[导读：将于2018年5月生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。大成数据保护团队的欧盟与中国律师联合推出11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。自2018年1月起，系列文章将于每周四通过公众号“个人信息与数据保护实务评论”定期推送。]

引言

我们在前两期中对数据主体的知情权、访问权、更正权和可携权等权利进行了讨论，本期我们将继续讨论数据主体的其他权利：删除权、限制处理权、反对权和自动化个人决策相关权利。

删除权

删除权也称“被遗忘权”。删除权并不是给予数据主体要求删除数据的绝对权利。《通用数据保护条例》（General Data Protection Regulation, the “GDPR”）规定，数据主体有权在以下情况下要求删除其数据：

1.个人数据对最初收集该等个人数据的目的而言不再是必需的；

2.数据处理系基于同意且该等同意被撤回（且数据处理无其他法律依据）；

3.数据主体反对处理，且数据处理无令人信服的正当处理理由；

4.个人数据系非法收集；

5.为了遵守法定义务，必须删除个人数据；

6.个人数据处理涉及向儿童提供信息社会服务（特别是在其未充分意识到处理风险的情况下，以儿童的身份作出的同意，尤应删除其在互联网上的个人数据）。

《荷兰数据保护法》（Dutch DataProtection Act, the “DDPA”）目前也规定有删除权。但是，根据《数据保护法》，只有在个人数据不正确、不完整或不相关的情况下，删除权方才适用。而根据GDPR的规定，如果存在上述一个或多个限制性理由，则适用删除权。

如数据控制者已公开个人数据并有义务删除个人数据，则控制者必须采取合理措施（包括技术性措施）将数据主体已要求删除其个人数据的事宜通知其他控制者。因该等个人数据已处于公众知悉的领域，这一义务的影响可能非常广泛。

删除个人数据的义务也存在一些例外，即如果数据处理对于以下任一情形而言是必需的，则无需履行这一义务：

1.行使言论和信息自由的权利；

2.遵守欧盟或成员国的法律义务或执行为公共利益或为行使控制者被授予的官方权力而进行的任务；

3.出于公共卫生领域内公共利益的原因；

4.出于公共利益的归档目的、科学或者历史研究目的或者统计目的，只要删除权可能导致不能实现此类处理目的或者对该等目的的实现造成严重影响；

5.为建立、行使或辩护法律请求之目的（尤其是为证据目的）。

限制处理权

根据GDPR的规定，数据主体在以下情况下有权要求（暂时）限制处理其个人数据：

• 数据主体正在对正被处理的个人数据的准确性提出质疑，但限制处理须以控制者核实个人数据准确性所需的时间为限；

• 处理是非法的，但数据主体反对删除其个人数据，而要求限制处理；

• 数据控制者不再为处理目的而需要个人数据，但数据主体因建立、行使或辩护法律请求之目的而需要个人数据；

• 在核实控制者的正当理由是否优先于数据主体的正当理由之前，数据主体反对处理。

在限制处理期间，“标记的”个人数据只能由控制者存储。禁止进行其他与“标记的”数据有关的处理活动。如果个人数据处于“处理受限”状态，则控制者在数据主体同意的情况下或者该等处理行为时为了建立、行使或辩护法律请求，保护第三方所必需的情况下，或者为维护相关成员国和/或欧盟的重大公共利益所必需，则仍可进一步处理这些数据。

处理限制必须在控制者的系统中明确标示。控制者组织内部可以用来限制个人数据处理的方法包括暂时从网站上删除或屏蔽已发布的数据或将“标记的”个人数据临时转移到另一处理系统，使“标记的”个人数据不再可获得。处理限制原则上应该通过技术手段来保证实现，并且个人数据应当以不允许进一步处理和更改的方式记录在控制者的IT系统中。

解除任何处理限制之前，控制者必须通知数据主体。

反对权

根据GDPR规定，数据主体有权在以下三种情况下反对处理其个人数据：

1.个人数据处理是基于“维护公共利益所必需”或“维护控制者所追求的合法利益所必需”这两个理由；

2.个人数据处理是出于直接营销目的；

3.个人数据处理是出于科学、历史研究或统计目的。

1.个人数据处理是基于“维护公共利益所必需”或“维护控制者所追求的合法利益所必需”这两个理由

就本项情况而言，如果数据主体反对数据处理行为，则控制者必须停止处理个人数据，除非其能证明其拥有令人信服的、优先于数据主体利益的正当理由，或者是为了建立、行使或辩护法律请求。

较之目前，这是变化之一。根据DDPA的规定，数据主体必须给出与其特定情况相关的令人信服的正当理由，才可反对处理其个人数据。而GDPR不再作此要求：如果数据主体提出反对，控制者必须证明为什么其仍能够处理个人数据。

2.个人数据处理是出于直接营销目的

就本项情况而言，反对权是绝对的：如果数据主体提出反对，控制者必须停止为直接营销目的（包括与直接营销目的有关的画像）处理该数据主体的个人数据。

GDPR强调，反对为直接营销目的进行处理的权利应明确地告知数据主体，并与其他任何信息分开独立、清晰地列明（例如，不能“隐藏”在适用的一般条款和条件中）。最迟应该在与数据主体初次联系时告知数据主体该权利。

3.个人数据处理是出于科学、历史研究或统计目的

就本项情况而言，只有在存在与数据主体的特定情况有关的理由时，数据主体才有权提出反对。此外，如果对于执行为了维护公共利益而进行的任务而言处理是必需的，则属反对权的例外。

自动化个人决策相关权利

根据GDPR的规定，数据主体有权不适用完全基于自动化处理（包括画像）的决策，如果前述决策产生与数据主体有关的法律效果或者对数据主体产生类似的重大影响。举例而言，此类决策包括无人为干预下的拒绝在线信贷申请、网络招聘或在线绩效评估。

根据荷兰的执行法草案的解释性备忘录草案，该条款禁止使数据主体适用完全基于自动化处理活动的决策。该条款并不禁止画像或使用自动化处理活动，但是——如果用于作出针对数据主体的决策——这些活动应该与人为干预结合使用。

在欧盟或成员国法律明确授权的情况下（包括出于监控欺诈和逃税目的），如果对于在控制者和数据主体之间签订或履行合同而言是必需的，或者如果数据主体已给予明确同意，则允许进行自动化决策。荷兰立法者拟在控制者履行法定义务所需的情况下或者在执行为了维护公共利益而进行的任务时允许自动化处理（画像除外）。举例而言，这一类别包括与政府津贴（如儿童津贴和学习津贴）有关的自动化决策。

对该条款所涉及的任何处理，都应当采取适当的保障措施，包括向数据主体提供具体信息以及要求人为干预、表达其观点、要求对此类评估后作出的决策进行解释以及质疑此类决策的权利。

基于敏感数据的自动化决策进一步受到限制，只有在获得明确同意的情况下或者根据欧盟或成员国法律对于维护重大公共利益处理是必需的情况下才能进行。

实务建议和结论

各组织机构应审核其隐私声明和政策，以确保数据主体充分了解其反对权、删除权和限制处理权。各组织机构还应该确定其系统是否能符合在投诉处理期间将个人数据“标记”为处理受限的要求。此外，还应该确认其是否以及在何种程度上使用自动化决策，并确定是否适用限制性理由之一。所需采取的行动可能多为技术层面上的，因此可能需要IT部门参与以及对现有IT系统做出改变。如果进行自动化决策，还应对内部程序进行评估并在必要时进行更新。

（本文原文为英文，作者系Dentons Boekel律师Marc Elshof、Barry Breedijk和Celine van Es。本中文版本由大成数据保护团队翻译，转载请注明文字出自本公众号。）

--------------------