数据安全之个人信息保存期限最小化的判定

近期，国家互联网信息办公室向社会公开征求意见的《数据安全管理办法（征求意见稿）》中，第二十条规定，“网络运营者保存个人信息不应超出收集使用规则中的保存期限。”同时，2018年5月1日实施的国家标准《信息安全技术 个人信息安全规范》（GB/T 35273-2017），也对个人信息保存期限提出要求：“个人信息保存期限应为实现目的所必需的最短时间”。

但在实际工作中，如何判定个人信息保存的最小期限的确是一个难题。对此，中国金融认证中心（CFCA）信息安全团队基于工作实践给出如下建议：

从国家标准的角度出发，个人信息保存期限应为实现目的所必需的最短时间，即个人信息的保存期限不能超过实现目的所需的最短时间。

实现目的所必需的最短时间可以从两方面进行考虑:

▷如果法律法规或行业监管对信息保存期限有要求，要遵守该保存期限的要求；

▷政策监管无具体要求的，可以是业务应用所需的最低时限。

个人信息保存期限判定的一般流程如下图所示：

个人信息保存期限判定流程图

个人信息保存期限，原则上不超过各种法律法规、行业监管、其他规章中的保存时间要求以及业务所必需的时间，以此来确定最小化保存期限。

>>>>法律、行政法规

1.《中华人民共和国网络安全法》

2017年6月1日起施行的《中华人民共和国网络安全法》第二十一条规定，“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。”依据此条款，包含个人信息的相关网络日志至少需要保存六个月。

2.《中华人民共和国电子商务法》

2019年1月1日起施行的《中华人民共和国电子商务法》第三十一条规定，“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”依据此条款，对于电子商务平台经营者来说，包含个人信息的交易信息保存期限应该不少于三年。

3.《征信业管理条例》

2013年3月15日起施行的《征信业管理条例》第十六条规定，“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。”依据此条款，对于个人不良信息保存期限超过5年的应予以删除。

>>>>行业监管

不同行业对于个人信息的保存期限有不同的要求，各行业要根据自身行业性质梳理本行业的监管要求。

1.金融行业：《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》

该管理办法由中国人民银行、原中国银行业监督管理委员会、中国证券监督管理委员会和原中国保险监督管理委员会制定，要求客户身份信息，自业务关系结束当年或者一次性交易记账当年计起至少保存5年。其中也规定了“如客户身份资料和交易记录涉及正在被反洗钱调查的可疑交易活动，且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的，金融机构应将其保存至反洗钱调查工作结束”。

2.医疗行业：《医疗机构管理条例实施细则》

2017年4月1日起施行的《国家卫生计生委关于修改〈医疗机构管理条例实施细则〉的决定》第五十三条要求，“医疗机构的门诊病历的保存期不得少于十五年；住院病历的保存期不得少于三十年。”作为医疗机构的个人信息保管者，要参考此条确定最小化保存期限。

3.房地产行业：《房地产经纪管理办法》

2011年4月1日起施行的《房地产经纪管理办法》第二十六条规定，“房地产经纪机构应当保存房地产经纪服务合同，保存期不少于5年。”房地产行业要参照此办法确定最小化保存期限。

>>>>其他规章

其他规章一般是指有规章制定权的行政机关依照法定程序决定并以法定方式对外公布的具有普遍约束力的规范性文件，个人信息保存期限的最小化要符合相关规章的要求。

>>>>业务必需

个人信息处理活动需在个人信息主体明示同意的前提下进行，需在合法、正当、必要、明确的情况下进行。个人信息主体未明确要求对个人信息进行删除，且法律法规无保存期限要求的情况下，按照业务实现目的所必需的最短时间来保存个人信息。

综上，应按照以上几方面的原则和规定来判定个人信息保存的最短期限，超出个人信息保存期限后，运营者应对个人信息进行删除或匿名化处理。

CFCA信息安全团队在银行、医疗、互联网等多个行业具有数据安全、个人信息安全方面的咨询与评估服务案例，可为各行业持续增强数据安全保护能力提供坚实的支撑。