法律保留和数据冻结
1)什么是Legal Hold,为什么需要
Legal Hold(法律暂停数据删除/更改)是对可能与调查、审计、索赔、司法或监管程序有关的特定数据进行管理的"冻结"。目的是保持证据完整性:防止在存在法律风险的情况下销毁、修改或自动清除请求时间表。
主要原则:- 及时:在"合理等待"争议/检查后立即入场。
- 准确性:仅冻结相关集(数据最小化)。
- 可观察性和可审计性:所有活动都是可构造的,可供验证。
- 可逆性:有一个可以理解的过程,可以卸下保管并恢复到正常的删除时间表。
2)当引入法律保留: 类型触发器
索赔通知,监管机构投诉,监督命令。
内部调查(合规/安全/财务/AML)。
eDiscovery/外部顾问查询。
安全事件(泄漏,欺诈)。
来自保护线的信号:法律,DPO,CISO,内部审计。
3)冻结量: 数据源
运营存储:交易数据库,支付记录,KYC/KYB,AML信号。
企业沟通:邮件,聊天,呼叫记录,提卡。
文件存储库和DWH/datalakes:原始图层和派生图层。
备用和存档:snapshots,WORM存储,S3 对象锁/immutability。
第三方处理器:KYC,PSP,营销平台,云提供商。
重要的是:冻结适用于副本和衍生品(ETL/vitorki/keshi)。
4)角色和责任(RACI)
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
5)端到端流程(SOP)
1.启动:法律记录案件,形成"scope":主题,日期,主体,系统。
2.评估和映射:Data Owners+Legal Ops创建源/表/备份列表。
- 在DLP/EDRM/存档中启用保留标签/规则。
- 在受影响的电路中阻止自动删除/匿名。
- 对于备份-应用immutability/WORM;提交转发。
- 4.通知(Legal Hold Notice):收件人(custodians)-必须保存和不删除。
- 5.执行控制:确认,提醒,培训,监控违规行为。
- 6.定期审查:每月最低限度-是否保持一致,是否没有过多的覆盖范围。
- 7.删除保管权:法律部门的书面决定;恢复常规政策的支票单。
- 8.Defensible处置:恢复计划删除和匿名,在日志中固定。
6)放纵和"冻结"政策: 它们如何结合
规则:Hold仅暂停受影响的对象的适当撤销期限。
与Privacy by Design的冲突:极少扩展范围;不要阻止"非关联"集。
粒度:对象(ID/主题),表/部分,空间/袋子,文档类型。
7)技术控制措施
固定存储:WORM/S3对象锁、写入卷、日志文件系统。
完整性控制:哈希,证据链,审计记录(仅附录)。
在DB中冻结:策略标志和触发器,通过给定的密钥阻止UPDATE/DELETE。
通信归档:使用合法保存API (journaling, AIP/EDRM)自动邮件/聊天日志。
DLP/EDRM集成:"LegalHold=true"标签,禁止删除,通过案例导出。
Backups:单独的保留备份,延长保质期,恢复测试。
可观察性:dashboard hold案例,SLA,应用错误,"漂移"策略。
8)集成点(参考体系结构)
案件管理(法律):案件系统↔数据目录↔策略编排器。
IAM/Secrets:委派导出/查看所需的最低访问权限。
Data Catalog/Lineage:自动"着色"相关数据表。
转义配置的CI/CD:保留规则-作为代码(策略即代码),评论/版本。
SIEM/SOAR:关于试图删除/修改保持不变。
9)冲突以及如何解决冲突
DSAR/删除权 vs Legal Hold:如果数据需要保存以履行法律义务,则可以合法推迟实体的请求;记录理由并通知受试者延误。
最小化和比例性:重新审视scope;整理无关的个人数据。
跨边界转移:如果我们在其他司法管辖区持有副本,我们将检查转让的法律依据和机制(SCC/BCR/本地注册)。
加密和密钥:不可能通过销毁密钥来"绕过"保存;KMS轮换记录在案。
10)监管背景(供参考)
eDiscovery/民事诉讼标准(例如,FRCP 37(e))-对ESI损失的制裁。
GDPR/本地数据法律:存储合法性,通知,目标限制。
财务/AML:规定的保留期限(交易,KYC),可能比正常时间长。
(相关规则由Legal针对您的司法管辖区/市场进行澄清。)
11)度量标准和SLA
时间保持:从触发器到在所有目标系统上的应用(目标:≤24 h)。
Coverage:已确认的custodians/system(目标:100%)的百分比。
Drift/Violations:被策略阻止的删除/编辑尝试。
Scope Creep:非相关对象的比例是通过每月审查来降低。
时间到发布:从法律解决方桉到完全撤回(目标:≤48 -72小时)。
12)法律保留启动支票清单
- 注册桉例和法律依据。
- 形成scope(主题、日期、系统、数据类型)。
- 更新数据图和线路。
- 在DLP/归档/DB/文件/备份中启用保留规则。
- 发送法律保留通知和说明。
- 包括监测和差异。
- 提交容错备份(immutability)并测试恢复。
- 定期审查计划和下一次审计的日期。
13) Template Legal Hold Notice(简短)
主题: 法律保留:数据保存义务
收件人: [custodians/数据所有者列表]
依据: [桉例号/程序类型]
保存的内容: [系统/文件夹/表/邮箱/日期范围]
禁止: 删除、修改、清除、覆盖、加密
说明: 在哪里以及如何存储,标签/标签,联系人Legal Ops
截止日期: 直至另行发出撤回通知
确认: 用于确认阅读和执行的链接/表格
14)删除合法持有程序(发布)
1.Legal+解决方桉说明原因。
2.最终导出/证据整合(如果需要)。
3.召回通知,编写时间。
4.恢复常规的回避和匿名策略。
5.闭幕式报告:保管下的内容,通知谁恢复了哪些处置。
15)频繁的错误以及如何避免错误
模煳范围→存储过剩、隐私风险和成本。
无视Bakaps和Kesha →不完全冻结,桉件脆弱。
没有可变性→存在未经授权修改的风险。
与custodians的沟通不畅→人为因素和干扰。
缺乏定期审查→"永恒"的不必要。
16)"地面上"迷你花花公子(运营)
DBA:在受影响的批次/密钥上应用"legal_hold=true"属性;启用审计触发器;阻止DDL模式更改。
存储:将相应的垃圾箱/文件夹转换为WORM/Retention Lock;创建一个snapshots。
Mail/Chat:在案例中包括日志和导出;purge禁令。
DWH/ETL:将表格标记为仅读表;冻结对历史派对的定期清洗。
Backups:延长期限的专用复制副本;每周恢复检查。
监视:在Slack/Email中警报任何DELETE/TTL事件。
17)政策(示例语言)
当发生合理的争议/审查等待时,组织应立即引入法律保留。
保留范围取决于必要性和比例原则。
所有员工都必须遵守通知并确认执行。
技术不变性由可变性和审计记录工具提供。
Hold每30天至少检讨1次。
取消保留是书面形式的,并伴随着标准策略的恢复。
18)相关的wiki部分
Privacy by Design和最小化数据
数据存储和删除时间表
删除和匿名数据
Legal/Regulatory Requests & eDiscovery
事件管理和前瞻性
DLP/EDRM和通信归档
底线
Legal Hold是严格定义的数据的可控制,可测量和可审计的"冻结"。强大的程序依赖于:(1)快速触发和精确的范围,(2)技术不变性(WORM, object lock, audit), (3)透明角色和SLA, (4)定期审查并安全取出保持,恢复正常的反感。