第十节 保存时限原则
一、保存时限原则的概念
保存时限原则是指为任何目的处理的个人资料都不得超过该目的需要的时间而保存。在法律规范中,时限是最具体、最关键的要素之一。法律规定某一具体行为在某一时间是合法的,在某一时间是无效或非法的。正因为如此,个人信息保护法上的时限原则不应忽视。个人信息保护法关于时限原则的设立有利于保护信息主体的权利。超越时限的保存,实质上已转变为非法的保存。
在保存时限方面,欧盟指令以及英国法和我国香港地区的立法可资借鉴。
欧盟指令第二章第一节是“与资料品质有关的原则”,其包含了保存时限的内容。第6条规定,保存以资料主体明确认同的方式进行,不应长于为资料收集或进一步处理的目的所必要的时间。各成员国应该对为了历史、统计和学术使用目的而长期存储个人资料制定适当的安全措施。
英国98资料保护法规定的第五原则是保存时限原则。该原则规定:为任何目的处理的个人资料都不得超过该目的需要的时间而保存(Personal data processed for any purpose or purposes shallnotbe kept for longer than is necessary for that purpose or those purposes)。我国香港地区96条例中的第二原则是关于准确性及保留期间的原则。其中,保留期间原则是指个人资料的保存时间,不得超过将其保存以贯彻该等资料被使用于或会被使用于的目的(包括任何直接有关的目的)所需的时间。
二、医疗信息的保存时限
根据保存时限原则,为任何目的处理的个人信息都不得超过该目的需要的时间而保存。从医患关系和患者的基本利益出发,个人医疗信息往往需要长时间保存。我国《医疗机构病历管理规定》第二十条规定:门(急)诊病历档案的保存时间自患者最后一次就诊之日起不少于15年。病历的储存一直是困扰纸张病历的最大的问题。病历中的个人医疗信息储存于电脑之中,储存条件大大改善。我国立法关于纸张病历保存不少于15年的时限要求,应同样适用于电子病历。我国台湾省的经验是将电子病历的储存划分为线上作业系统储存区、光碟柜储存区和DVD或CD光碟个别储存区。此种经验可以借鉴。
(一)线上作业系统储存区,类似于纸张病历储存的“活动档区”
在构成个人医疗信息的患者在一定时间内有回诊或其他医疗记录的情况下,基于工作上的方便性考虑,储存于线上作业系统。
(二)光碟柜储存区,类似于纸张病历储存的“不活动档区”
在构成个人医疗信息的患者在一定时间内没有回诊或其他医疗记录,且保存超过15年(我国立法上要求病历的保存时限至少为15年)的情况下,储存于光碟柜储存区。这个储存区的个人医疗信息可线上存取但时间上看比较慢,若患者回诊则需立即将该电子病历回存线上作业系统储存区。
(三)DVD或CD光碟个别保存区,类似于纸张病历储存的“销毁病历区”
凡是超过15年没有回诊记录,又不符合放入光碟柜储存区的条件的,应放入该档区。该档区应建立完整的索引功能,并进行电子签名,以确保个人医疗信息的安全。
三、金融信息的保存时限
保存时限原则对于个人信用信息至关重要。个人信用状况会随着时间而改变,因此一次信用的好坏不应成为个人信用中的永久记录,所以必须对征信机构收集信息进行时间限制。我国《深圳信用评级办法》和《上海信用管理办法》对“特别信息”和“不良信息”的保存时限规定均为7年。[17]
在金融交易中,一方面要保护客户权利,另一方面要维护金融秩序。我国2006年10月31日通过的《中华人民共和国反洗钱法》,是我国第一部关于反洗钱的专门性行政法律,从个人信息处理角度看,也是规范客户金融信息处理的一部法律。《反洗钱法》主要规范的是预防洗钱活动,目的是维护金融秩序,遏制洗钱犯罪及相关犯罪。为实现以上目的,《反洗钱法》建立了三项核心制度:客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度。根据客户识别制度,金融机构(包括特定非金融机构)在与客户建立业务关系或者与其进行交易时,应当核实和记录其客户的身份;根据客户身份资料和交易记录保存制度,客户身份资料和交易记录被金融机构依法保存。参照国际通行规则,规定客户身份资料自业务关系结束后,客户交易信息自交易结束后,应当至少保存五年。也就是说,为了实现金融安全——反洗钱,根据《反洗钱法》第19条的规定,金融机构可以保存客户金融信息的时限为至少5年。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。