返回博客
5 分钟阅读Law & Regulationprivacygdprcompliancedataarchitecture

存储期限限制是 2026 年分析领域的执法前线

监管机构不再追问你是否合法收集了数据,而是追问你何时删除了它。在 CNIL 对 Free 开出 4200 万欧元罚单、EDPB 开展删除合规专项检查之后,分析数据的留存成了审计目标。

Izac CavalheiroFounder

GDPR 中代价高昂的问题过去是你是否有合法依据收集这些数据。到了 2026 年,它变成了为什么这些数据还在你的数据库里。两起执法事件把数据留存从文档脚注推到了前线,而分析系统正处在波及范围之内。

两项改变靶心的裁决

2026 年 1 月 13 日,CNIL 对 Free Mobile 处以 2700 万欧元罚款,对 Free 处以 1500 万欧元罚款。大多数报道聚焦于 2024 年泄露 2400 万份用户合同的事件,但该裁决也直接援引了 第 5(1)(e) 条 —— 存储期限限制。Free Mobile 在没有正当理由的情况下,保留了 280 万份已取消逾十年的合同 的数据。这些数据并非非法收集。它们是被非法保留的。

一个月后,EDPB 公布了其 2025 年协调执法行动的结果。三十二家数据保护机构针对删除实践审计了 764 家控制者,发现两项系统性缺陷:缺少内部数据分类,以及 IT 系统本身缺少自动化删除机制。一份没有任何技术手段强制执行的成文留存政策,被视为加重情节,而非减轻情节。

信号毫不含糊。监管机构现在默认收集已经发生;他们审计的是删除。

为什么分析是显而易见的检查对象

第 5(1)(e) 条规定的存储期限限制要求:个人数据以可识别形式保留的时间不得超过目的所需。大多数分析技术栈都在悄然违反这一点。

一个典型的事件表会为每次交互存储一行,并绑定到一个稳定的标识符 —— 一个 cookie ID、一个设备 ID、一个经过哈希的邮箱 —— 带有时间戳且没有过期时间。表结构被设计成永久保存一切,以便“我们以后也许想查询它”这件事始终成立。这正是 CNIL 所处罚的以防万一式留存

问题之所以加剧,是因为正是标识符使得一行成为个人数据。只要 user_id = a91f... 能够在数月的事件中被关联回某个人,那么这些行中的每一行都落入适用范围,每一行都受访问和删除请求的约束,每一行在发生泄露时都是一项责任。留存不是存储成本。它是以时间计量的暴露风险。

写入时最小化胜过读取时删除

持久的解决方案不是一个更好的、修剪旧行的 cron 任务。而是一种数据模型,让可识别的形式从一开始就不会持久化。

Monoid 的身份模型正是围绕这一点构建的。一位访客仅由一个每日哈希来表示:

SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

原始 IP 和 User-Agent 仅在 Worker 内存中存在,刚好够计算出该哈希;D1 存储的是哈希,而非原始值。由于日期是输入项,同一访客的哈希每到午夜就会改变。没有可供保留的跨日稳定标识符,因此存储期限限制所针对的跨会话画像无法累积 —— 不是靠政策,而是靠架构本身。

这就是写入时的数据最小化。你无需事后删除关联,因为你从未写入过它。当不存在可供删除的持久键时,删除请求就变得微不足道。

你真正能够证明的留存

存储期限限制仍然需要一个外部上限,而可辩护的上限是短而强制执行的,而非长而停留在愿景。Monoid 对页面浏览数据的保留期最多为 730 天。两年是为趋势分析刻意设定的上限,而清除是针对该表的真实操作,不是政策 PDF 里的一行字。EDPB 的结论是:没有强制执行的政策正是调查所利用的缺口;一种真正会执行的留存机制填补了它。

二者的组合比任何单独一半都更重要。每日轮换的哈希意味着数据在留存规则适用之前就已经是聚合形态。730 天的清除意味着即便是那种聚合信号,也有一个明确、可证明的终点。

如何评判你所依赖的任何分析系统

无论你的网站背后是哪种分析系统,有三项检查与监管机构所审计的内容直接对应:

  • **找出每一个把记录随时间关联到个人的字段。**稳定的 user ID、持久的 cookie 值、原始 IP、fingerprint。每一个都会把事件日志变成被保留的画像 —— 因此要追问你所使用的分析系统是否存储了其中任何一项。
  • **追问留存何时被施加 —— 在数据写入时,还是在季度评审时。**在数据写入过程中发生的最小化,胜过某个需要有人记得去运行的删除任务。最有力的答案是一种从一开始就从未存储可识别形式的模型。
  • **追问删除是否可证明。**如果供应商无法指出一个真正会执行的硬性留存上限,那它拥有的是政策,而非控制 —— 而 EDPB 的专项检查刚刚告诉你,二者中是哪一个会被罚款。

在审计中最容易辩护的数据,是你从未以可识别形式保留过的数据。存储期限限制不再是隐私政策中需要换种说法照抄的条款;它是下一次调查将要衡量的东西,而回应它的架构,正是那个从一开始就没有画像可删的架构。

参考来源

Related posts

5 分钟阅读Law & Regulation

哈希何时算个人数据?欧盟法院 SRB 判决与分析中的身份标识

欧盟法院在 EDPS 诉 SRB 案中将可识别性确立为相对的、依情境而定的判断标准。本文说明这对基于哈希的分析意味着什么,以及为什么每日轮换的加盐哈希既能通过法院的解读,也能通过 EDPB 更严格的解读。

阅读更多
4 分钟阅读Law & Regulation

Digital Omnibus 拟豁免第一方分析的同意要求

欧盟 2025 年 11 月的 Digital Omnibus 提议豁免第一方、仅内部使用的受众测量的同意要求。它描述的正是无 cookie 分析早已运行的模型。

阅读更多
5 分钟阅读Law & Regulation

Consent Mode v2 与 2026 年 6 月 Google Signals 的终结

2026 年 6 月 15 日起,ad_storage 成为 Google 体系中对广告数据的唯一控制。本文讲解 Google Signals 终结对开发者意味着什么——以及为什么这整套机制是无 cookie 分析从来不必构建的。

阅读更多

Comments

Loading comments…