在欧盟GDPR（又称《通用数据保护条例》）中，对于数据主体的权利规定在其中占有重要比重。但同时，权利的行使并非没有界限，欧盟GDPR赋予数据主体权利的根本目的也同样在于保护数据安全。因此，除了相关权利的赋予外，欧盟GDPR也对数据主体的权利进行了一定的限制。在对该条例的解读中，除了需要明晰对于数据主体的授权性规定，权利的边界同样应予以明确。

1、欧盟GDPR：数据主体的权利限制之合法的限制情形

根据欧盟GDPR规定，该条例并非欧盟各国进行数据保护的唯一依据，欧盟各成员国可进行自己国家的内部立法，对欧盟GPDR的相关规定进行限制。具体在数据主体权利部分，即为欧盟GDPR中赋予数据主体的相关权利，可以由各成员国以立法的形式进行限制。在各成员国的限制符合欧盟GDPR允许的情形时，即为欧盟GDPR所认可的对数据主体权利的有效限制。根据该条例，各成员国可进行限制的情形如下。首先是国防与国家安全，在各成员国基于维护自身国家主权及安全的需要，对数据主体行使包括擦除权、更正权在内的权利进行限制时，基于国家整体利益考量出发，此种限制被认为是合理的。第二是公共安全，根据欧盟GDPR规定，为维护公共健康及公共利益，可以对数据主体的相关权利进行限制。因此，在权利限制部分，各成员国基于各国公共利益的要求，对数据主体的相关权利进行限制同样无可厚非。其中，维护公共利益及公共安全的情形还包括在进行刑事调查、涉嫌刑事犯罪的问题上，以保障公共安全或者预防公共安全威胁为目的，也可对数据主体的权利进行适当限制。在各成员国的公共利益中，欧盟GDPR特别强调了各成员国的财政、预算、税收以及公共健康等事项。

第三是司法层面，在进行刑事犯罪相关程序中，包括预防、侦查、调查、起诉等各个环节，以及执行刑罚的过程中，欧盟GDPR赋予数据主体的相关权利也可得到限制。同时基于对司法独立及司法诉讼的保护，涉及司法问题的个人数据，数据主体不得以行使权利为由随时撤销对该数据接受处理的同意或者要求控制者放弃控制或者处理、使用等。因此，在司法相关情形下，实施民事法律主张在特定情形下同样可以成为数据主体权利接受限制的理由。第四是为了针对规制性职业而进行的包括预防、起诉、调查、保护在内的行为。最后是从保护数据主体本人或者他人的权利和自由出发，数据主体的主张同样可能被驳回。

2、欧盟GDPR：数据主体的权利限制之合法限制的特殊情形

前述的五种情形是欧盟GDPR针对数据主体权利进行限制的一般情形，但同时该条例还对限制部分规定了特别条款。根据欧盟GPDR的规定，在前述情形下的各成员国立法过程中，若涉及以下情形，必须有特别条款予以说明。具体包括：个人数据本身的类型及其处理的类型或者目的，该限制的范围，防止该个人数据被滥用、非法访问及转移的规制措施，控制者的相关基本情况，数据主体的权利和自由行使中所可能面临的风险，数据主体获悉遭受限制的权利等。

换言之，数据主体无论是自身权利的行使抑或是权利行使遭受限制，都必须由各成员国通过法律进行明确的规定，且其规定通常意义上不得与欧盟GDPR的规定相互冲突。因此，在数据主体的权利限制部分，除应明确限制内容外，还必须考虑到欧盟GDPR中规定的对数据主体权利进行限制的反向限制规定。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。