投票中的数据保留
内容
投票中的数据保留是指管理选举相关数据在选举结束后保存多长时间的政策和实践。组织必须在法律合规、争议解决和审计目的所需的记录保存与在不再必要时删除个人数据的义务之间找到平衡,特别是在GDPR下。
什么是投票中的数据保留?
每次在线选举都会产生数据:选民名单、认证日志、加密选票、结果和系统日志。数据保留政策定义了每类数据的保存时长、存储期间的保护措施以及何时和如何安全删除。这些政策必须符合适用法律,同时支持组织的治理需求。
选举数据类型
在线选举产生的几类数据有不同的保留要求:
- 选民注册数据: 姓名、电子邮件地址、资格状态
- 认证日志: 登录记录,双因素认证事件
- 选票数据: 加密票数及相关的加密证明
- 结果数据: 投票统计、多数计算、结果记录
- 系统日志: 平台操作和事件的技术日志
- 选举协议: 选举过程的正式文档
- 通信记录: 向选民发送的邀请、提醒和通知
法律保留要求
保留要求因司法管辖区和组织类型而异:
- 公司法: 股东投票记录可能需要保存10年或更长时间
- 协会法: 会议记录和选举结果通常要求在组织存续期间保存
- 劳动法: 工作委员会选举记录可能有特定的保留期限
- 税法: 通过投票批准的财务决策可能需要为税务合规保留
- 选举法规: 一些司法管辖区明确规定了选举记录的最低保留期限
GDPR与数据保留
GDPR的存储限制原则(第5(1)(e)条)要求只在必要的时间内保留个人数据,用于其收集目的。对于选举数据,这意味着在选举目的完成后,应删除选民个人数据,保留必须有具体法律依据,数据主体(选民)必须被告知保留期,且在仍需要汇总数据的情况下,应考虑匿名化作为删除的替代方案。
按数据类型的保留期
不同的数据类别需要不同的保留期:
- 选民个人数据: 在质疑期结束后删除(一般为选举后30–90天)
- 认证日志: 保留至任何潜在争议期结束
- 加密选票: 保留至结果认证且任何质疑期已过
- 结果数据: 保留至组织所需的归档期(通常为数年)
- 选举协议: 永久保留作为组织记录的一部分
- 系统日志: 为技术故障排除保留有限时间(30–90天)
安全的数据存储
在保留期间,必须安全存储选举数据:
- 静态加密: 所有存储的数据都应加密
- 访问控制: 仅授权人员可访问选举数据
- 隔离: 选举数据应与其他组织数据分开存储
- 备份保护: 备份须遵循相同的保留和删除政策
- 地理位置: 数据托管位置必须符合跨境传输规则
数据删除程序
在保留期结束时,必须安全删除数据:
- 加密擦除: 销毁加密密钥使加密数据永不可访问
- 安全覆盖: 多次覆盖确保数据无法恢复
- 删除证明: 文档化确认删除正确执行
- 备份清理: 确保备份中也删除已删数据
- 验证: 确认删除是彻底和不可逆的
审计追踪保留
虽然应根据保留计划删除选民个人数据,但某些审计追踪元素可能需要为治理目的保留更长时间。挑战在于维持足够的信息以证明选举是正确进行的,同时删除可能识别单个选民或其选择的数据。
数据保留的挑战
组织在管理选举数据保留时面临几个挑战:
- 冲突的要求: 不同法律可能为同一数据规定不同的保留期
- 持续争议: 法律挑战可能需要超出标准时期延长保留
- 技术复杂性: 确保在所有系统和备份中彻底删除
- 跨境考虑: 国际组织可能在各司法管辖区面临不同的要求
- 历史数据: 存在于保留政策建立之前的历史选举数据
选举数据管理的最佳实践
组织应在进行在线选举前建立清晰的数据保留政策,为每个保留期记录法律依据,在投票平台中实施自动删除计划,将匿名化的结果记录与个人数据分开保存,定期审计保留政策的合规性,并通过隐私通知向选民传达保留实践。