GDPR 的目标是尽可能保护个人身份信息 (PII)。特定用户与您的应用程序的交互非常确定这样的 PII。

如果您确实需要记录此信息，您应该告知您的用户有关此过程的信息，即数据收集的目的、信息的存储时间以及谁可以访问数据。您和您向其出售应用程序的任何人不得将数据用于用户同意的任何其他目的。当然，您需要妥善保护信息免遭滥用，即在指定目的之外使用。这具体但不仅包括是否有人入侵您的应用程序或服务器并窃取此数据。

由于数据的使用受到限制并且保护（和罚款）成本可能很高，因此首先不存储这些信息可能更容易。另一种方法是至少尽可能对 PII 进行假名化，即记录的数据仍然可供您使用，但即使拥有所有记录的数据，也无法与特定用户关联。但由于不清楚您使用这些日志的用途，因此无法针对此类假名化的特定过程提供建议。

请注意，尽管简单地将每个唯一的电子邮件地址替换为另一个唯一标识符可能还不够假名。根据您记录的数据，可以创建用户配置文件，并根据配置文件中的特定特征将这些与现实世界的用户相关联。请参阅AOL 搜索数据泄漏示例，了解这种简单的假名化尝试是如何出错的。

记录数据不是 GDPR 下的问题。重要的部分是日志会发生什么，谁可以看到它，存储多长时间，日志用于什么，以及在处理和存储数据后是否能够满足数据主体的权利。

如果您需要记录电子邮件以提供您的服务，那么记录它是没有问题的。但是，如果您确实记录了数据，您需要从一开始就非常清楚自己和数据主体会发生什么。

GDPR 第 5 条规定了处理数据的基本原则。

第 5 条“与处理个人数据有关的原则”

(1) 个人资料应为：

... (b) 为特定、明确和合法的目的而收集，并且不会以与这些目的不相容的方式进一步处理；根据第 89 条第 1 款，出于公共利益、科学或历史研究目的或统计目的的存档目的的进一步处理不应被视为与初始目的不符（“目的限制”）；

出于诊断应用程序问题的目的而存储个人信息日志文件与最初的目的并不矛盾，但请使用“适当的技术和组织措施......根据风险”保护数据。

但不要永远存储您的日志。例如，数据主体（个人的 GDPR 术语）有权被遗忘。这也意味着它们最终应该从日志、备份等中删除。我相信如果你保留过去 90 天的数据 - 那应该没问题。

最后，如果您正在构建一个处理欧盟公民个人信息的系统，我强烈建议您参加 1-2 天的课程，了解控制者、处理者、数据主体、个人信息与个人信息之间的区别。敏感的个人信息等

以下是 GDPR 中的一些引述（重点已添加）。

独奏78：

保护自然人在处理个人数据方面的权利和自由需要采取适当的技术和组织措施，以确保满足本条例的要求。为了能够证明对本法规的遵守，控制者应采取内部政策并实施措施，特别是符合设计数据保护和默认数据保护原则。除其他外，此类措施可能包括尽量减少对个人数据的处理、对个人数据进行假名尽快实现个人数据功能和处理的透明度，使数据主体能够监控数据处理，使控制者能够创建和改进安全功能。

第 25 条（设计和默认的数据保护）第 1 款：

考虑到最先进的技术、实施成本和处理的性质、范围、背景和目的，以及处理对自然人权利和自由造成的不同可能性和严重程度的风险，控制者应：在确定处理方式时和处理本身时，实施适当的技术和组织措施，例如假名化，旨在以有效的方式实施数据保护原则，例如数据最小化方式并将必要的保障措施整合到处理中，以满足本法规的要求并保护数据主体的权利。

这是什么意思？如果您没有充分的理由在日志中包含电子邮件地址，那么您可能不应该这样做。您可以改为记录用户 ID，它具有更高级别的假名化，并且仍然允许您在需要时识别用户。不管 GDPR 如何，无论如何，ID 都可能是唯一标识用户的正确方法，因为我想您可以期望用户始终拥有相同的 ID，而电子邮件地址通常可以更改。

也就是说，即使我不是律师，我认为您在记录电子邮件地址时不会遇到太多麻烦，只要您能够证明所有内容都已足够安全地存储和处理。另一方面，良好的设计选择肯定会帮助您证明您已遵循安全和隐私的最佳实践，并且您没有通过不必要地处理用户的个人数据而将用户的数据置于风险之中。