我在欧洲, 隐私法比较严(GDPR).

如果只是文件日志, 一般只记录id就行了不是吗? 最多加个姓名还有其它关键信息(如会员号等).

如果是操作日志, 放在数据库里也ok, 那这个日志表跟其它用户表的安全级别差不多.

在遵守GDPR要删除用户相关时, 一般不会删除用户, 而是用垃圾数据填掉(如Delete User1)(如果数据库日志有名称字段, 也要更新), 删除用户可能会影响功能. 只要保证用户的隐私信息不存在就行了. 至于文件日志, 一般时间长了的会删掉不是吗?

总的说日志是系统数据的一部分, 所以即使打印了只要安全到位外泄也没问题了(没人打印密码吧 ).