个人信息的保存与删除——合规要求与实践指引

二、保存期限的梳理与确定

对于任何个人信息处理者来说，确定个人信息的保存期限并非易事。《个人信息保护法》第19条规定，“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。”即，如果存在法律、行政法规对个人信息保存期限有规定的情况，该等规定优先适用；若无相关规定，则个人信息处理者需要基于最小必要原则确定相应的个人信息保存期限。

（一）梳理既有法律法规涉及个人信息保存期限的相关规定

当前，许多法律法规均有关于数据/个人信息保存期限的法律法规要求，试部分列举如下：

点击可查看大图

纵观以上规定，有以下几点值得关注：

• 关于保存期限的规定散见于不同行业的各类文本中，且规定内容庞杂、细化，对于个人信息处理者而言，除了常规的劳动人事、档案管理等方面外，也应对自身所处行业的监管规定投以更多关注，确保符合这些监管规定的要求；

• 既有的法律、行政法规在规定保存期限时，更关注的是保存期限的“下限”，即相关数据至少应当保存多长时间，以确保相关数据的可用性，满足反洗钱、消费者权益保护或劳动者权益保护等方面的需要。而确定企业内部的个人信息保存期限，更多需要考虑的是保存期限的“上限”，即在何种情形下不得继续存储个人信息；

• 既有立法中，关于保存期限的规定不仅见于法律、行政法规中，也见于部门规章甚至某些地方性法规中，这可能是为了满足特定行业监管的需要。但《个人信息保护法》第19条仅明确“除法律、行政法规另有规定外”，这是否意味着如果部门规章或地方性法规规定的最短保存时限超过实现处理目的的必要期限，相关部门规章或地方性法规无法当然地赋予该等保存时限在《个人信息保护法》下的正当性？如此一来，个人信息处理者则易陷入合规的两难中。实践中，企业多选择依旧遵循部门规章或地方性法规的相关规定，但遵守这些监管规定是否与个人信息保存的最小必要之间存在矛盾，或有待监管部门的进一步澄清。

（二）厘清具体处理目的下的必要期限

对于未有法律、行政法规对保存期限作出规定的个人信息，其保存期限的确定则需要结合具体的处理目的来考虑。实践中，个人信息处理者应当根据实际的个人信息处理情况，通过对既有各类信息系统中数据资产的充分摸排，逐一厘清为实现各种个人信息处理目的，所需要保存个人信息的必要期限，形成完整的个人信息保存期限表。这些处理目的可能是为履行合同所必需，可能是为了内部的人力资源管理需求，可能是为了履行某些法定义务，也可能是为了应对潜在商业诉讼的需要。

以电商平台为例，根据《电子商务法》第9条，“电子商务平台经营者，是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织。”基于此规定，就为消费者提供电子商务服务而言，电商平台保存个人信息的期限一般宜仅限于交易完成之日为止。但同时，根据《电子商务法》第62条，“在电子商务争议处理中，电子商务经营者应当提供原始合同和交易记录。因电子商务经营者丢失、伪造、篡改、销毁、隐匿或者拒绝提供前述资料，致使人民法院、仲裁机构或者有关机关无法查明事实的，电子商务经营者应当承担相应的法律责任。”根据该规定，电商平台有义务保存消费者相应的交易记录，则相应的，保存消费者相关交易记录的期限应进一步覆盖至相关交易诉讼时效消灭之日起。

同时，根据《个人信息保护法》第47条，当处理目的已实现，个人信息处理者应当删除个人信息，但若法律、行政法规规定的保存期限未届满时，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。基于此，个人信息处理者应当结合适用的法律、行政法规中关于数据保存时限的要求来调整保存期限表，确保保存期限表亦满足法律法规的规定。具体的调整方式，可参见下图：

点击可查看大图

但在个人信息处理行为的具体开展过程中，个人信息的保存往往会超出实现收集时声称的处理目的所需的最短必要期限。例如，对于候选人个人信息，许多企业可能更倾向于在较长的期限内存储。但实际上，在企业决定不再招聘相关候选人时，继续长期保存该候选人的个人信息必然将超过“必要期限”，即继续保存个人信息不再具有合法性。在这些情形下，或需要考虑重新建构处理目的，如在前述候选人场景下，将处理目的调整为“建立企业人才库”。但在重新建构处理目的的情形下，个人信息处理者也需要重新论证相关个人信息处理行为的合法性。

三、个人信息保存与删除政策的制定

个人信息保存期限表是个人信息处理者开展个人信息保存与销毁工作的基础，基于梳理出的个人信息保存期限表，如何落实到具体的内部工作流程中，如何确保在不同系统间流转的个人信息均基于保存期限要求被执行了必要的删除/销毁动作，形成有效的、可复用的个人信息保存与销毁的流程/机制/政策，才是合规工作的关键。有些企业可能基于GDPR等域外法要求在集团层面已经制定了相应的数据保留政策（Data Retention Policy），但仍需要相应的流程和机制，使已经确定的保存期限落到实处。结合我们的经验，在制定相关政策的过程中，有以下因素需要着重考虑：

• 选择适宜的人员组建政策制定的工作小组。该等政策涉及不同领域的专业知识，制定过程中往往需要协同包括但不限于IT、法务、合规、安全，甚至数据治理部门的参与，形成多部门的合力确保工作的正常推进。

• 确定合适的控制点。实践中，企业多通过打标签的方式来标记系统中相关个人信息的保存期限，但考虑到数据往往会在不同的系统间流动，在哪个业务环节打标签能够确保后续保存期限的执行到位，需要结合具体的数据流来考虑。一般来说，个人信息流入数据中台时是一个比较好的用于打标签的控制点，但对于不进入中台的数据，则需要结合相关业务流程、系统的功能进行综合判断。

• 明确必要的负责人员。在确定了适宜的控制点后，个人信息处理者一般还需要指定必要的负责人员，负责执行/监督相应的打标签情况，并负责在保存期限届至时和相关系统负责人协调删除/销毁动作。

• 选定适宜的样板系统。数字经济背景下，对于稍有规模的企业而言，其日常业务运营中往往涉及众多涉及个人信息处理的应用系统，一次性梳理所有系统并形成相应的保存期限表和删除策略工作负担较重。在这种情形下，建议个人信息处理者结合企业业务开展现状，选定适宜的样板系统，基于样板系统率先探索保存期限和删除策略的配置，再逐步向其他系统推广。

• 以数据类别为确定保存期限的基础，并兼顾相关系统的功能配置情况。实践中，不存在适用于所有类型数据的保存期限要求，但若将保存期限精确到每个特定字段，将可能给保存和删除工作的落地带来很多不必要的负担。从数据治理的角度来讲，为既有的数据资产划分相应的数据类型，并基于数据类型确定保存期限和删除策略更符合当前业务开展的实际需要。同时，还应当兼顾相关系统的功能配置情况，若系统无法实现基于特定类型/字段的删除，则可能需要同步施行必要的系统改造。

• 明确保存期限的调整程序。由于业务需求是不断变化的，对于不同类型的数据，其处理目的可能在业务开展过程中发生变化，导致保存期限的延长/缩短。因此，企业应当结合业务流程及数据流转情况，于流程中确定必要的机制，以实现该等保存期限的延长/缩短。

• 规定涉诉个人信息的特别流程。实践中，数据保存与删除/销毁的流程往往会倚赖必要的自动化流程来实现，此时若个人信息处理者涉及诉讼，且需要相关个人信息作为诉讼中的证据佐证相应事实，则为了确保诉讼程序的稳定开展，相应的自动化流程应当中断。这意味着企业应当在个人信息保存和删除流程中引入相应的中止机制，确保涉诉个人信息不会在这一过程中被自动化地删除。

• 开展必要的政策培训。同其他个人信息保护方面的流程和机制类似，对于个人信息处理者而言，在政策制定完成后，仍需要通过必要的政策培训，于企业内部完成必要的宣导，以确保政策精神得到充分领会，促进政策最终得到落实。

刘新宇 律师

上海办公室 合伙人

业务领域：网络安全和数据保护，金融产品和信托，诉讼仲裁

行业领域：金融创新和金融科技，信息和智能技术

吴豪雳 律师

上海办公室 知识产权部

《快评》

《绝知此事要躬行——从证券公司业务板块看证券行业数据合规（下）》 《绝知此事要躬行——从证券公司业务板块看证券行业数据合规（上）》 《要点解读》 《医药企业个人信息合规常见问题及应对措施》

特别声明

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。返回搜狐，查看更多