메인 콘텐츠로 건너뛰기
데이터 주체가 잊혀질 권리를 행사할 때, 두 가지가 필요합니다: 그들의 데이터의 이식 가능한 사본, 그리고 사용자 행만이 아니라 그들의 활동이 건드린 모든 표면에 실제로 도달하는 되돌릴 수 없는 삭제. OrcaRouter는 둘 다 셀프서비스로 만듭니다. 로그인한 계정은 자신의 데이터를 내보내고 자신의 삭제를 예약할 수 있습니다; 삭제는 30일 유예 기간에 이어 그 계정에 묶인 관측성 레코드를 캐스케이드 퍼지하는 PII 스크럽으로 실행됩니다. 이 페이지는 고객이 관측 가능한 삭제 흐름을 다룹니다. 증거 아티팩트가 사는 곳은 데이터 레지던시를 참조하세요; 요청 로그가 삭제와 독립적으로 얼마나 오래 지속되는지는 보존을 참조하세요.

1. GDPR 삭제 LLM: 셀프서비스 DSAR 흐름

세 개의 콘솔 액션이 데이터 주체 접근 요청을 처음부터 끝까지 커버합니다. 각각은 /api/user/* 하의 UserAuth 라우트입니다 — 릴레이(sk-orca-…) 키가 아니라 당신의 콘솔 세션으로 구동됨:

내보내기

삭제하기 전에 당신의 개인 데이터의 이식 가능한 JSON 사본을 다운로드하세요.

삭제

즉시 소프트 삭제; +30일 후의 되돌릴 수 없는 스크럽을 예약.

취소

유예 기간 내 언제든 계정을 복원하세요.
내보내기는 데이터 이식성입니다 — DSAR의 접근 절반. 삭제는 삭제 절반입니다. 먼저 내보내기를 실행하세요; 일단 스크럽이 발동하면 내보낼 것이 남지 않습니다.

2. 데이터 내보내기 (하나의 구체적 흐름)

콘솔에서 Account → Privacy를 열고 Export my data를 선택하세요. 콘솔이 당신의 세션으로 이 읽기 라우트를 구동합니다: 
GET /api/user/self/export
Authorization: Bearer <your console session>
응답은 당신의 프로필과 비밀이 아닌 개인 데이터의 다운로드 가능한 JSON 문서입니다. 내보내기는 명시적 허용 목록입니다 — 그것은 당신의 비밀번호 해시, 시스템 액세스 토큰, OAuth 시크릿, 웹훅/알림 자격 증명, 또는 요청 로그 페이로드 본문을 결코 포함하지 않습니다.
내보내기는 유예 기간 동안 사용 가능하게 유지됩니다. 삭제 예약된 계정은 소프트 삭제되지만 여전히 내보내기와 취소에 도달할 수 있습니다 — 스크럽이 실행될 때까지 그 문을 열어두는 것의 전체 요점이 이식성입니다.

3. 삭제 예약

Account → Privacy → Delete my account는 즉시 계정을 소프트 삭제하고 지금 + 30일의 PII 스크럽을 예약합니다: 
DELETE /api/user/self
Authorization: Bearer <your console session>
Content-Type: application/json

{ "password": "<current password>" }
응답은 예약된 스크럽 날짜를 담습니다. 몇 가지 가드가 적용됩니다:
비밀번호 계정은 삭제 요청에 현재 비밀번호를 제공해야 합니다 — 탈취된 세션이 데이터를 영구적으로 파괴하는 것에 대한 방어. OAuth 전용 계정은 비밀번호가 없습니다; 인증된 세션이 증거입니다.
여전히 다른 멤버가 있는 공유 팀 워크스페이스의 유일한 소유자라면, 삭제가 거부됩니다 — 그렇지 않으면 팀원이 소유자 없는 워크스페이스를 상속하게 됩니다. 먼저 소유권을 이전하거나 워크스페이스를 보관하세요.
인스턴스 루트 계정은 거부됩니다 — 그것을 자기 소거하면 배포에 슈퍼 admin이 없게 됩니다. 먼저 루트 역할을 넘기세요.
이미 대기 중인 동안 삭제를 다시 호출하면 오류가 아니라 친근한 “이미 예약됨” 응답을 반환합니다.
일단 예약되면, 당신의 세션은 유예 기간의 나머지 동안 취소내보내기 엔드포인트로 제한됩니다 — 유지된 쿠키는 더 이상 나머지 /api/user/*에서 인증을 통과하지 않습니다. 취소는 제한을 해제하고 재로그인 없이 전체 접근을 복원합니다.

4. 30일 유예 기간

유예 기간은 의도적인 실행 취소 버퍼입니다. 그것이 경과할 때까지 계정은 소거되지 않고 소프트 삭제되며, 한 번의 호출이 그것을 복원합니다: 
POST /api/user/self/deletion/cancel
Authorization: Bearer <your console session>
스윕이 당신의 계정을 선택하는 것과 스크럽이 실행되는 것 사이의 경쟁에서 취소가 도착하면, 이제 활성인 계정은 익명화되지 않습니다 — 스크럽은 여전히 대기 중인 상태를 가드하고 되살아난 것은 건너뜁니다.
30일을 당신의 DSAR 이행 SLA 버퍼로 취급하세요. 마음을 바꾼 대상, 또는 실수로 제기된 요청은 윈도우가 닫힐 때까지 완전히 복구 가능합니다 — 그 후 스크럽은 설계상 되돌릴 수 없습니다.

5. PII 스크럽과 그 캐스케이드 퍼지

유예 기간이 경과하면, 스윕이 스크럽을 실행합니다. 그것은 행을 숨기는 것만이 아닙니다 — 직접 식별자를 제거하고 당신의 활동이 모든 관측성 표면에 남긴 레코드를 캐스케이드 퍼지합니다:
표면스크럽이 하는 것
계정직접 식별자 익명화; 자격 증명, 키, OAuth 바인딩, 패스키, 2FA 하드 삭제
요청 로그요청 로그 저장소에서 퍼지됨
회계 / 사용량 행청구를 위해 보관된 행에서 사용자 이름 편집 및 IP 삭제
Guardrail 매치퍼지됨 — 원시 매치된 부분 문자열 포함
Firewall 이벤트퍼지됨 — 당신에게 귀속된 툴 이름, IP, request ID
계정 필드는 제자리에서 익명화되므로(사용자 이름과 이메일이 deleted-… 플레이스홀더로 재작성되고, 상태가 비활성화됨), 지속할 법적 근거가 있는 회계와 감사 행이 임베드된 개인 데이터를 잃으면서 그 형태를 유지합니다. 자격 증명을 담은 모든 것은 하드 삭제됩니다 — 단지 숨기는 소프트 삭제가 아니라 진정한 삭제.
캐스케이드는 콘솔의 다른 곳에서 읽는 동일한 세 표면에 도달합니다: Guardrail 매치, Firewall 이벤트, 그리고 요청 로그. 스크럽 후, 그것들 중 어느 것도 삭제된 사람으로 다시 해석되지 않습니다. 이것이 삭제를 콘텐츠 계층, 액션 계층, 그리고 로그 전반에서 대칭으로 만드는 것입니다.
원시 매치된 콘텐츠와의 구분에 유의하세요. Guardrail 매치는 그 guardrail의 Log raw content 토글이 켜져 있을 때만 매치된 부분 문자열을 저장합니다(기본은 끔). 어느 쪽이든, 스크럽은 그 레코드를 전적으로 퍼지합니다 — 그래서 토글은 무엇이 애초에 기록되었는지를 바꾸지, 삭제에서 무엇이 살아남는지를 바꾸지 않습니다.

6. 삭제 vs 보존

삭제와 보존은 두 개의 다른 시계입니다 — 혼동하지 마세요:
  • 보존은 요청 로그를 모두에 대해 롤링 윈도우로 만료시킵니다 — 30일 기본값, 180일 하드 최댓값으로 서버 클램프됨. 보존을 참조하세요.
  • 삭제는 DSAR로 트리거된 일회성, 계정 범위 이벤트입니다: 30일 유예 기간, 그다음 스크럽.
대상의 로그는 그들이 DSAR을 제기하기도 전에 보존 하에서 이미 만료되었을 수 있습니다; 스크럽은 여전히 남은 무엇이든에 대해 실행되고 보관된 회계 행을 편집합니다.

7. 이것이 어디에 맞는가

삭제권은 당신의 데이터 주체 의무의 한 조각입니다. 그것을 리전 스탬프 증거와 더 넓은 컴플라이언스 루프와 짝지으세요:

보존

삭제와 독립적으로 실행되는 롤링 요청 로그 윈도우 — 30일 기본값, 180일 클램프.

데이터 레지던시

서명된 컴플라이언스 보고서가 저장되고 제공되는 리전.

GDPR 팩

컨트롤을 설치하고 감사인에게 서명된 GDPR 증거를 출하하세요.

책임 범위

게이트웨이가 당신을 위해 삭제하는 것과 당신의 결정으로 남는 것.
게이트웨이는 자신이 소유한 모든 레코드에 도달하는 셀프서비스 DSAR을 제공합니다. 삭제가 언제 필요한지 결정하고, 관할권별 마감을 충족하는 것은 당신의 몫으로 남습니다 — 30일 유예 기간이 그것을 위한 당신의 버퍼입니다.