總的來說，《個(gè)人信息保護(hù)法》對個(gè)人的權(quán)利的規(guī)定是原則性、方向性的，但數(shù)安條例對個(gè)人權(quán)利的規(guī)定相對詳細(xì)。在此逐一做個(gè)對比。

　　刪除權(quán)

　　《個(gè)人信息保護(hù)法》

　　數(shù)安條例

　　第四十七條 有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息；個(gè)人信息處理者未刪除的，個(gè)人有權(quán)請求刪除：

　?。ㄒ唬┨幚砟康囊褜?shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；

　?。ǘ﹤€(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；

　　（三）個(gè)人撤回同意；

　?。ㄋ模﹤€(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息；

　?。ㄎ澹┓?、行政法規(guī)規(guī)定的其他情形。

　　法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。

　　第二十二條 有下列情況之一的，數(shù)據(jù)處理者應(yīng)當(dāng)在十五個(gè)工作日內(nèi)刪除個(gè)人信息或者進(jìn)行匿名化處理：

　?。ㄒ唬┮褜?shí)現(xiàn)個(gè)人信息處理目的或者實(shí)現(xiàn)處理目的不再必要；

　?。ǘ┻_(dá)到與用戶約定或者個(gè)人信息處理規(guī)則明確的存儲(chǔ)期限；

　?。ㄈ┙K止服務(wù)或者個(gè)人注銷賬號；

　?。ㄋ模┮蚴褂米詣?dòng)化采集技術(shù)等，無法避免采集到的非必要個(gè)人信息或者未經(jīng)個(gè)人同意的個(gè)人信息。

　　刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)，或者因業(yè)務(wù)復(fù)雜等原因，在十五個(gè)工作日內(nèi)刪除個(gè)人信息確有困難的，數(shù)據(jù)處理者不得開展除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理，并應(yīng)當(dāng)向個(gè)人作出合理解釋。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　兩者比較，可以看出，數(shù)安條例明確了十五個(gè)工作日的響應(yīng)時(shí)限；將法律中的“撤回同意”縮限為“個(gè)人注銷賬號”。很有意思的是，在數(shù)安條例第二十三條還出現(xiàn)了“撤回授權(quán)同意”和“注銷賬號”，從這樣的行文推測條例應(yīng)當(dāng)認(rèn)為這是兩件事，可法律中明確是撤回同意，且沒有出現(xiàn)過“注銷賬號”。建議對此作出厘清。

　　數(shù)安條例同時(shí)增加了“因使用自動(dòng)化采集技術(shù)等，無法避免采集到的非必要個(gè)人信息或者未經(jīng)個(gè)人同意的個(gè)人信息”，這個(gè)應(yīng)當(dāng)是考慮到了網(wǎng)聯(lián)汽車收集到車外人員的信息這個(gè)情形。

　　查詢、更正、補(bǔ)充權(quán)利

　　《個(gè)人信息保護(hù)法》

　　數(shù)安條例

　　第四十五條 個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息；有本法第十八條第一款、第三十五條規(guī)定情形的除外。

　　個(gè)人請求查閱、復(fù)制其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。

　　第四十六條 個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請求個(gè)人信息處理者更正、補(bǔ)充。

　　個(gè)人請求更正、補(bǔ)充其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)對其個(gè)人信息予以核實(shí)，并及時(shí)更正、補(bǔ)充。

　　第五十條 個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請求的，應(yīng)當(dāng)說明理由。

　　個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請求的，個(gè)人可以依法向人民法院提起訴訟。

　　第二十三條 個(gè)人提出查閱、復(fù)制、更正、補(bǔ)充、限制處理、刪除其個(gè)人信息的合理請求的，數(shù)據(jù)處理者應(yīng)當(dāng)履行以下義務(wù)：

　?。ㄒ唬┨峁┍憬莸闹С謧€(gè)人結(jié)構(gòu)化查詢本人被收集的個(gè)人信息類型、數(shù)量等的方法和途徑，不得以時(shí)間、位置等因素對個(gè)人的合理請求進(jìn)行限制；

　　（二）提供便捷的支持個(gè)人復(fù)制、更正、補(bǔ)充、限制處理、刪除其個(gè)人信息、撤回授權(quán)同意以及注銷賬號的功能，且不得設(shè)置不合理?xiàng)l件；

　?。ㄈ┦盏絺€(gè)人復(fù)制、更正、補(bǔ)充、限制處理、刪除本人個(gè)人信息、撤回授權(quán)同意或者注銷賬號申請的，應(yīng)當(dāng)在十五個(gè)工作日內(nèi)處理并反饋。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　查詢、更正、補(bǔ)充是經(jīng)典的個(gè)人信息主體權(quán)利。法律中主要要求是邊界的行權(quán)機(jī)制，以及拒絕響應(yīng)權(quán)利請求時(shí)應(yīng)當(dāng)說明理由。在數(shù)安條例中，進(jìn)行了一定的細(xì)化。

　　很有意思的是，數(shù)安條例似乎認(rèn)為查詢是一項(xiàng)比復(fù)制、更正、補(bǔ)充、限制、刪除、撤回同意、注銷賬號“等級”更高的一項(xiàng)權(quán)利，因?yàn)椴樵儥?quán)中，除了便捷之外，還明確說結(jié)構(gòu)化查詢，而且不得以時(shí)間、位置等因素限制合理請求。但其他權(quán)利僅僅是說便捷，以及不得設(shè)置不合理?xiàng)l件。建議對此作出厘清。

　　限制處理：從原則性表述演變成具體的權(quán)利

　　《個(gè)人信息保護(hù)法》

　　數(shù)安條例

　　GDPR

　　第四十四條 個(gè)人對其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個(gè)人信息進(jìn)行處理；法律、行政法規(guī)另有規(guī)定的除外。

　　第二十三條 個(gè)人提出查閱、復(fù)制、更正、補(bǔ)充、限制處理、刪除其個(gè)人信息的合理請求的，數(shù)據(jù)處理者應(yīng)當(dāng)履行以下義務(wù)：

　　（一）提供便捷的支持個(gè)人結(jié)構(gòu)化查詢本人被收集的個(gè)人信息類型、數(shù)量等的方法和途徑，不得以時(shí)間、位置等因素對個(gè)人的合理請求進(jìn)行限制；

　　（二）提供便捷的支持個(gè)人復(fù)制、更正、補(bǔ)充、限制處理、刪除其個(gè)人信息、撤回授權(quán)同意以及注銷賬號的功能，且不得設(shè)置不合理?xiàng)l件；

　?。ㄈ┦盏絺€(gè)人復(fù)制、更正、補(bǔ)充、限制處理、刪除本人個(gè)人信息、撤回授權(quán)同意或者注銷賬號申請的，應(yīng)當(dāng)在十五個(gè)工作日內(nèi)處理并反饋。

　　法律、行政法規(guī)另有規(guī)定的從其規(guī)定。

　　第十八條 數(shù)據(jù)主體限制數(shù)據(jù)處理的權(quán)利

　　1）  存在以下情形之一時(shí)，數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者對數(shù)據(jù)的處理：

　　a）  數(shù)據(jù)主體對數(shù)據(jù)的準(zhǔn)確性提出異議時(shí)，在數(shù)據(jù)控制者確認(rèn)準(zhǔn)確性的階段；

　　b）  數(shù)據(jù)處理為非法，而數(shù)據(jù)主體反對清除其數(shù)據(jù)而是要求限制對數(shù)據(jù)的使用的；

　　c）   數(shù)據(jù)控制者出于特定目的不再需要數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，但數(shù)據(jù)主體需要這些數(shù)據(jù)以建立、行使和保護(hù)自己的法律訴求的；

　　d）  數(shù)據(jù)主體反對根據(jù)第21條（1）款的數(shù)據(jù)處理，但尚不清楚數(shù)據(jù)控制者是否有高于數(shù)據(jù)主體利益的正當(dāng)事由；

　　2）  在上述情形中，除存儲(chǔ)外，個(gè)人數(shù)據(jù)僅能在數(shù)據(jù)主體表達(dá)同意，或用于建立、行使和保護(hù)法律訴求時(shí)，或?yàn)楸Ｗo(hù)其他自然人、法人的利益，或出于歐盟、成員國重要的公共利益時(shí)，才可處理

　　3）  數(shù)據(jù)控制者應(yīng)告知數(shù)據(jù)主體何時(shí)對數(shù)據(jù)限制處理的要求失效。

　　《個(gè)人信息保護(hù)法》中限制他人對個(gè)人信息進(jìn)行處理是個(gè)原則性的表述，體現(xiàn)在撤回同意、刪除等，和GDPR第十八條規(guī)定的限制權(quán)利有區(qū)別。GDPR中的限制權(quán)主要是“凍結(jié)”或者暫停數(shù)據(jù)處理的權(quán)利。

　　數(shù)安條例在第二十三條出現(xiàn)了限制處理的表述，但是對該權(quán)利的內(nèi)涵并沒有做出任何解釋。建議對此作出厘清。

　　轉(zhuǎn)移個(gè)人信息的權(quán)利

　　《個(gè)人信息保護(hù)法》

　　數(shù)安條例

　　GDPR

　　第四十五條 個(gè)人請求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。

　　第二十四條 符合下列條件的個(gè)人信息轉(zhuǎn)移請求，數(shù)據(jù)處理者應(yīng)當(dāng)為個(gè)人指定的其他數(shù)據(jù)處理者訪問、獲取其個(gè)人信息提供轉(zhuǎn)移服務(wù)：

　?。ㄒ唬┱埱筠D(zhuǎn)移的個(gè)人信息是基于同意或者訂立、履行合同所必需而收集的個(gè)人信息；

　?。ǘ┱埱筠D(zhuǎn)移的個(gè)人信息是本人信息或者請求人合法獲得且不違背他人意愿的他人信息；

　?。ㄈ┠軌蝌?yàn)證請求人的合法身份。

　　數(shù)據(jù)處理者發(fā)現(xiàn)接收個(gè)人信息的其他數(shù)據(jù)處理者有非法處理個(gè)人信息風(fēng)險(xiǎn)的，應(yīng)當(dāng)對個(gè)人信息轉(zhuǎn)移請求做合理的風(fēng)險(xiǎn)提示。

　　請求轉(zhuǎn)移個(gè)人信息次數(shù)明顯超出合理范圍的，數(shù)據(jù)處理者可以收取合理費(fèi)用。

　　第二十條 數(shù)據(jù)主體攜帶數(shù)據(jù)的權(quán)利

　　1）存在以下情形的，數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者獲得關(guān)于其個(gè)人數(shù)據(jù)（僅限其向數(shù)據(jù)控制者提供的）的副本；副本應(yīng)以結(jié)構(gòu)化、普遍使用、可機(jī)讀的形式；數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者將其個(gè)人數(shù)據(jù)向其他數(shù)據(jù)控制者提供：

　　a）   數(shù)據(jù)處理是基于第6條第一款a）項(xiàng)或第9條第2款a）項(xiàng)，或基于第6條第一款b）項(xiàng)所指涉的合同

　　b）   數(shù)據(jù)處理以自動(dòng)化的形式進(jìn)行。

　　2）  如技術(shù)上可行的話，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者將其個(gè)人數(shù)據(jù)直接傳輸給另一數(shù)據(jù)控制者。

　　行使該權(quán)利不應(yīng)對他人的權(quán)利和自由造成不利影響。

　　數(shù)安條例提出了法律中的“符合國家網(wǎng)信部門規(guī)定的條件”，具體來說：條件一：限制于基于同意，以及履行合同所必需兩個(gè)合法性事由。條件二：只能局限于自己的信息，這個(gè)顯然是題中之意，但“請求人合法獲得且不違背他人意愿的他人信息”這個(gè)是相對于法律來說比較大的擴(kuò)展。在關(guān)于GDPR第20條的序言（recital 68）中，歐盟立法者解釋道：“如果在某一組個(gè)人數(shù)據(jù)中，涉及一個(gè)以上的數(shù)據(jù)主體，根據(jù)本條例，接收個(gè)人數(shù)據(jù)的權(quán)利應(yīng)不影響其他數(shù)據(jù)主體的權(quán)利和自由”（Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation），但這句話的意思是當(dāng)在申請個(gè)人信息的副本時(shí)，不可避免涉及到其他人的情況，但并不是允許個(gè)人直接申請關(guān)于別人的個(gè)人信息副本--也就是條例中的他人信息。

　　與此相比，GDPR提出了另外一個(gè)限制條件，即“如技術(shù)上可行的話，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者將其個(gè)人數(shù)據(jù)直接傳輸給另一數(shù)據(jù)控制者”。換句話說，GDPR僅僅是規(guī)定個(gè)人有權(quán)獲得個(gè)人信息副本，有權(quán)要求數(shù)據(jù)控制者將個(gè)人數(shù)據(jù)副本向其他數(shù)據(jù)控制者提供（也就包括發(fā)送郵件、鏈接等），僅是在技術(shù)可行的情況下，數(shù)據(jù)控制者直接傳輸給另一個(gè)數(shù)據(jù)控制者，例如提供API接口。這一點(diǎn)在Recital 68中明確指出：數(shù)據(jù)主體傳送或接收有關(guān)他或她的個(gè)人數(shù)據(jù)的權(quán)利不應(yīng)造成控制者有義務(wù)采用或維護(hù)技術(shù)上兼容的處理系統(tǒng)（The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible.）。

　　但數(shù)安條例的行文似乎是“數(shù)據(jù)處理者應(yīng)當(dāng)為個(gè)人指定的其他數(shù)據(jù)處理者訪問、獲取其個(gè)人信息提供轉(zhuǎn)移服務(wù)”，這樣的行文中明確提出了“轉(zhuǎn)移服務(wù)”，其與法律中的“轉(zhuǎn)移途徑”不一樣。從文意理解，服務(wù)似乎更加偏向了技術(shù)兼容，例如API接口。綜合理解，數(shù)安條例提出了比GDPR更強(qiáng)的數(shù)據(jù)可攜帶權(quán)，對數(shù)據(jù)處理者的系統(tǒng)改造要求更直接。建議對此作出厘清。