现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
个人信息主体权利与保护
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 数据处理合法性基础 | Cookie合规与用户追踪 | 算法合规
核心法条
- 《个人信息保护法》第四章(第 44-50 条):个人信息主体权利专章——知情权、决定权、查阅复制权、更正补充权、删除权、解释说明权、死者近亲属权利 [现行有效]
- 《个人信息保护法》第 14 条:个人有权随时撤回同意,撤回不影响此前处理的合法性 [现行有效]
- 《个人信息保护法》第 24 条:个人对自动化决策的拒绝权和解释说明权 [现行有效]
- 《民法典》第 1037 条:自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时更正、删除 [现行有效]
- 最高法人脸识别司法解释第 4-5 条:生物特征信息处理中个人权利的司法适用 [现行有效]
- 《儿童个人信息网络保护规定》第 13-16 条:儿童个人信息主体权利及监护人行使规则 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、个人信息主体权利体系
1.1 权利框架总览
《个人信息保护法》第四章构建了个人信息主体的完整权利体系:
| 权利 | 法条 | 性质 | 核心功能 |
|---|---|---|---|
| 知情权 | 第 44 条 | 核心权利 | 有权知悉个人信息处理的目的、方式和规则 |
| 决定权 | 第 44 条 | 核心权利 | 有权限制或拒绝他人对其个人信息进行处理 |
| 查阅权与复制权 | 第 45 条 | 程序性权利 | 有权查阅、复制其个人信息 |
| 更正权与补充权 | 第 46 条 | 救济性权利 | 信息不准确或不完整时可请求更正补充 |
| 删除权 | 第 47 条 | 救济性权利 | 条件满足时有权请求删除个人信息 |
| 解释说明权 | 第 48 条 | 程序性权利 | 有权要求对个人信息处理规则进行解释说明 |
| 拒绝自动化决策权 | 第 24 条第 3 款 | 特殊权利 | 有权拒绝仅通过自动化决策作出的决定 |
| 近亲属权利 | 第 49 条 | 延伸权利 | 自然人死亡后,近亲属可依利益需要行使相关权利 |
1.2 权利的法律性质
个人信息主体权利体系兼具防御性和积极性双重属性:
- 防御性权利:知情权、决定权、拒绝权、撤回权,用于防止个人信息被非法处理
- 积极性权利:查阅权、复制权、更正权、补充权、删除权,用于主动掌控个人信息
这种设计与欧盟 GDPR 的权利体系高度类似,但具有中国特色(如"决定权"概念在 GDPR 中不存在)。
二、知情权与决定权的实现机制
2.1 知情权的前置保障——告知义务
《个保法》第 17 条要求个人信息处理者以显著方式、清晰易懂的语言真实、准确、完整地告知以下事项:
- 个人信息处理者的名称或者姓名和联系方式
- 个人信息的处理目的、处理方式,处理的个人信息种类、保存期限
- 个人行使权利的方式和程序
告知方式的要求:
- 显著:不能以极小字体、隐蔽位置或晦涩语言
- 清晰:使用普通人可理解的语言,非法律术语
- 真实:不得虚假陈述处理目的和方式
2.2 决定权的内容与行使方式
《个保法》第 44 条:个人对其个人信息的处理享有决定权,有权限制或者拒绝他人对其个人息进行处理。
决定权的核心内容包括:
- 有权选择是否同意处理其个人信息
- 有权要求处理者在特定范围内处理
- 有权拒绝超出告知范围的处理行为
- 有权随时撤回已作出的同意
2.3 实务争议:知情权 vs 商业秘密
裁判规则(姚建军,参见知识库):
- 个人查阅复制权优先,企业不得以商业秘密为由完全拒绝
- 可采取信息脱敏、部分隐瞒等方式在保护商业秘密的同时满足个人请求
- 企业应在合理限度内提供必要信息
三、查阅复制权的行使规则
3.1 权利内涵
《个保法》第 45 条:
个人有权向个人信息处理者查阅、复制其个人信息;有本法第 18 条第 1 款、第 35 条规定情形的除外。
例外情形(可不告知的情形):
- 告知将妨碍国家机关依法履行职责
- 法律、行政法规规定应当保密或者不需要告知的情形
3.2 处理者的响应义务
- 方式:个人信息处理者应当提供便捷的查阅、复制途径
- 范围:涵盖其处理的全部个人信息
- 格式:应当以电子数据格式或可复制的形式提供
- 费用:不得设置不合理条件或收取不合理费用
3.3 实务难点
| 难点 | 说明 | 解决思路 |
|---|---|---|
| 数据可提取性 | 企业数据结构化存储方式导致难以提供 | 预先设计数据导出机制 |
| 第三方数据 | 包含其他个人信息的混合数据集 | 脱敏处理后提供 |
| 处理者识别困难 | 用户不知道该向谁行使权利 | 在隐私政策中提供清晰的联系方式 |
3.4 可携带权(特殊查阅复制权)
《个保法》第 45 条第 3 款:
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
详见数据可携带权与被遗忘权。
四、更正补充权的适用范围
4.1 适用情形
《个保法》第 46 条:
个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
两种情形:
1. 不准确:信息与事实不符(如错误记录、过期信息等)
2. 不完整:信息存在缺失,影响对个人的准确评价
4.2 处理者义务
- 应当对个人信息予以核实
- 及时予以更正或补充
- 更正后应当通知接收该信息的第三方(如已对外提供)
4.3 实务适用场景
- 信用记录更正:个人征信信息存在错误
- 医疗健康记录更正:病历信息不准确影响后续治疗
- 教育信息更正:学籍、成绩信息记录错误
- 社交媒体更正:平台用户画像存在事实性错误
五、删除权的行使条件
5.1 法定触发情形
《个保法》第 47 条规定以下情形应当删除:
| 情形 | 说明 |
|---|---|
| 处理目的已实现、无法实现或不再必要 | 如服务终止、用户注销账号 |
| 个人信息处理者停止提供产品/服务 | 如 App 停运 |
| 保存期限已届满 | 超过事先告知的保存期限 |
| 个人撤回同意 | 撤回前的处理仍然合法,但撤回后应当删除 |
| 违反法律行政法规或约定处理 | 处理行为本身违法或违约 |
| 法律行政法规规定的其他情形 | 兜底条款 |
5.2 删除的技术含义
法律意义上的"删除":
- 对个人信息作不可恢复的处理,使其不可被检索或识别
- 对无法完全删除的信息(如网络日志),应当进行匿名化处理
- 处理后的信息不应再与特定自然人关联
5.3 删除义务的例外
以下情形下,个人信息处理者可以暂不删除:
- 法律规定的保存期限尚未届满(如网络安全日志须留存 6 个月)
- 删除将从根本上影响他人合法权益(如诉讼证据保全)
- 技术上难以实现且已停止处理(但应停止进一步处理并定期评估)
5.4 与"被遗忘权"的关系
详见数据可携带权与被遗忘权中关于被遗忘权的论述。
六、解释说明权的制度价值
6.1 权利内容
《个保法》第 48 条:个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
这是应对算法黑箱的重要权利,尤其在以下场景:
- 自动化决策:算法推荐、信用评分、价格歧视
- 大数据分析:用户画像、行为分析结果
- 智能客服:AI 处理用户个人信息的方式
6.2 义务边界
处理者的解释说明义务应满足:
- 对处理规则的目的、逻辑和方法进行合理解释
- 不要求公开源代码或商业秘密
- 应以普通人可理解的方式说明
七、近亲属与死者个人信息保护
7.1 近亲属权利的行使
《个保法》第 49 条:自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。
行使条件:
- 目的必须是"合法、正当利益"
- 仅限近亲属(配偶、父母、子女、兄弟姐妹、祖父母、外祖父母、孙子女、外孙子女)
- 不能行使删除权以外处分其遗产的财产性权利
7.2 与民法典的衔接
《民法典》第一千零三十七条第二款:自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的个人信息依法行使查阅、复制、更正、删除等权利。
八、个人信息主体权利救济途径
8.1 司法救济
- 民事诉讼:个人信息处理者侵害个人权益的,个人可提起侵权民事诉讼
- 公益诉讼:人民检察院、消协、网信部门指定的组织可提起公益诉讼
- 行政救济:向网信部门、行业主管部门投诉举报
8.2 举证责任
过错推定原则(《个保法》第 69 条):个人信息处理者不能证明自己没有过错的,应当承担损害赔偿责任。这减轻了个人的举证负担,有利于权利救济。
知识库原始资料索引
法律法规
- 中华人民共和国个人信息保护法/_个人信息保护法_适用要点解读.md)
- 中华人民共和国民法典(人格权编)
- 《个人信息保护法》适用要点解读/_个人信息保护法_适用要点解读.md)
学术研究
- 姚建军:个人信息保护与知情权冲突的裁判
- 程啸、王苑:论我国个人信息保护法中的查阅复制权
- 杨钢:个人信息权禁令的理论证成与构造
- 谢鸿飞:个人信息处理者对信息侵权下游损害的侵权责任
- 姚佳:个人信息主体权利的实现困境及其保护救济
地方指引与实务
- 企业数据合规指引(上海市杨浦区)
- 润物细无声的数据合规法律问题(海泰视点)