GDPR下的数据主体行权响应流程 —— 手把手教你如何回应数据主体行权请求（含回复模板）
 陈Alan AI与数据合规 
 在小说阅读器读本章
 去阅读
 在小说阅读器中沉浸阅读
 以下文章来源于数据合规 in DE
 ，作者Angie
 数据合规 in DE
 .
 德国咨询机构数据合规顾问；现居斯图加特；CIPP/E、CIPM、CIPP/A； 担任数十家企业外部 DPO。不定期整理欧盟（尤其德国）数据合规领域的立法、监管趋势以及判例发展，偶然分享有趣案例和个人洞察。🫶
 点击蓝字，关注我数据主体行权请求处理不当，已多次成为监管调查及损害赔偿责任的触发点。建立一套清晰、可执行的数据主体行权响应流程是DPMS的重要组成部分。本文介绍一套行权响应 SOP，并结合实务经验提供相应的操作建议与回复模板。1忽视数据主体行权请求，是监管调查和罚款的高频触发点在 GDPR 的执法实践中，许多监管调查起因于企业未能依法、及时、完整地回应数据主体行权请求。2024 年，noyb 针对六家中国大型在线平台，向五个欧盟数据保护监管机构提交了正式投诉。其手段是：noyb 的组织成员以普通用户身份向相关平台行使GDPR第15条的访问权，均未获得及时且完整的答复，随即向欧盟多国数据保护监管机构提出投诉。监管机构随即向这六家企业展开调查。这一做法并不罕见。2024年，我们好几个企业客户先后收到了一个名叫Pascal Goffe的行权请求。这个人广撒网，向多家公司投递明显不符合岗位要求的简历，在被拒绝后随即行使访问权；若企业未及时回应，便直接提起诉讼。相关案件由杜塞尔多夫法院审理，法院最终支持了约 2000 欧元的赔偿请求。所以如贵司恰巧（也没有那么恰巧）也收到Pascal Goffe的求职申请，大概就是被碰瓷了 👿劳动关系背景下的数据主体行权请求尤其棘手，尤其是和雇员没处好关系的。我就曾遇到案子：员工与雇主关系恶化、被解雇后，随即行使访问权，要求披露第三国数据传输相关信息（包括传输路径和保障措施）。这类请求往往并非出于信息了解本身，而是带有明显的策略性目的。他就偏提不该提那壶！2数据主体享有直接向监管机构投诉的权利，且投诉成本极低从企业角度看，数据主体行权请求之所以具有高度合规风险，一个重要原因在于：其行权门槛极低、外部支持渠道成熟、救济路径多样，且成本几乎为零。公益组织、消费者机构以及监管机构的官方投诉平台，已经为数据主体提供了标准化的行权模板和投诉工具，使行权请求能够被规模化、复制化地发起。一旦企业内部流程不完善、回复不及时，或回复内容存在缺陷，单个个案便极易被迅速放大。就我所在的巴登-符腾堡州为例，数据主体可以直接通过数据保护监管机构官网在线提交投诉，且系统还提供填写指引与辅助说明: https://www.baden-wuerttemberg.datenschutz.de/beschwerde/   而且！不要抱侥幸心理，因为投诉并不会“石沉大海”！GDPR 对监管机构本身设定了明确的程序性义务。根据 GDPR第78条的规定，监管机构必须在90 天内向数据主体通报其投诉的处理进展情况。此外，依据第 79 条，数据主体还可以不经监管程序，直接通过司法途径主张权利并请求损害赔偿。相关判例在此前的周资讯中已有多次提及。总之，一次看似普通、被忽视或处理不当的数据主体行权请求，完全可能迅速演变为监管调查，甚至进一步升级为诉讼风险。3数据主体享有哪些权利？企业该如何响应？根据 GDPR，数据主体主要享有以下权利：访问权（Art.15 GDPR）更正权（Art. 16 GDPR）删除权（Art. 17 GDPR）限制处理权（Art.18 GDPR）数据可携权（Art. 20 GDPR）拒绝权（Art. 21 GDPR）撤回同意的权利（Art. 7(3) GDPR）不受自动化决策约束的权利（Art. 22 GDPR）向监管机构提出投诉的权利（Art. 77 GDPR）（后续我将针对其中几项权利，分别分析其实务处理要点，并提供回复模板，敬请关注）GDPR 第12条明确要求企业原则上尽快、最迟不得超过接收请求的一个月内对行权请求作出回应。这对于组织结构复杂、处理活动分散的企业而言，事先建立一套清晰、可执行、可证明的数据主体行权响应流程（SOP）就尤为重要。4期限要求：1+2 ？作为数据控制者（Controller），企业必须依据GDPR第12条第3款，在以下期限内作出回应：基本期限要求不得迟延，最迟不超过一个月。如果企业是处理者，那么需要尽快将数据主体请求转发给控制者。需要特别强调的是，这里的“一个月”并不意味着企业可以默认将回复时间拖延至最后一日，而仅是监管意义上的最长期限上限。⚠️ 实务提示“Without undue delay“ 是原则！在简单案件（尤其是访问权请求、否定性答复）中，往往需要更快的处理速度。即便企业在“一个月内”作出回复，也未必当然构成合规。德国Duisburg劳动法院 的一项判决：19 天作出了否定性答复被认为不 “Without undue delay”。ArbG Duisburg，判决日期：2023 年 11 月 3 日（Az. 5 Ca 877/23）在该案中，企业在收到访问权请求后19天作出了否定性答复（即确认未存储相关个人数据）。尽管未超过GDPR第12条所规定的一个月期限，法院仍认定该回复不够及时，并判令企业向原告支付750欧元的非物质损害赔偿。法院在判决中明确指出：GDPR 第15条 要求的是“without undue delay”的答复；一个月仅为最长期限，不得被企业例行性、惯常性地用尽；在仅涉及简单检索并作出否定性答复的情形下，不存在任何理由可以合理化超过一周的处理时间；企业负有义务通过其组织结构和内部流程设计，确保行权请求能够被及时处理，不得以内部协调复杂或流程繁琐作为抗辩理由。此外，法院还将数据主体在等待期间无法确认自身数据状况，认定为一种暂时性的控制丧失，从而构成可赔偿的非物质损害。所以，长期、频繁地“踩线用满一个月”，在监管调查或司法审查中，有可能被视为流程设计不当或资源配置不足的体现，从而引发不必要的合规风险。延期的例外情仅在同时满足以下条件时，期限方可额外延长最多两个月：因请求的复杂性或请求数量确有必要；并且企业在原始一个月期限内，已明确告知数据主体以下内容：期限将被延长以及延期的具体理由。注意，延期并非自动适用，而必须基于个案评估，并且在事后能够合理说明其必要性。💬 实务笔记：虽然但是，延长期限这个规则真的很有用！作为外部DPO，数据主体行权请求在接近一个月法定期限的最后几天才转到我这儿。这种情况下，我会立即向数据主体发送延期通知。虽然案件本身并不真正具备延期的合理性或必要性，但毕竟也在一个月内作出回应了，只要不是恶意行权，一般数据主体不会拿这点挑事。请求被拒绝时的期限要求如企业决定不对数据主体的请求采取行动，也应依据 GDPR第12条第4款：不得迟延，且最迟在收到请求后一个月内，向数据主体说明拒绝理由，并同时告知其有权向监管机构投诉或寻求司法救济。5回复的内容要求以请求类型为导向回复的具体内容，应当以数据主体所行使的权利类型为出发点（如访问权、更正权、删除权、反对权等）。但无论涉及何种具体权利，回复均必须符合 Art. 12 GDPR 对沟通方式所提出的基本要求。后续我将针对不同类型的行权请求，分别提供可直接使用的英文回复模板，供实务中参考。透明与易懂原则在回应数据主体请求时，应确保：信息准确、透明表述清晰、易于理解形式便于获取语言简洁、通俗回复不应以高度抽象、法律化或技术化的表述，削弱数据主体对自身权利的理解。不得收费GDPR 要求数据控制者应当以简单、便捷的方式实现数据主体权利。原则上不得就行权请求的处理收取任何费用。6回复形式一般原则法律并未强制规定必须采用某一种固定回复形式。回复可以通过：书面方式或其他形式包括电子形式电子请求的特殊要求如数据主体通过电子方式提交请求，且未明确要求其他形式，则：“访问权答复必须以常见的电子格式提供（GDPR第15条第3款第3句）”文档化与留存要求基于问责制的要求，回复原则上应始终以书面形式进行，并且：对数据主体请求及其处理过程进行记录；对最终回复内容进行存档。相关记录应保存一定期限，以便在必要时能够证明企业已对行权请求进行了合法、及时且适当的处理。在保存期限方面，可参考一般民事诉讼时效，例如在德国实践中，自流程结束之日起保存 3 年，通常是较为稳妥的做法。7数据主体权利响应流程1数据主体请求的接收👉 接收渠道（任一即触发流程）：通用邮箱（如 privacy@ / info@）业务邮箱邮寄信件客服/投诉渠道电话（仅作为接收，不作为答复渠道）👉 处理流程：凡涉及个人数据或数据主体权利的请求，在收到后必须立即转交至负责处理数据保护请求的部门或职能岗位，例如：数据保护官（DPO）/数据保护协调员法务或合规部门投诉管理部门具体责任分工应由企业事先在内部明确指定。💬 提示：如请求通过电话提出，不得通过电话方式直接提供答复，因为电话沟通无法采取充分的身份核验措施。2请求集中处理与请求权利定性a) 请求的法律定性（数据主体权利分类）对请求进行数据保护法意义上的判断，识别其所涉及的数据主体权利类型（具体权利类型参见前文第 2 点）。如请求内容不明确或存在歧义，应主动联系数据主体对其请求进行澄清。实践中较为常见的情形包括：表面上是客服投诉，实质上构成访问权请求；表面上是访问权请求，实质上是反对权（如要求退出 Newsletter）；单一请求中同时包含多项权利行使（例如访问权 + 删除权）。b) 请求的记录与文档化对请求进行内部登记与记录，确保流程可追溯，这也是“问责制”的要求。理想情况下，应将请求记录在合适的文档系统中（例如票务系统，该系统能够确定处理状态/跟踪进度，并评估或检查流程）。c) 接收确认向数据主体发送标准化的接收确认函，说明请求已收到、将根据请求类型进行处理。接收确认模板Mr./Ms.First name / Last nameAddressAcknowledgement of receiptDATEDear Mr. / Ms. …,Thank you for your request dated DATE, received by us on DATE, concerning the exercising of the rights to which you are entitled under the General Data Protection Regulation (GDPR).  We have received your request and will process it as soon as possible.If you have any questions regarding this process, please feel free to contact us at any time.Kind regards3请求答复——初始处理阶段👉 参与部门：数据保护请求处理部门实际负责相关数据处理的业务部门（常见是CRM, HR）如涉及特定系统或技术环境，可包括IT 部门或外部服务商a) 为答复请求进行信息收集通常需要实际负责相关数据处理的业务部门协，首要澄清以下问题：是否处理了该数据主体的个人数据？出于哪些目的处理个人数据？企业在该处理活动中的数据保护角色是控制者（Controller）还是处理者（Processor）提示：如企业仅作为受托处理者（Processor）处理数据，应立即将请求转交给相应的数据控制者（委托方）。b) 请求的拒绝（如适用）如拟不满足数据主体的请求，应进入 Step 4 继续处理。c) 处理期限评估 （参见上文第4点）评估是否能够在 一个月内完成答复。如无法在期限内完成，也应在1个月的期限内向数据主体说明原因。延期申请模板Mr./Ms.First name / Last nameAddressYour request dated DATEDATEDear Mr./Ms. …,Thank you for your request dated DATE, received by us on DATE, concerning the exercising of the rights to which you are entitled under the General Data Protection Regulation (GDPR).The GDPR generally provides for a maximum period of one month for replying to requests from data subjects (Article 12 (3) GDPR). This period may be extended by a further two months in accordance with Article 12 (3) GDPR where necessary, taking into account the complexity and number of the requests.Unfortunately, it is not possible for us to respond to your request within the one-month period provided for. The reason for this is the complexity of your request as well as the large number of requests to be currently processed. [Further explanation of the reason for the extension of the period].We must therefore extend the deadline for processing your request by a further two months.We apologize for the delay resulting from this. If you have any questions regarding this process, please feel free to contact us at any time.Kind regards,4请求答复 & 启动具体措施👉 责任部门：实际负责相关数据处理的业务部门数据保护请求处理部门a) 请求评估决定是否同意或拒绝数据主体的请求。b) 确定并实施具体措施根据请求类型确定需采取的具体措施，例如：汇总并整理访问权所需信息；删除个人数据；实施营销反对标记（例如将邮箱地址移除 Newsletter 分发清单）d) 其他个人的权利与自由如请求涉及第三方个人数据或商业 / 经营秘密（例如在提供数据副本时），应对相关内容进行适当遮盖，而非整体拒绝。e) 身份核验（可以更早，最迟必须在答复前完成）由于查询内容涉及个人数据，必须确保申请人确为享有相关权利的当事人。将个人数据提供给没有权限的人可能构成数据泄露，除非有授权。（夫妻也不行！除非有明确授权！我就遇到过老登来前妻工作的公司要数据的。）在正式答复前，应根据请求方式采取适当、比例合理的身份核验措施，例如：邮寄方式提出的请求将本次请求使用的邮寄地址与既往通信中已知的地址进行比对。电子邮件方式提出的请求将请求中使用的邮箱地址与 CRM 系统中记录的邮箱地址进行比对。如一致，可向该邮箱发送答复。电话方式提出的请求如果通过电话提出询问，则不得通过电话提供信息，因为无法采取充分的措施来确认身份。应记录询问者的姓名和地址，并在核对数据并与存档数据一致后，通过邮寄方式将信息发送至存档地址。💬实务问题：什么时候可以要求数据主体提供身份证复印件？如请求使用的地址或邮箱与系统记录不一致，应通过其他方式确认身份，例如：现场出示身份证件提供身份证件复印件应明确告知数据主体，其可对身份证件中的信息进行遮盖，仅保留姓名、地址、有效期及必要时的出生日期。同时，应提供安全的传输方式（如端到端加密）。话不多说，上官方例子👇：⚠️ 实务风险：不得将提供身份证复印件作为默认或首选的身份核验方式！当数据控制者对申请人身份存在合理怀疑，且仅凭现有信息无法确认其为相关数据主体时，原则上可以要求提供额外的身份验证材料。但在实践中，企业往往处于数据最小化义务与数据安全义务之间的合规张力之中。一方面，依据数据最小化原则及 Art. 12 GDPR，企业只能要求为身份识别确有必要的数据，并应当便利数据主体行使其权利，不得设置过重或单一的核验门槛；另一方面，企业又负有确保个人数据不被未经授权披露的安全义务。正因如此，要求提供身份证复印件并不当然是“最安全”的做法，也不应作为身份核验的首选方式。监管实践中，部分德国数据保护监管机构（如巴伐利亚州监管机构）亦明确指出，仅在特定个案（例如防止明显滥用访问权请求）下，才可能认为此类要求可以接受。即便确有必要要求提供身份证复印件，企业亦必须严格遵守数据保护原则：仅保留姓名、地址、出生日期（如必要）及证件有效期，其余信息应全部遮盖；身份证复印件仅限用于身份核验目的；完成核验后应立即删除或销毁；电子传输时须提供安全的传输渠道（如加密）。更多实践建议可参见德国监管机构专题报告：（https://www.datenschutz-bayern.de/datenschutzreform2018/aki22.html）。5请求答复 — 向数据主体发送结果👉 责任部门：相关业务部门 或 数据保护请求处理部门a) 落实请求内容执行为实现数据主体权利所需的具体措施。b) 正式答复根据请求内容，向经核验的联系方式发送答复同时告知数据主体其享有的权利c) 拒绝请求（如适用）明确说明拒绝理由告知数据主体其投诉及司法救济权利⚠️ 再次提示：如在访问权请求中未发现任何该数据主体的个人数据，也必须明确告知其这一结果。如答复内容包含敏感个人数据，应选择安全的传输方式（如端到端加密）。End