欧盟GDPR（又称《通用数据保护条例》）作为迄今为止最严格的数据保护条例，以个人数据为保护对象，因此也赋予了作为数据主体的自然人较多权利来保护自己的个人数据。数据主体的反对权就是其中重要一项。

所谓反对权，是指数据处理者在对个人数据进行某些特定处理时，该个人数据的主体基于对自己个人数据的保护，可以随时提出反对的权利。而当该个人数据主体就数据控制者或者处理者的此项行为提出反对时，数据处理者或者控制者应当立即停止正在进行的对于此个人数据的操作。但是欧盟GDPR同时也给予了数据控制者及处理者一定的缓冲余地，若数据控制者或者数据处理者能够证明其对该个人数据正在进行的处理行为，相比于该个人数据的数据主体的利益、权利和自由而言，更具有压倒性的正当理由需进行处理，或者该次处理行为是为了进行包括提起、辩护或者行使其他法律性的主张。

按照欧盟GDPR的规定，在常规情形下，数据控制者及处理者在对数据主体的个人数据进行处理时，必须就处理的方式、内容、时长等一系列相关问题与数据主体达成一致，数据主体需明确表示同意后该处理方可进行。数据主体在其个人数据接受处理的过程中，也可以随时撤销授权。

因此，欧盟GDPR规定的反对权并非针对常规情形下对于数据主体个人数据的使用。

反对权针对的特殊情形，往往在使用该个人数据之前无需经过数据主体的同意，因此数据主体为了保护器个人数据，在数据接受处理的过程中享有对应的反对权。因此，在数据主体的反对权问题上，需要明确欧盟GDPR赋予的该数据主体能够行使反对权的情形。该类特殊情形主要有两种。

一是该次对于个人数据的处理是数据控制者为了维护公共利益或者基于官方权威履行某项任务而进行的。

二是该次对于个人数据的处理行为对于数据控制者或者第三方所追求的正当利益而言是必不可少的。但是欧盟GDPR同时对于第二种特殊情形进行了额外的特别限制。该限制是指，若此时需要通过对于个人数据的保护来实现对于数据主体的优先性利益或者是基本权利与自由的保护，特别是对于儿童的优先性利益或者基本权利与自由的保护，则为了数据控制者或者第三方追求的正当利益而必不可少的数据处理行为则不被允许。除该两种特殊情形外，欧盟GDPR还规定，即使并非进行数据处理，但在此两种情形下所进行的用户画像， 该个人数据的主体同样可以在认为必要时行使其反对权。

除了前述两类最为基本的特殊情形外，欧盟GDPR还规定了其他个人数据的数据主体可以行使反对权的情形。若数据处理者或者控制者以直接营销为目的对该个人数据进行处理，则数据主体有权随时反对该营销行为，实现暂停该次数据处理行为的目的。若个人数据主体在数据处理开始之前已经明确表示反对将自己所提供的个人数据用于个人营销，则数据控制者及处理者无论如何都不得将该个人数据用于任何直接营销的处理或者用户画像之中。

为确保数据主体对其自身所享有权利的明确，根据欧盟GDPR规定，最晚在数据控制者与数据主体进行第一次正式沟通之时，其必须向数据主体说明反对权的含义，并明确告知数据主体能够行使反对权的情形。可见，为确保个人数据的安全性，欧盟GDPR除了运用专门的监管部门进行监督检查外，还通过赋予数据主体自身权利的方式，使其能够合法地通过自己的行为保护个人数据的安全，维护自己的合法权益。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。