本文部分内容引用自:http://www.cfca.com.cn/20190625/100003616.html
- 2019年5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》。 - 2020年6月28日-30日,举行的十三届全国人大常委会第二十次会议,《中华人民共和国数据安全法》迎来初次审议。
- 已于2020年10月01日开始实施的GB/T 35273-2020《信息安全技术 个人信息安全规范》,也对个人信息保存期限提出要求:
在实际工作中,判定个人信息保存的最小期限可以从两方面进行考虑:
个人信息保存期限判定的一般流程如下图所示:
个人信息保存期限,原则上不超过各种法律法规、行业监管、其他规章中的保存时间要求以及业务所必需的时间,以此来确定最小化保存期限。
1.《中华人民共和国网络安全法》
2017年6月1日起施行的《中华人民共和国网络安全法》第二十一条规定,“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。”依据此条款,包含个人信息的相关网络日志至少需要保存六个月。
2.《中华人民共和国电子商务法》
2019年1月1日起施行的《中华人民共和国电子商务法》第三十一条规定,“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”依据此条款,对于电子商务平台经营者来说,包含个人信息的交易信息保存期限应该不少于三年。
3.《征信业管理条例》
2013年3月15日起施行的《征信业管理条例》第十六条规定,“征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。”依据此条款,对于个人不良信息保存期限超过5年的应予以删除。
不同行业对于个人信息的保存期限有不同的要求,各行业要根据自身行业性质梳理本行业的监管要求。
1.金融行业:人民银行令[2007]第2号《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第二十九条规定
“金融机构应当按照下列期限保存客户身份资料和交易记录: (一)客户身份资料,自业务关系结束当年或者一次性交易记账当年计起至少保存5年。 (二)交易记录,自交易记账当年计起至少保存5年。 其中也规定了“如客户身份资料和交易记录涉及正在被反洗钱调查的可疑交易活动,且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的,金融机构应将其保存至反洗钱调查工作结束”。
《支付机构反洗钱和反恐怖融资管理办法》第三十一条 支付机构应当按照下列期限保存客户身份资料和交易记录: (一)客户身份资料,自业务关系结束当年计起至少保存5年; (二)交易记录,自交易记账当年计起至少保存5 年。 如客户身份资料和交易记录涉及反洗钱和反恐怖融资调查,且反洗钱和反恐怖融资调查工作在前款规定的最低保存期届满时仍未结束的,支付机构应将其保存至反洗钱和反恐怖融资调查工作结束。 同一介质上存有不同保存期限客户身份资料或者交易记录的,应当按最长期限保存。同一客户身份资料或者交易记录采用不同介质保存的,至少应当按照上述期限要求保存一种介质的客户身份资料或者交易记录。 法律、行政法规和规章对客户身份资料和交易记录有更长保存期限要求的,遵守其规定。
2.医疗行业:《医疗机构管理条例实施细则》
2017年4月1日起施行的《国家卫生计生委关于修改〈医疗机构管理条例实施细则〉的决定》第五十三条要求,“医疗机构的门诊病历的保存期不得少于十五年;住院病历的保存期不得少于三十年。”作为医疗机构的个人信息保管者,要参考此条确定最小化保存期限。
3.房地产行业:《房地产经纪管理办法》
2011年4月1日起施行的《房地产经纪管理办法》第二十六条规定,“房地产经纪机构应当保存房地产经纪服务合同,保存期不少于5年。”房地产行业要参照此办法确定最小化保存期限。
>>>>其他规章
其他规章一般是指有规章制定权的行政机关依照法定程序决定并以法定方式对外公布的具有普遍约束力的规范性文件,个人信息保存期限的最小化要符合相关规章的要求。
>>>>业务必需
个人信息处理活动需在个人信息主体明示同意的前提下进行,需在合法、正当、必要、明确的情况下进行。个人信息主体未明确要求对个人信息进行删除,且法律法规无保存期限要求的情况下,按照业务实现目的所必需的最短时间来保存个人信息。
综上,应按照以上几方面的原则和规定来判定个人信息保存的最短期限,超出个人信息保存期限后,运营者应对个人信息进行删除或匿名化处理。
京公网安备 11010802041100号