前言
2021年11月,《个人信息保护法》(以下简称“《个保法》”)正式生效,作为我国在个人信息保护领域的基本法,首次从法律层面构建了我国个人信息保护制度基本框架。与已颁布实施的《网络安全法》《数据安全法》共同组建我国网络数据法律体系,《个保法》具有划时代的意义。《个保法》覆盖了个人信息处理的全过程,确立了“告知-同意”、最小必要等信息处理原则。该法第十九条规定信息处理者保存个人信息的期限要求,“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。”对个人信息保存期限的限制,是为了减少信息处理者对个人信息保存时间过长进而引发的法律、道德等风险,体现了《个保法》对个人信息从收集、存储、使用、加工、运输等信息处理环节的“生命周期式”管理,是“最小必要”原则在信息存储阶段的体现。
金融机构展业过程中,其业务内容和属性天然地会使其有机会获取大量个人信息,该等信息的使用、存储等均需要严格遵守《个保法》以及相关法律法规有关存储期限的限制规定。本文将具体结合现行法律法规有关个人信息存储期限之相关规定,为金融机构对个人信息存储期限确认的实践操作提供参考:
一、特殊行业个人信息保存期限一般规定
法律、行政法规根据行业和信息处理者的不同身份制定了关于个人信息保存的期限要求(相关规定见表1)。

表1:法律、行政法规中关于个人信息保存期限的规定
二、《个保法》有关个人信息保存期限之一般规定
《个保法》规定的“保存期限应当为实现处理目的所必要的最短时间”。与上述特殊行业所规定的保存期限限制规定有所区别。也即在适用时,应当优先考虑特殊行业限制,如无相关特殊限制的,则适用《个保法》的一般原则。
结合立法目的和《个保法》的相关规范,当最短期限届满后且符合《个保法》第四十七条第一款[1]规定时,信息处理者应当主动删除所获取的个人信息。根据《个保法》第四十七条第二款[2]的规定,在符合第一款规定时,且处于“法律、行政法规规定的保存期限未届满时”的状态,信息处理者“应当停止除存储和采取必要的安全保护措施之外的处理”。换言之,信息处理者仅能采取“存储和采取必要的安全保护措施”,其他的信息处理行为已然失去合法性基础;因此最低期限届满后,“存储和采取必要的安全保护措施”的合法性基础亦不复存在,此时金融机构应当主动删除。
三、金融机构确认个人信息存储期限之适用规则
如上述分析,金融机构在具体确认个人信息存储期限时,应当优先考虑特殊行业的特规定,如无相关规定,应当适用《个保法》之一般原则规定。《个保法》并未一刀切规定统一的最短时间,而是采用灵活、动态的方式。如此可以充分保护信息主体,信息处理目的多样性、场景多元性、技术复杂性,无法确定适用所有信息处理的最低期限,因此各行业应当根据行业特点、业务类型确定具体的最低保存期限。金融机构确定具体的保存期限时,应当识别保存个人信息的目的,根据法律法规、部门规章、行业标准、业务需求等,考虑个人信息的性质、处理的方式和范围、对个人信息影响最小化等因素,确定合理的最短保存期限。
具体而言,结合我国金融行业监管体系,除相关现行法律、行政法规外,各类持牌金融机构在展业时,除法律基本底线外,更应当密切关注和严格遵守中国人民银行、中国银行保险业监督管理委员会、中国证券监督管理委员会等监管部门出台的各类规章、政策、规范性文件等。《个保法》第十九条规定个人信息的保存期间应当为实现处理目的所必要的最短时间,法律、行政法规另有规定的除外。因此,部门规章中对保存期限的限制并不能当然成为《个保法》的例外规定,但是如果该部门规章是对法律、行政法规的有关规定的细化和具体适用的理解,且没有损害信息主体的权益,建议金融机构应当参照适用。

表2:部分部门规章中关于金融机构对个人信息保存期限的规定
四、金融机构确认个人信息存储期限执行操作建议
综合以上,银行、信托、证券、期货、保险等各类金融机构在具体确认展业过程中获取的个人信息存储期限时,建议可具体按照按照如下步骤确认相关条款设置、中后台信息存储具体执行条件和落实要点:
1.确认行业特殊存储期限限制规定。
2.识别处理个人信息的具体目的和业务场景,应当识别保存个人信息的目的,根据法律法规、部门规章、行业标准、业务需求等,考虑个人信息的性质、处理的方式和范围、对个人信息影响最小化等因素,确定合理的最短保存期限。
3.获取、保存个人信息前,应当以明确、清晰、易懂的方式准确地告知个信息主体保存期间,落实合规义务。
4.应当以明示方式于相关业务协议条款中明示保存期限。
5.保存期限届满后,应当主动删除或者匿名化个人信息。
[1] 《个人信息保护法》第四十七条有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
[2] 见上。
2021年11月,《个人信息保护法》(以下简称“《个保法》”)正式生效,作为我国在个人信息保护领域的基本法,首次从法律层面构建了我国个人信息保护制度基本框架。与已颁布实施的《网络安全法》《数据安全法》共同组建我国网络数据法律体系,《个保法》具有划时代的意义。《个保法》覆盖了个人信息处理的全过程,确立了“告知-同意”、最小必要等信息处理原则。该法第十九条规定信息处理者保存个人信息的期限要求,“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。”对个人信息保存期限的限制,是为了减少信息处理者对个人信息保存时间过长进而引发的法律、道德等风险,体现了《个保法》对个人信息从收集、存储、使用、加工、运输等信息处理环节的“生命周期式”管理,是“最小必要”原则在信息存储阶段的体现。
金融机构展业过程中,其业务内容和属性天然地会使其有机会获取大量个人信息,该等信息的使用、存储等均需要严格遵守《个保法》以及相关法律法规有关存储期限的限制规定。本文将具体结合现行法律法规有关个人信息存储期限之相关规定,为金融机构对个人信息存储期限确认的实践操作提供参考:
一、特殊行业个人信息保存期限一般规定
法律、行政法规根据行业和信息处理者的不同身份制定了关于个人信息保存的期限要求(相关规定见表1)。

表1:法律、行政法规中关于个人信息保存期限的规定
二、《个保法》有关个人信息保存期限之一般规定
《个保法》规定的“保存期限应当为实现处理目的所必要的最短时间”。与上述特殊行业所规定的保存期限限制规定有所区别。也即在适用时,应当优先考虑特殊行业限制,如无相关特殊限制的,则适用《个保法》的一般原则。
结合立法目的和《个保法》的相关规范,当最短期限届满后且符合《个保法》第四十七条第一款[1]规定时,信息处理者应当主动删除所获取的个人信息。根据《个保法》第四十七条第二款[2]的规定,在符合第一款规定时,且处于“法律、行政法规规定的保存期限未届满时”的状态,信息处理者“应当停止除存储和采取必要的安全保护措施之外的处理”。换言之,信息处理者仅能采取“存储和采取必要的安全保护措施”,其他的信息处理行为已然失去合法性基础;因此最低期限届满后,“存储和采取必要的安全保护措施”的合法性基础亦不复存在,此时金融机构应当主动删除。
三、金融机构确认个人信息存储期限之适用规则
如上述分析,金融机构在具体确认个人信息存储期限时,应当优先考虑特殊行业的特规定,如无相关规定,应当适用《个保法》之一般原则规定。《个保法》并未一刀切规定统一的最短时间,而是采用灵活、动态的方式。如此可以充分保护信息主体,信息处理目的多样性、场景多元性、技术复杂性,无法确定适用所有信息处理的最低期限,因此各行业应当根据行业特点、业务类型确定具体的最低保存期限。金融机构确定具体的保存期限时,应当识别保存个人信息的目的,根据法律法规、部门规章、行业标准、业务需求等,考虑个人信息的性质、处理的方式和范围、对个人信息影响最小化等因素,确定合理的最短保存期限。
具体而言,结合我国金融行业监管体系,除相关现行法律、行政法规外,各类持牌金融机构在展业时,除法律基本底线外,更应当密切关注和严格遵守中国人民银行、中国银行保险业监督管理委员会、中国证券监督管理委员会等监管部门出台的各类规章、政策、规范性文件等。《个保法》第十九条规定个人信息的保存期间应当为实现处理目的所必要的最短时间,法律、行政法规另有规定的除外。因此,部门规章中对保存期限的限制并不能当然成为《个保法》的例外规定,但是如果该部门规章是对法律、行政法规的有关规定的细化和具体适用的理解,且没有损害信息主体的权益,建议金融机构应当参照适用。

表2:部分部门规章中关于金融机构对个人信息保存期限的规定
四、金融机构确认个人信息存储期限执行操作建议
综合以上,银行、信托、证券、期货、保险等各类金融机构在具体确认展业过程中获取的个人信息存储期限时,建议可具体按照按照如下步骤确认相关条款设置、中后台信息存储具体执行条件和落实要点:
1.确认行业特殊存储期限限制规定。
2.识别处理个人信息的具体目的和业务场景,应当识别保存个人信息的目的,根据法律法规、部门规章、行业标准、业务需求等,考虑个人信息的性质、处理的方式和范围、对个人信息影响最小化等因素,确定合理的最短保存期限。
3.获取、保存个人信息前,应当以明确、清晰、易懂的方式准确地告知个信息主体保存期间,落实合规义务。
4.应当以明示方式于相关业务协议条款中明示保存期限。
5.保存期限届满后,应当主动删除或者匿名化个人信息。
[1] 《个人信息保护法》第四十七条有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
[2] 见上。
