随着欧盟GDPR（又称《通用数据保护条例》）的施行，法律层面上对数据的保护有了更进一步的加强。欧盟GDPR重视对数据特别是个人数据的保护，其中重要一环即为明确数据主体所应享有的权利。笔者将以欧盟GDPR的文本规定为对象，对其第三章中规定的数据主体权利中所必须的透明性及权利模式进行解读。

一、欧盟GDPR：数据主体权利中的透明性

流通及使用中的数据对数据主体自己利益的影响往往不容忽视。因此对于数据主体而言，其维护数据处理的最有效方式即为充分行使其在数据保护中所应享有的权利。而保障权利有效行使的第一步，即为向权利主体明晰数据处理的全过程。因此，欧盟GDPR在第三章中首先强调的即为务必确保交流与模式的透明性，以使数据主体能够最大限度了解数据处理的全过程，更好地行使权利。当然，数据主体与数据的处理者、控制者相比较而言，大多并非职业人士，对过于专业化的词语及操作并不能准确了解。因此，根据欧盟GDPR规定，控制者对于应当向数据主体提供的信息及按照该条例规定所应进行的交流，必须以通俗易懂的交流方式进行，用直白的语言确保数据主体明确控制者所要传递的信息。同时，欧盟GDPR中格外强调了针对儿童的所有信息，必须格外留意表述的简洁及通俗性。

二、欧盟GDPR：数据主体权利的行使模式

此外，欧盟GDPR还规定，数据主体在依照该条例规定提出相关请求后，控制者必须在合理的时间以合适的方式提供信息，而不得无故拖延，条例设定的时间期限为一个月，若信息过于复杂，则可以另行延长两月。此外，数据主体向控制者提出合理申请，其使用方式可以为电子邮件、口头或者书面进行，控制者都应予以接受。按照欧盟GDPR的规定，控制者依照数据主体的申请向其提供的数据虽然可以采取多种方式进行，但当其提供的图标是电子化的方式表述时，其必须是机器可读的类型。对于图标对应的可机读电子化表述方式，根据该条例规定，欧盟理事会有权根据欧盟GDPR制定授权行动。因此，控制者在向数据主体提供信息时，可能往往需要同步参考多份标准进行。

此外，欧盟GDPR规定，数据主体与数据控制者之间的一切交流均应为免费行为，也即数据控制者不得在数据主体向其提出申请时作出任何收费的表示。再者，对于数据控制者未在合理的时间内向数据主体提供其所申请的信息，按照条例规定，数据主体既可以向监管机构提出申诉，也可以寻求司法救济。

三、欧盟GDPR：数据主体权利透明性及模式下的合理限制

但是，数据主体的权利也需要有必须的限度。按照欧盟GDPR规定，数据主体请求“明显不具备正当理由或超过必要限度，特别是当请求是重复性的时候”，数据控制者也可以采取相应的措施。其既可以要求提出该申请的数据主体缴纳一定的费用，也可以拒绝数据主体的此项申请，同时在合理的情形下还可以对提出该申请的自然人身份提出合理怀疑，要求该申请者证明自己数据主体的身份。但控制者在拒绝数据主体的信息申请时必须注意，其在拒绝后必须承担证明数据主体的请求明显时毫无根据或者过分的责任，否则其不得就数据主体提出的信息申请予以拒绝。可见，在欧盟GDPR中对数据主体在透明性及权利行使模式下的合理限制中，其对控制者享有的拒绝数据主体行使权利的情形限制的极为严格，仍是以对数据主体的个人信息保护角度出发。

在欧盟GDPR中，信息处理的透明性是数据主体合理充分行使权利的首要前提，而数据主体行使权利的模式也为其提供了合法的自身利益维护模式，需要数据主体及控制者充分重视。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。