例明確了十五個工作日的響應(yīng)時限；將法律中的“撤回同意”縮限為“個人注銷賬號”。很有意思的是，在數(shù)安條例第二十三條還出現(xiàn)了“撤回授權(quán)同意”和“注銷賬號”，從這樣的行文推測條例應(yīng)當認為這是兩件事，可法律中明確是撤回同意，且沒有出現(xiàn)過“注銷賬號”。建議對此作出厘清。

　　數(shù)安條例同時增加了“因使用自動化采集技術(shù)等，無法避免采集到的非必要個人信息或者未經(jīng)個人同意的個人信息”，這個應(yīng)當是考慮到了網(wǎng)聯(lián)汽車收集到車外人員的信息這個情形。

　　查詢、更正、補充權(quán)利

　　《個人信息保護法》

　　數(shù)安條例

　　第四十五條 個人有權(quán)向個人信息處理者查閱、復制其個人信息；有本法第十八條第一款、第三十五條規(guī)定情形的除外。

　　個人請求查閱、復制其個人信息的，個人信息處理者應(yīng)當及時提供。

　　第四十六條 個人發(fā)現(xiàn)其個人信息不準確或者不完整的，有權(quán)請求個人信息處理者更正、補充。

　　個人請求更正、補充其個人信息的，個人信息處理者應(yīng)當對其個人信息予以核實，并及時更正、補充。

　　第五十條 個人信息處理者應(yīng)當建立便捷的個人行使權(quán)利的申請受理和處理機制。拒絕個人行使權(quán)利的請求的，應(yīng)當說明理由。

　　個人信息處理者拒絕個人行使權(quán)利的請求的，個人可以依法向人民法院提起訴訟。

　　第二十三條 個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的，數(shù)據(jù)處理者應(yīng)當履行以下義務(wù)：

　?。ㄒ唬┨峁┍憬莸闹С謧€人結(jié)構(gòu)化查詢本人被收集的個人信息類型、數(shù)量等的方法和途徑，不得以時間、位置等因素對個人的合理請求進行限制；

　?。ǘ┨峁┍憬莸闹С謧€人復制、更正、補充、限制處理、刪除其個人信息、撤回授權(quán)同意以及注銷賬號的功能，且不得設(shè)置不合理條件；

　?。ㄈ┦盏絺€人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權(quán)同意或者注銷賬號申請的，應(yīng)當在十五個工作日內(nèi)處理并反饋。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　查詢、更正、補充是經(jīng)典的個人信息主體權(quán)利。法律中主要要求是邊界的行權(quán)機制，以及拒絕響應(yīng)權(quán)利請求時應(yīng)當說明理由。在數(shù)安條例中，進行了一定的細化。

　　很有意思的是，數(shù)安條例似乎認為查詢是一項比復制、更正、補充、限制、刪除、撤回同意、注銷賬號“等級”更高的一項權(quán)利，因為查詢權(quán)中，除了便捷之外，還明確說結(jié)構(gòu)化查詢，而且不得以時間、位置等因素限制合理請求。但其他權(quán)利僅僅是說便捷，以及不得設(shè)置不合理條件。建議對此作出厘清。

　　限制處理：從原則性表述演變成具體的權(quán)利

　　《個人信息保護法》

　　數(shù)安條例

　　GDPR

　　第四十四條 個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進行處理；法律、行政法規(guī)另有規(guī)定的除外。

　　第二十三條 個人提出查閱、復制、更正、補充、限制處理、刪除其個人信息的合理請求的，數(shù)據(jù)處理者應(yīng)當履行以下義務(wù)：

　?。ㄒ唬┨峁┍憬莸闹С謧€人結(jié)構(gòu)化查詢本人被收集的個人信息類型、數(shù)量等的方法和途徑，不得以時間、位置等因素對個人的合理請求進行限制；

　?。ǘ┨峁┍憬莸闹С謧€人復制、更正、補充、限制處理、刪除其個人信息、撤回授權(quán)同意以及注銷賬號的功能，且不得設(shè)置不合理條件；

　?。ㄈ┦盏絺€人復制、更正、補充、限制處理、刪除本人個人信息、撤回授權(quán)同意或者注銷賬號申請的，應(yīng)當在十五個工作日內(nèi)處理并反饋。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　第十八條 數(shù)據(jù)主體限制數(shù)據(jù)處理的權(quán)利

　　1）  存在以下情形之一時，數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者對數(shù)據(jù)的處理：

　　a）  數(shù)據(jù)主體對數(shù)據(jù)的準確性提出異議時，在數(shù)據(jù)控制者確認準確性的階段；

　　b）  數(shù)據(jù)處理為非法，而數(shù)據(jù)主體反對清除其數(shù)據(jù)而是要求限制對數(shù)據(jù)的使用的；

　　c）   數(shù)據(jù)控制者出于特定目的不再需要數(shù)據(jù)主體的個人數(shù)據(jù)，但數(shù)據(jù)主體需要這些數(shù)據(jù)以建立、行使和保護自己的法律訴求的；

　　d）  數(shù)據(jù)主體反對根據(jù)第21條（1）款的數(shù)據(jù)處理，但尚不清楚數(shù)據(jù)控制者是否有高于數(shù)據(jù)主體利益的正當事由；

　　2）  在上述情形中，除存儲外，個人數(shù)據(jù)僅能在數(shù)據(jù)主體表達同意，或用于建立、行使和保護法律訴求時，或為保護其他自然人、法人的利益，或出于歐盟、成員國重要的公共利益時，才可處理

　　3）  數(shù)據(jù)控制者應(yīng)告知數(shù)據(jù)主體何時對數(shù)據(jù)限制處理的要求失效。

　　《個人信息保護法》中限制他人對個人信息進行處理是個原則性的表述，體現(xiàn)在撤回同意、刪除等，和GDPR第十八條規(guī)定的限制權(quán)利有區(qū)別。GDPR中的限制權(quán)主要是“凍結(jié)”或者暫停數(shù)據(jù)處理的權(quán)利。

　　數(shù)安條例在第二十三條出現(xiàn)了限制處理的表述，但是對該權(quán)利的內(nèi)涵并沒有做出任何解釋。建議對此作出厘清。

　　轉(zhuǎn)移個人信息的權(quán)利

　　《個人信息保護法》

　　數(shù)安條例

　　GDPR

　　第四十五條 個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當提供轉(zhuǎn)移的途徑。

　　第二十四條 符合下列條件的個人信息轉(zhuǎn)移請求，數(shù)據(jù)處理者應(yīng)當為個人指定的其他數(shù)據(jù)處理者訪問、獲取其個人信息提供轉(zhuǎn)移服務(wù)：

　?。ㄒ唬┱埱筠D(zhuǎn)移的個人信息是基于同意或者訂立、履行合同所必需而收集的個人信息；

　?。ǘ┱埱筠D(zhuǎn)移的個人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息；

　?。ㄈ┠軌蝌炞C請求人的合法身份。

　　數(shù)據(jù)處理者發(fā)現(xiàn)接收個人信息的其他數(shù)據(jù)處理者有非法處理個人信息風險的，應(yīng)當對個人信息轉(zhuǎn)移請求做合理的風險提示。

　　請求轉(zhuǎn)移個人信息次數(shù)明顯超出合理范圍的，數(shù)據(jù)處理者可以收取合理費用。

　　第二十條 數(shù)據(jù)主體攜帶數(shù)據(jù)的權(quán)利

　　1）存在以下情形的，數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者獲得關(guān)于其個人數(shù)據(jù)（僅限其向數(shù)據(jù)控制者提供的）的副本；副本應(yīng)以結(jié)構(gòu)化、普遍使用、可機讀的形式；數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者將其個人數(shù)據(jù)向其他數(shù)據(jù)控制者提供：

　　a）   數(shù)據(jù)處理是基于第6條第一款a）項或第9條第2款a）項，或基于第6條第一款b）項所指涉的合同

　　b）   數(shù)據(jù)處理以自動化的形式進行。

　　2）  如技術(shù)上可行的話，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者將其個人數(shù)據(jù)直接傳輸給另一數(shù)據(jù)控制者。

　　行使該權(quán)利不應(yīng)對他人的權(quán)利和自由造成不利影響。

　　數(shù)安條例提出了法律中的“符合國家網(wǎng)信部門規(guī)定的條件”，具體來說：條件一：限制于基于同意，以及履行合同所必需兩個合法性事由。條件二：只能局限于自己的信息，這個顯然是題中之意，但“請求人合法獲得且不違背他人意愿的他人信息”這個是相對于法律來說比較大的擴展。在關(guān)于GDPR第20條的序言（recital 68）中，歐盟立法者解釋道：“如果在某一組個人數(shù)據(jù)中，涉及一個以上的數(shù)據(jù)主體，根據(jù)本條例，接收個人數(shù)據(jù)的權(quán)利應(yīng)不影響其他數(shù)據(jù)主體的權(quán)利和自由”（Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation），但這句話的意思是當在申請個人信息的副本時，不可避免涉及到其他人的情況，但并不是允許個人直接申請關(guān)于別人的個人信息副本--也就是條例中的他人信息。

　　與此相比，GDPR提出了另外一個限制條件，即“如技術(shù)上可行的話，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者將其個人數(shù)據(jù)直接傳輸給另一數(shù)據(jù)控制者”。換句話說，GDPR僅僅是規(guī)定個人有權(quán)獲得個人信息副本，有權(quán)要求數(shù)據(jù)控制者將個人數(shù)據(jù)副本向其他數(shù)據(jù)控制者提供（也就包括發(fā)送郵件、鏈接等），僅是在技術(shù)可行的情況下，數(shù)據(jù)控制者直接傳輸給另一個數(shù)據(jù)控制者，例如提供API接口。這一點在Recital 68中明確指出：數(shù)據(jù)主體傳送或接收有關(guān)他或她的個人數(shù)據(jù)的權(quán)利不應(yīng)造成控制者有義務(wù)采用或維護技術(shù)上兼容的處理系統(tǒng)（The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible.）。

　　但數(shù)安條例的行文似乎是“數(shù)據(jù)處理者應(yīng)當為個人指定的其他數(shù)據(jù)處理者訪問、獲取其個人信息提供轉(zhuǎn)移服務(wù)”，這樣的行文中明確提出了“轉(zhuǎn)移服務(wù)”，其與法律中的“轉(zhuǎn)移途徑”不一樣。從文意理解，服務(wù)似乎更加偏向了技術(shù)兼容，例如API接口。綜合理解，數(shù)安條例提出了比GDPR更強的數(shù)據(jù)可攜帶權(quán)，對數(shù)據(jù)處理者的系統(tǒng)改造要求更直接。建議對此作出厘清。