# HDGP 审计数据留存分层策略（P2）

> 目标：区分“完整性证据长保”与“调试细节短保”，降低存储压力并保持可审计性。

---

## 一、分层定义

## 1) Core 轨（长保）

- 用途：合规审计、发布复盘、责任追溯
- 典型内容：发布门禁结果、季度证据索引、关键演练报告、留存策略报告
- 默认策略：2 年 / 2000 份 / 20GB

## 2) Debug 轨（短保）

- 用途：研发调试、回归定位
- 典型内容：高频 `THREAT_MODEL_AUDIT_*.md`、临时故障注入中间报告
- 默认策略：60 天 / 300 份 / 2GB

---

## 二、执行原则

1. Core 轨优先保留，不进行自动删除（仅归档）  
2. Debug 轨按阈值进行归档/清理  
3. 清理前必须先产出 dry-run 报告  
4. 清理动作必须有显式授权开关

---

## 三、当前自动化映射

- `scripts/plan-audit-retention.ps1`
  - dry-run：`RETENTION_DRY_RUN.md`
  - apply：`RETENTION_APPLY.md`（需授权开关）
- `scripts/run-g3-oneclick.ps1`
  - 自动生成 `STORAGE_SUMMARY.md`
  - 可选触发 retention apply（受保护）

---

## 四、最小合规要求

- 季度 `EVIDENCE_INDEX.md` 必须可定位 Core 轨关键证据  
- 清理后仍需可追溯发布门禁结论  
- 留存策略变更需更新本规范并记录日期

---

## 五、参数来源与调整机制

### 5.1 参数来源

- 历史证据数据（报告增速、季度产出、存储增长）  
- 风险分层目标（core 长保、debug 短保）  
- 运维容量边界（磁盘预算、复核能力）

### 5.2 调整流程

1. 先 `dry-run`，评估影响范围  
2. 审核通过后再 `apply`（默认仅 debug 轨）  
3. 每次调整记录 `ticket_id`、责任人、前后参数与结果

### 5.3 参数化入口（已支持）

- 脚本：`scripts/plan-audit-retention.ps1`  
- 配置文件：`configs/retention-policy.example.json`  
- 运行参数：`-ConfigPath`、`-Profile`  
- 环境变量：`HDGP_RETENTION_CONFIG_PATH`、`HDGP_RETENTION_PROFILE`

---

## 六、与隐私条款关系（P1/P2）

- P2 本规范解决“分层与时限”  
- P1（脱敏字段规则）见：`docs/HDGP_AUDIT_REDACTION_POLICY.md`（与 `HDGP_AUDIT_REDACT_MODE` 实现一致）

---

## 七、关联文档

- `docs/HDGP_G3_ONECLICK_RUNBOOK.md`
- `docs/HDGP_G3_CI_TEMPLATE.md`
- `spec/HDGP_KERNEL_CHECKLIST.md`
- `docs/HDGP_RETENTION_PARAMETER_AND_MESSAGING_GUIDE.md`