数据该存多久？到期怎么删？云上合规保留与销毁实战

去年一个客户被审计卡住了。审计师问：“你们三年前的用户日志还在吗？”答：“在。”审计师又问：“那为什么没有销毁记录？按照你们的数据保留政策，这些日志应该已经删了。”答：“我们没设自动删除，手动删怕删错。”

不是不想删，是不敢删。怕删错数据、怕没有留证、怕删了又被要求恢复。

结果：被开了整改项，加了手动审批流程，每次删数据都要层层签字。

这是数据合规最尴尬的现状：存着是成本，删不掉是风险，不会删是能力缺口。

今天聊聊云上数据合规保留与销毁。不是那种“数据很重要”的入门课，而是帮你理清楚：数据该存多久？到期怎么删？删了怎么证明？

01 数据保留期：不是越长越好

很多人有个错觉：数据存着总没坏处。这是误解。

• 超过保留期还存着，是合规风险（审计追问“为什么不删”）

• 存着就要保护，安全成本一直掏

• 数据量持续增长，存储成本每月涨

常见法规保留期要求：

那家客户的日志保留政策定的是3年。3年后的日志应该删除。但他们没设自动删除，也不敢手动删，于是一直存着。审计来了一问，没法解释为什么没执行政策。

02 保留期怎么定？三个来源

数据保留期不是技术自己定的，来自三个地方：

法规要求：等保、GDPR、行业监管，是最低要求。不能短于这个时间。

业务需求：售后需要查多久的订单？财务需要查多久的账？这个决定了实际保留期。

成本权衡：存越久，成本越高。核心数据存久点，非核心可以短。

那家客户后来重新定了政策：订单数据保留3年（售后需求），日志保留6个月（等保要求），超过保留期的自动归档到冷存储，再到期自动删除。

03 安全销毁：不是按删除键

合规销毁不只是“删了”，还要满足三点：

• 不可逆：数据无法恢复。普通删除只是标记不可见，数据还在介质上。

• 可证明：能向审计证明“我删了、什么时候删的、谁授权删的”。

• 无残留：所有副本都删了，包括备份、容灾、归档副本。

云上销毁方式：

• 逻辑删除：标记删除，数据不可访问。适合非敏感数据、可恢复需求。

• 加密删除：删除密钥，密文无法解密。适合敏感数据、快速销毁。

• 物理销毁：云厂商负责，消磁、粉碎。用户无需操作，但要能拿到销毁证明。

等保和GDPR要求：敏感数据应使用加密删除或物理销毁，且能提供销毁证明。

那家客户后来启用了S3对象锁定，保留期内不可删。保留期结束后，生命周期策略自动删除。删除操作记录到审计日志，每月导出销毁报告。

04 销毁留证：证明你删了

审计不只看你有没有删，还要看你有没有“证据证明删了”。

需要留存的证据：

• 删除操作日志：谁、什么时候、删了什么

• 授权记录：审批流程、授权人

• 销毁证明：云厂商提供的介质销毁证明（物理销毁）

• 合规报告：定期导出，存档备查

工具：

• AWS CloudTrail：记录删除API调用

• 审批系统：ServiceNow、Jira工单

• 云厂商合规报告：SOC2、ISO27001附件

那家客户整改后，每次数据销毁都走工单系统：申请→审批→执行→日志归档。审计再来，直接导出工单和日志，一天搞定。

05 自动化生命周期策略

靠人工管理保留和销毁，一定会漏。要用自动化。

对象存储（S3/OSS）生命周期策略：

• 创建后30天：转到低频

• 180天后：转到归档

• 365天后：自动删除

数据库自动归档：

• 分区表按时间分区，旧分区自动detach、归档、删除

日志服务：

• 设置保留期，到期自动删除

那家客户用S3生命周期策略：日志6个月后自动删除。不用人工管，审计日志自动记录删除操作。

06 一个真实案例：销毁证明救了审计

一个金融客户，监管要求数据保留7年，到期必须销毁。他们用了AWS S3对象锁定，保留期内不可删。7年后自动删除，但审计要求提供“销毁证明”。

AWS提供了介质销毁证明（作为合规报告附件），说明旧存储介质已物理销毁。客户导出销毁记录，附上AWS的合规报告，审计通过。

数据负责人说：“以前怕删，现在不怕了。自动删、有日志、有证明。”

写在最后

数据保留和销毁，不是技术问题，是治理问题。

那位客户的数据负责人后来总结：“以前觉得存着最安全，现在知道，到期不删才是风险。删了没留证，等于没删。”

你的数据，存多久？到期删了吗？有证明吗？三个问题答不上来，今天就开始改。