delete key on keyboard

数据保留政策建立指南

如何确定个人信息保存期限?

对于任何一个组织来说,作为个人信息控制者确定个人信息保存期限并非易事,履行个人信息删除义务也面临很多挑战。本文简要分析确定个人信息保存期限的关键点,以及如何建立数据保留政策。

一、 如何确定个人信息保存期限

《个人信息保护法》(个保法)第19条规定:除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

那么有哪些法律法规呢?很多行业领域都有对数据保存期限的最短要求,以下举例:

  • 《电子商务法》

第31条 电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。

第53条第3款 电子支付服务提供者应当向用户免费提供对账服务以及最近三年的交易记录。

  • 《网络预约出租汽车经营服务管理暂行办法》

第27条第1款 网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。

  • 《医疗机构管理条例实施细则》

第55条 医疗机构的门诊病历的保存期不得少于十五年;住院病历的保存期不得少于三十年。

  • 《证券法》

第147条 证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项资料,任何人不得隐匿、伪造、篡改或者毁损。上述资料的保存期限不得少于二十年。

  • 《反洗钱法》

第19条 客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。

  • 《劳动合同法》

第50条 【劳动合同解除或者终止后双方的义务】用人单位应当在解除或者终止劳动合同时出具解除或者终止劳动合同的证明,并在十五日内为劳动者办理档案和社会保险关系转移手续。

劳动者应当按照双方约定,办理工作交接。用人单位依照本法有关规定应当向劳动者支付经济补偿的,在办结工作交接时支付。

用人单位对已经解除或者终止的劳动合同的文本,至少保存二年备查。

纵观上述法律法规对于相关数据(包含个人信息的数据)保存时间的规定,一般均为最短时长(例如最少6个月,至少保存3年或者5年以上),只有下限,没有上限。也就是说,在个保法颁布之前,任何组织都可以无限期存储个人信息。

强制要求在一定时限内不得删除相关数据,一般而言是为了确保电子存档的可用性,即有据可查。无论是为了金融系统稳定、反洗钱,还是保障消费者或者劳动者利益,数据控制者不能随意在时限内删除数据。

个保法对于个人信息保存期限的规定,来源于最小化原则。无论是个人信息收集的范围,还是存储的时间,都应该限定在最小必要范围内。过多的个人信息收集和不必要的长时间存储,都是造成个人信息安全和隐私侵扰的重要原因。此时的新要求便是,不能任意无限期保留个人信息。

任何一个组织都必须精准理解自身应遵循的最短数据保存时限法律要求,同时也要理清实现个人信息处理目的而保留个人信息的最长时间。如果后者长于前者,则应在满足处理目的或者其他合法正当理由消除后进行删除或者匿名化处理;如后者短于前者,则应该在满足最短个人信息保留时限后删除或者匿名化处理。另外,就某些类别个人信息没有最短保存期限要求的情况,个人信息的保存期限应当为实现组织个人信息处理目的所必要的最短时间。

个人信息处理目的所必要,可能是合同需要、人力资源管理需求,也可能是应诉需求。组织必须充分考量不同业务场景下对于个人信息保留时长的需求,并对数据进行分类,定时处理。例如,对于基于同意处理个人信息的情形,是否可以在个人信息主体撤销同意后删除个人信息,应当仔细考量。对于基于履行合同所必需而进行的信息处理,后合同义务以及诉讼时效都应该是个人信息保存时限的考量因素。

《个人信息保护法》第47条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: 

(一)处理目的已实现、无法实现或者为实现处理目的不再必要; 

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; 

(三)个人撤回同意; 

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; 

(五)法律、行政法规规定的其他情形。 

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

二、数据保留政策建立

确定个人信息保留期限只是一个开始,如何建立数据保留政策,并实际落入到组织流程和系统中,实时动态的删除到期的个人信息,形成有效流程机制才是难点,尤其是复杂的数据应用场景。

数据保留政策是组织整体数据治理战略的一部分。任何控制一定规模数据的组织都需要确定数据保留策略。保留数据的时间过长会占用不必要的存储空间,产生不必要的成本。同时,发生数据泄露的概率也可能随着数据量的增加而增大。这里并不是说最好采取删除,而是理清哪些应该删除,哪些应该保留。误删除操作同样致命。

首当其冲,就是确定个人信息保留政策,或者数据保留政策,个人信息作为其中的一大类。如何建立数据保留政策呢?当创建数据保留政策时,每个组织的需求都是不同的。本文结合上文给出以下步骤供参考: 

1. 首先决定由谁来负责创建政策。由于涉及各个领域的专业知识,这项任务通常不能由组织中的一个人负责,而应该是跨部门合作。通常情况下,数据保留政策的起草是由IT部门、法务部门和其他关键部门共同推动完成。

2. 确定所要遵从的法律法规要求。组织必须确定需要遵守的法律和行政法规,甚至是有软法效力的相关规定,以便将关于数据保存的要求作为基础纳入数据保留政策。不同行业对于数据保存期限有不同的要求。例如金融、医疗、教育、物流客运、消费者和劳动者保护、网络游戏等领域。通俗来讲,就是搞清楚法律法规要求的保留范围,具体是什么数据类型,不同数据类型对应的保留期限不同,相应的删除程序逻辑也就不同。值得注意的是,目前的某些法律法规对于数据保存的范围和类别还是比较模糊的,有待立法者确定。

3. 确定业务要求。创建一个有效的数据保留政策不仅仅涉及遵守适用的法律法规,还必须考虑到组织的实际、正当合理需求。这些需求可能是履行后合同义务、应诉需求,或者人力资源管理需要。尤其是要求保留个人信息的时间比法律法规规定最短保存的时间要长的情况,在政策中应逐一写明决定保存年限的具体理由。

4. 在制定数据保留政策时要考虑到数据类型。组织应该避免创建一个适用于所有类型数据的无效数据保留政策。例如,医院对雇员电子邮件的保留期与对病人问诊记录的保留期是不同的。相反,数据保留政策应具体定义必须保留的数据类型,并为每种类型制定相应的删除策略,这意味着确定各种类型的数据,并确定出每种数据类型应该保留多长时间。

可以说,数据分类分级是数据治理的基础,也是数据保留/删除机制运行的前提。

5. 采用良好的数据归档系统。通常情况下,数据只在一段时间内是有效的,然后转移到其他数据库存档,最终作为组织的数据生命周期管理过程的一部分从数据库中彻底清除。例如,如果法规要求某些类型的数据保留的时间超过企业需要的时间,那么可以考虑采用数据归档系统。 

6. 制定涉诉数据冻结计划。如果组织涉及诉讼,那么很可能需要对自动删除机制进行干预。这样在被司法机关传唤需要提供相关数据作为证据的时候,相关数据就不会在保留期结束后被系统自动删除。

7. 确定如何在系统软件层面上实施和执行数据保留要求。这可能需要新的系统改造,由IT部门根据需求开发相关的线上流程和数据存档或者删除程序。

8. 明确由哪个部门负责确保数据保留是按照政策进行的,例如人力资源部门或法务合规部门合作,建立一个落实政策的流程。

9. 确定如何执行内部审计以确保组织相关人员对于数据保留政策的遵守。

10.  决定审查和修订数据保留政策的频率。 

11. 创建两个版本数据保留政策。首先,建议组织起草一个比较正式的版本,体现数据保留策略以满足法律法规要求,为外部问询做准备。另外,应该考虑起草一个更详细、更容易让内部人员理解的版本,以帮助内部人员更好地实施数据保留策略。

12. 一旦政策起草完毕,将政策提交给高层领导以获得批准,并背书发布。

13. 政策培训与宣贯。政策出台后需要对内部人员进行培训和宣导,帮助落地推行。另外建议将数据保留政策纳入新员工入职培训和定期展开的信息安全培训中。

 以上供业界参考和补充。

#个人信息 #保存期限 #数据保留政策

数据合规与治理 数据合规与治理 2022-03-14 18:30