2019年1月1日起施行的《中华人民共和国电子商务法》第三十一条规定,“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”依据此条款,对于电子商务平台经营者来说,包含个人信息的交易信息保存期限应该不少于三年。
3.《征信业管理条例》
2013年3月15日起施行的《征信业管理条例》第十六条规定,“征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。”依据此条款,对于个人不良信息保存期限超过5年的应予以删除。
>>>>行业监管
不同行业对于个人信息的保存期限有不同的要求,各行业要根据自身行业性质梳理本行业的监管要求。
1.金融行业:《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》
该管理办法由中国人民银行、原中国银行业监督管理委员会、中国证券监督管理委员会和原中国保险监督管理委员会制定,要求客户身份信息,自业务关系结束当年或者一次性交易记账当年计起至少保存5年。其中也规定了“如客户身份资料和交易记录涉及正在被反洗钱调查的可疑交易活动,且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的,金融机构应将其保存至反洗钱调查工作结束”。
2.医疗行业:《医疗机构管理条例实施细则》
2017年4月1日起施行的《国家卫生计生委关于修改〈医疗机构管理条例实施细则〉的决定》第五十三条要求,“医疗机构的门诊病历的保存期不得少于十五年;住院病历的保存期不得少于三十年。”作为医疗机构的个人信息保管者,要参考此条确定最小化保存期限。
3.房地产行业:《房地产经纪管理办法》
2011年4月1日起施行的《房地产经纪管理办法》第二十六条规定,“房地产经纪机构应当保存房地产经纪服务合同,保存期不少于5年。”房地产行业要参照此办法确定最小化保存期限。
>>>>其他规章
其他规章一般是指有规章制定权的行政机关依照法定程序决定并以法定方式对外公布的具有普遍约束力的规范性文件,个人信息保存期限的最小化要符合相关规章的要求。
>>>>业务必需
个人信息处理活动需在个人信息主体明示同意的前提下进行,需在合法、正当、必要、明确的情况下进行。个人信息主体未明确要求对个人信息进行删除,且法律法规无保存期限要求的情况下,按照业务实现目的所必需的最短时间来保存个人信息。
综上,应按照以上几方面的原则和规定来判定个人信息保存的最短期限,超出个人信息保存期限后,运营者应对个人信息进行删除或匿名化处理。
CFCA信息安全团队在银行、医疗、互联网等多个行业具有数据安全、个人信息安全方面的咨询与评估服务案例,可为各行业持续增强数据安全保护能力提供坚实的支撑。返回搜狐,查看更多
