第 66 卷 第 6 期 2022 年 3 月

我国个人信息权利与欧盟个人数据权利的比较分析：
基于《个人信息保护法 》与 GDPＲ
■ 盛小平 唐筠杰
上海大学文化遗产与信息管理学院 上海 200444

摘 要： ［目的 / 意义］比较分析我国《个人信息保护法》中的个人信息权利与欧盟《一般数据保护条例》（ GDPＲ） 中的个人

数据权利，为健全我国个人信息权利体系和加强我国个人信息保护提供参考。［方法 / 过程］采用比较分析法与文
本分析法，从权利主体、权利客体及权利内容 3 部分比较分析我国个人信息权利与欧盟个人数据权利的异同，阐
述我国个人信息权利有待进一步完善的问题。［结果 / 结论］我国个人信息权利与欧盟个人数据权利可分为显性
个人权利、隐性个人权利两种类型，涉及 15 种具体权利。我国 6 种显性个人信息权利与 8 种隐性个人信息权利在
一定程度上借鉴了欧盟个人数据权利中的合理因子，同时发扬了欧盟个人数据权利治理思想，解决了算法歧视、
企业间个人信息利用冲突、个人信息删除与技术隔离冲突、逝者信息权益保护等问题，但在信息权利与信息自由、
个人信息利用与知情同意、公开获取的个人信息处理、个人信息保护与企业发展等方面还存在矛盾，需要进一步
完善。
关键词： 个人信息权利 个人数据权利 《个人信息保护法》 GDPＲ
分类号： D920． 0
DOI： 10． 13266 / j． issn． 0252 － 3116． 2022． 06． 003

当今数字经济时代，数据是一种主要的战略资源， 人数据权利已引起了学术界的广泛关注。法学与社会
［5］
数据权利保护已成为了数字文明的重要象征
［1］
。为了 学界对个人数据权利概念 、属性［6］、特征［7］、体系［8］、
［9］ ［10］
应对数字发展需求，2016 年欧盟颁布了《一般数据保 保护 等主题，以及个人信息权利基础 、结构［11］、模
［12］
护条例》（ General Data Protection Ｒegulation，GDPＲ） ，堪 式 等问题进行了讨论； 图书情报学界在个人数据权
［13］
利的法理 、关系［14］、规则［15］、演进［16］、保护［17］ 等方
称“史上最严格的个人数据保护法案”。2021 年 8 月
［18］
面，以及个人信息权利的种类 、性质［19］、逻辑［20］、保
20 日，《中华人民共和国个人信息保护法》（ 后简称为
［21 － 22］
护 等领域进行了探索，然而鲜见从 GDPＲ 和《个
《个人信息保护法》） 颁布。GDPＲ 将个人数据定义为
人信息保护法》（ 后简称为两部法律） 视角来系统性比
“一个被识别或可识别的自然人（ ‘数据主体’） 的任何
较分析我国个人信息权利与欧盟个人数据权利的 异
信息”，同时在序言第二十六条中明确规定该数据保护
同。由于权利结构是由权利主体、权利客体及权利内
条例不适用于匿名化处理的信息； 《个人信息保护法》 ［7］
容 3 部分组成的 （ 见图 1 ） ，因而本文从这 3 个方面
将个人信息定义为“以电子或者其他方式记录的与已
对我国个人信息权利与欧盟个人数据权利展开比较分
识别或者可识别的自然人有关的各种信息，不包括匿
析，以便深刻理解《个人信息保护法》赋予个人的信息
名化处理后的信息”。于是，有人认为，GDPＲ 中的“个
权利，发现《个人信息保护法》在个人信息权利界定中
人数据”与《个人信息保护法》中的“个人信息”在法学 存在的问题，建立健全我国个人信息权利体系，提高我
［2］
意涵上具有同质性 ； 还有学者认为，大数据时代个人 国数字经济治理现代化水平，助力“数字中国”建设。
［3 － 4］
信息的 权 利 与 个 人 数 据 的 权 利 是 同 一 回 事 。因
此，开展我国个人信息权利与欧盟个人数据权利的比
1 权利主体和权利客体的比较
较分析具有合理的基础。近年来，个人信息权利与个 权利主体是指享受权利的人。两部法律均将其权

作者简介： 盛小平，教授，博士，博士生导师，E-mail： shengxp68@126． com； 唐筠杰，硕士研究生。

收稿日期： 2021 － 10 － 24 修回日期： 2021 － 11 － 25 本文起止页码： 26 － 33 本文责任编辑： 杜杏叶

26
盛小平，唐筠杰． 我国个人信息权利与欧盟个人数据权利的比较分析： 基于《个人信息保护法》与 GDPＲ［J］． 图书情报工
作， 66（ 6） ： 26 － 33．
2022，

表1 两部法律显性个人权利的对应关系
《个人信息保护法》
显性个人权利 GDPＲ 对应的条目
对应的条目

访问权 第十五条 第四十五条

修正权 第十六条 第四十六条

删除权 / 被遗忘权 第十七条 第四十七条

限制处理权 第十八条 第四十四条

图1 权利结构的组成 数据可携权 第二十条 第四十五条

反对权 第二十一条 第四十四条

利主体界定为自然人，不包括法人。不过，两部法律除
规定本地区境内的自然人为个人数据权利或个人信息 两部法律还存在如下 3 点差异：
权利的主体以外，GDPＲ 第四条明确将使用欧盟境内 （ 1） 出发点不同。GDPＲ 访问权的核心是对人格
企业提供的产品或服务的境外自然人纳入个人数据权 尊严的保护，即数据主体有权主动向数据控制者要求
利主体中，进一步扩大了个人数据权利主体的范围。 提供包括与个人数据相关的涉及个人权益的信息，且
权利客体是权利内容指向的对象，或是权利行使 不得对他人权利与自由造成不利影响，强调个人的一
所及的对象。GDPＲ 中的权利客体为个人数据，个人 般人格利益
［24］
； 《个人信息保护法》更多是站在维护国
信息保护法中的权利客体为个人信息。从定义上看， 家主权、安全和发展利益相关角度，强调个人访问其信
两部法律中两者的概念趋同，且匿名化数据或信息均 息是否涉及国家安全或违反相关规定。
不受两部 法 律 的 约 束，但 对 假 名 化 数 据 处 理 需 遵 守 （ 2） 衍生数据的可访问性不同。GDPＲ 第十五条
GDPＲ 的规定。从内容上看，两部法律均将个人信息 第一款 h 项明确规定自动化处理所产生的衍生数据在
或个人数据分为一般型与敏感型两类，并明确了敏感 可访问的范围之中； 《个人信息保护法》对个人访问其
个人信息或数据的处理规则与适用范围； 我国还专门 信息时所产生的问题如通过计算机逻辑生成的衍生数
规定了不满十四周岁未成年人的个人信息处理规则， 据等是否可访问并未作说明。
明确要求个人信息处理者处理其个人信息时应取得其 （ 3） 提供额外副本的费用不同。GDPＲ 允许控制
父母或其他监护人的同意。 者在数据主体要求提供额外副本时根据管理成本收取

2 权利内容的比较 合理的费用； 我国虽然规定了个人有权复制其个人信

息，但未作详细说明复制个人信息的具体操作。
权利内容是特定的行为，是权利人在法律授权范 2． 1． 2 修正权、删除权与限制处理权的比较
围内，以自己或他人的作为和不作为的方式实现权利
修正权、删除权与限制处理权相互关联，为个人数
［7］
的过程 。GDPＲ 在定义个人数据权利内容时采取了 ［25］
据安全与隐私保护提供了法律基础 。
两种方式： 一是明确定义某些个人数据权利，如访问
（ 1 ） 修 正 权。两 部 法 律 对 修 正 权 的 表 述 无 明 显
权、修正权等，这些权利可称之为显性个人数据权利；
差异。
二是对某些个人数据权利进行简要描述而不定义其名
（ 2） 删除权。两部法律中的删除权均突出了个人
称，这些权利可称之为隐性个人数据权利。与此相对
自治的理念，不仅有权删除错误的数据，还可删除已过
应，我国个人信息权利也可分为显性个人信息权利与
时、不相干、不准确和有害的数据，特别是当个人数据
隐性个人信息权利。下面从显性与隐性个人权利内容
的处理和使用价值随时间的推移降低，且个人受到其
两方面逐一比较分析。
干扰时赋予了个人删除的权利。不过，两部法律对删
2． 1 显性个人权利内容的比较分析
除权的规定仍有如下差异： ①可删除的范围不同。GD-
GDPＲ 第三章规定了数据主体所拥有的六项显性
PＲ 中删除权的范围扩大至控制者应删除个人数据的
个人数据权利，这些权利在我国《个人信息保护法》中
任何链接、附件及复制品； 而《个人信息保护法》中并
相对应的条目如表 1 所示。其比较分析如下：
未涉及有关个人信息的链接、副本等是否可删除的内
2． 1． 1 访问权的比较
容。②对处理者的要求不同。GDPＲ 中明确要求数据
在界定访问权上，两部法律的共性是权利主体需
［23］ 控制者不仅要删除自己控制的数据，同时还需要负责
主动提出访问请求，权利主体不可消极对待 。不过，
通知其他第三方停止利用并删除其公开传播的数据；

27
 第 66 卷 第 6 期 2022 年 3 月
《个人信息保护法》在该方面未作说明，若个人请求第
一控制者删除其个人信息时，后续的其他处理者并未
执行数据删除规定而继续使用并传播，极大可能架空
删除权。③权利的适用范围不同。GDPＲ 明确规定了
删除权不适用的情况，特别是在涉及他人权利、公共利
益、科学或历史研究时控制者可不予删除数据； 虽然
《个人信息保护法》规定了处理目的不再必要、期限已
届满、主体撤回同意及处理违反规定四种情形，并设置
兜底条款，但并未涉及科学历史研究等情况，如果不进
一步明确该权利的适用范围会对行使该权利的正当性
与必要 性 造 成 影 响。④ 特 殊 情 况 下 处 理 方 式 不 同。
《个人信息保护法》明确规定当法律、行政法规规定的
保存期限未届满，或者删除个人信息从技术上难以实
现的，个人信息处理者应停止除存储和采取必要的安
全措施之外的处理，而 GDPＲ 中未涉及该项规定。
（ 3） 限制处理权。两部法律中的限制处理权理念
基本相同，即限制处理者处理信息或数据而非删除，但
仍有如下不同： ① 行使范围不同。GDPＲ 明确规定了
数据主体可行使限制处理的范围，包括质疑准确性、非
法处理、为行使法定请求权而需要个人数据及反对数
据处理 4 种情形，同时说明了控制者可处理个人数据
的特殊情形； 我国虽规定法律、行政法律另有规定的除
外，但实际并未对其行使范围与前提条件进行详细阐
述，这将降低该权利在实践中的可操作性。②对处理
者的要求不同。GDPＲ 规定，当控制者为法定请求权
的确立、行使和抗辩，或为保护其他自然人或法人的权
利以及保护欧盟或成员国的公共利益时可无需数据主
体同意处理个人数据，只要控制者在处理前通知数据
主体，就可解除处理限制，同时保障数据主体的知情
权，而我国未对此类型情形进行规定。
2． 1． 3 数据可携权的比较
GDPＲ 数据可携权主要包括“副本获取权”和“数
据转移权”两方面。《个人信息保护法》也包含了信息
复制权与信息转移权的相关理念。不过，两部法律各
自在规定数据可携权与信息可携权时，有如下区别：
（ 1） 格式要求不同。GDPＲ 规定了可携带的数据
应具备“结构化、通用和机器可读的”格式，即应使用
常用的开放格式（ 如 XML、JSON、CSV 等） 及元数据，明
确排除了 PDF 格式； 我国虽然在《个人信息保护法》中
引入了数据可携权理念，但是未对可携带数据的格式
进行说明。
（ 2） 适用范围不同。GDPＲ 中对数据可携权涉及
他人权利时进行了限制，即不得对其他主体的权利和
28
自由造成不利影响； 《个人信息保护法》虽然对信息可
携带的法律适用范围作了规定，但仍需进一步细化涉
及与他人权利冲突的情况。
（ 3） 传输的时限不同。《欧盟数据可携权指南》规
定了回答数据可携请求的时间限制，要求数据控制者
“不得无故拖延”和“在收到请求后一个月内”的任何
情况下，向数据主体提供“关于所采取行动的信息”，
面对复杂情况时其期限最多可延长至三个月，前提是
数据主体在提出最初请求的一个月内被告知延迟的原
［26］
因 ； 我国并未具体限制相关企业完成信息传输的具
体时间范围，有可能因传输时间无限延长造成该权利
落空。
2． 1． 4 反对权的比较
两部法律中的反对权的核心价值在于对知情同意
之外数据处理活动予以拒绝，即当数据处理者在合法
进行数据处理活动时，个人有权依据特定情况要求处
理者停止使用其个人信息，是一种独立于“同意”制度
［27］
之外的新权能 。然而，两部法律对反对权的规定有
如下差异：
（ 1） 适用界限不同。GDPＲ 涉及社会利益与个人
数据反对权之间发生冲突的情况，规定当控制者能够
证明其处理数据的合法权益高于数据主体的利益、权
利与自由，或为设定、行使与辩护法定请求权而进行的
处理且具有令人信服的法律依据，以及因科学、历史研
究或统计为目的时，数据控制者可豁免继续进行数据
处理； 《个人信息保护法》虽然规定若涉及法律、行政
法规另外规定时无法行使该权利，但具体范围并未阐
述清楚。
（ 2） 可行使的情形不同。GDPＲ 规定数据主体有
权随时反 对 因 商 业 目 的 处 理 个 人 数 据 （ 包 括 数 据 画
［28］
像） ； 《个人信息保护法》未作明确说明。
2． 2 隐性个人权利内容的比较分析
GDPＲ 除了明确上述显性个人数据权利外，还规
定数据主体拥有 7 项隐性个人数据权利。《个人信息
保护法》也类似地规定 8 项隐性个人信息权利。它们
的对应关系见表 2。
2． 2． 1 “有权知悉其数据如何被收集处理”的比较
GDPＲ 规定，个人有权了解哪些个人数据被收集、
使用或以其他方式处理，并知悉有关处理的风险、保护
措施和相关权利； 《个人信息保护法》直接规定个人对
其个人信息的处理享有知情权与决定权。两部法律均
要求处理者以简单透明、清晰易懂的语言真实、准确、
完整地告知个人相关事项，但仍有如下不同：
盛小平，唐筠杰． 我国个人信息权利与欧盟个人数据权利的比较分析： 基于《个人信息保护法》与 GDPＲ［J］． 图书情报工
作， 66（ 6） ： 26 － 33．
2022，
表2 两部法律隐性个人权利的对应关系
GDPＲ 对应的
隐性个人权利
条目
有权知悉其数据如何被收集处理 第十二条
有权撤回同意 第七条
有权免受自动化决策的限制 第二十二条
有权向监管机构发起申诉 第七十七条
有权对监管机构提起行政诉讼 第七十八条
有权对控制者或处理者提起诉讼 第七十九条
有权就其损失获得赔偿 第八十二条
有权要求处理者解释说明 － 第四十八条
近亲可对死者信息行使权利 － 第四十九条
（ 1） 可知晓事项的范围不同。GDPＲ 在第十三条、
第十四条中特别规定了在一定情况下需提供数据接收
方及其范畴、存储期限等，我国对此未作规定。
（ 2） 提供相关信息的时点不同。GDPＲ 规定若个
人数据是直接从数据主体处收集时，控制者应在收集
时将所有相关信息及规定的权利告知个人； 控制者间
接获取个人数据时，须在一个月内或披露给第三方之
前告知个人相关信息及权利。《个人信息保护法》规
定应在处理个人信息前告知个人相关事项及规定的
权利。
2． 2． 2 “有权撤回同意”的比较
两部法律对“有权撤回同意”的规定基本一致，但
在个人同意规则的规定上有一些异同。
（ 1） 两部法律均确立了细致且严格的个人信息同
意规则，包括： ①将个人同意作为个人信息处理合法性
的首要条件； ②认可个人同意规则应达到自愿性原则
与准确性原则，即基于个人同意处理个人信息的，应当
由个人在充分知情的前提下自愿、明确作出； ③明确应
取得同意的数据活动范围。
（ 2） 两部法律都将个人同意作为数据处理活动的
第一要素，而 最 大 区 别 在 于 是 否 认 可“默 认 同 意”规
则。GDPＲ 序言第三十二条明确规定，默认同意的用
户处理 规 则 被 视 为 无 效，要 求 必 须 使 用“明 示 授 权
（ opt-in） ”方式，并规定应以书面陈述（ 包括电子稿） 、
口头声明、浏览网页时在方框里打钩或其他可清楚表
示个人同意的陈述行为等，业界通行的“默认同意再选
择退出（ opt-out） ”的用户授权模式被明令禁止
国未将默认同意纳入无效范畴，仅第十四条在法律、行
政法规规定处理个人信息应当取得个人单独同意或者
书面同意时，才从其规定。
2． 2． 3 “有权免受自动化决策的限制”的比较
两部法律均赋予个人有权免受自动化决策的限制
（ 即拒绝自动化决策） ，均要求处理者在进行个人信息
《个人信息保护 自动化决策时必须保证决策的透明度和结果的公平公
法》对应的条目
正，
不得实现差别化待遇。不过，两部法律在规定“有
第四十四条
权免受自动化决策的限制”时有如下差异：
第十五条
第二十四条
（ 1） 适用例外不同。GDPＲ 规定了免受自动化决
第六十五条 策权利的例外情况，包括基于结缔或履行数据主体与
－ 控制之间合同的必要时、数据控制者所遵守的欧盟或
第五十条 成员国法律授权时两种情况； 《个人信息保护法中》暂
第六十九条
缺对适用例外情况的规定。
（ 2） 对处理者的要求不同。GDPＲ 在序言中规定
了处理者在进行自动化决策时，如果发现了错误的个
人数据应主动进行纠正； 《个人信息保护法》并未对处
理者在进行数据自动化处理时是否需要更正错误数据
作出要求。
2． 2． 4 相关救济权利的比较
（ 1） 两部法律在“有权向监管机构发起申诉”上均
规定了个人有权对相关监管部门发起申诉，并要求相
关部门依法及时处理并将处理结果告知投诉举报人，
但有如下两点差异： ① 行使该权利的前提条件不同。
GDPＲ 规定个人需认为其个人数据的处理违反 GDPＲ，
且不违背其他行政或司法救济； 《个人信息保护法》规
定任何组织与个人均有权发起申诉，扩大了可行使该
权利的条件与范围。②可发起申诉的监管机构不同。
GDPＲ 规定数据主体可向常居地、工作地或侵权行为
所在地的成员国内监管机构申诉，明确了个人可发起
申诉监管机构，《个人信息保护法》暂未规定。
（ 2） GDPＲ 规定当监管机关不处理申诉或未在 3
个月内将处理过程或结果告知时，数据主体在不违反
其他行政或司法性救济的情况下有权在监管机构所在
地以监管机构为相对方提起行政诉讼，且有权要求监
管机构采取调查、更正或撤销决定； 虽然《个人信息保
护法》规定了国家机关不履行个人信息保护义务等情
形下的处罚规则，却未明确个人具有对监管机构提起
诉讼的权利。
（ 3） 两部法律均规定了个人有权对控制者或处理
者提起诉讼，但有如下两点差异： ①提起诉讼的条件不
同。GDPＲ 规定数据主体认为其权利受到侵害时即可
［29］
。我 提起诉讼； 《个人信息保护法》规定在个人信息处理者
拒绝个人信息权利的请求时可提起诉讼。②受理诉讼
的法院不同。GDPＲ 规定该诉讼由控制者或处理者经
营所在地的成员国法院，或数据主体有常住地的成员
国法院管辖； 《个人信息保护法》并未具体规定受理诉
讼的法院。
29
 第 66 卷 第 6 期 2022 年 3 月

（ 4） 两部法律在“有权就其损失获得赔偿”上的理 则进行解释说明； 后者是指自然人死亡后，其近亲属为

念趋同，且在具体赔偿的责任分配上均规定同一数据
处理活动涉及多个控制者或处理者时，所有相关对象
均负连带责任。另外，《个人信息保护法》还补充规定
了多个信息处理者共同决定个人信息的处理目的与方
式时，应约定各自的权利与义务。
2． 2． 5 《个人信息保护法》规定的两项隐性个人权利
不同于 GDPＲ，《个人信息保护法》还规定了两项
隐性个人信息权利，即“有权要求处理者解释说明”和
“近亲属可对死者相关个人信息行使相关权利”。前
者是指个人有权要求信息处理者对其个人信息处理规
表3
个人信息权利或个人数据权利
了自身的合法、正当利益，可以对死者的相关个人信息
行使第四章规定的查阅、复制、更正、删除等权利，死者
生前另有安排的除外。这一规定体现了我国《个人信
息保护法》的特色，使得死者的近亲属可在死者的隐私
被侵害时能够提起侵权诉讼，被允许在合法、正当的情
况下直接对死者的个人信息行使删除权等权利，保障
相关数据不会由于其主体逝世而消亡。
2． 3 权利内容异同概要
概括我国个人信息权利与欧盟个人数据权利在权
利内容上的异同，如表 3 所示：
我国个人信息权利内容与欧盟个人数据权利内容的异同
共同点 不同点

显性个人权利 访问权 个人主动行使的理念相同 出发点不同； 衍生数据的可访问性不同； 提供额外副本的费

用不同

修正权 无明显差异

删除权 / 被遗忘权 个人自治的理念相同 可删除的范围不同； 对处理者的要求不同； 权利的适用范围

不同； 特殊情况下处理方式不同

限制处理权 非删除的理念相同 行使范围不同； 对处理者的要求不同

信息 / 数据可携权 可复制与转移的理念相同 格式要求不同； 适用范围不同； 传输的时限不同

反对权 停止使用的理念相同 适用界限不同； 可行使的情形不同

隐性个人权利 有权 知 悉 其 数 据 如 何 被 收 集 对处理者的要求相同 可知晓事项范围不同； 提供相关信息时点不同

处理

撤回同意的规定相同； 同意的合法性、自愿
有权撤回同意 对默认同意的认可不同
性与准确性原则相同；

有权免受自动化决策的限制 对自动化决策的要求相同 适用例外不同； 对处理者的要求不同

有权向监管机构发起申诉 对相关部门的要求相同 行使该权利的前提条件不同； 可发起申诉的监管机构不同

有权对监管机构提起行政诉讼 － GDPＲ 规定了此项权利； 《个人信息保护法》未明确该项权利

有权对控制者或处理者提起诉讼 提起诉讼的理念相同 提起诉讼的条件不同； 受理诉讼的法院不同

有权就其损失获得赔偿 获得赔偿的理念相同； 赔偿的责任分配相同 涉及多个处理者时的要求不同

有权要求处理者解释说明 － 《个人信息保护法》要求加强个人对其信息的控制能力

近亲可对死者信息行使权利 － 《个人信息保护法》要求保障相关数据不会由于其主体逝世
而消亡

将我国个人信息权利客体界定为个人信息。②借鉴欧
3 我国个人信息权利对欧盟个人数据权 盟 6 种显性个人数据权利理念，包括访问权中查阅复
利的借鉴及问题分析 制的理念、更正权的更正补充理念等，相应地定义了我

梳理 GDPＲ 中个人数据权利与《个人信息保护法》 国 6 种显性个人信息权利。③借鉴欧盟 6 种隐性个人

中个人信息权利后可知，欧盟已形成了以个人信息自 数据权利理念，包括撤回同意的规定，同意的合法性、

决权为核心的个人数据保护体系
［30］
，我国在界定个人 自愿性与准确性原则等，相应地定义了我国 6 种隐性
信息权利时在一定程度上借鉴了欧盟经验，但仍存在 个人信息权利，同时增补了 2 项隐性个人信息权利。
一些问题。 我国个人信息权利不仅借鉴了欧盟个人数据权利
3． 1 我国个人信息权利对欧盟个人数据权利的借鉴 思想，对其实现了本土化，初步建立了我国个人信息权
与发扬 利体系，保障个人信息“所有权人”的法律地位，而且
我国个人信息权利借鉴了欧盟个人数据权利中的 从如下几方面发扬了欧盟个人数据权利治理思想：
合理因素，主要包括： ①借鉴欧盟个人数据权利主体与 （ 1） 解决算法歧视的问题。由于企业在进行大数
客体的内涵，将我国个人信息权利主体界定为自然人， 据分析时，消费者难以证明相关平台实施了“杀熟”行

30
盛小平，唐筠杰． 我国个人信息权利与欧盟个人数据权利的比较分析： 基于《个人信息保护法》与 GDPＲ［J］． 图书情报工
作， 66（ 6） ： 26 － 33．
2022，
为，导致个人数据维权十分艰巨。我国通过借鉴 GD-
PＲ 中有关自动化决策的规定，直接赋予了个人有权免
受自动化决策的限制，规定不得对个人在交易价格等
交易条件上实行不合理的差别待遇，要求处理者必须
保证决策的透明度和结果的公平公正，且必须提供不
针对其个人特征的选项或便捷的拒绝方式，在制度层
面有效解决算法歧视的问题。
（ 2） 解决企业间个人信息利用冲突的问题。不同
企业间存在个人信息商业开发利用的矛盾，主要表现
为个人信息利用过程中的不正当竞争与数据垄断问
［31］
题 。我国引入了 GDPＲ 中的数据可携制度，设立信
息可携权以解除用户锁定效应，使得初创企业和小型
企业有机会进入被巨头企业垄断的相关市场，强化个
［32］
人信息控制的同时降低了数据准入壁垒
良性竞争。此外，由于传统反垄断法无法有效规制数
据市场的垄断行为，信息可携带制度则成为传统竞争
［33］
法体系的重要补充 。 权利和信息自由的处理原则，个人信息权利与信息自
（ 3） 解决个人信息删除与技术隔离冲突的问题。
GDPＲ 赋予了数据主体删除权，该权利一定程度上尊
重了数据主体的自决权和自主性。但是，个人数据的
盲目删除会导致数据的残缺和不完整，将造成大数据
［34］
决策的误判，数据的价值也会大打折扣
问题，我国的删除权在法律、行政法规规定的保存期限
未届满，或者删除个人信息从技术上难以实现的情形
下，要求个人信息处理者应停止个人信息处理行为，但
处理者仍可存储或采取必要措施以保护个人信息的安
全。因此，当删除信息所造成的损失过高或可行性不
足时，处理者可以先采取技术屏蔽等迂回措施，待条件
成熟后再予以删除，这一规定赋予了处理者更多的弹
性空间，可以有效避免由于个人出于主观臆断而删除
了未来具有巨大潜力价值的信息。
（ 4） 解决逝者信息权益保护的问题。GDPＲ 中并
未涉及逝者个人数据权益保护的相关规定，而我国明
确规定近亲可对死者信息行使相关权利，保障了逝者
信息权益。同时，由于逝者的个人信息中包含着隐私
以及第三人的数据，如存储在社交账户或网络日记上
的个人隐私，在逝者生前通过将状态设置为“仅自己可
见”等明确表达了不愿公开的意愿的情况下，近亲如不
加限制的行使相关权利会造成侵权行为。因此，我国
在对近亲行使逝者个人信息权利中还添加了“为了自
身的合法、正当利益”“死者生前另有安排的除外”等
条件，在维护逝者及其亲属的信息权益的同时，也保护
［35］
了逝者的隐私 。 之间的矛盾。《个人信息保护法》允许个人通过公开
3． 2 我国个人信息权利有待进一步完善的问题
我国 个 人 信 息 权 利 虽 然 已 得 到《个 人 信 息 保 护
法》《民法典》等的法律保护，个人信息权利体系已现
雏形，但是我国个人信息权利仍存在如下一些亟需化
解的矛盾与问题：
（ 1） 个人信息权利与信息自由之间的矛盾。个人
信息的删除权的确立对衡量个人名誉与公共利益之间
的关系提出了挑战，信息自由和数据主体的权利之间
［34］
的冲突在大数据的技术背景下开始逐渐凸显 。在
开放社会与开放科学环境下，数据的自由流通可促进
决策过程的公开透明。然而，各类开放数据中存储着
大量个人信息，在大数据算法处理过程中将会对个人
信息权利造成侵害； 相关个人信息的滥用将会侵害个
，形成企业 人的名誉权、荣誉权、隐私权等，这就需要进一步平衡
个人信息权利与公众信息自由的关系。虽然我国规定
了个人有权请求删除个人信息，但并未明确个人信息
由仍有矛盾。实际上，欧洲法院在审理个人数据删除
权相关案件时，仍采取审慎的态度。特别是对出于公
共利益将个人数据或信息存档的，法院持支持和保护
态度，并不会轻易判决将已存档的个人信息从数据库
［36］
。为解决该 中删除，即个人利益须让位于公共利益 。我国可采
纳公共利益优先原则来处理个人信息权利与信息自由
的关系。
（ 2） 个人信息利用与知情同意之间的矛盾。信息
共享与利用行为难以完全实现个人的知情同意。GD-
PＲ 将个人同意细化为“明示授权”与“默认同意”两种
方式，仅承认“明示授权”的有效性以降低企业限制个
人数据，将数据主权更多交还给用户自身。《个人信息
保护法》并未对“个人同意”进行细分，个人同意能否
等同于个人授权问题尚未解决，在某些情况下仍难以
界定个人是否明确表示同意。为解决个人信息利用与
知情同意之间的矛盾，我国应明确同意并不等同于授
权，即信息处理者在处理个人信息时必须获得个人的
［37］
明确授权 ，但考虑到某些必要情况无法立即获得用
户授权时，我国可以借鉴“合理预期”概念。比如，在
自动驾驶中所收集的个人数据可能会无法征得个人同
意，此时即使没有信息主体的许可，但只要当事人在该
情况下能够合理预期的，且这种期待客观上被社会认
［38］
可，该处理就应当受到保护 ，以实现个人信息的利
用价值。
（ 3） 处理已公开的个人信息与保障个人信息权利
31
 第 66 卷 第 6 期 2022 年 3 月
部分个人信息来实现特定的目的，如社交意愿、寻求交
［22］
易机会或工作需要等
个人信息可以被任意采集与使用，且部分已公开的个
人信息并非个人自愿公开的，这很可能招致侵犯个人
权益。为此，可以借鉴 GDPＲ 中的“风险评估”框架，将
公开的个人信息划分为一般信息与三类特殊信息： 一
般信息可以在合法性基础上处理； 种族、宗教信仰等作
为第一类特殊信息，这些数据原则上可处理但不得进
一步泄漏传播； 个人基因、生物特征等第二类特殊信
息，不得以识别自然人为目的进行处理； 性取向等第三
类特殊就算已公开应停止处理，以完善公开的个人信
息处理规则
［39］
。 ［J］． Computer law ＆ security review，2018，
（ 4） 个人信息保护与企业发展之间的矛盾。个人
信息保护与企业发展有时也会产生冲突。例如，当个
人行使限制处理权时，企业因个人请求而不得不保留
该数据，这时个人信息与数据在一定程度上将占用控
制者的存储空间，增加企业管理维护成本。又如，当个
人行使信息可携权时，若不规定信息及数据传输格式
将会造成不兼容等问题，但如强制规定传输格式必然
导致企业执行成本过高、法律执行困难等问题。为解
决个人信息保护与企业发展之间的矛盾，除在多数权
利中设置“法律法规另有规定除外”，还需制定不同行
业准则，即采取“法律基本原则 + 不同行业准则”的结
［40］
合模式 ，以平衡个人信息处理过程中各方利益的最
大化。
4 结语
强化个人对其数据控制，严格保护个人数据已成
为各国数据治理的战略选择
个人信息权利与欧盟个人数据权利，可以发现，权利主
体都被界定为自然人，但欧盟个人数据权利主体所涉
及的范围更广； 权利客体虽然分别是个人数据和个人
信息，但是两者定义趋同，且均被细分为一般型与敏感
型两类； 欧盟个人数据权利包含 6 种显性个人数据权
利和 7 种隐性个人数据权利，相对应地，我国个人信息
权利包含 6 种显性个人信息权利和 8 种隐性个人信息
权利。我国个人信息权利不仅在一定程度上借鉴了欧
盟个人数据权利的相关思路，且实现了个人数据权利
的“中国化”，初步形成了我国个人信息权利体系，有
助于解决我国个人信息或个人数据保护与利用的一系
列棘手问题。不过，我国个人信息权利还存在多种矛
盾，这就需要我国进一步完善《个人信息保护法》，制
定配套的治理措施，健全我国个人信息权利体系。
32
参考文献：
［1 ］ 大数据战略重点实验室． 数权法 3． 0： 数权的立法前瞻［M］． 北
，但这并不意味着这些公开的
京： 社会科学文献出版社，
2021．
［2 ］ 袁泉． 大数据背景下的个人信息分类保护制度研究［D］． 北京：
对外经济贸易大学，
2019．
［3 ］ 程啸． 论大数据时代的个人数据权利［J］． 中国社会科学，
2018，
39（ 3） ： 102 － 122，
207 － 208．
［4 ］ 梅夏英． 在分享和控制之间数据保护的私法局限和公共秩序构
建［J］． 中外法学， 31（ 4） ： 845 － 870．
2019，
［5 ］ 丁晓东． 什么是数据权利？ ———从欧洲《一般数据保护条例》
看数据隐私的保护［J］． 华 东政法 大学学 报，2018，21 （ 4 ） ： 39
－ 53．
［6 ］ JANEEKV． Ownership of personal data in the internet of things
34（ 5） ： 1039 － 1052．
［7 ］ 李爱君． 数 据 权 利 属 性 与 法 律 特 征［J］． 东 方 法 学，2018，11
（ 3） ： 64 － 74．
［8 ］ 李勇坚． 个人数据权利体系的理论建构［J］． 中国社会科学院
研究生院学报， 40（ 5） ： 95 － 104．
2019，
［9 ］YU X，ZHAO Y． Dualism in data protection： balancing the right to
personal data and the data property right［J / OL］． Computer law ＆
security report，2019，35（ 5） ： 105318［2021 － 10 － 22］． https： / /
doi． org /10． 1016 / j． clsr． 2019． 04． 001．
［10］ 齐强军，齐爱民，陈琛． 论我国个人信息保护立法的权利基础
［J］． 青海社会科学， 31（ 1） ： 187 － 189．
2010，
［11］ 刁胜先． 论个人信息权的权利结构———以“控制权”为束点和
视角［J］． 北京理工大学学报（ 社会科学版） ， 13（ 3） ： 92 －
2011，
102．
96，
［12］ 孙平． 系统构筑个人信息保护立法的基本权利模式［J］． 法学，
39（ 4） ： 67 － 80．
2016，
［13］ 秦顺． 循证政策视角下我国数据确权的法理解析与规范路径
［J / OL］． 图书馆建设［2021 － 11 － 25］． http： / / kns． cnki． net / kc-
ms / detail /23． 1331． G2． 20210315． 0839． 002． html．
［14］ 张学文．“商业数据出境”的规则之治： 权属分析、关系构成、实
践面向［J / OL］． 情报 杂 志［2021 － 11 － 25］． http： / / kns． cnki．
［35］
。通过比较分析我国 net / kcms / detail /61． 1167． g3． 20211103． 1103． 002． html．
［15］ 卜学民，马其家． 论数据主权谦抑性： 法理、现实与规则构造
［J］． 情报杂志， 40（ 8） ： 62 － 70．
2021，
［16］ 魏远山． 我国数据权演进历程回顾与趋势展望［J］． 图书馆论
坛， 41（ 1） ： 119 － 131．
2021，
［17］ 汪全胜，王庆武． 网络空间个人数据的权利保护［J］． 情报理论
与实践， 25（ 1） ： 33 － 36．
2004，
［18］ 李帅． 电子病历应用中个人信息权的谦抑与扩张［J］． 情报杂
志， 40（ 7） ： 201 － 207，
2021， 85．
［19］ 严鸿雁． 论个人信息权益的民事权利性质与立法路径———兼评
《个人信息保护法》（ 专家建议稿） 的不足［J］． 情报理论与实
践， 36（ 4） ： 43 － 46．
2013，
［20］ 类延村，徐 洁 涵． 个 人 信息 法律保 护的权 利基础 与实践逻辑
［J］． 图书馆建设，
2021（ 1） ： 84 － 92．
［21］ 姜盼盼． 大数据时代个人信息保护研究综述［J］． 图书情报工
作， 63（ 15） ： 140 － 148．
2019，
［22］ 肖 登 辉，张 文 杰． 个 人 信 息 权 利 保 护 的 现 实 困 境 与 破 解 之
盛小平，唐筠杰． 我国个人信息权利与欧盟个人数据权利的比较分析： 基于《个人信息保护法》与 GDPＲ［J］． 图书情报工
作， 66（ 6） ： 26 － 33．
2022，

道———以若干司法案例为切入点［J］． 情报理论与实践，
2017， （ 1） ： 28 － 39．
40（ 2） ： 51 － 55，
47． ［33］ 金耀． 数据可携权的法律构造与本土构建［J］． 法律科学（ 西北
［23］ 郑曦． 超越阅卷： 司法信息化背景下的刑事被告人数据访问权 政法大学学报） ， 39（ 4） ： 105 － 116．
2021，
研究［J］． 河南大学学报（ 社会科学版） ， 60（ 2） ： 59 － 65．
2020， ［34］ 田广兰． 大数据时代的数据主体权利及其未决问题———以欧盟
［24］高富平． 个人信息保护： 从个人控制到社会控制［J］． 法学研究， 《一般数据保 护 条例》为 分 析 对 象［J］． 中 国 人 民 大 学 学 报，
40（ 3） ： 84 － 101．
2018， 34（ 6） ： 131 － 141．
2020，
［25］吴姗姗． 论被遗忘权法律保护的必然性及其法理依据［J］． 江苏 ［35］ 程啸． 论死者个人信息的保护［J］． 法学评论，2021，39 （ 5 ） ： 13
社会科学， 41（ 1） ： 145 － 153．
2020， － 23．
［26］ Article 29 data protection working party． guidelines on the right to ［36］ 满洪杰． 被遗忘权的解析与构建： 作为网络时代信息价值纠偏
data portability［EB / OL］． ［2021 － 10 － 22］． https： / / ec． europa． 机制的研究［J］． 法制与社会发展， 24（ 2） ： 199 － 217．
2018，
eu / newsroom / article29 / items /611233． ［37］高富平． 同意≠授权———个人信息处理的核心问题辨析［J］． 探
［27］ 申卫星． 论个人信息权的构建及其体 系 化［J］． 比较 法 研 究， 索与争鸣， 37（ 4） ： 87 － 94，
2021， 178．
35（ 5） ： 1 － 13．
2021， ［38］ 王利明． 数 据 共 享 与 个 人 信 息 保 护［J］． 现 代 法 学，2019，41
［28］ 商希雪． 超越私权属性的个人信息共享———基于《欧盟一般数 （ 1） ： 45 － 57．
据保护条例》正 当 利 益 条 款 的 分 析［J］． 法 商 研 究，2020，37 ［39］ 高富平． 个人数据保护和利用国际规则： 流源与趋势［M］． 北
（ 2） ： 57 － 70． 京： 法律出版社，
2016．
［29］ 京东法律研究院． 欧盟数据宪章： 《一般数据保护条例》GDPＲ ［40］ 高富平． 论个人信息处理中的个人权益保护———“个保法”立
评述及实务指引［M］． 北京： 法律出版社，
2018． 2021，53（ 2） ： 107 － 124．
法定位［J］． 学术月刊，
［30］ 汪庆华． 数据可携带权的权利结构、法律效果与中国化［J］． 中
国法律评论， 8（ 3） ： 189 － 201．
2021，
作者贡献说明：
［31］王磊． 个人数据商业化利用的利益冲突及其解决［J］． 法律科学
盛小平： 论文框架设计与修订；
（ 西北政法大学学报） ，
2021，39（ 5） ： 89 － 100．
唐筠杰： 论文初稿写作。
［32］ 谢琳，曾俊森． 数据可携权之审视［J］． 电子知识产权，
2019，
18

A Comparative Analysis of Personal Information Ｒights in China and Personal Data Ｒights in EU：
Based on the Personal Information Protection Law and GDPＲ
Sheng Xiaoping Tang Junjie
School of Cultural Heritage and Information Management，Shanghai University，Shanghai 200444
Abstract： ［Purpose / significance］A comparative analysis of the personal information rights in the Personal In-
formation Protection Law in China and the personal data rights in the EU’s General Data Protection Ｒegulation （ GD-
PＲ） can provide references for improving the personal information rights system and strengthening personal informa-
tion protection in China． ［Method / process］Using comparative analysis method and text analysis method，this pa-
per compared and analyzed the similarities and differences between personal information rights in China and EU’s
personal data rights from three parts of the right subjects，the right objects and the right contents，and expounded the
problems of personal information rights to be further improved in China． ［Ｒesult / conclusion］The personal informa-
tion rights in China and the EU’s personal data rights can be divided into two types of explicit personal rights and im-
plicit personal rights，involving 15 specific rights． The six kinds of explicit personal information rights and eight
kinds of implicit personal information rights in China，to some extent，refer to the reasonable factors in the EU’s per-
sonal data rights，and in the meanwhile promote the EU’s personal data right governance thoughts，solving algorithm
of discrimination，conflicts in the use of personal information among enterprises，conflicts between personal informa-
tion deletion and technical isolation，protection of information rights and interests of the deceased，and so on． How-
ever，there are still contradictions between information rights and freedom of information，personal information utiliza-
tion and informed consent，open accessed personal information processing，personal information protection and enter-
prise development，which need to be further improved．
Keywords： personal information rights personal data rights the Personal Information Protection Law GDPＲ

33