法律保留和數據凍結
1)什麼是Legal Hold,為什麼需要
Legal Hold(法律暫停數據刪除/更改)是對可能與調查、審計、索賠、司法或監管程序有關的特定數據進行管理的「凍結」。目的是保持證據完整性:防止在存在法律風險的情況下銷毀、修改或自動清除請求時間表。
主要原則:- 及時:在「合理等待」爭議/檢查後立即入場。
- 準確性:僅凍結相關集(數據最小化)。
- 可觀察性和可審計性:所有活動都是可構造的,可供驗證。
- 可逆性:有一個可以理解的過程,可以卸下保管並恢復到正常的刪除時間表。
2)當引入法律保留: 類型觸發器
索賠通知,監管機構投訴,監督命令。
內部調查(合規/安全/財務/AML)。
eDiscovery/外部顧問查詢。
安全事件(泄漏,欺詐)。
來自保護線的信號:法律,DPO,CISO,內部審計。
3)凍結量: 數據源
運營存儲:交易數據庫,支付記錄,KYC/KYB,AML信號。
企業溝通:郵件,聊天,呼叫記錄,提卡。
文件存儲庫和DWH/datalakes:原始圖層和派生圖層。
備用和存檔:snapshots,WORM存儲,S3 對象鎖/immutability。
第三方處理器:KYC,PSP,營銷平臺,雲提供商。
重要的是:凍結適用於副本和衍生品(ETL/vitorki/keshi)。
4)角色和責任(RACI)
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
5)端到端流程(SOP)
1.啟動:法律記錄案件,形成「scope」:主題,日期,主體,系統。
2.評估和映射:Data Owners+Legal Ops創建源/表/備份列表。
- 在DLP/EDRM/存檔中啟用保留標簽/規則。
- 在受影響的電路中阻止自動刪除/匿名。
- 對於備份-應用immutability/WORM;提交轉發。
- 4.通知(Legal Hold Notice):收件人(custodians)-必須保存和不刪除。
- 5.執行控制:確認,提醒,培訓,監控違規行為。
- 6.定期審查:每月最低限度-是否保持一致,是否沒有過多的覆蓋範圍。
- 7.刪除保管權:法律部門的書面決定;恢復常規政策的支票單。
- 8.Defensible處置:恢復計劃刪除和匿名,在日誌中固定。
6)放縱和「凍結」政策: 它們如何結合
規則:Hold僅暫停受影響的對象的適當撤銷期限。
與Privacy by Design的沖突:極少擴展範圍;不要阻止「非關聯」集。
粒度:對象(ID/主題),表/部分,空間/袋子,文檔類型。
7)技術控制措施
固定存儲:WORM/S3對象鎖、寫入卷、日誌文件系統。
完整性控制:哈希,證據鏈,審計記錄(僅附錄)。
在DB中凍結:策略標誌和觸發器,通過給定的密鑰阻止UPDATE/DELETE。
通信歸檔:使用合法保存API (journaling, AIP/EDRM)自動郵件/聊天日誌。
DLP/EDRM集成:「LegalHold=true」標簽,禁止刪除,通過案例導出。
Backups:單獨的保留備份,延長保質期,恢復測試。
可觀察性:dashboard hold案例,SLA,應用錯誤,「漂移」策略。
8)集成點(參考體系結構)
案件管理(法律):案件系統↔數據目錄↔策略編排器。
IAM/Secrets:委派導出/查看所需的最低訪問權限。
Data Catalog/Lineage:自動「著色」相關數據表。
轉義配置的CI/CD:保留規則-作為代碼(策略即代碼),評論/版本。
SIEM/SOAR:關於試圖刪除/修改保持不變。
9)沖突以及如何解決沖突
DSAR/刪除權 vs Legal Hold:如果數據需要保存以履行法律義務,則可以合法推遲實體的請求;記錄理由並通知受試者延誤。
最小化和比例性:重新審視scope;整理無關的個人數據。
跨邊界轉移:如果我們在其他司法管轄區持有副本,我們將檢查轉讓的法律依據和機制(SCC/BCR/本地註冊)。
加密和密鑰:不可能通過銷毀密鑰來「繞過」保存;KMS輪換記錄在案。
10)監管背景(供參考)
eDiscovery/民事訴訟標準(例如,FRCP 37(e))-對ESI損失的制裁。
GDPR/本地數據法律:存儲合法性,通知,目標限制。
財務/AML:規定的保留期限(交易,KYC),可能比正常時間長。
(相關規則由Legal針對您的司法管轄區/市場進行澄清。)
11)度量標準和SLA
時間保持:從觸發器到在所有目標系統上的應用(目標:≤24 h)。
Coverage:已確認的custodians/system(目標:100%)的百分比。
Drift/Violations:被策略阻止的刪除/編輯嘗試。
Scope Creep:非相關對象的比例是通過每月審查來降低。
時間到發布:從法律解決方案到完全撤回(目標:≤48 -72小時)。
12)法律保留啟動支票清單
- 註冊案例和法律依據。
- 形成scope(主題、日期、系統、數據類型)。
- 更新數據圖和線路。
- 在DLP/歸檔/DB/文件/備份中啟用保留規則。
- 發送法律保留通知和說明。
- 包括監測和差異。
- 提交容錯備份(immutability)並測試恢復。
- 定期審查計劃和下一次審計的日期。
13) Template Legal Hold Notice(簡短)
主題: 法律保留:數據保存義務
收件人: [custodians/數據所有者列表]
依據: [案例號/程序類型]
保存的內容: [系統/文件夾/表/郵箱/日期範圍]
禁止: 刪除、修改、清除、覆蓋、加密
說明: 在哪裏以及如何存儲,標簽/標簽,聯系人Legal Ops
截止日期: 直至另行發出撤回通知
確認: 用於確認閱讀和執行的鏈接/表格
14)刪除合法持有程序(發布)
1.Legal+解決方案說明原因。
2.最終導出/證據整合(如果需要)。
3.召回通知,編寫時間。
4.恢復常規的回避和匿名策略。
5.閉幕式報告:保管下的內容,通知誰恢復了哪些處置。
15)頻繁的錯誤以及如何避免錯誤
模糊範圍→存儲過剩、隱私風險和成本。
無視Bakaps和Kesha →不完全凍結,案件脆弱。
沒有可變性→存在未經授權修改的風險。
與custodians的溝通不暢→人為因素和幹擾。
缺乏定期審查→「永恒」的不必要。
16)「地面上」迷你花花公子(運營)
DBA:在受影響的批次/密鑰上應用「legal_hold=true」屬性;啟用審計觸發器;阻止DDL模式更改。
存儲:將相應的垃圾箱/文件夾轉換為WORM/Retention Lock;創建一個snapshots。
Mail/Chat:在案例中包括日誌和導出;purge禁令。
DWH/ETL:將表格標記為僅讀表;凍結對歷史派對的定期清洗。
Backups:延長期限的專用復制副本;每周恢復檢查。
監視:在Slack/Email中警報任何DELETE/TTL事件。
17)政策(示例語言)
當發生合理的爭議/審查等待時,組織應立即引入法律保留。
保留範圍取決於必要性和比例原則。
所有員工都必須遵守通知並確認執行。
技術不變性由可變性和審計記錄工具提供。
Hold每30天至少檢討1次。
取消保留是書面形式的,並伴隨著標準策略的恢復。
18)相關的wiki部分
Privacy by Design和最小化數據
數據存儲和刪除時間表
刪除和匿名數據
Legal/Regulatory Requests & eDiscovery
事件管理和前瞻性
DLP/EDRM和通信歸檔
底線
Legal Hold是嚴格定義的數據的可控制,可測量和可審計的「凍結」。強大的程序依賴於:(1)快速觸發和精確的範圍,(2)技術不變性(WORM, object lock, audit), (3)透明角色和SLA, (4)定期審查並安全取出保持,恢復正常的反感。