近期,國家互聯網信息辦公室向社會公開征求意見的《數據安全管理辦法(征求意見稿)》中,第二十條規定,“網絡運營者保存個人信息不應超出收集使用規則中的保存期限。”同時,2018年5月1日實施的國家標準《信息安全技術 個人信息安全規范》(GB/T 35273-2017),也對個人信息保存期限提出要求:“個人信息保存期限應為實現目的所必需的最短時間”。
但在實際工作中,如何判定個人信息保存的最小期限的確是一個難題。對此,中國金融認證中心(CFCA)信息安全團隊基于工作實踐給出如下建議:
從國家標準的角度出發,個人信息保存期限應為實現目的所必需的最短時間,即個人信息的保存期限不能超過實現目的所需的最短時間。
實現目的所必需的最短時間可以從兩方面進行考慮:
?如果法律法規或行業監管對信息保存期限有要求,要遵守該保存期限的要求;
?政策監管無具體要求的,可以是業務應用所需的最低時限。
個人信息保存期限判定的一般流程如下圖所示:
個人信息保存期限判定流程圖
個人信息保存期限,原則上不超過各種法律法規、行業監管、其他規章中的保存時間要求以及業務所必需的時間,以此來確定最小化保存期限。
>>>>法律、行政法規
1.《中華人民共和國網絡安全法》
2017年6月1日起施行的《中華人民共和國網絡安全法》第二十一條規定,“采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月。”依據此條款,包含個人信息的相關網絡日志至少需要保存六個月。
2.《中華人民共和國電子商務法》
2019年1月1日起施行的《中華人民共和國電子商務法》第三十一條規定,“商品和服務信息、交易信息保存時間自交易完成之日起不少于三年。”依據此條款,對于電子商務平臺經營者來說,包含個人信息的交易信息保存期限應該不少于三年。
3.《征信業管理條例》
2013年3月15日起施行的《征信業管理條例》第十六條規定,“征信機構對個人不良信息的保存期限,自不良行為或者事件終止之日起為5年;超過5年的,應當予以刪除。”依據此條款,對于個人不良信息保存期限超過5年的應予以刪除。
>>>>行業監管
不同行業對于個人信息的保存期限有不同的要求,各行業要根據自身行業性質梳理本行業的監管要求。
1.金融行業:《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》
該管理辦法由中國人民銀行、原中國銀行業監督管理委員會、中國證券監督管理委員會和原中國保險監督管理委員會制定,要求客戶身份信息,自業務關系結束當年或者一次性交易記賬當年計起至少保存5年。其中也規定了“如客戶身份資料和交易記錄涉及正在被反洗錢調查的可疑交易活動,且反洗錢調查工作在前款規定的最低保存期屆滿時仍未結束的,金融機構應將其保存至反洗錢調查工作結束”。
2.醫療行業:《醫療機構管理條例實施細則》
2017年4月1日起施行的《國家衛生計生委關于修改〈醫療機構管理條例實施細則〉的決定》第五十三條要求,“醫療機構的門診病歷的保存期不得少于十五年;住院病歷的保存期不得少于三十年。”作為醫療機構的個人信息保管者,要參考此條確定最小化保存期限。
3.房地產行業:《房地產經紀管理辦法》
2011年4月1日起施行的《房地產經紀管理辦法》第二十六條規定,“房地產經紀機構應當保存房地產經紀服務合同,保存期不少于5年。”房地產行業要參照此辦法確定最小化保存期限。
>>>>其他規章
其他規章一般是指有規章制定權的行政機關依照法定程序決定并以法定方式對外公布的具有普遍約束力的規范性文件,個人信息保存期限的最小化要符合相關規章的要求。
>>>>業務必需
個人信息處理活動需在個人信息主體明示同意的前提下進行,需在合法、正當、必要、明確的情況下進行。個人信息主體未明確要求對個人信息進行刪除,且法律法規無保存期限要求的情況下,按照業務實現目的所必需的最短時間來保存個人信息。
綜上,應按照以上幾方面的原則和規定來判定個人信息保存的最短期限,超出個人信息保存期限后,運營者應對個人信息進行刪除或匿名化處理。
CFCA信息安全團隊在銀行、醫療、互聯網等多個行業具有數據安全、個人信息安全方面的咨詢與評估服務案例,可為各行業持續增強數據安全保護能力提供堅實的支撐。
