---
name: rights-exercise-system
description: >
  个人信息主体权利响应系统——指导企业建立个人信息主体
  权利响应机制，包括查阅、复制、更正、删除、转移、
  撤回同意等权利的响应流程。适用情形：用户说"用户要查他
  的数据怎么办"、"个人信息删除请求处理"、"数据可携权"、
  "权利响应时效"、"撤回同意流程"。
argument-hint: "[请求类型 + 请求人身份 + 信息范围 + 响应时限]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
escalation_triggers:
  - 同一用户多次重复请求或存在滥用迹象
  - 请求涉及重大隐私争议或敏感信息
  - 拒绝请求可能引发诉讼或监管关注
  - 请求涉及第三方权利冲突
trigger_phrases:
  - '数据合规'
  - '个人信息'
  - 'PIPL'
  - '跨境'
---

# /rights-exercise-system — China Mainland

## 法律背景与法规框架

PIPL第四章（第44-50条）确立了个人信息主体在个人信息处理活动中享有的七项核心权利：知情权（第44条）、决定权（第44条）、查阅/复制权（第45条）、更正/补充权（第46条）、删除权（第47条）、可携带权（第45条第三款）、撤回同意权（第15条）。第50条要求个人信息处理者建立方便的个人行使权利申请受理和处理机制，拒绝请求的须说明理由。

根据PIPL第50条，个人信息处理者拒绝主体权利请求的，个人可以依法向人民法院提起诉讼。实践中，CAC和市场监管总局已将"未提供便捷的权利行使渠道"列为执法重点。企业须建立覆盖所有权利类型、全渠道（APP/网站/邮件/电话）受理、有明确时限和流程的权利响应系统。

## 工作流程

### 第一步：请求受理与身份核验

**受理渠道建设：**
```
建议开通渠道（至少开通两种以上）：
□ APP隐私中心内嵌功能（账号信息/隐私设置）
□ 网站用户中心功能
□ 专用邮箱（e.g. privacy@company.com）
□ 客服电话/在线客服
□ 邮寄地址
```

**身份核验（PIPL第49条）：**
- 处理请求前须核实请求人身份
- 核验方式应与请求的风险等级相适应
- 一般请求：账号登录+短信验证码
- 敏感请求：实名认证+人脸识别或视频核验
- 代理请求：查验授权委托书
- 不得以核验身份为由过度收集额外个人信息

**身份核验记录：**
- 记录核验方式
- 记录核验结果
- 记录核验时间

### 第二步：请求分类与时效管理

```
请求分类与响应时限
├─ 查阅/复制请求：15个工作日内响应
├─ 更正/补充请求：15个工作日内响应
├─ 删除请求：15个工作日内响应
├─ 可携带请求：15个工作日内响应（复杂可延长至30个工作日）
├─ 撤回同意：立即生效（同等便捷）
├─ 解释说明：及时响应（通常10个工作日内）
└─ 投诉处理：专人跟进，15个工作日内反馈进展
```

**各权利行使条件：**

| 权利类型 | 行使条件（PIPL依据） | 拒绝理由 |
|---------|-------------------|---------|
| 查阅/复制 | 无特殊条件（第45条） | 涉密/侵犯他人权益/违反法律规定（第49条） |
| 更正/补充 | 个人信息不准确或不完整（第46条） | 信息确定为准确的 |
| 删除 | 法定条件之一（第47条）：处理目的已实现/无法实现/不再必要、撤回同意、违反约定或规定、主体注销账户 | 法律要求的保留期限未到 |
| 可携带 | 符合国家网信办规定的条件（第45条第三款） | 影响他人权益/技术不可行 |
| 撤回同意 | 无限制（第15条） | 不能拒绝，但须告知影响 |

### 第三步：请求处理流程

**标准处理流程：**

```
请求受理
  ↓
身份核验（24小时内完成）
  ↓
请求分类（查阅/更正/删除/可携/撤回同意）
  ↓
信息定位（检索数据库定位请求人数据）
  ↓
权限审查（检查是否存在拒绝理由）
  ├─ 有拒绝理由 → 准备拒绝说明（须详细说明法律依据）
  └─ 无拒绝理由 → 准备响应内容
      ↓
格式准备（按请求方式提供）
  ├─ 查阅 → CSV/PDF/结构化格式
  ├─ 更正 → 确认更正后提供反馈
  ├─ 删除 → 确认删除+关联系统同步删除
  ├─ 可携 → 结构化通用格式（JSON/CSV）
  └─ 撤回同意 → 确认生效
      ↓
响应传输（安全方式，加密传输）
  ↓
完成记录（归档保存）
```

### 第四步：特殊情形处理

**拒绝请求：**
- 拒绝理由须符合PIPL第49条规定
- 拒绝通知须包含：拒绝依据、法律理由、申诉渠道
- 拒绝不得为笼统拒绝，须具体说明

**复杂请求：**
- 同一用户大量请求（可能滥用）→ 可在不违反法律的前提下商讨合理范围
- 涉及第三方数据（如用户的通讯录、聊天记录）→ 须权衡第三方权益
- 涉及删除义务与法律保留义务的冲突（如财务数据须保留10年）→ 部分删除

**未成年人请求：**
- 未满14周岁，由监护人代为行使权利
- 核实监护关系（户口本/出生证明）

### 第五步：系统建设与持续运营

**系统建设要求：**
- 建立统一的权利请求登记台账（全渠道集中管理）
- 自动化处理流程（身份核验-分类-分发-追踪-归档）
- 超时预警（在15个工作日前发出预警）
- 统计分析（请求类型分布/响应时效/拒绝率）

**记录保存：**
- 保留每次权利请求的完整处理记录（至少3年）
- 记录内容：请求人信息（去标识化）、请求类型、受理时间、响应时间、处理结果、拒绝理由

## 输出模板

```
═══════════════════════════════════════
个人信息主体权利请求处理记录
═══════════════════════════════════════
请求编号：[编号]
请求人：[账号/ID]
请求类型：[查阅/复制/更正/删除/可携/撤回同意/解释]
受理时间：[日期]
响应时限：[日期]
═══════════════════════════════════════

## 处理结果

[已响应 / 已拒绝 / 处理中]

### 响应内容（如已响应）
[具体响应内容或拒绝理由]

### 拒绝理由（如已拒绝）
[法律依据]
[具体说明]

## 升级建议

[涉及请求复杂性/拒绝对外风险/潜在诉讼等须移交律师]
```

## 升级决策门

以下情况须移交专业律师处理：

- 拒绝主体权利请求（须确保拒绝理由合法且充分）
- 同一用户大规模、重复请求（涉嫌滥用权利的评估）
- 请求涉及第三方数据权利冲突（如删除请求影响其他用户数据）
- 请求人威胁将提起行政诉讼或民事诉讼
- 请求内容涉及敏感投诉（如数据处理方式违法合规争议）
- 请求内容涉及多法域的个人权利（如GDPR和PIPL的权利冲突）
- 被要求提供数据可携带格式而技术不可行

---
*Greater China Legal — data-compliance rights-exercise-system v1.0.0*
*[model] — 基于PIPL第44-50条、GB/T 35273第8章框架*
