1. 仅保留App-scoped UserID是否合规？ #

绝对不合规。根据Facebook平台政策，当用户触发Data Deletion Callback请求时，必须删除所有与Facebook身份关联的信息，而App-scoped UserID是Facebook身份在你的应用中的核心关联标识，属于明确要求删除的范畴。保留该ID意味着你仍维持着用户Facebook身份与应用数据的绑定关系，直接违反了Facebook的数据删除规则。

2. 用户无其他登录方式时，是否必须删除全部应用数据？ #

需结合知情权和合规要求分情况处理：

• 知情权是前提：如果你的隐私政策未提前告知用户「删除Facebook关联数据会导致无其他登录方式的用户永久失去应用数据访问权限」，首先必须更新隐私政策，明确这一后果。未告知就执行操作，会违反GDPR、CCPA等隐私法规中的用户知情权要求。
• 合规操作选项：
  • 若用户仅要求「删除Facebook相关数据」而非「删除所有个人数据」，你可以保留应用数据，但必须彻底剥离所有与Facebook相关的关联信息，同时明确告知用户后续无法再访问该数据的事实。不过这种无访问权限的数据存储，对用户无实际价值，还可能让你承担数据冗余存储的合规风险。
  • 更合理的做法是：在用户发起Facebook数据删除请求时，先检查其是否有其他登录方式；若没有，主动提示用户导出应用数据，或询问用户是否同时删除全部应用数据；若用户选择保留数据，需再次确认其知晓无法访问的后果，并完成数据去标识化处理。
• 特殊情况：如果用户的请求本质是删除其所有个人数据（而非仅Facebook关联数据），无论是否有其他登录方式，都必须按照隐私法规要求删除全部个人数据。

内容的提问来源于stack exchange，提问作者Merricat