导读:
2021年11月1日,《中华人民共和国个人信息保护法》正式生效,作为个人信息保护领域的基本法,《个人信息保护法》的生效犹如为大厦封顶,统领个人信息保护领域的法律体系。根据该法,个人信息处理活动分为收集、存储、使用、加工、传输、提供、公开、删除等几大环节。对于个人信息的存储时限,《个人信息保护法》仅要求“个人信息保存期限应当为实现处理目的所必要的最短时间”,但如何确定“最短时间”,超期存储会面临何种后果,《个人信息保护法》尚未给出明确的答案,而这些皆是个人信息处理者在处理实践中所需关注的问题。
本文围绕个人信息保护展开,先总览《个人信息保护法》及其相关法规、指南中对个人信息存储期限的原则及规定,再分析不同行业对不同类别个人信息存储期限的特别要求,最后,选取执法、诉讼实践的典型案例,分析企业因存储不当可能面临的后果,旨在为读者带来一些关于个人信息存储期限的浅见。
一、 总览:《个人信息保护法》及相关指南对个人信息存储期限的规定
对于个人信息处理者的存储期限,笔者在实务中常常被问到以下几个问题。这些问题也是讨论个人信息存储期限的关键。
1. 个人信息是否可以被永久存储?
个人信息处理者在收集信息后,以纸质或电子的方式将其保存在不同的介质上,个人信息处理者在对个人信息进行存储之后是否就可以一劳永逸了?个人信息处理者是否可以永久保存用户信息?
回答这个问题之前,我们首先需要理解《个人信息保护法》确立的两个重要原则:必要原则和目的原则。
必要原则:处理个人信息不应当超过可以实现处理目的的最低限度,其处理的个人信息应当限于满足处理目的的最小范围内。
目的原则:处理个人信息应当具有明确、合理的目的,所处理的个人信息应当与处理目的直接相关,并且所采取的方式也要对个人权益影响最小。
存储行为作为个人信息处理的重要环节之一,也应当遵循以上两大原则。个人信息处理者收集、存储个人信息,都应具有明确、合理的目的。而当这一目的完成后,存储该等信息的必要性就不复存在。因此永久存储个人信息的做法并不具备合法性基础。
2. 个人信息保存期限的标准是什么?
《个人信息保护法》并未指定具体的时间或区间作为个人信息存储期限,而仅仅提出了原则和要求,这是因为个人信息收集的目的多种多样,也是因为个人信息作为一种数据,其流通过程具有比较强的灵活性。此外,对监管部门来说,一个笼统的标准也不利于监管部门的执法管理。而对于个人信息处理者而言,个人信息处理活动过程存在不确定性,很难在处理行为完成前就能对所谓“最短必要期限”作出准确的判断,也难以确定处理活动到达何种状态下可以删除该等信息。因此,隐私政策或说明文件中时常见到“法律规定的最短期限”这样的表述来代替具体的时限/日期。
虽然这一做法为目前行业内的标准做法,但笔者认为,随着个人信息保护意识在社会生根发芽,未来无论是监管部门或者个人信息主体都将对个人信息处理者提出更高、更明确的要求,其中就包括对个人信息具体存储期限的明示。而这一点也与《个人信息保护法》第十七条所述“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项”的要求更为相符。
实践中,如何判定个人信息保存的最小期限,笔者建议企业以业务目的对个人信息做好分类,在此基础上评估为实现业务目留存不同类型个人信息的最低时限。需要特别指出的是,业务目的不仅包括用户侧直接感知的商品或服务目的,同时也包括企业内部/后台为实现商品或服务目的而直接保留载有该等信息的文档资料的管理目的。
此外,作为日常合规的一部分,笔者建议企业搭建超期个人信息甄别制度,定期核验其所留存个人信息是否超过个人信息主体所授权的、实现业务目的的最短期限。
3. 在最短期限内能否提前删除个人信息?
《个人信息保护法》规定了删除个人信息的法定情形。其中第(三)款赋予个人信息主体在法定“最短期限”内提前删除个人信息的权利。这是因为,个人信息处理者处理个人信息最常见的法律基础是个人信息主体的授权同意。当个人信息主体撤回同意时,个人信息处理者即丧失了继续保留该等信息的法律基础。因此,个人信息保护的通用存储期限实质为:实现个人信息主体授权使用的目的所必需的最短时间。
二、 不同行业对个人信息存储期限的具体要求
虽然目前相关法律法规并未对具体的通用存储期限作出规定,但个别行业已针对特定情形的处理活动提出了明确的存储期限要求。根据行业和信息的性质的不同,对存储期限的要求也长短不一,有的短至14天,有的长达30年。本文整理了金融行业、互联网行业、汽车行业、医疗行业四个行业对个人信息存储的相关规定,具体如下:
1. 金融行业
金融机构,包括银行、证券公司、保险公司、交易所、贷款公司等等,这类机构保存的个人金融信息主要包括客户身份资料、交易记录等。从公民个人权益来看,公民的身份资料、交易记录这类信息,反映了公民个人的财产状况和交易情形,属于与财产相关的敏感个人信息,而从社会公共安全角度来看,这部分信息也与公共领域的货币流通、财产安全息息相关,如果存储时间过短,可能会让不法分子趁虚而入,实施洗钱等不法行为,如果存储时间过长,不仅公民的财产安全存在信息泄露的风险,也会使得金融机构的存储负担和管理义务过重。因此,立法者在设置该类个人信息的存储时限时,考虑了个人信息所有者的利益和公共利益之间的平衡,确定了五年和二十年两个存储期限:
(1) 五年
| 个人信息类型 | 法律、法规、规范性文件 | 具体规定 |
| 客户身份资料、客户交易信息 | 《反洗钱法》 | 对于客户身份资料、客户交易信息,在业务关系和交易结束后,应当至少保存5年 |
| 《金融机构客户身份识别和客户身份资料交易记录保存管理办法》 | ||
| 《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》 | ||
| 个人不良信息 | 《征信业管理条例》 | 征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年 |
| 网络支付业务操作记录 | 《非银行支付机构网络支付业务管理办法》 | 支付机构应当在操作生效之日起至少5年内,真实、完整保存操作记录 |
| 《信息安全技术 网络支付服务数据安全指南》 | 网络支付服务运营者应真实、完整记录付款方的网络支付业务操作行为并保存至少5年 | |
| 购卡人登记信息 | 《单用途商业预付卡管理办法(试行)》 | 发卡企业和售卡企业应保存购卡人的登记信息5年以上 |
(2) 二十年
| 个人信息类型 | 法律、法规、规范性文件 | 具体规定 |
| 客户开户资料、委托记录、交易记录 | 《证券法》 | 证券公司应当妥善保存客户开户资料、委托记录、交易记录,保存期限不得少于20年 |
| 基金份额持有人名称、身份信息及基金份额 | 《证券基金投资法》 | 应当备份至国务院证券监督管理机构认定的机构,且保存期限自基金账户销户之日起不得少于20年 |
2. 互联网行业
互联网是数据存储、传输的主要平台。电子商务平台兴起后,网购成为一种重要的消费模式,在此过程中,消费者的交易信息更多以电子形式存储在线上。与银行、交易所等金融机构的客户信息相比,互联网领域消费者的个人信息数据量级更大,更新速度也更快,因此,个人信息处理者更多要考虑的是数据的存储效率与存储空间。互联网领域的个人信息法定存储期限大幅减少。例如,五年的时限虽然在金融领域仅是起步期限,在互联网领域则已经属于较长的留存期限。
| 个人信息类型 | 法律、法规、规范性文件 | 具体规定 |
| 60日 | ||
| 用户上网时间、用户账号、互联网地址或者域名主叫电话号码等信息 | 《互联网信息服务管理办法》 | 记录备份应当保存60日 |
| 上网消费者的身份证信息 | 《互联网上网服务营业场所管理条例》 | 登记内容和记录备份保存时间不得少于60日 |
| 3年 | ||
| 电子商务平台服务信息、交易信息 | 《电子商务法》 | 保存时间自交易完成之日起不少于三年 |
| 电子支付服务提供者应当向用户免费提供对账服务以及最近3年的交易记录 | ||
| 平台内经营者身份信息 | 《网络交易监督管理办法》 | 对平台内经营者身份信息的保存时间自其退出平台之日起不少于3年; |
| 商品或者服务信息、交易信息 | 对商品或者服务信息,支付记录、物流快递、退换货以及售后等交易信息的保存时间自交易完成之日起不少于3年 | |
| 5年 | ||
| 电子认证相关信息 | 《电子签名法》 | 妥善保存与认证相关的信息,保存期限为电子签名认证证书失效后5年 |
| 支付记录 | 《信息安全技术 网络支付服务数据安全指南》 | 网络支付服务运营者应真实、完整记录付款方的网络支付业务操作行为并保存至少5年 |
3. 汽车行业
汽车的位置轨迹数据与个人的行踪轨迹相关,属于敏感个人信息,这类信息一旦泄露,自然人的人身、财产安全都会受到威胁,应当严格适用个人信息保存的最小必要原则。而与之对比的是,《缺陷汽车产品召回管理条例》旨在方便消费者维权以及及时召回缺陷产权,避免对公共安全产生进一步的影响,因此对交易信息设置了长达十年的保存期限。
| 个人信息类型 | 法律、法规、规范性文件 | 具体规定 |
| 车外数据、位置轨迹数据 | 《信息安全技术汽车采集数据的安全要求》(征求意见稿) | 车外数据、位置轨迹数据在远程信息服务平台等车外位置中保存时间均不应超过14天 |
| 网约车平台采集的个人信息 | 《网络预约出租汽车经营服务管理暂行办法》 | 网约车平台所采集的个人信息保存期限不少于2年 |
| 汽车产品初次销售的车主信息记录 | 《缺陷汽车产品召回管理条例》 | 生产者应当保存汽车产品初次销售的车主信息记录,保存期不得少于10年 |
4. 医疗行业
同为敏感信息,医疗数据的人身属性更强,因此一旦泄露造成的影响可能更为深远。同时,在重大疾病或紧急事件中,医疗记录对于治病救人意义重大。因此对相关的信息的留存要求和时限也都更高。例如,有关住院病历的保存期限为三十年以上。
| 个人信息类型 | 法律、法规、规范性文件 | 具体规定 |
| 医疗器械的交易信息 | 《医疗器械网络销售监督管理办法》 | 医疗器械交易信息,记录应当保存至医疗器械有效期后2年 |
| 对于没有有效期的医疗器械,保存时间不得少于5年 | ||
| 植入类医疗器械交易信息应当永久保存 | ||
| 医疗机构的患者病历 | 《医疗机构管理条例实施细则》 | 门诊病历的保存期不得少于15年 |
| 住院病历的保存期不得少于30年 | ||
| 《中华人民共和国精神卫生法》 | 精神障碍患者病历资料保存期限不得少于30年 |
三、 实践观察
在《个人信息保护法》出台后,相应的执法实践也如火如荼。从目前已有实践来看,违背个人信息存储期限“必要的最短时间”要求的违规形式主要有以下几种:
(1) 设置超过最小必要时间的个人信息存储期限
部分个人信息处理者在实现用户授权使用信息的目的后,仍超期保存用户的个人信息,且并未对这部分信息进行匿名化处理,已有报道指出,部分软件在设置cookie(网站为辨别用户身份进行数据追踪的数值设定)参数时,将参数设置为10年(通常的参数设置为5-7天),通过这一隐蔽的设定,用户的动态将被长期追踪,并由此关联至用户的好友关系变动情况等动态。
(2) App为个人信息违法存储的重灾区
根据我们的统计,2020年和2021年,国家网信办和地方网信部门共通报了733款不符合个人信息保护要求的违规APP,其中大量APP被通报的违规行为直接或间接涉及个人信息的违法存储,具体而言:
- 3款APP存在用户撤回同意后继续收集存储其个人信息的问题被下架处理;
- 5款APP因为注销账户设置不合理条件被通报;
- 44款APP因未提供有效的账户注销功能被通报;
- 84款APP因“未按法律规定提供删除个人信息功能”而被通报。
此外,我们注意到实践中也发生了几起与个人信息存储相关的诉讼案例,涉及人脸信息的存储、员工聊天记录的存储以及未成年人敏感个人信息等。但可能由于《个人信息保护法》正式生效时间尚短,这些诉讼案例的诉由并非基于个人信息的存储时限或个人主体删除权的相关规定。然而,随着《个人信息保护法》配套制度的日益完善以及司法实践的不断积累,个人信息超期存储问题可能会成为未来个人信息保护诉讼司法实践的重点之一。
四、小结
在目的原则和必要原则的共同指引下,一方面,个人信息处理者对个人信息的存储权限被有效规制在一定范围内;另一方面,实践中,个人信息的存储不仅要考虑到对用户隐私权及个人信息权益的保护,也需要考虑到这部分信息所涉及到的公共利益。因此,各行业个人信息处理者在满足行业明确规范的基础上,应当注重对原则的遵守,关注监管动向,根据各行业的数据采集目的及不同数据的存储要求,做好数据的分级分类,从而为个人信息存储期限划定一个合理的区间。
参考文献:
[1] 李松涛:《数据安全之个人信息保护期限最小化的判定》,载公众号“CFCA金融认证”,2019年6月24日。
[2] 郭玉军、付鹏远:《欧盟个人数据“被遗忘权”制度研究及其对中国的启示》,载《中国国际私法与比较法年刊》2017年第2期,卷21,第261-272页。
[3] 张玉洁:《隐私难设防:APP爬取个人信息手段多样》,载《经济参考报》2019年4月1日,http://dz.jjckb.cn/www/pages/webpage2009/html/2019-04/01/content_52188.htm。
特别声明
本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。
专业领域
