各国数据保留法(2026年):GDPR、欧盟法院判例与全球规则
全球各地的组织都面临一个看似简单却极易混淆的问题:个人数据究竟可以保留多久?答案取决于适用哪一种法律概念。GDPR的存储限制原则要求数据保留不得超过必要期限;而强制性通信数据保留法则要求必须将特定元数据保留固定期限。两者不合规都将招致严重处罚。
管辖范围: 本文涵盖GDPR/英国GDPR的存储限制原则、欧盟法院关于强制性通信数据保留的判例,以及美国、英国、欧盟、巴西、中国、印度、韩国、澳大利亚、加拿大、日本、新加坡、南非和墨西哥的国内保留框架。信息核实于2026年5月。具体情况请咨询您所在司法辖区持牌律师。
"数据保留"的两层含义
"数据保留法"一词被用来指代两个方向截然相反、法律性质完全不同的概念,混淆二者极易导致合规错误。
存储限制原则(隐私法模式)要求组织不得将个人数据的保留时间超过收集目的所需的期限。GDPR第5条第1款(e)项是这一规则的经典表述。南非POPIA、巴西LGPD、印度DPDPA和加拿大PIPEDA均有相似规定。在这一模式下,保留本身构成持续的法律风险:数据保留时间越长,暴露的风险越大。义务方向是从控制者到监管机构。
强制性通信数据保留法(监控法模式)要求互联网服务提供商和电信运营商将用户和流量元数据保留固定期限,以便执法机构在事后调取。欧盟已被宣告无效的《数据保留指令》(2006/24/EC)是这一模式的经典范例。澳大利亚《电信(拦截与访问)法》、英国《调查权力法》和韩国《电信事业法》均设有强制性最短保留期限。在这一模式下,若在法定期限届满前删除数据即构成违法。义务方向是从运营商到政府。
同一数据可能同时受两种制度约束。一家受政府强制保留法约束、须保留客户数据12个月的电信公司,同时也须就该客户数据遵守GDPR的存储限制原则:不得在12个月前删除数据(政府强制要求),但也必须为超出12个月后继续保留数据提供正当理由(存储限制原则)。这两项约束共同界定了合法的保留窗口期。
GDPR项下的存储限制原则
GDPR第5条第1款(e)项规定,个人数据的保存形式应"仅在能够识别数据主体所必需的期限内进行,不得超过处理目的所需的时间"。GDPR并未为大多数数据类别设定具体的保留期限,组织必须自行确定并记录其保留期限。
组织必须在处理活动记录(第30条)中记录保留期限,并在隐私声明中向数据主体告知(第13条第2款(a)项)。仅在采取适当保障措施的前提下,出于公共利益档案保存、科学或历史研究或统计目的,才允许延长保留期限(第89条)。
EDPB针对被遗忘权开展的2025年协调执法行动(于2026年2月发布)发现,普遍存在不合规现象:部分控制者对所有处理活动一律适用最长的可适用保留期限;另一些控制者则无限期保留数据。EDPB建议各国数据保护机构就保留期限的确定方法制定更具操作性的指南。
欧盟行业特定保留期限
尽管GDPR避免设定固定的时间表,欧盟成员国法律和行业监管规则仍规定了具体期限:
反洗钱。 欧盟反洗钱指令要求,客户尽职调查记录和交易数据须在业务关系结束后保留五年,成员国可将该期限延长至十年。
雇佣记录。 大多数欧盟成员国要求雇主在雇佣关系结束后保留薪酬和税务记录六至十年。德国要求税务相关文件保留十年;法国要求薪酬记录保留五年。
**医疗记录。** 患者健康数据的保留期限差异较大。英国国民保健署(NHS)建议成年人健康记录在最后一次治疗后保留八年(精神健康记录为25年),而法国要求自最后一次就诊起保留20年。
电信元数据。 欧盟最初的《数据保留指令》(2006/24/EC)要求电信运营商将通信元数据保留6至24个月。欧盟法院在2014年"数字权利爱尔兰"案中宣告该指令无效。大多数欧盟成员国维持了本国的保留要求,但这些要求同样受到欧盟法院判例的审视。根据2025年对18个欧洲国家的调查,仅德国、荷兰和罗马尼亚未实施电信数据保留规则;多数其他国家尽管面临欧盟法院判例的挑战,仍维持一般性保留义务,只有比利时、丹麦和英国仅实施定向保留。
欧盟法院关于通信数据保留的判例
欧盟法院(CJEU)就强制性通信数据保留发展出一系列判例,逐步收窄了成员国可强制电信企业保留数据的范围。理解这一演变脉络,对任何在欧盟成员国开展业务的组织都至关重要。
数字权利爱尔兰案(2014年)
在"数字权利爱尔兰"案(合并案件C-293/12号和C-594/12号,2014年4月8日)中,欧盟法院大法庭宣告欧盟《数据保留指令》(2006/24/EC)整体无效。该指令曾要求对所有用户的通信元数据实施6至24个月的全面保留。法院认为,要求对所有用户的所有数据进行一般性、无差别的保留,且未依据打击严重犯罪的目标做出任何区分、限制或例外,属于对欧盟《基本权利宪章》第7条和第8条所保障的隐私权和数据保护权的不成比例侵害。
Tele2 Sverige与Watson案(2016年)
在该指令被废止后,多个成员国维持或重新制定了本国的保留法律。在"Tele2 Sverige与Watson"案(合并案件C-203/15号和C-698/15号,2016年12月21日)中,大法庭裁定,规定对所有用户的所有流量数据和位置数据进行一般性、无差别保留的国内立法与欧盟法律不符。合法的定向保留必须做到:(a)限于特定类别的数据、通信方式、涉及人员和保留期限;(b)严格限于绝对必要的范围;(c)仅可为打击严重犯罪而调取;以及(d)须经法院或独立行政机构事先审查。法院还要求保留的数据须存储于欧盟境内,并在保留期限届满后不可逆地销毁。
第一次"数字权利争取协会"案(2020年)
在"数字权利争取协会"第一案(合并案件C-511/18号、C-512/18号、C-520/18号和C-623/17号,2020年10月6日)中,大法庭确认了对一般性保留的禁止,但承认了三项例外情形:(1)在可预见的严重国家安全威胁期间,对所有元数据进行预防性的一般性保留,须经法院或独立机构审查;(2)基于地理标准或特定群体特征、为打击严重犯罪而进行的定向保留;以及(3)为正在进行的调查而对已保留数据进行快速冻结式的加急保存。
SpaceNet与德国电信案(2022年)
在"SpaceNet与德国电信"案(合并案件C-793/19号和C-794/19号,2022年9月20日)中,大法庭重申,即便出于打击严重犯罪的目的,德国要求对电信流量数据和位置数据进行一般性、无差别保留的立法仍与欧盟法律不符。该判决强调,快速冻结和定向保留仍然可行,但一般性保留不可行,与犯罪预防目标无关。
第二次"数字权利争取协会"案(2024年)
最新的发展是"数字权利争取协会"第二案(C-470/21号案,2024年4月30日),该案涉及法国HADOPI反盗版制度。欧盟法院全庭(而非大法庭)裁定,根据第2002/58号指令,IP地址属于流量数据,但与其他流量和位置数据不同,只要采取适当的保障措施,对IP地址进行一般性、无差别的保留并不构成对基本权利的严重侵害。
法院允许为打击网络著作权侵权(包括非严重违法行为)而保留IP地址及其与身份信息的关联,供执法调取。所要求的保障措施包括:(a)IP地址数据必须通过安全的技术系统与其他保留数据分开存储;(b)调取权限须限于移送起诉用途,防止用于点击流追踪或用户画像;(c)存在用户画像风险时须经法院或独立机构事先审查;以及(d)须对系统完整性进行定期独立监督。
现阶段的实际影响
截至2026年,欧盟法院的判例允许成员国:在采取技术保障措施的前提下对IP地址进行一般性保留;基于地理位置或嫌疑人类别对严重犯罪实施定向保留;使用快速冻结命令;以及在可预见的严重国家安全威胁期间实施一般性保留。为打击普通犯罪而对所有用户的全部元数据进行一般性、无差别保留仍属违法。欧洲委员会正就一项新的欧盟层面强制性元数据保留框架征求意见(征询活动已于2025年5月启动,立法草案预计于2026年初出台),该框架仍须在上述约束条件下运作。
各国数据保留框架
美国
美国没有类似GDPR的单一综合性联邦数据保留法。保留要求来自各行业的联邦法规和州法律。
联邦层面要求:
- 国税局(税务记录): 企业须自申报之日起至少保留税务记录三年,若存在重大少报收入情形,则延长至六至七年(26 USC 6501)。
- HIPAA(医疗记录): 受管制实体须自制定之日或最后生效之日起保留政策与程序文件六年(45 CFR 164.530(j))。州法律通常要求对基础医疗记录本身保留更长时间。
- FLSA(雇佣记录): 《公平劳动标准法》要求雇主保留薪酬记录三年、工资计算记录两年(29 CFR 516)。
- SOX(财务记录): 《萨班斯-奥克斯利法》要求审计工作底稿保留七年(18 USC 1520)。
- SEC第17a-4规则: 经纪自营商须根据记录类型不同保留三至六年。
- 《银行保密法》(反洗钱记录): 金融机构须保留包括货币交易报告和可疑活动报告在内的特定交易记录五年。
州层面要求: 加州CCPA/CPRA要求企业披露保留期限,避免在合理必要期限之外继续保留数据(加州民法典第1798.100(c)条)。科罗拉多州、弗吉尼亚州(VCDPA)和德克萨斯州(TDPSA)均包含类似的存储限制原则,要求保留期限与处理目的相符并予以记录。
英国
英国脱欧后,通过英国GDPR和2018年《数据保护法》继续保留GDPR的存储限制原则。ICO与英国行业特定立法一并负责执法。
英国《数据保护与数字信息(DPDI)法案》随议会在2024年7月大选前解散而终止。《数据(使用与访问)法》已于2025年6月19日获得御准,对智能数据方案和数据共享作出修订,但英国GDPR核心的存储限制原则保持不变。
行业特定期限包括:
- 金融服务: FCA规则要求交易记录保留五年(MiFID II),反洗钱记录须在业务关系结束后保留五年。
- 电信: 《2016年调查权力法》允许为执法调取目的,将互联网连接记录保留长达12个月。比利时、丹麦和英国是少数仅实施与欧盟法院判例一致的定向保留的欧盟/后欧盟司法辖区。
- 雇佣: 英国税务海关总署(HMRC)要求薪酬记录须自相关纳税年度结束起保留三年。
欧盟成员国
除GDPR框架外,各欧盟成员国还维持着行业特定的法定保留期限。主要例子包括:
金融/反洗钱: 所有成员国均执行欧盟反洗钱指令规定的客户尽职调查和交易记录五年保留要求。
雇佣: 德国要求税务相关雇佣文件保留十年;法国要求薪酬记录保留五年;波兰和捷克要求社会保险和养老金相关记录保留50年。
医疗记录: 德国要求医疗记录自治疗结束起保留10年;法国要求自最后一次就诊起保留20年;意大利要求重大医疗干预记录保留30年。
电信元数据: 如前所述,目前仅德国、荷兰和罗马尼亚没有强制性电信保留规则。其他大多数成员国仍维持可能与欧盟法院判例不符、但在国内尚未被正式推翻的法律。
巴西(LGPD)
巴西LGPD在第15条中呼应了GDPR的存储限制原则,要求在处理目的实现后删除个人数据。例外情形涵盖履行法定义务、研究(在可能情况下须匿名化)以及控制者的合法利益。
巴西国家数据保护局(ANPD)已于2024年作出首批重大执法决定,并发布了保留指南草案,表明监管机构对无既定保留时间表的组织的审查正在加强。
巴西行业特定要求包括:
- 税务记录: 五年(《国家税法典》)。
- 雇佣记录: 一般记录五年;职业健康记录最长可达30年。
- 消费者记录: 五年(《消费者保护法典》)。
中国(PIPL)
中国PIPL第19条要求保留期限为"实现处理目的所必需的最短时间"。组织必须在处理目的实现、约定保留期限届满或个人撤回同意后删除或匿名化个人信息。
2024年9月30日公布、2025年1月1日起施行的《网络数据安全管理条例》要求网络数据处理者在其处理规则中注明个人信息的保留期限;若期限难以确定,须明确说明确定该期限的方法。该条例以更具操作性的方式落实了PIPL的要求。
现行行业特定要求仍然有效:
- 《网络安全法》: 网络运营者须保留网络日志至少六个月。
- 金融记录: 银行须在账户关闭后保留客户身份识别记录五年,交易记录须在交易发生后保留五年。
- 电信: 运营商须在服务期限内及服务终止后五年内保留用户登记信息。
印度(DPDPA)
印度DPDPA第8条第7款要求数据受托人在处理目的实现且不再因法律合规需要而继续保留时,删除个人数据。
《2025年数字个人数据保护规则》已于2025年11月13日最终确定,为DPDPA的落实提供了具体的保留条款:
- 最短保留期限(第七附表处理活动): 依据第七附表(国家安全、法定义务)处理数据的数据受托人,须自处理之日起至少保留个人数据、流量数据和处理日志一年。
- 最长保留期限(大型平台): 拥有2000万以上注册印度用户的电子商务实体和社交媒体中介,以及拥有500万以上注册用户的在线游戏中介,须自数据主体最近一次请求或该规则生效之日(以较后者为准)起,遵守三年保留上限。
- 删除前通知: 若数据主体未与平台互动,数据受托人须在删除其个人数据前48小时予以通知。
该规则分阶段生效:同意管理人相关条款为12个月,其余部分为18个月。行业特定法律继续适用:《2013年公司法》要求财务记录保留八年;《所得税法》要求税务记录保留六至八年;印度储备银行(RBI)的客户身份识别规定要求在业务关系结束后保留五年。
韩国(PIPA)
韩国PIPA第21条要求在保留期限届满或处理目的实现后五日内销毁个人信息。这一五日销毁窗口是全球最为严格的规定之一。
若其他法律要求继续保留,相关信息须与其他个人数据分开存储。行业特定期限包括:
- 电子商务: 依据《电子商务消费者保护法》,合同和支付记录保留五年。
- 电信: 依据《电信事业法》,用户数据保留12个月,通信元数据保留三个月。
- 税务记录: 依据《国税基本法》,保留五年。
澳大利亚
澳大利亚《1988年隐私法》(澳大利亚隐私原则第11条)要求组织采取合理措施,在个人信息不再为任何目的所需时予以销毁或去标识化。
《2024年隐私与其他立法修正法》(联邦)已于2024年12月10日获得御准,是该法颁布以来对澳大利亚隐私制度最重大的一次改革。影响数据保留的主要变化包括:明确"合理措施"保护个人信息包括实施"技术和组织措施";新设针对严重侵犯隐私行为的法定侵权诉因(不迟于2025年6月10日生效);以及自2024年12月11日起生效的自动化决策透明度新义务。《电信(拦截与访问)法》项下为期两年的电信元数据保留要求保持不变。
加拿大
加拿大《个人信息保护和电子文件法》(PIPEDA,2000年第5号法令)要求组织仅在识别目的所必需的期限内保留个人信息。魁北克省《第25号法》修正案(自2023年9月起生效)要求组织在目的实现后销毁或匿名化个人信息。
C-27法案/CPPA最新进展: 原本将以《消费者隐私保护法》(CPPA)取代PIPEDA的C-27法案,随2025年1月议会休会而在议事日程上终止。2025年4月的联邦大选进一步推迟了改革进程。加拿大隐私专员办公室表示,有信心联邦隐私改革将成为第45届议会的优先事项,但截至2026年5月,尚无新的联邦立法通过。加拿大目前仍依据2000年制定的PIPEDA运作。
日本
日本《个人信息保护法》(APPI)第22条要求处理经营者在个人数据不再必要时努力予以删除,但未规定固定的保留期限。行业指南提供了更具体的规定:总务省(MIC)针对电信运营商的指南要求运营商记录保留期限,并在保留期限届满后立即删除数据。
个人信息保护委员会(PPC)在2024财年(2024年4月至2025年3月)作出了67起执法案例,目前正就2025年APPI修正案(包括引入行政罚款)展开咨询。行业特定保留期限包括:依据《公司法》,公司记录保留10年;依据《银行法》,金融机构记录在账户关闭后保留10年;依据《国税通则法》,税务记录保留七年。
新加坡
新加坡《个人数据保护法》(PDPA)设有保留限制义务,要求组织在个人数据不再为任何业务或法律目的所需时,停止保留或予以处置。PDPC在2024至2025年间加强了执法力度:2024年一起针对吉宝电信的案件认定,其未能从遗留服务器上删除过时的个人数据构成违规。对于年营业额超过1000万新加坡元的组织,罚款最高可达100万新加坡元或年度新加坡境内营业额的10%。
行业特定要求包括:受新加坡金融管理局(MAS)监管的金融机构须保留客户记录五年;依据《私立医院和医疗诊所条例》,医疗机构须保留病历六年。
南非(POPIA)
南非《个人信息保护法》(POPIA)第14条要求,个人信息记录的保留时间不得超过实现收集目的所必需的期限。为履行合法职能、合同义务或经数据主体同意的情形下,允许延长保留期限。
若某项记录曾用于对数据主体作出决定,则须依照法律或行为准则要求的期限予以保留;若未规定具体期限,则须保留足够长的时间,以便数据主体有合理机会申请查阅。POPIA于2020年7月1日起生效,合规截止日期为2021年6月30日。
墨西哥
墨西哥颁布了新版《私营部门个人数据保护联邦法》(LFPDPPP),自2025年3月21日起生效,取代了2010年版本。数据控制者必须确定保留期限,并在期限届满后按封存程序删除数据。与合同违约相关的数据须在72个月后删除。处理目的实现后,数据将被封存(予以保存但不再处理),直至法定或合同时效期届满,随后予以删除。
主要保留期限对比表
| 行业/记录类型 | 美国 | 欧盟/GDPR | 英国 | 巴西 | 中国 | 韩国 | 澳大利亚 | 日本 | 新加坡 |
|---|---|---|---|---|---|---|---|---|---|
| 税务/财务记录 | 3至7年 | 5至10年(因成员国而异) | 3至6年 | 5年 | 5年 | 5年 | 5至7年 | 7年 | 5年 |
| 雇佣/薪酬记录 | 2至3年(FLSA) | 6至10年(因国而异) | 3年(HMRC) | 5至30年 | 依合同和法律而定 | 3年 | 7年 | 依合同而定 | 5年 |
| 健康/医疗记录 | 6年以上(HIPAA文件) | 8至20年(因国而异) | 8至25年(NHS) | 20年 | 至少15年 | 治疗后5年 | 7年 | 因行业而异 | 6年 |
| 电信元数据 | 无联邦强制要求 | 因成员国而异(欧盟法院已禁止一般性保留) | 12个月(IPA) | 依行业规定 | 6个月(日志) | 3至12个月 | 2年 | 依MIC指南 | 依MDA规定 |
| 反洗钱 | 5年(BSA) | 5年(AMLD) | 5年 | 5年 | 5年 | 5年 | 7年 | 7年 | 5年 |
| 消费者/电子商务 | 无联邦强制要求 | 依目的而定 | 依目的而定 | 5年 | 依目的而定 | 5年 | 依目的而定 | 依目的而定 | 依目的而定 |
数据销毁要求
若没有可执行的销毁要求,保留义务将失去意义。大多数现代隐私法都规定了数据必须如何销毁,而不仅仅是何时销毁。
GDPR/欧盟方式: GDPR要求以使数据无法恢复的方式进行删除。欧盟网络与信息安全局(ENISA)发布的指南建议对硬件进行物理销毁,对电子记录采用加密擦除或多次覆写。EDPB指出,匿名化(使个人不再可被识别)可作为研究和存档目的下删除的替代方案,但警告不应将假名化等同于存储限制原则意义上的删除。
美国联邦标准: NIST发布了SP 800-88修订1版(《媒介净化指南》),详细说明了清除、清空和销毁数据存储介质的方法。许多州隐私法均将NIST标准作为充分销毁的基准。
文件记录要求: 多个司法辖区要求就销毁行为保留书面记录:
- 韩国要求在目的实现后五日内制作销毁日志,记录日期、方法及责任人。
- 英国ICO建议对外包处置服务保留销毁证明。
- 新加坡PDPA要求组织就销毁行为保持"合理问责",包括保存相关记录。
- 印度DPDPA规则要求对48小时删除前通知进行记录和归档。
备份数据: EDPB的2025年CEF报告发现,半数受访数据保护机构报告,控制者对从备份系统中删除数据缺乏专门程序,部分控制者甚至根本不从备份中删除个人数据。监管机构正日益将备份数据视为与主数据承担相同的删除义务。
诉讼保留与保留冲突
诉讼保留(或称法律保留)是指在合理预见诉讼将发生时,保存所有可能相关的文件和数据的义务。在美国,保存义务源自普通法及《联邦民事诉讼规则》的修订,尤其是第37条(e)款,该条规定了未能保存电子存储信息的制裁措施。
诉讼保留优先于标准保留时间表。若组织政策规定三年后删除数据,但预见到将涉及该记录的诉讼,组织必须暂停对相关数据的删除,直至保留义务解除。
在GDPR项下,数据最小化要求与诉讼保留义务之间的张力已被明确承认。GDPR序言第65段规定,为确立、行使或抗辩法律主张,超出原始目的的保留可能是允许的。组织必须在其处理活动记录中记录这一法律依据,并向受影响的数据主体予以说明。
如何建立合规的保留政策
面对跨司法辖区保留要求的组织,应遵循以下步骤:
1. 开展数据清查。 梳理所收集的每一类个人数据、其流经的司法辖区,以及处理的法律依据。此项清查构成可靠保留时间表的基础。
2. 建立保留时间表。 针对每一类数据,确定所有相关司法辖区适用的保留期限,将保留上限设为最长的强制期限,并记录每项期限的法律依据(法定义务、合法利益或同意)。
3. 建立跨境对照矩阵。 对于跨国组织,应建立按司法辖区列示的表格,标明最长的强制保留期限、最短的最长保留期限以及由此产生的合法窗口期。若各辖区存在冲突(例如辖区A强制要求最短保留12个月,而辖区B基于目的设定最长6个月),须记录该冲突及所采取的解决方案。
4. 实现删除自动化。 人工删除流程容易出错。现代数据治理平台可根据保留时间表强制执行自动删除,并对诉讼保留情形进行例外处理。EDPB的2025年CEF报告发现,备份数据是常见的合规缺口。
5. 全程留痕。 监管机构和法院越来越期望组织不仅要证明其制定了保留政策,还要证明其确实予以执行。应保存销毁日志、审计追踪记录和例外记录。韩国和印度均要求对销毁事件进行专门记录。
近期动态(2024年至2026年)
EDPB 2025年被遗忘权执法行动。 EDPB的2025年协调执法行动涵盖32个司法辖区的764家控制者,发现在确定和落实保留期限方面普遍存在困难。EDPB呼吁各国数据保护机构就保留期限制定更具体的指南。
欧盟元数据保留立法。 欧洲委员会于2025年5月启动正式征询活动,就恢复一项欧盟层面强制性元数据保留框架征求意见,立法草案预计于2026年初出台。该提案将适用于电信运营商、云服务、支付处理商,并可能涵盖端到端加密的即时通讯服务。任何新法律都须在欧盟法院禁止一般性、无差别保留的判例框架下运作。
印度DPDPA规则最终确定。 印度DPDPA规则已于2025年11月13日最终确定,首次为大型数字平台设定了具体的保留上限。
澳大利亚隐私法改革。 《2024年隐私与其他立法修正法》(2024年12月10日获御准)是自该法颁布以来最重大的澳大利亚隐私改革,明确了销毁义务并新设了法定侵权诉因。
墨西哥新版LFPDPPP。 墨西哥更新版LFPDPPP已于2025年3月21日起生效,取代了2010年框架,更新了数据处理和保留封存程序。
Frequently Asked Questions
GDPR存储限制原则与强制性数据保留法有何区别?
GDPR存储限制原则(第5条第1款(e)项)是一项隐私保护机制:禁止将个人数据的保留时间超过原始目的所需的期限。强制性数据保留法则是一种监控工具:要求互联网提供商和电信运营商将用户和流量元数据保留固定期限,以便执法机构调取。二者可能同时适用于同一数据,形成介于强制最短期限和存储限制最长期限之间的合法保留窗口。
根据GDPR,公司可以将个人数据保留多久?
GDPR没有设定具体的时限。第5条第1款(e)项要求个人数据的保留时间不得超过收集目的所需的期限。组织必须根据处理目的、任何法定义务和行业特定规则,自行确定并记录保留期限。EDPB的2025年执法报告发现,多数组织难以在这方面保持一致性。
欧盟的《数据保留指令》后来怎样了?
欧盟法院在数字权利爱尔兰案(C-293/12号案,2014年4月8日)中宣告《数据保留指令》(2006/24/EC)无效,认定该指令要求对所有用户的通信元数据进行不加区分的全面保留,违反了《宪章》所保障的隐私权和数据保护权。欧洲委员会目前正就一项替代性强制保留框架展开咨询;立法草案预计于2026年初出台。
欧盟境内是否仍允许对电信元数据进行一般性保留?
在多数打击犯罪的情形下不允许。欧盟法院2014年至2022年间的判例确立,对所有用户的全部流量和位置数据进行一般性、无差别保留与欧盟法律不符。仅定向保留(基于人员、地理位置或类别)、快速冻结命令以及经司法授权的实时监控是被允许的。2024年第二次数字权利争取协会案裁决为IP地址保留创设了一项狭窄例外,因其被视为侵入性低于其他元数据。
印度DPDPA的保留规则出台情况如何?
印度DPDPA规则已于2025年11月13日最终确定。该规则要求依国家安全和法定义务处理的个人数据至少保留一年。拥有2000万以上用户的大型电子商务平台、社交媒体中介以及拥有500万以上用户的在线游戏平台,须遵守三年的最长保留上限。若用户近期未与平台互动,数据受托人须在删除其数据前48小时予以通知。
加拿大隐私改革目前进展如何?
原本拟以《消费者隐私保护法》(CPPA)取代PIPEDA的加拿大C-27法案,随2025年1月议会休会而在议事日程上终止。2025年4月的联邦大选进一步推迟了改革进程。加拿大目前仍依据2000年制定的PIPEDA运作。魁北克省《第25号法》(自2023年9月起生效)提供了更严格的省级要求。
诉讼保留是否优先于数据保留政策?
是的。当合理预见诉讼将发生时,组织必须保存所有可能相关的数据,无论标准保留时间表如何规定。在美国,《联邦民事诉讼规则》第37条(e)款规定了未能保存电子存储信息的制裁措施。在GDPR项下,序言第65段允许为确立、行使或抗辩法律主张而超出原始目的继续保留数据。这一义务持续至诉讼结束或保留要求正式解除为止。
保留期限届满后,个人数据应如何销毁?
大多数隐私法要求进行不可逆的销毁。NIST SP 800-88提供了包括物理销毁、加密擦除和多次覆写在内的方法。韩国要求在五日内完成有记录的销毁。印度要求在删除某些平台数据前提前48小时通知。组织应保存记录日期、方法和责任人的销毁日志。备份系统需要专门的删除程序;EDPB发现这是一个普遍存在的合规缺口。
健康记录与财务记录的数据保留法是否不同?
是的,差异显著。由于持续的临床相关性和潜在的医疗事故索赔,健康记录通常有更长的强制保留期限(在许多司法辖区为8至25年)。财务记录一般要求保留3至10年,具体取决于司法辖区和记录类型。每个行业都有各自的监管框架。在美国,HIPAA规范健康记录文件(6年),而州医疗执业法通常要求对基础记录本身保留7至10年。
公司能否对所有国家采用相同的保留期限?
在全球范围内一律采用最长的要求保留期限,虽然在法律上较为保守,但可能与保留期限较短国家的数据最小化要求相冲突。更稳妥的做法是根据数据主体所在地制定针对特定司法辖区的保留时间表,并为每项期限记录法律依据。跨国组织应建立跨境对照矩阵,为每一类数据和每个司法辖区确定强制最短期限与存储限制最长期限之间的合法窗口期。
Sources and References
- GDPR:(欧盟)2016/679号条例(eur-lex.europa.eu).gov
- GDPR第5条:个人数据处理原则(gdpr-info.eu)
- 欧盟法院数字权利爱尔兰案(C-293/12号和C-594/12号案,2014年4月8日)(curia.europa.eu).gov
- 欧盟法院Tele2 Sverige与Watson案(C-203/15号和C-698/15号案,2016年12月21日)(eur-lex.europa.eu).gov
- 欧盟法院第一次数字权利争取协会案(C-511/18号、C-512/18号、C-520/18号、C-623/17号案,2020年10月6日)(curia.europa.eu).gov
- 欧盟法院SpaceNet与德国电信案(C-793/19号和C-794/19号案,2022年9月20日)(curia.europa.eu).gov
- 欧盟法院第二次数字权利争取协会案(C-470/21号案,2024年4月30日)(eur-lex.europa.eu).gov
- EDPB《2025年协调执法行动:被遗忘权的落实情况》(2026年2月)(edpb.europa.eu).gov
- 英国ICO:存储限制指南(ico.org.uk).gov
- 26 USC 6501:国税局评估与征收时效(law.cornell.edu)
- 45 CFR 164.530:HIPAA行政要求(law.cornell.edu)
- 29 CFR 516:FLSA雇主须保存的记录(law.cornell.edu)
- 18 USC 1520:SOX销毁公司审计记录(law.cornell.edu)
- 加州民法典第1798.100条:CCPA消费者知情权(leginfo.legislature.ca.gov).gov
- 巴西LGPD:第13.709/2018号法律(planalto.gov.br).gov
- 中国PIPL全文(全国人大)(npc.gov.cn).gov
- 中国网络数据安全管理条例(2025年1月1日施行)(english.www.gov.cn).gov
- 印度DPDPA 2023全文(meity.gov.in).gov
- IAPP:印度DPDPA规则最终确定(2025年11月)(iapp.org)
- 韩国PIPA英文译本(law.go.kr).gov
- 澳大利亚隐私原则(OAIC)(oaic.gov.au).gov
- 澳大利亚议会:2024年隐私与其他立法修正法(联邦)(aph.gov.au).gov
- 加拿大PIPEDA:个人信息保护和电子文件法,2000年第5号法令(laws-lois.justice.gc.ca).gov
- 新加坡PDPA:数据保护义务(PDPC)(pdpc.gov.sg).gov
- 南非POPIA:第14条记录的保留与限制(popia.co.za)
- NIST SP 800-88修订1版:媒介净化指南(csrc.nist.gov).gov
- FRCP第37条(e)款:未能保存电子存储信息(law.cornell.edu)