今年1月份，EDPB發布了《關于數據主體權利--訪問權的01/2022號指南（草案）》并征求公眾意見，旨在對數據主體提交訪問請求、數據控制者回應訪問請求做出規范。該指南對訪問權的組成、數據主體請求的評估原則、訪問權的范圍、如何提供訪問以及訪問權的限制等方面進行了示例性釋義。

根據《通用數據保護條例》(GDPR)第15條，數據主體有權從控制者處獲得有關其個人數據是否被處理的確認信息，以及有權在該種情況下訪問個人數據和相關信息。數據主體的訪問權也是歐洲數據保護法的核心。

訪問權的目標是為數據主體提供透明且易于訪問的信息，便于個人可以驗證其數據處理活動的合法性、數據的準確性，并使其能夠行使其他權利。但是，DSAR（data subject access requests；數據主體訪問請求）經常給控制數據的組織以及負責接收、調查和響應這些請求的個人帶來一些問題，因為DSAR的所有流程都需要在GDPR規定的短暫的一個月時間內進行的。

目前《關于數據主體權利--訪問權的01/2022號指南（草案）》處于向公眾征求意見階段，針對指南中的相應規定，立法者需考慮其中是否在重大方面存在不足。本文摘譯了愛爾蘭最大律所Arthur Cox就指南中提及的9個要點所提出的思考與建議，為個人和企業如何處理數據訪問請求這一問題提出了相應建議。

數據主體訪問請求的響應效率

當訪問請求通過官方渠道到達數據控制者時，響應DSAR的時間就開始計算了（即為期一個月），即使此時數據控制者的雇員還沒有收到請求。

鑒于響應DSAR的法定時間緊迫，數據控制者需要確保有適當的程序來促進DSAR被有效識別并被其雇員及時掌握，從而可以盡快準備響應，因此，這也需要數據控制機構對其雇員進行相關培訓。

如果DSAR來自數據主體以外的任何人，則數據控制者應確保對方已經獲得有效授權。如果數據主體使用第三方門戶發出有效的DSAR，數據控制者沒有義務向第三方門戶提供DSAR響應，其可以選擇直接向數據主體提供。

響應訪問請求的期限

根據歐盟監管機構的規定，一般情況下，企業最遲應在收到請求后一個月內，無不當延遲地做出響應。如果數據控制者要求提供額外信息以驗證請求者的身份，或已要求請求者完成與請求相關的處理操作，時間可以暫停（前提是在數據控制者沒有無故拖延的情況下）。如果DSAR具有合理的復雜性和數量，一個月的期限可以再延長兩個月。但是，延長應該是例外，而不是規則，并且當數據控制者發現經常出現延長期限的情況時，應該審查其處理DSAR的程序。

數據主體需要明確請求訪問的數據范圍，從而確保收到的數據是正確的。此外，建議為數據控制者提供足夠的響應時間。

身份驗證

根據第12條第2款，數據控制者不能拒絕響應DSAR，除非能夠證明其無法識別數據主體。應盡可能利用現有的身份驗證方法，例如向數據主體注冊時預留的聯系號碼或電子郵件地址發送確認身份的電子郵件或短信。

通常不應要求提供官方身份證明文件，如護照和公民身份證（除非法律要求）。EDPB建議，在審查身份證明文件時，數據控制者應注意身份證明文件是否已檢查，而不是進行不必要的處理，例如存儲副本。

擬向請求者提供的 "信息"

第15條規定，數據主體有權獲得其個人數據的副本，并有權確認其個人數據是否被處理，關于處理的情況及其數據主體權利的相關信息。控制者應注意，EDPB建議控制者有更大的責任提供量身定制的信息；隱私政策只有在其包含的“一般信息”是針對數據主體的情況下才普遍適用。

搜索范圍

個人數據可能涵蓋的范圍很廣泛，包括存檔和備份數據。EDPB聲明，對于數據控制者為滿足數據主體的要求所做的努力，訪問權沒有任何保留，GDPR也承認：保護個人數據的權利不是一項絕對權利，必須考慮其在社會中的作用并應當根據比例性原則與其他基本權利保持平衡。

如果搜索涉及大量數據，數據控制者可以請求數據主體縮小搜索范圍，盡管數據主體沒有義務這樣做。此類請求不應理所當然地進行，并且數據控制者不能將其用作“隱藏”某些個人數據的方式。

數據控制者應檢查其掌握的能夠識別數據主體的數據，如果數據的結構使這些標識符有可能返回結果，則應對照標識符（包括直接和間接標識符）進行搜索。

個人數據

個人數據不僅包括數據主體提供給數據控制者的數據，還包括圍繞該個人數據所做的任何評估、總結或評論。指南中提及的數據包含被視為個人數據的指示性列表，其中包括由連接對象處理的數據、交易歷史、筆跡、特定的行走或說話方式、錄音以及從數據主體提供的數據中衍生或推斷的信息，例如健康評估結果、信用比率。

數據控制者應記住，僅搜索直接標識符不足以遵守GDPR第15條，還應使用適當的間接標識符。

提供訪問渠道

指南提醒控制者，制定最合適的數據主體訪問方法時，應該考慮到控制者所能意識到的任何漏洞或特殊的訪問要求。指南提到，在以電子方式提供數據的情況下，以數據主體可以下載的“常用電子形式”提供數據；對以電子方式提出的DSAR作出回應，并在提供“原始數據”的情況下，或在數據主體為兒童的情況下，對數據進行背景說明，使數據主體能夠充分理解個人數據。在數據主體難以完整理解信息的情況下，數據控制者可以考慮以分層格式提供個人數據以解釋數據。然而，數據控制者不能以提交新的訪問請求為條件來獲取更多的數據，也不能為數據主體的訪問施加不相稱的負擔。

適用于訪問權的相應限制

數據主體獲取其個人數據副本的權利不得對他人的權利和自由產生不利影響（第15條第4款）。因此，數據控制者雖然不能完全拒絕DSAR，但需要對數據中那些會對他人的權利和自由產生負面影響的部分進行刪除或進行去標識化處理，并且數據控制者需要及時告知數據主體關于訪問限制的原因。

EDPB指出，歐盟或成員國法律規定的任何權利或自由都可能觸發第15條第4款中的限制，例如在就業背景下對私人電子郵件通信的通信保密權。相反，EDPB表示，在商業秘密和知識產權（根據Recital 63被認為是有效的權利和自由）之外，公司不披露個人數據的經濟利益與第15條第4款的目的無關。

在考慮是否援引第15(4)條時，數據控制者應參與EDPB概述的分步評估。數據控制者應首先評估遵守DSAR是否會對權利或自由產生不利影響。其次，應根據事項的具體情況和各方面臨的風險的嚴重程度，權衡有關各方的權利和自由，并嘗試協調競爭權利，包括通過緩解措施。只有在不可能調和的情況下，數據控制者才應確定哪項相互競爭的權利和自由優先。

無理要求或過度要求

對于“明顯沒有根據”或“過度”的請求，數據控制者可以收取合理的費用或拒絕采取行動（第12條第5款）。雖然沒有定義上述請求，但其最常出現在同一數據主體的后續DSAR中。指南警告，在可以遠程或通過電子方式訪問個人數據的情況下，后續的DSAR不太可能被視為過度。EDPB認為重復DSAR的數據主體“僅意圖對數據控制者造成損害或傷害”是“過度的”并構成對第15條程序的濫用。（愛爾蘭數據保護委員會的立場是，必須根據具體情況對每個DSAR進行評估，而不要猜測數據主體在提出請求時的意圖。）

如果數據主體在提交DSAR的同時提出撤回DSAR以換取某些利益，或者是出于惡意提出要求，并被用來騷擾控制者或處理者或其雇員，除了造成干擾外沒有其他目的，那么DSAR也可能是過度的。嚴格的法律條文意味著數據控制者可以詢問DSAR背后的動機，以確定它是否“過度”以及是否適用歐盟或國家法律限制。

如果數據控制者認為請求明顯沒有根據或請求過度，則應詢問并記錄請求的原因，雖然數據控制者無權就數據主體提出DSAR的原因發表意見，但可以通過詢問DSAR意圖來確定該請求是否屬于“明顯沒有根據”或“過度”的情形，或者國家法律豁免是否適用于相關數據。