数据安全之个人信息保存期限最小化的判定

本文部分内容引用自：http://www.cfca.com.cn/20190625/100003616.html

先上个人结论：
各互联网运营商目前可能为了大数据研判、个人用户画像需要，或者为了以防有权部门在涉及纠纷、违法检查溯源调取证据，实际存储个人信息基本是无限期的保存，比如淘宝、京东之类的订单信息，个人用户目前是可以在用户侧无限期的向前追溯查询的。但按照GB/T 35273 相关规定，建议各家厂商参照《数据安全法》以及本行业相关法律法规，在超出最小化期限后在主生产库对相关数据进行匿名化处理或删除，保持用户侧在前段不可访问、检索；数据备份中对超期数据不做处理，以便应对有权部门的证据调取工作。

- 2019年5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》。
- 2020年6月28日-30日，举行的十三届全国人大常委会第二十次会议，《中华人民共和国数据安全法》迎来初次审议。

- 已于2020年10月01日开始实施的GB/T 35273-2020《信息安全技术 个人信息安全规范》，也对个人信息保存期限提出要求：

1. 个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外；
2. 超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理。

在实际工作中，判定个人信息保存的最小期限可以从两方面进行考虑:

1. 如果法律法规或行业监管对信息保存期限有要求，要遵守该保存期限的要求；
2. 政策监管无具体要求的，可以是业务应用所需的最低时限。

个人信息保存期限判定的一般流程如下图所示：

个人信息保存期限，原则上不超过各种法律法规、行业监管、其他规章中的保存时间要求以及业务所必需的时间，以此来确定最小化保存期限。

>>>>法律、行政法规

1.《中华人民共和国网络安全法》

2017年6月1日起施行的《中华人民共和国网络安全法》第二十一条规定，“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。”依据此条款，包含个人信息的相关网络日志至少需要保存六个月。

2.《中华人民共和国电子商务法》

2019年1月1日起施行的《中华人民共和国电子商务法》第三十一条规定，“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”依据此条款，对于电子商务平台经营者来说，包含个人信息的交易信息保存期限应该不少于三年。
3.《网络交易监督管理办法》
　　由国家市场监督管理总局出台，2021年5月1日起施行的《网络交易监督管理办法》第二十条规定“网络直播服务提供者对网络交易活动的直播视频保存时间自直播结束之日起不少于三年。”
　　第三十一条规定，“网络交易平台经营者对平台内经营者身份信息的保存时间自其退出平台之日起不少于三年；对商品或者服务信息，支付记录、物流快递、退换货以及售后等交易信息的保存时间自交易完成之日起不少于三年。法律、行政法规另有规定的，依照其规定。”

4.《征信业管理条例》

2013年3月15日起施行的《征信业管理条例》第十六条规定，“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。”依据此条款，对于个人不良信息保存期限超过5年的应予以删除。

>>>>行业监管

不同行业对于个人信息的保存期限有不同的要求，各行业要根据自身行业性质梳理本行业的监管要求。

1.金融行业：人民银行令[2007]第2号《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第二十九条规定

“金融机构应当按照下列期限保存客户身份资料和交易记录：
（一）客户身份资料，自业务关系结束当年或者一次性交易记账当年计起至少保存5年。
（二）交易记录，自交易记账当年计起至少保存5年。
其中也规定了“如客户身份资料和交易记录涉及正在被反洗钱调查的可疑交易活动，且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的，金融机构应将其保存至反洗钱调查工作结束”。

• 自然人客户的“身份基本信息”包括客户的姓名、性别、国籍、职业、住所地或者工作单位地址、联系方式，身份证件或者身份证明文件的种类、号码和有效期限。客户的住所地与经常居住地不一致的，登记客户的经常居住地。
• 法人、其他组织和个体工商户客户的“身份基本信息”包括客户的名称、住所、经营范围、组织机构代码、税务登记证号码；可证明该客户依法设立或者可依法开展经营、社会活动的执照、证件或者文件的名称、号码和有效期限；控股股东或者实际控制人、法定代表人、负责人和授权办理业务人员的姓名、身份证件或者身份证明文件的种类、号码、有效期限。

《支付机构反洗钱和反恐怖融资管理办法》第三十一条
支付机构应当按照下列期限保存客户身份资料和交易记录：
　　（一）客户身份资料，自业务关系结束当年计起至少保存5年；
　　（二）交易记录，自交易记账当年计起至少保存5年。
　　如客户身份资料和交易记录涉及反洗钱和反恐怖融资调查，且反洗钱和反恐怖融资调查工作在前款规定的最低保存期届满时仍未结束的，支付机构应将其保存至反洗钱和反恐怖融资调查工作结束。
　　同一介质上存有不同保存期限客户身份资料或者交易记录的，应当按最长期限保存。同一客户身份资料或者交易记录采用不同介质保存的，至少应当按照上述期限要求保存一种介质的客户身份资料或者交易记录。
　　法律、行政法规和规章对客户身份资料和交易记录有更长保存期限要求的，遵守其规定。
《银行卡组织和资金清算中心反洗钱和反恐怖融资指引》
（适用于中国银联、农信银资金清算中心、城商行资金清算中心及其分支机构）
第十一条 直接参与者或间接参与者的身份资料、交易记录的保存期限如下：

（一）身份资料自业务关系结束之日起至少保存5 年。

（二）交易记录自交易记账之日起至少保存5 年。

上述资料和信息涉及正在被反洗钱调查的可疑交易活动，且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的，应将其保存至反洗钱调查工作结束。

法律、行政法规和其他规章对身份资料和交易记录有更长保存期限要求的，遵守其规定。

2.医疗行业：《医疗机构管理条例实施细则》

2017年4月1日起施行的《国家卫生计生委关于修改〈医疗机构管理条例实施细则〉的决定》第五十三条要求，“医疗机构的门诊病历的保存期不得少于十五年；住院病历的保存期不得少于三十年。”作为医疗机构的个人信息保管者，要参考此条确定最小化保存期限。

3.房地产行业：《房地产经纪管理办法》

2011年4月1日起施行的《房地产经纪管理办法》第二十六条规定，“房地产经纪机构应当保存房地产经纪服务合同，保存期不少于5年。”房地产行业要参照此办法确定最小化保存期限。

>>>>其他规章

其他规章一般是指有规章制定权的行政机关依照法定程序决定并以法定方式对外公布的具有普遍约束力的规范性文件，个人信息保存期限的最小化要符合相关规章的要求。

>>>>业务必需

个人信息处理活动需在个人信息主体明示同意的前提下进行，需在合法、正当、必要、明确的情况下进行。个人信息主体未明确要求对个人信息进行删除，且法律法规无保存期限要求的情况下，按照业务实现目的所必需的最短时间来保存个人信息。

综上，应按照以上几方面的原则和规定来判定个人信息保存的最短期限，超出个人信息保存期限后，运营者应对个人信息进行删除或匿名化处理。