金融·看法丨金融机构有关个人信息“生命周期式”管理期限适用规则分析

发布日期：

2022-05-11

2021年11月，《个人信息保护法》（以下简称“《个保法》”）正式生效，作为我国在个人信息保护领域的基本法，首次从法律层面构建了我国个人信息保护制度基本框架。与已颁布实施的《网络安全法》《数据安全法》共同组建我国网络数据法律体系，《个保法》具有划时代的意义。《个保法》覆盖了个人信息处理的全过程，确立了“告知-同意”、最小必要等信息处理原则。该法第十九条规定信息处理者保存个人信息的期限要求，“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。”对个人信息保存期限的限制，是为了减少信息处理者对个人信息保存时间过长进而引发的法律、道德等风险，体现了《个保法》对个人信息从收集、存储、使用、加工、运输等信息处理环节的“生命周期式”管理，是“最小必要”原则在信息存储阶段的体现。

金融机构展业过程中，其业务内容和属性天然地会使其有机会获取大量个人信息，该等信息的使用、存储等均需要严格遵守《个保法》以及相关法律法规有关存储期限的限制规定。本文将具体结合现行法律法规有关个人信息存储期限之相关规定，为金融机构对个人信息存储期限确认的实践操作提供参考：

一、特殊行业个人信息保存期限一般规定

法律、行政法规根据行业和信息处理者的不同身份制定了关于个人信息保存的期限要求（相关规定见表1）。

序号	法规名称	法律位阶	具体条款内容
1	《反恐怖主义法》	法律	第三十二条第三款重点目标的管理单位应当建立公共安全视频图像信息系统值班监看、信息保存使用、运行维护等管理制度，保障相关系统正常运行。采集的视频图像信息保存期限不得少于九十日。
2	《反洗钱法》	法律	第十九条第三款客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年。
3	《网络安全法》	法律	第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： ……（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月……
4	《证券法》	法律	第一百三十七条证券公司应当建立客户信息查询制度，确保客户能够查询其账户信息、委托记录、交易记录以及其他与接受服务或者购买产品有关的重要信息。证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项信息，任何人不得隐匿、伪造、篡改或者毁损。上述信息的保存期限不得少于二十年。
5	《征信业管理条例》	行政法规	第十六条第一款征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。
6	《中华人民共和国期货和衍生品法》（2022.8.1生效）	法律	第一百一十七条期货经营机构、期货交易场所、期货结算机构、期货服务机构和非期货经营机构结算参与人等应当按照规定妥善保存与业务经营相关的资料和信息，任何人不得泄露、隐匿、伪造、篡改或者毁损。期货经营机构、期货交易场所、期货结算机构和非期货经营机构结算参与人的信息和资料的保存期限不得少于二十年；期货服务机构的信息和资料的保存期限不得少于十年。

表1：法律、行政法规中关于金融机构对个人信息保存期限的规定

二、《个保法》有关个人信息保存期限之一般规定

《个保法》规定的“保存期限应当为实现处理目的所必要的最短时间”。与上述特殊行业所规定的保存期限限制规定有所区别。也即在适用时，应当优先考虑特殊行业限制，如无相关特殊限制的，则适用《个保法》的一般原则。

结合立法目的和《个保法》的相关规范，当最短期限届满后且符合《个保法》第四十七条第一款[1]规定时，信息处理者应当主动删除所获取的个人信息。根据《个保法》第四十七条第二款[2]的规定，在符合第一款规定时，且处于“法律、行政法规规定的保存期限未届满时”的状态，信息处理者“应当停止除存储和采取必要的安全保护措施之外的处理”。换言之，信息处理者仅能采取“存储和采取必要的安全保护措施”，其他的信息处理行为已然失去合法性基础；因此最低期限届满后，“存储和采取必要的安全保护措施”的合法性基础亦不复存在，此时金融机构应当主动删除。

三、金融机构确认个人信息存储期限之适用规则

如上述分析，金融机构在具体确认个人信息存储期限时，应当优先考虑特殊行业的特规定，如无相关规定，应当适用《个保法》之一般原则规定。《个保法》并未一刀切规定统一的最短时间，而是采用灵活、动态的方式。如此可以充分保护信息主体，信息处理目的多样性、场景多元性、技术复杂性，无法确定适用所有信息处理的最低期限，因此各行业应当根据行业特点、业务类型确定具体的最低保存期限。金融机构确定具体的保存期限时，应当识别保存个人信息的目的，根据法律法规、部门规章、行业标准、业务需求等，考虑个人信息的性质、处理的方式和范围、对个人信息影响最小化等因素，确定合理的最短保存期限。

具体而言，结合我国金融行业监管体系，除相关现行法律、行政法规外，各类持牌金融机构在展业时，除法律基本底线外，更应当密切关注和严格遵守中国人民银行、中国银行保险业监督管理委员会、中国证券监督管理委员会等监管部门出台的各类规章、政策、规范性文件等。《个保法》第十九条规定个人信息的保存期间应当为实现处理目的所必要的最短时间，法律、行政法规另有规定的除外。因此，部门规章中对保存期限的限制并不能当然成为《个保法》的例外规定，但是如果该部门规章是对法律、行政法规的有关规定的细化和具体适用的理解，且没有损害信息主体的权益，建议金融机构应当参照适用。

序号	法规名称	法律位阶	具体条款内容
1	《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》	部门规章	第四十六条金融机构应当按照下列期限保存客户身份资料及交易记录：（一）客户身份资料自业务关系结束后或者一次性交易结束后至少保存5年；（二）交易记录自交易结束后至少保存5年。如客户身份资料及交易记录涉及正在被反洗钱调查的可疑交易活动，且反洗钱调查工作在前款规定的最低保存期限届满时仍未结束的，金融机构应当将相关客户身份资料及交易记录保存至反洗钱调查工作结束。同一介质上存有不同保存期限客户身份资料或者交易记录的，应当按最长保存期限保存。同一客户身份资料或者交易记录采用不同介质保存的，应当按照上述期限要求至少保存一种介质的客户身份资料或者交易记录。法律、行政法规对客户身份资料及交易记录有更长保存期限要求的，从其规定
2	《外汇市场交易行为规范指引》	部门规章	第二十一条市场参与者应妥善保存交易信息记录与交流信息记录。交易信息记录应包括交易指令、交易执行等全面、完整、系统化的记录，保存期限不短于五年。交流信息记录应包括针对自身及与客户交易的相关邮件、录音、聊天记录等交流内容，其中电子记录保存期限与交易信息记录一致，口头记录保存期限不短于两年。交易中心可协助市场参与者提供通过交易中心平台达成的相关交易记录和交易信息记录。
3	《证券交易所管理办法》	部门规章	第四十六条证券交易所应当妥善保存证券交易中产生的交易记录，并制定相应的保密管理措施。交易记录等重要文件的保存期不少于二十年。证券交易所应当要求并督促会员妥善保存与证券交易有关的委托资料、交易记录、清算文件等，并建立相应的查询和保密制度。
4	《期货交易所管理办法》	部门规章	第九十一条期货交易所对期货交易、结算、交割资料的保存期限应当不少于20年。
5	《证券投资顾问业务暂行规定》	部门规章	第二十七条证券公司、证券投资咨询机构应当对证券投资顾问业务推广、协议签订、服务提供、客户回访、投诉处理等环节实行留痕管理。向客户提供投资建议的时间、内容、方式和依据等信息，应当以书面或者电子文件形式予以记录留存。证券投资顾问业务档案的保存期限自协议终止之日起不得少于5年。
6	《证券期货投资者适当性管理办法》	部门规章	第三十二条经营机构应当按照相关规定妥善保存其履行适当性义务的相关信息资料，防止泄露或者被不当利用，接受中国证监会及其派出机构和自律组织的检查。对匹配方案、告知警示资料、录音录像资料、自查报告等的保存期限不得少于20年。
7	《中国人民银行金融消费者权益保护实施办法》	部门规章	第四十四条第三款银行、支付机构应当妥善保存投诉资料，投诉资料留存时间自投诉办结之日起不得少于3年。法律、行政法规另有规定的，从其规定。