数据保留挑战与合规性要求

关键要点

• 数据风险已从技术问题转变为合规性问题。
• 数据保留政策需要有效实施，以保证数据的合规性和安全性。
• 设计有效的数据保留计划是顺应GDPR等隐私法规的基础。
• 各类隐私法规（如CPRA、纽约SHIELD法案等）为数据管理带来了不同的挑战。

随着时间的推移，数据风险的观念经历了巨大变化。数据存储、排序、分析的技术挑战逐渐转变为数据合规的重要性，尤其是在GDPR以及其他国家和地区隐私法规的推动下，组织必须实施合规策略，并配备相应的技术和流程来履行义务。有效的数据保留不仅是合规的基础，也是确保数据安全的重要措施。

许多组织都有一定的数据保留政策，但在实际操作中，往往未能有效执行。数据保护法律要求组织删除不再需要的数据，这不仅是安全的最佳实践，亦是合规的基本要求。隐私法规强调个人信息不应在合法用途或法律要求之外保留，且通常要求在收集时就提前告知这些保留期限。理解数据保留要求是实施数据保留计划的第一步。接下来将重点分析四项基础要求，并通过具体隐私法规示例来探讨。

数据保留挑战 #1: 数据主体访问请求（DSARs）

加州隐私权法（CPRA）于2020年11月通过公投实施，强化了加州消费者隐私法（CCPA）中关于个人数据收集和保留的义务。根据该法，组织必须在45天内响应数据主体的请求，并提供他们所持有的个人数据，包括数据的使用和处理方式。这些访问权利的公开化意味着其对品牌声誉的影响可能超出法律本身规定的处罚。

要有效响应DSAR ，：包括接收请求的消费者门户、准确的数据地图或库存、收集、编辑和生产数据的技术，以及在数据不再需要时删除个人数据的数据保留政策和流程。

数据保留挑战 #2: 数据保护要求

纽约SHIELD法案（Stop Hacks and Improve Electronic Data SecurityAct）于2019年通过，规定了对私人信息的保护责任。该法案更新了现有的隐私和数据泄露通知法律，并要求组织在发生数据泄露时采取特定措施来降低风险，确保个人信息得到保护。与其他法规不同的是，针对该信息的任何未授权访问都被视为泄露
，不仅限于数据的丢失或外泄。

预防个人数据丢失或未授权访问的最有效方式就是一开始就不要收集
不必要的数据。有效的数据保留计划应开始理解所获取并保留的数据类型及其使用的时间窗口，从而计划在数据不再需要时进行及时删除
，这正是数据保留计划的核心。

数据保留挑战 #3: 生物识别数据法规

伊利诺伊州生物识别信息隐私法（BIPA）自2008年颁布以来，规范了生物识别数据的使用和保留。该法律是美国关于生物识别数据的最严格法律之一，涉及指纹、声音图谱和手掌静脉等数据类型。该法律对收集生物识别数据的企业设置了隐私义务，并授予数据主体有限的访问权，也强制要求保护和保留生物识别数据。

近年来，基于该法律的投诉及集体诉讼不断增加。2019年，在Rosenbach v. SixFlags案中，法院裁定原告不必证明具体损害即可获得诉讼资格。2020年，在案件中，一个公司因生物识别信息保留过久而被判定造成隐私损害，尽管其数据得到妥善保管且没有发生泄露。2021年，BIPA案件的和解金额高达[六位、七位、八位，甚至九位数](https://www.natlawreview.com/article/jackson