《个人信息保护法》第17条明确个人信息的保存应遵循最小必要原则，限于实现处理目的所必要的最短时间。当前合规实践中，个人信息的保存与删除并未得到部分企业足够的重视，这与当前相关执法行动较少、技术实现难度高有一定的关系。但参照域外实践，超期存储个人信息是较为常见的处罚事由。例如，2020年11月，法国国家信息自由委员会（CNIL）对法国某零售巨头处以200多万欧元的罚款，原因之一是在客户最后一次购买行为发生后，其对客户数据的保留期过长（四年）。再如，德国下萨克森州数据保护监管当局对德国知名电子产品网络销售商notebooksbilliger的罚款，数额为1040万欧元，原因之一在于该等监控视频录像在删除之前保存长达60天，严重超过法律允许的最长保存期限。考虑到我国数据执法逐渐进入深水期，企业有必要对个人信息的保存与删除投诸必要的关注，确保自身的个人信息保存与删除实践符合《个人信息保护法》的相关要求。

一、实践中亟需解决的相关问题

《中华人民共和国个人信息保护法》（“《个人信息保护法》"）第17条规定，“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限……"；第19条规定，“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。"对于个人信息处理者来说，要符合这两条规定的要求，有至少三个方面的合规要求需要满足：

首先，个人信息处理者需要明确个人信息的保存期限以履行必要的告知义务；其次，个人信息处理者需要确保确定的个人信息保存期限符合《个人信息保护法》关于最小必要原则的要求；最后，个人信息处理者还需要保障在确定的保存期限届至时及时地删除/匿名化相关个人信息，以确保业已确定的保存期限得到实际落实。如何回应这三个问题，确保个人信息的保存与删除，是企业在个人信息保护工作开展过程中无法绕开的问题，也是当前个人信息保护实践中的难点之一。

进一步分析这三个要求，告知义务的履行并不是在探讨个人信息的保存期限的过程中衍生出的问题，在个人信息保存这一话题下，个人信息处理者需要考虑的更多是如何确定一个可用于告知的、明确的保存期限（尽管目前实践中对于保存期限的告知多采用了粗颗粒度的方式）。基于此，本文将焦点主要集中于两个方面：如何确定已收集/拟收集个人信息的保存期限，以及如何制定并执行相应的个人信息保存与删除政策。

二、保存期限的梳理与确定

对于任何个人信息处理者来说，确定个人信息的保存期限并非易事。《个人信息保护法》第19条规定，“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。"即，如果存在法律、行政法规对个人信息保存期限有规定的情况，该等规定优先适用；若无相关规定，则个人信息处理者需要基于最小必要原则确定相应的个人信息保存期限。

（一）梳理既有法律法规涉及个人信息保存期限的相关规定

当前，许多法律法规均有关于数据/个人信息保存期限的法律法规要求，试部分列举如下：

纵观以上规定，有以下几点值得关注：

• 关于保存期限的规定散见于不同行业的各类文本中，且规定内容庞杂、细化，对于个人信息处理者而言，除了常规的劳动人事、档案管理等方面外，也应对自身所处行业的监管规定投以更多关注，确保符合这些监管规定的要求；

• 既有的法律、行政法规在规定保存期限时，更关注的是保存期限的“下限"，即相关数据至少应当保存多长时间，以确保相关数据的可用性，满足反洗钱、消费者权益保护或劳动者权益保护等方面的需要。而确定企业内部的个人信息保存期限，更多需要考虑的是保存期限的“上限"，即在何种情形下不得继续存储个人信息；

• 既有立法中，关于保存期限的规定不仅见于法律、行政法规中，也见于部门规章甚至某些地方性法规中，这可能是为了满足特定行业监管的需要。但《个人信息保护法》第19条仅明确“除法律、行政法规另有规定外"，这是否意味着如果部门规章或地方性法规规定的最短保存时限超过实现处理目的的必要期限，相关部门规章或地方性法规无法当然地赋予该等保存时限在《个人信息保护法》下的正当性？如此一来，个人信息处理者则易陷入合规的两难中。实践中，企业多选择依旧遵循部门规章或地方性法规的相关规定，但遵守这些监管规定是否与个人信息保存的最小必要之间存在矛盾，或有待监管部门的进一步澄清。

（二）厘清具体处理目的下的必要期限

对于未有法律、行政法规对保存期限作出规定的个人信息，其保存期限的确定则需要结合具体的处理目的来考虑。实践中，个人信息处理者应当根据实际的个人信息处理情况，通过对既有各类信息系统中数据资产的充分摸排，逐一厘清为实现各种个人信息处理目的，所需要保存个人信息的必要期限，形成完整的个人信息保存期限表。这些处理目的可能是为履行合同所必需，可能是为了内部的人力资源管理需求，可能是为了履行某些法定义务，也可能是为了应对潜在商业诉讼的需要。

以电商平台为例，根据《电子商务法》第9条，“电子商务平台经营者，是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织。"基于此规定，就为消费者提供电子商务服务而言，电商平台保存个人信息的期限一般宜仅限于交易完成之日为止。但同时，根据《电子商务法》第62条，“在电子商务争议处理中，电子商务经营者应当提供原始合同和交易记录。因电子商务经营者丢失、伪造、篡改、销毁、隐匿或者拒绝提供前述资料，致使人民法院、仲裁机构或者有关机关无法查明事实的，电子商务经营者应当承担相应的法律责任。"根据该规定，电商平台有义务保存消费者相应的交易记录，则相应的，保存消费者相关交易记录的期限应进一步覆盖至相关交易诉讼时效消灭之日起。

同时，根据《个人信息保护法》第47条，当处理目的已实现，个人信息处理者应当删除个人信息，但若法律、行政法规规定的保存期限未届满时，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。基于此，个人信息处理者应当结合适用的法律、行政法规中关于数据保存时限的要求来调整保存期限表，确保保存期限表亦满足法律法规的规定。具体的调整方式，可参见下图：

但在个人信息处理行为的具体开展过程中，个人信息的保存往往会超出实现收集时声称的处理目的所需的最短必要期限。例如，对于候选人个人信息，许多企业可能更倾向于在较长的期限内存储。但实际上，在企业决定不再招聘相关候选人时，继续长期保存该候选人的个人信息必然将超过“必要期限"，即继续保存个人信息不再具有合法性。在这些情形下，或需要考虑重新建构处理目的，如在前述候选人场景下，将处理目的调整为“建立企业人才库"。但在重新建构处理目的的情形下，个人信息处理者也需要重新论证相关个人信息处理行为的合法性。

三、个人信息保存与删除政策的制定

个人信息保存期限表是个人信息处理者开展个人信息保存与销毁工作的基础，基于梳理出的个人信息保存期限表，如何落实到具体的内部工作流程中，如何确保在不同系统间流转的个人信息均基于保存期限要求被执行了必要的删除/销毁动作，形成有效的、可复用的个人信息保存与销毁的流程/机制/政策，才是合规工作的关键。有些企业可能基于GDPR等域外法要求在集团层面已经制定了相应的数据保留政策（Data Retention Policy），但仍需要相应的流程和机制，使已经确定的保存期限落到实处。结合我们的经验，在制定相关政策的过程中，有以下因素需要着重考虑：

• 选择适宜的人员组建政策制定的工作小组。该等政策涉及不同领域的专业知识，制定过程中往往需要协同包括但不限于IT、法务、合规、安全，甚至数据治理部门的参与，形成多部门的合力确保工作的正常推进。

• 确定合适的控制点。实践中，企业多通过打标签的方式来标记系统中相关个人信息的保存期限，但考虑到数据往往会在不同的系统间流动，在哪个业务环节打标签能够确保后续保存期限的执行到位，需要结合具体的数据流来考虑。一般来说，个人信息流入数据中台时是一个比较好的用于打标签的控制点，但对于不进入中台的数据，则需要结合相关业务流程、系统的功能进行综合判断。

• 明确必要的负责人员。在确定了适宜的控制点后，个人信息处理者一般还需要指定必要的负责人员，负责执行/监督相应的打标签情况，并负责在保存期限届至时和相关系统负责人协调删除/销毁动作。

• 选定适宜的样板系统。数字经济背景下，对于稍有规模的企业而言，其日常业务运营中往往涉及众多涉及个人信息处理的应用系统，一次性梳理所有系统并形成相应的保存期限表和删除策略工作负担较重。在这种情形下，建议个人信息处理者结合企业业务开展现状，选定适宜的样板系统，基于样板系统率先探索保存期限和删除策略的配置，再逐步向其他系统推广。

• 以数据类别为确定保存期限的基础，并兼顾相关系统的功能配置情况。实践中，不存在适用于所有类型数据的保存期限要求，但若将保存期限精确到每个特定字段，将可能给保存和删除工作的落地带来很多不必要的负担。从数据治理的角度来讲，为既有的数据资产划分相应的数据类型，并基于数据类型确定保存期限和删除策略更符合当前业务开展的实际需要。同时，还应当兼顾相关系统的功能配置情况，若系统无法实现基于特定类型/字段的删除，则可能需要同步施行必要的系统改造。

• 明确保存期限的调整程序。由于业务需求是不断变化的，对于不同类型的数据，其处理目的可能在业务开展过程中发生变化，导致保存期限的延长/缩短。因此，企业应当结合业务流程及数据流转情况，于流程中确定必要的机制，以实现该等保存期限的延长/缩短。

• 规定涉诉个人信息的特别流程。实践中，数据保存与删除/销毁的流程往往会倚赖必要的自动化流程来实现，此时若个人信息处理者涉及诉讼，且需要相关个人信息作为诉讼中的证据佐证相应事实，则为了确保诉讼程序的稳定开展，相应的自动化流程应当中断。这意味着企业应当在个人信息保存和删除流程中引入相应的中止机制，确保涉诉个人信息不会在这一过程中被自动化地删除。

• 开展必要的政策培训。同其他个人信息保护方面的流程和机制类似，对于个人信息处理者而言，在政策制定完成后，仍需要通过必要的政策培训，于企业内部完成必要的宣导，以确保政策精神得到充分领会，促进政策最终得到落实。