导读：于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。本所将定期推送11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
　　一、引言
　　上一期我们讨论了数据主体的知情权，接下来我们将进一步探究数据主体的其他一些权利。本期我们将探讨访问权、更正权和数据可携权。
　　处理个人数据时，相关组织机构有义务告知数据主体其享有的各项权利。如上期实务指引中所提到的，GDPR的实施对数据控制者的现有信息告知义务有实质性影响。这可能——且很有可能——会导致现有的（隐私）政策、声明、（员工）手册等需要被进行必要的修改。GDPR要求控制者对数据主体的请求及时作出回应，一般在收到请求后一个月内，无故不得拖延。如果相关组织机构逾期不作回应，数据主体可寻求司法救济，并可向荷兰隐私监管机构投诉，监管机构可考虑采取相应的后续措施。如果相关组织机构收到大量的请求或者特别复杂的请求，回应的时限可延长，但最多只能延长两个月。
　　二、访问权
　　根据《个人数据保护法》的规定，数据主体有权要求确认是否正在处理与其有关的个人数据以及（在确认答案是肯定的情况下）访问其个人数据并获得特定信息。GDPR扩大了控制者需提供的信息范围。控制者必须应请求向数据主体提供以下方面的信息：
　　1.处理目的；
　　2.相关个人数据类别；
　　3.已经或将要接收个人数据的接收者或接收者之类别，尤其是第三国或国际组织的接收者；
　　4.（在可确定的情况下）个人数据的预期存储期限或者（在不可确定的情况下）用于确定该等期限的标准；
　　5.存在以下权利：要求控制者更正或删除与数据主体有关的个人数据或者限制处理与数据主体有关的个人数据，或者反对此类处理；
　　6.向监管机构提起投诉的权利；
　　7.（在个人数据不是从数据主体处收集的情况下）可获得的有关个人数据来源的任何信息；
　　8.自动化决策（包括画像）的存在以及（至少在这些情况下）与相关逻辑有关的有意义的信息，以及此类处理对数据主体的重要性和预期后果。
　　第4、5、6、8项是新增加的信息告知义务。新增的规定还包括在适用的情况下，控制者有义务告知数据主体与将其个人数据传输给欧洲经济区以外的国家或国际组织有关的适当保障措施。因此，相较于《个人数据保护法》，GDPR下的信息请求很可能会给相关组织机构造成更大的行政管理负担。
　　与《个人数据保护法》不同的是，在GDPR下，控制者有义务向数据主体免费提供其个人数据副本一份。只有数据主体要求提供一份以上的其个人数据副本时，控制者方可收取合理的费用（根据内部行政管理成本）。如果控制者处理大量与数据主体有关的信息，其可要求数据主体指明该项请求所涉及的信息或处理活动。
　　控制者必须采取一切合理措施来验证请求访问的数据主体的身份，尤其是在在线服务和在线识别的情况下。但是，控制者不得仅仅为了能够回应潜在的请求而处理个人数据。
　　三、限制
　　数据主体必须能够在合理的时间间隔内不费力地行使其访问权，以了解和核实与其数据有关的处理的合法性。出于非数据保护目的而提出的请求可能会被拒绝。如果数据主体以电子形式提出请求，则除非数据主体另有要求，否则信息必须以常用电子形式提供。此外，在可行的情况下，鼓励控制者提供对安全系统的远程访问权限，授予数据主体直接访问其个人数据的权利。该访问权不得对其他主体的权利和自由（包括商业秘密和知识产权，尤其是保护（用于授予访问权限的系统的）软件的著作权）产生不利影响。但是，这不得导致拒绝向数据主体提供所有信息（即在这种情况下控制者应该寻找替代方案）。
　　四、更正权
　　根据GDPR的规定，更正权是指数据主体有权要求更正与其有关的不准确个人数据。同时，数据主体有权要求对其不完整的个人数据进行补充，包括通过提供补充声明要求补充。
　　与本期讨论的其他两项权利相反，GDPR下的更正权不会导致相关组织机构面临许多新增的要求。
　　五、数据可携权
　　GDPR中新增了数据可携权条款。为了进一步加强数据主体对其自身数据的控制，在以下情况下，数据主体有权从控制者处接收回其提供给控制者的个人数据：
　　1.处理系基于同意（也适用于特殊类别个人数据）或合同；
　　2.处理是以自动方式进行的。
　　数据应以结构化、常用和机器可读的格式提供。这项权利旨在使数据主体能够将数据传输给另一控制者，而不受前一控制者的阻碍。
　　如果处理系基于同意或合同以外的任何其他法律依据，例如出于控制者合法利益所需或出于为公众利益而执行任务所需，可携权便不适用。
　　在技术上可行的情况下，数据主体亦可要求控制者将个人数据直接传输给另一控制者。
　　这一要求在控制者之间传输个人数据的新权利很可能给控制者带来额外的行政管理和技术负担，需要在新（技术）系统和（内部）流程方面进行大量投入。GDPR表示希望控制者受激励开发可互操作的格式来实现数据可携性。
　　接收个人数据的权利不妨碍其他数据主体的权利和自由。此外，数据可携权不妨碍数据主体获取删除其个人数据的权利以及GDPR下对该等权利的限制。
　　数据可携权（尤其）不意味着数据主体在履行合同所必需的程度和时间范围内有权要求删除其为履行该合同而提供的个人数据。
　　六、实务建议和结论
　　本期实务指引主要探讨了数据主体的访问权、更正权和数据可携权。各组织机构有义务告知数据主体上述权利，并履行其在这些权利下的义务，且无故不得拖延。数据主体访问权的扩大和数据主体数据可携权的引入可能导致内部（技术）系统和流程的更改，并且可能给处理大量个人数据的组织机构带来额外的行政管理负担。
　　数据控制者（尤其是那些处理大量数据主体的个人数据的控制者）有必要开始更新其内部流程和IT系统以遵守上述新要求。效率是关键，因为控制者不得因数据主体行使上述权利而向数据主体收取费用。对此，在线门户网站可能是一个不错的解决方案，数据主体（客户，但也包括员工）可通过该等门户网站修改（和下载）其个人数据，不过，与此同时还应该在这一解决方案与这些系统可能带来的潜在弊端之间仔细权衡。