◆ 条文要旨

本条是对个人信息保存期限的规定。

◆ 理解与适用

一、规范目的

本条是关于个人信息保存期限的规定，也是目的限制原则在个人信息处理活动中的具体要求。依据目的限制原则，对个人信息的处理应当与处理目的直接相关，采取对个人权益影响最小的方式（《个人信息保护法》第6条第1款）。这就意味着，对个人信息的保存期限也应当限制在为实现处理目的所必要的最短的时间内，除非法律、行政法规另有规定，否则保存期限不能超出实现处理目的所必须的时间范围，更不能无限期保存，因为这样会对个人信息权益造成难以预测以及难以控制的危害后果。一旦超过保存期限，原则上就应当删除该个人信息。例如，欧盟《一般数据保护条例》第5条第1款（e）项规定：“以可识别数据主体身份的形式存储的数据的存储时间不能长于实现个人数据处理目的所必须的时间。”我国《个人信息保护法》第19条也明确规定：“……个人信息的保存期限应当为实现处理目的所必要的最短时间。”

二、个人信息的保存期限应当为实现处理目的所必要的最短时间

所谓个人信息的保存期限应当为实现处理目的所必要的最短时间，意味着：一方面，个人信息处理者无论是通过与个人约定个人信息的保存期限，还是通过公示个人信息处理规则的方式来向个人告知个人信息的保存期限，该期限都必须是为实现处理目的所必要的最短时间。一旦保存期限届满，就必须主动删除。未删除的，个人有权请求删除。个人信息处理者通过格式条款约定过长的或者无期限的保存期限的，该约定无效，仍然应当按照是否属于实现处理目的所必要的最短时间来确定个人信息的保存期限。另一方面，如果个人信息处理者没有与个人约定个人信息的保存期限，或者在个人信息处理规则中也没有确定该保存期限，双方发生争议而提起诉讼或者向履行个人信息保护职责的部门投诉的，此时，法院或个人信息保护机构有权依据实现不同的处理目的的要求来确立最短的时间。

如何确定保存期限是为实现处理目的所必要的最短时间，需要考虑的是处理目的，也就是说不同的处理目的所要求的个人信息的保存期限是不同的，有些处理目的是短时间内即可实现的，如为了履行合同或紧急情况下为保护自然人的生命健康而处理个人信息的，显然随着合同履行完毕和紧急情况的消失，处理目的就实现了，不应当再保存个人信息，除非处理者再次取得个人的同意而保存这些个人信息。

三、法律、行政法规对个人信息保存期限的规定

法律、行政法规基于维护民事权益，保护公共利益、国家安全等目的，对于个人信息保存期限会作出强制性的规定，就法律规定的保存期限而言，如《证券法》第137条规定：“证券公司应当建立客户信息查询制度，确保客户能够查询其账户信息、委托记录、交易记录以及其他与接受服务或者购买产品有关的重要信息。证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项信息，任何人不得隐匿、伪造、篡改或者毁损。上述信息的保存期限不得少于二十年。”《电子签名法》第24条规定：“电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。”《精神卫生法》第47条规定：“医疗机构及其医务人员应当在病历资料中如实记录精神障碍患者的病情、治疗措施、用药情况、实施约束、隔离措施等内容，并如实告知患者或者其监护人。患者及其监护人可以查阅、复制病历资料；但是，患者查阅、复制病历资料可能对其治疗产生不利影响的除外。病历资料保存期限不得少于三十年。”

我国行政法规也规定了一些个人信息的保存期限，例如，《征信业管理条例》第16条第1款规定：“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。”《不动产登记暂行条例》第13条第1款第1句规定：“不动产登记簿由不动产登记机构永久保存。”

此外，一些部门规章对于个人信息的保存期限也有规定，例如《网络交易监督管理办法》第20条第2款规定：“网络直播服务提供者对网络交易活动的直播视频保存时间自直播结束之日起不少于三年。”《道路旅客运输及客运站管理规定》第67条第2款规定：“实行实名制管理的客运班线开展定制客运的，班车客运经营者和网络平台应当落实实名制管理相关要求。网络平台应当采取安全保护措施，妥善保存采集的个人信息和生成的业务数据，保存期限应当不少于3年，并不得用于定制客运以外的业务。”

◆ 相关规定

《证券法》第137条；《电子签名法》第24条；《精神卫生法》第47条；《征信业管理条例》第16条；《不动产登记暂行条例》第13条；《网络交易监督管理办法》第20条；《道路旅客运输及客运站管理规定》第67条