根据第19条，确定个人信息保存的最短期限需要从以下几个角度考虑：

首先，法律、行政法规是否对信息数据的保存期限有明确规定，以及这些信息数据中是否包含或可能包含个人信息数据。如有，则该保存期限为该特定业务场景下，个人信息保存的最短期限。例如，法律层面如《网络安全法》《电子商务法》《反洗钱法》；行政法规层面如《互联网信息服务管理办法》《征信业管理条例》《麻醉药品和精神药品管理条例》等，均对数据保存期限作出了规定，且这些数据中包含个人信息数据。实践中，在法律、行政法规尚未规定的情况下，少数部门规章及其他规范性文件中对信息数据的保存期限也作出规定；例如《网络交易监督管理办法》《网络餐饮服务食品安全监督管理办法》《网络预约出租汽车经营服务管理暂行办法》《医疗机构管理条例实施细则》等。除此以外，一些细分领域的自律规则中也对新型业态下含有个人信息的数据保存期限提出要求，具有参考性以及指引作用。

其次，对于法律法规规定中没有明确信息数据的保存期限的，业务运营者应基于“合法、正当、必要、诚信”“公开、透明”等原则以及明确、合理目的，基于特定业务场景下收集、存储个人信息的必要性，及其处理目的、方式、范围等自行确定业务所需的最短保存期限。

第三，将基于前述原则及规则确定的个人信息保存必要最短期限，以及业务场景下收集、存储个人信息规则、目的、方式、范围等，以显著方式、清晰易懂的语言写入隐私政策，将隐私政策向信息主体披露和告知并获得授权同意。

根据《个人信息保护法》第47条关于“有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除: （一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满;……法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”的规定，个人信息数据保存期限届满的，个人信息处理者应以删除为原则，以采取必要安全保护措施继续持有为例外方式。

另外，根据GB/T35273-2020《信息安全技术 个人信息安全规范》第6.1 a）“个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律法规另有规定或者个人信息主体另行授权同意的除外。超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理。”《深圳经济特区数据条例》第十一条第（二）项“个人数据存储期限应当为实现处理目的所必需的最短时间，超出存储期限的，应当对个人数据予以删除或者匿名化，法律、法规另有规定或者经自然人同意的除外。”《数据安全管理办法（征求意见稿）》第二十条“网络运营者保存个人信息不应超出收集使用规则中的存储期限，用户注销账号后应当及时删除其个人信息，经过处理无法关联到特定个人且不能复原（以下称匿名化处理）的除外。”等规定及立法动态，当法定或约定的个人信息保存期限届满后，个人信息处理者可以选择匿名化处理后继续持有这一数据。此时需要注意，部分领域法律法规规定对保存期限届满后的删除措施有强制性要求，例如《征信业管理条例》第十六条规定：“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。”对于这些数据就不亦采取匿名化处理。

目前距离《个人信息保护法》正式生效还有2个月左右的时间，建议企业一方面全面梳理个人信息收集、保存情况是否符合相关法律法规规定，另一方面向员工、合作方进行个人信息保护相关培训，落实个信息保护相关承诺，完善个人信息保护及数据安全合规体系，从而降低自身法律风险，在法律框架内合规发展数字经济，为数字产业平稳发展提供了良好的社会环境。