更深入的数据合规与保护要求：数据安全留销及案例

更深入的数据合规与保护要求：数据安全留销及案例

IXCDC

数据安全留销及案例

一、理论分析：我国对数据安全留销（留存与销毁）的规定

（一）数据存储

我国《数据安全法》第三章、《网络安全法》第四章中对数据的存储提出了原则性的要求，在《信息安全技术 个人信息安全规范》（GB/T 35273—2020）（以下称“《个人信息安全规范》”）、《信息安全技术 大数据安全管理指南》（GB/T 37973—2019）（以下称“《大数据安全管理指南》”）、《互联网个人信息安全保护指南》、《数据安全管理办法（征求意见稿）》、《网络数据安全管理条例（征求意见稿）》中对其应参照的标准和采取的措施进行了细化。

1.数据分类分级

《数据安全法》第21条提出国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。目前，针对不同的信息种类、内容，各行业、领域已逐步制定出了不同的分类方法及分级，主要如下：

在个人信息领域，《个人信息规范》和《个人金融信息保护技术规范》首先将个人信息按照内容分类，前者将个人信息划分为了（普通）个人信息和个人敏感信息两大类，并在附录A 、附录B中详细说明了两者的判定标准，以及更加细化的分类与举例；后者将个人金融信息划分为了账户信息、鉴别信息、金融交易信息等七大类。之后在信息内容分类的基础上，依据保护需求对个人信息进行分级，不同级别对应不同的保护措施，例如《个人信息规范》中，个人敏感信息的保护级别明显高于（普通）个人信息；《个人金融信息保护技术规范》第4.2条根据信息遭到未经授权的查看或变更后所产生的危害分级，将个人金融信息按敏感程度（保护程度）从高到低分为C3/C2/C1；《电信和互联网服务 用户个人信息保护分级指南》中对保护要求分为基本、必要、严格的技术和管理措施。

在大数据领域，《大数据安全管理指南》第7条明确了数据分类分级的原则、流程及要求，并在附录A 中对电信行业数据分类及分级进行了示例。

2.存储时间最小化

《个人信息安全规范》第6.1条及《数据安全管理办法（征求意见稿）》第20条规定，个人信息控制者存储个人信息的期限应为实现个人信息主体授权使用的目的所必需的最短时间，且不应超出收集使用规则中的保存期限，超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理，个人信息主体另行授权同意或法律法规另有规定的除外。例如《征信业管理条例》第16条规定征信机构对个人不良信息的保存期限自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除……此种情况下信息保存时间为5年而非所必须的最短时间，并且个人不良信息超期后应该予以删除，匿名化处理不符合要求。

3.存储方式确保安全

对于个人信息而言，与《网络安全法》第42条、《数据安全管理办法》（征求意见稿）第19条强调的保护目的一致，《个人信息安全规范》第4条明确提出了确保安全原则，并且在6.3条具体规定，个人信息控制者a）传输和存储个人敏感信息时，应采用加密等安全措施（注：采用密码技术时宜遵循密码管理相关国家标准）；b）个人生物识别信息应与个人身份信息分开存储；c）原则上不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于：仅存储个人生物识别信息的摘要信息；在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像（注：摘要信息通常具有不可逆特点，无法回溯到原始信息；个人信息控制者履行法律法规规定的义务相关的情形除外）。同时在附录D《个人信息保护政策模板》中，其要求详细说明个人信息控制者对个人信息进行安全保护的措施，包括但不限于个人信息完整性保护措施，个人信息传输、存储和备份过程的加密措施，个人信息访问、使用的授权和审计机制，个人信息的保留和删除机制等。

对于大数据[11]而言，《大数据安全管理指南》第6条规定，应主要关注其保密性、完整性、可用性及其他需求。同时，根据8.3规定，直到数据被彻底删除之前,存储的数据均应由组织[12]提供恰当的安全保护。组织应充分考虑使用第三方数据存储平台保存数据的安全风险。由于知识产权、法律法规等原因，组织即使能对存储系统中的数据如个人信息或健康数据等进行有效控制,但可能不是数据的拥有者,组织仍需承担数据的存储管理责任。同时，组织开展数据存储活动时，应：a）将不同类别和级别的数据分开存储，并采取物理或逻辑隔离机制；b)遵守确保安全原则，主要考虑以下几个方面：存储架构安全、逻辑存储安全、存储访问控制、数据副本安全、数据归档安全、数据时效性管理；c）建立数据存储冗余策略和管理制度，及数据备份与恢复操作过程规范。

4.数据去身份化处理

《网络安全法》第42条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。数据去身份化处理可以在保护个人信息安全的同时促进数据的共享使用，其通过去除或弱化个人数据的标识性[13]、与数据主体的关联性[14]，避免了数据主体的身份暴露，在实践中主要包括去识别化和匿名化。根据《个人信息安全规范》规定，去识别化应在个人信息控制者收集个人信息后立即进行，匿名化则是在特定情况下处理数据时与删除并列的处理方式之一。

具体个人信息去标识化的原则等，可参照《信息安全规范 个人信息去标识化指南》（GB/T 37964-2019）。

5.数据备份

根据《互联网个人信息安全保护指南》第6.2（e）条规定，保存信息的主要设备，应对个人信息数据提供备份和恢复功能，确保数据备份的频率和时间间隔，并使用不少于以下一种备份手段：

1）具有本地数据备份功能；

2）将备份介质进行场外存放；

3）具有异地数据备份功能。

（二）数据销毁

《个人信息安全规范》第6.4、8.5条，《网络数据安全管理条例（征求意见稿）》第20、22、23条，对数据控制者、个人信息控制者删除、销毁数据的义务作了明确的规定。

首先，要求控制者要向个人信息主体提供删除个人信息、注销账户的方法，且该方法需要简便易操作；其次，数据处理者应当在十五个工作日内完成核查、处理注销账户的申请、并且删除个人信息或者进行匿名化处理；同时注销过程如需进行身份核验，要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型；注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务，如注销单个账户视同注销多个产品或服务，要求个人信息主体填写精确的历史操作记录作为注销的必要条件等。

当个人信息控制者停止运营其产品或服务时，应：

 a) 及时停止继续收集个人信息；

 b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体；

 c) 对其所持有的个人信息进行删除或匿名化处理。

另外，《数据安全管理办法（征求意见稿）》第二十三条规定，网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），当用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。第二十六条规定，网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实立即停止传播并作删除处理。同时第三十一条规定，如果网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。法律、行政法规另有规定的，从其规定。

近年来许多地方上出台的有关法规，也对数据的销毁作了进一步细化规定，例如2021年6月29日通过，自2022年1月1日起实施的《深圳经济特区数据条例》中，第七十一条规定，数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁，并对数据销毁过程的相关操作予以记录。数据处理者终止或者解散，没有数据承接方的，应当及时有效销毁其控制的数据；法律、法规另有规定的除外。第七十二条规定，数据处理者委托他人代为处理数据的，应当与其订立数据安全保密合同，明确双方安全保护责任和义务。受托方完成处理任务后，应当及时有效销毁其存储的数据，但是法律、法规另有规定或者双方另有约定的除外。

二、如何履行我国数据留销义务

（一）数据存储

存储的数据包括采集的数据、分析和处理的结果数据等。为保障数据存储阶段的安全，企业首先应指定数据存储架构相关的管理规范和安全规则，包括访问控制规则、存储转移安全规则、存储完整性和多副本一致性管理规则等，采用必要的技术和管控措施保证数据存储架构安全管理规则的实施。其次，注意履行数据本地化义务，在境内运营中收集和产生的个人信息应在境内存储，如需出境应遵循国家相关规定。同时应遵守我国对数据安全留销的规定，注意数据存储的方式、期限、地点，对于保护等级不同的数据根据要求采取不同的保护手段，例如对个人生物识别信息存储的特别规定等。直到数据被彻底删除之前，存储的数据均应由企业提供恰当的安全保护。需要特别注意的是，如果企业使用第三方数据存储平台，亦应充分评估其安全风险。

（二）数据销毁

首先，企业应建立数据销毁策略和管理制度，明确销毁对象和流程。建立数据销毁审批机制，设置销毁相关监督角色，监督操作过程。依照数据分类分级建立相应的数据销毁机制，明确销毁方式和要求。销毁或删除内容包括但不限于自有或租用的数据存储平台上的元数据、原始数据及其副本、数据的访问接口等。如果数据来自外部实时数据流，还应断开与实时数据流的链接。针对网络存储数据,闪存、硬盘、磁带、光盘等不同数据存储方式,应采用硬销毁和软销毁相结合的数据销毁方法和技术。配置必要的数据销毁技术手段与管控措施,确保以不可逆方式销毁数据及其副本内容。同时销毁数据应遵守可审计原则，记录数据删除的操作时间、操作人、操作方式、数据内容等相关信息。

另外，除履行国家规定的数据删除、销毁、去身份化处理等义务外，在实践中，企业还需要注意履行用户通知义务，提前告知用户自行转移或留存所需的个人信息，并且给用户操作留有期限；对于用户曾通过付费获取的资源，企业应提出妥善的解决方案，给用户提供永久保存在本地或通过转移到其他平台获取资源的途径等，保护消费者的合法权益。

三、实务案例

2021年1月5日，虾米音乐发布公告称，由于业务发展上的调整，虾米音乐播放器业务将于2月5日0点停止服务。在此30日内，虾米依次通过“停止新客及新交易-停止内容消费使用-停止信息资料处理-禁登陆并停服”这一系列步骤实施全部停服决定。

值得肯定的是，虾米音乐此次停服关注到了用户数据处理的问题。在给虾米音乐用户的公告中，其为用户提供了个人资料与资产处理通道，例如导出歌单通过其他音乐APP访问、下载购买过的数字专辑到本地设备、以Excel表格的形式导出收藏歌单名录等；并且承诺到期后将删除或匿名化处理用户的个人信息。此前其他互联网产品停止服务时，大部分没有涉及该领域的问题，虾米音乐此举是一大进步，未来随着各个信息保护法律法规的落实，相信该种情况下的用户个人信息保护问题会受到更多的关注。

 [11]《大数据安全管理指南》大数据：具有数量巨大，种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理的数据集。

 [12]《大数据安全管理指南》组织：由作用不同的个体为实施共同的业务目标而建立的结构（可以是一个企业、事业单位、政府部门等）。

[13]《信息安全技术 个人信息安全规范》 去标识化：通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程（注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识）。

 [14]《信息安全技术 个人信息安全规范》匿名化：通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程（注：个人信息经匿名化处理后所得的信息不属于个人信息）。