الانتقال إلى المحتوى الرئيسي
عندما يستدعي صاحب بيانات حقه في النسيان، تحتاج شيئين: نسخة قابلة للنقل من بياناته، وحذف لا رجعة فيه يصل فعلاً إلى كل سطح لمسه نشاطه — لا مجرد صف المستخدم. يجعل OrcaRouter كليهما خدمة ذاتية. حساب مسجّل دخوله يستطيع تصدير بياناته وجدولة حذفه؛ يعمل الحذف كـنافذة مهلة من 30 يوماً متبوعة بـتنظيف PII يطهّر تتالياً سجلات القابلية للملاحظة المرتبطة بذلك الحساب. تغطي هذه الصفحة تدفّق المحو القابل للملاحظة من العميل. لأين تعيش مُنتَجات الأدلة، انظر إقامة البيانات؛ ولمدة بقاء سجلات الطلبات باستقلالية عن المحو، انظر الاحتفاظ.

1. محو GDPR لـ LLM: تدفّق DSAR الخدمة الذاتية

ثلاثة إجراءات وحدة تحكم تغطّي طلب وصول صاحب البيانات من طرف إلى طرف. كلٌّ مسار UserAuth ضمن /api/user/* — مقود بجلسة وحدة التحكم لديك، لا أبداً بمفتاح ترحيل (sk-orca-…):

التصدير

نزّل نسخة JSON قابلة للنقل من بياناتك الشخصية قبل أن تحذف.

الحذف

احذف حذفاً ناعماً فوراً؛ وجدول التنظيف الذي لا رجعة فيه بعد 30 يوماً.

الإلغاء

استعد الحساب في أي وقت داخل نافذة المهلة.
التصدير هو قابلية نقل البيانات — نصف الوصول من DSAR. الحذف هو نصف المحو. شغّل التصدير أولاً؛ بمجرد إطلاق التنظيف، لا يبقى شيء للتصدير.

2. صدّر بياناتك (تدفّق ملموس واحد)

من وحدة التحكم، افتح الحساب ← الخصوصية واختر تصدير بياناتي. تقود وحدة التحكم مسار القراءة هذا بجلستك: 
GET /api/user/self/export
Authorization: Bearer <your console session>
الاستجابة مستند JSON قابل للتنزيل لملفك الشخصي وبياناتك الشخصية غير السرية. التصدير قائمة سماح صريحة — لا يتضمن أبداً تجزئة كلمة مرورك، أو رمز وصول النظام لديك، أو أسرار OAuth، أو أوراق اعتماد webhook/الإشعارات، أو أجسام حمولة سجل الطلبات.
يبقى التصدير متاحاً خلال نافذة المهلة. حساب مجدول للحذف محذوف حذفاً ناعماً لكنه لا يزال يصل إلى التصدير والإلغاء — قابلية النقل هي المغزى كله من إبقاء ذلك الباب مفتوحاً حتى يعمل التنظيف.

3. جدول الحذف

الحساب ← الخصوصية ← حذف حسابي يحذف الحساب حذفاً ناعماً فوراً ويجدول تنظيف PII لـالآن + 30 يوماً: 
DELETE /api/user/self
Authorization: Bearer <your console session>
Content-Type: application/json

{ "password": "<current password>" }
تحمل الاستجابة تاريخ التنظيف المجدول. تنطبق بضعة حراس:
على حسابات كلمة المرور توفير كلمة مرورها الحالية على طلب الحذف — دفاع ضد جلسة مُختطَفة تدمّر البيانات دائماً. حسابات OAuth فقط لا كلمة مرور لها؛ الجلسة المستوثقة هي الإثبات.
إذا كنت المالك الوحيد لمساحة عمل فريق مشتركة لا تزال تضم أعضاء آخرين، يُرفَض الحذف — وإلا لورث الزملاء مساحة عمل بلا مالك. انقل الملكية أو أرشف مساحة العمل أولاً.
حساب جذر النسخة مرفوض — محوه ذاتياً سيترك النشر بلا مسؤول أعلى. سلّم دور الجذر أولاً.
استدعاء الحذف مجدداً بينما هو معلّق بالفعل يعيد استجابة ودودة “مجدول بالفعل” بدلاً من خطأ.
بمجرد الجدولة، تُقيَّد جلستك على نقطتي نهاية الإلغاء والتصدير لبقية نافذة المهلة — كوكي محفوظ لم يعد يجتاز الاستيثاق على بقية /api/user/*. الإلغاء يرفع القيد ويستعيد الوصول الكامل دون إعادة تسجيل دخول.

4. نافذة المهلة من 30 يوماً

نافذة المهلة عازل تراجع متعمّد. حتى تنقضي يكون الحساب محذوفاً حذفاً ناعماً، لا ممحواً، واستدعاء واحد يستعيده: 
POST /api/user/self/deletion/cancel
Authorization: Bearer <your console session>
إذا هبط إلغاء في السباق بين اختيار المسح لحسابك وتشغيل التنظيف، فإن الحساب النشط الآن لا يُجهَّل — يحرس التنظيف على حالة لا تزال معلّقة ويتخطّى أي شيء أُحيي.
عامِل الـ 30 يوماً كعازل اتفاقية مستوى خدمة وفاء DSAR لديك. موضوع يغيّر رأيه، أو طلب رُفِع خطأً، قابل للاسترداد بالكامل حتى تُغلَق النافذة — وبعدها يكون التنظيف لا رجعة فيه بحسب التصميم.

5. تنظيف PII وتطهيره التتالي

عندما تنقضي نافذة المهلة، يشغّل مسحٌ التنظيف. إنه لا يخفي صفاً فحسب — بل يجرّد المعرّفات المباشرة ويطهّر تتالياً السجلات التي تركها نشاطك عبر كل سطح قابلية للملاحظة:
السطحماذا يفعل التنظيف
الحسابالمعرّفات المباشرة مُجهَّلة؛ أوراق الاعتماد، والمفاتيح، وروابط OAuth، ومفاتيح المرور، و2FA محذوفة حذفاً صلباً
سجلات الطلباتمطهَّرة من متجر سجل الطلبات
صفوف المحاسبة / الاستخداماسم المستخدم منقَّح وIP مُمسَح على الصفوف المُحتفَظ بها للفوترة
مطابقات حاجز الحمايةمطهَّرة — بما فيها أي سلاسل فرعية خام مطابقة
أحداث جدار الحمايةمطهَّرة — أسماء الأدوات، وعناوين IP، ومعرّفات الطلبات المنسوبة إليك
تُجهَّل حقول الحساب في مكانها (اسم المستخدم والبريد يُعاد كتابتهما إلى نائب deleted-…، والحالة معطَّلة)، فتبقى صفوف المحاسبة والتدقيق التي لها أساس قانوني للبقاء على شكلها بينما تفقد البيانات الشخصية المضمَّنة. كل ما يحمل أوراق اعتماد محذوف حذفاً صلباً — محو حقيقي، لا حذف ناعم يخفي فقط.
يصل التتالي إلى الأسطح الثلاثة نفسها التي تقرأها في أماكن أخرى من وحدة التحكم: مطابقات حاجز الحماية، أحداث جدار الحماية، وسجلات الطلبات. بعد التنظيف، لا يُحَل أيٌّ منها مرةً أخرى إلى الشخص المحذوف. هذا ما يجعل المحو متناظراً عبر طبقة المحتوى، وطبقة الإجراء، والسجل.
لاحظ التمييز عن المحتوى الخام المطابق. تخزّن مطابقات حاجز الحماية سلسلة فرعية مطابقة فقط عندما يكون مفتاح تسجيل المحتوى الخام لذلك الحاجز مشغّلاً (مطفأ افتراضياً). في كلتا الحالتين، يطهّر التنظيف تلك السجلات بالكامل — فالمفتاح يغيّر ما سُجِّل أصلاً، لا ما يبقى من حذف.

6. المحو مقابل الاحتفاظ

المحو والاحتفاظ ساعتان مختلفتان — لا تخلط بينهما:
  • الاحتفاظ يقادم سجلات الطلبات على نافذة متدحرجة لـالجميع — افتراض من 30 يوماً، مقيّد على الخادم بحد أقصى صارم من 180 يوماً. انظر الاحتفاظ.
  • المحو حدث لمرة واحدة، ضمن نطاق حساب، يُطلقه DSAR: نافذة المهلة من 30 يوماً، ثم التنظيف.
قد تكون سجلات موضوع قد تقادمت بالفعل تحت الاحتفاظ قبل أن يقدّم DSAR إطلاقاً؛ يعمل التنظيف رغم ذلك مقابل ما يتبقى وينقّح صفوف المحاسبة المُحتفَظ بها.

7. أين يتموضع هذا

الحق في المحو قطعة واحدة من التزامات صاحب البيانات لديك. اقرنه بالأدلة المختومة بالمنطقة وحلقة الامتثال الأوسع:

الاحتفاظ

نافذة سجل الطلبات المتدحرجة — افتراض من 30 يوماً، قيد من 180 يوماً — التي تعمل باستقلالية عن المحو.

إقامة البيانات

المنطقة التي تُخزَّن وتُقدَّم تحتها تقارير امتثالك الموقّعة.

حزمة GDPR

ثبّت الضوابط واشحن أدلة GDPR موقّعة لمدقق.

المسؤولية المشتركة

ما الذي تمحوه البوابة لك وما يبقى قرارك.
تمنحك البوابة DSAR بخدمة ذاتية يصل إلى كل سجل تملكه. تقرير متى يُطلَب حذف، والوفاء بأي موعد نهائي خاص بالولاية القضائية، يبقى قرارك — نافذة المهلة من 30 يوماً هي عازلك لاتخاذه.