Przejdź do głównej treści
Gdy włączasz przechwytywanie logów żądań do rozwiązywania problemów, przechowujesz ciała promptów i odpowiedzi — dokładnie te dane, które regulacja prywatności prosi, byś trzymał nie dłużej, niż potrzebujesz. OrcaRouter daje ci na to pojedyncze pokrętło per-przestrzeń robocza: okno retencji z rozsądną wartością domyślną i twardym pułapem, który egzekwuje serwer, więc przechwytywanie, o którym zapomniałeś, starzeje się, zamiast gromadzić się w nieskończoność. Ta strona obejmuje, jak działa to pokrętło i jak wiąże się z usuwaniem. Co do szerszej historii dowodów, zacznij od Przeglądu zgodności.

1. Dlaczego retencja logów LLM ma znaczenie w bramie

Przechwytywanie logów żądań jest opt-in, wyłączone, dopóki wyraźnie go nie włączysz, i bramkowane za zarejestrowanym potwierdzeniem zgody — ponieważ włączenie go persystuje pełny tekst promptu i odpowiedzi. Gdy jest włączone, pytanie, które zadają audytorzy, brzmi nie czy logujesz, ale jak długo to przechowujesz. Domyślne 30 dni utrzymuje użyteczny ślad rozwiązywania problemów; egzekwowany przez serwer pułap 180 dni oznacza, że żadne żądanie klienta, jakkolwiek zmanipulowane, nie może utrzymać ciał poza twoim limitem zgodności.
Retencja dotyczy przechwyconych logów żądań (opt-in ciała promptów/odpowiedzi). Rekordy pomiarów i rozliczeń oraz podpisane raporty zgodności opisane w Podpisany raport podążają własnymi cyklami życia — ta strona dotyczy zegara przechwyconych logów.

2. Dwie liczby

Domyślnie: 30 dni

Świeżo włączone przechwytywanie zachowuje ciała przez 30 dni. Pozostaw pole retencji nieustawione, a każda przestrzeń robocza dziedziczy to.

Twarde maks.: 180 dni

Serwer ogranicza dowolną żądaną retencję do 180 dni. Poproś o więcej, a wartość jest po cichu redukowana do pułapu — to nie błąd, to pułap.
Twardy pułap to 180 dni: wartość powyżej 180 jest ograniczana do 180, a wartość 0 (lub nieustawiona) oznacza odziedzicz domyślną — co rozwiązuje się do 30 dni. Wartości domyślne i aktualny pułap są czytelne z publicznego ładunku statusu, więc panel ustawień może wyrenderować właściwe granice: 
GET /api/status
Odpowiedź niesie request_log_default_retention_days, request_log_max_retention_days oraz request_log_default_enabled — efektywne granice, które twoja konsola czyta, zanim pokaże pole wejściowe.

3. Ustawianie retencji (jeden konkretny przepływ)

Retencja to ustawienie przestrzeni roboczej, konfigurowane z konsoli pod Settings → Privacy. Każdy członek może je odczytać; zmiana go wymaga roli Admin przestrzeni roboczej. Konsola napędza tę trasę zarządzania twoją sesją (trasa UserAuth — nie klucz relay), więc nigdy nie umieszczasz klucza sk-orca-... w wywołaniu ustawień: 
PUT /api/workspaces/:id/request-log-settings
Authorization: Bearer <your console session>

{
  "request_log_enabled": true,
  "request_log_retention_days": 60
}
Kilka reguł, które serwer egzekwuje na tym wywołaniu:
request_log_enabled to przełącznik wskaźnikowy. Pomiń go, a przechowywana wartość pozostaje nietknięta; wyślij true/false, by ją przełączyć. Włączenie przechwytywania na włączone wymaga aktualnego, nieodwołanego potwierdzenia zgody — rekord zgody jest autorytatywny po stronie serwera i nigdy nie jest czytany z JSON klienta. Zobacz Zgoda.
request_log_retention_days to całodniowa liczba całkowita, ograniczana do [1, 180]. 0 oznacza „pozostaw istniejącą wartość” (lub odziedzicz systemową domyślną dalej); 200 staje się 180.
Nie ma nic do uruchamiania według harmonogramu. Przechwycone ciała poza oknem retencji są usuwane przez bramę; ty konfigurujesz okno, brama je egzekwuje.
Postawa najniższego ryzyka jest oczywista: pozostaw przechwytywanie wyłączone, chyba że aktywnie rozwiązujesz problemy, a gdy je włączysz, ustaw najkrótszą retencję, która wciąż obejmuje twoją pętlę debugowania. Domyślne 30 dni jest już zachowawcze.

4. Retencja vs usuwanie

Retencja starzeje przechwycone logi w zwykłym toku. Usuwanie to ścieżka na żądanie dla żądania podmiotu danych (DSAR) lub zamknięcia konta — i sięga dalej niż zegar logów:
WyzwalaczOknoNastępnie
Przechwycony log poza retencjądo 180 dnilog usunięty
Samo-usunięcie konta30-dniowa karencjaczyszczenie PII + kaskadowe usunięcie
Samo-usunięcie miękko usuwa konto natychmiast i planuje nieodwracalne czyszczenie PII na 30 dni później. W tym oknie karencji konto wciąż może być przywrócone, a jego dane wyeksportowane; gdy okno się zamyka, czyszczenie się uruchamia, a kaskada usuwa logi żądań, dopasowania guardrail, zdarzenia firewalla i węzły trace agenta powiązane z podmiotem. Prawo do usunięcia nie jest zatem osobnym ustawieniem retencji — to silniejsze, zainicjowane przez podmiot usunięcie, które zastępuje okno oparte na czasie.
30-dniowa karencja usunięcia to okno odzyskiwania, nie dodatkowa retencja logów. Dane wewnątrz niej są miękko usunięte i eksportowalne, ale są na jednokierunkowej ścieżce do czyszczenia. Zaplanuj eksporty, zanim okno się zamknie.
Zobacz Prawo do usunięcia co do pełnej mechaniki DSAR — karencja, czyszczenie i co dotyka kaskada.

5. Jak to spełnia framework

Większość reżimów prywatności prosi o dwie dające się wykazać rzeczy: zdefiniowany okres retencji oraz działającą ścieżkę usuwania. Pokrętło retencji i kaskada usuwania to dokładnie te dwie kontrole, a pakiet zgodności mapuje je w dowody frameworka, więc raport może odczytać ich stan. Zainstaluj pakiet, a to samo zachowanie retencji i usuwania jest przywoływane w twoim widoku gotowości — bez osobnej konfiguracji.

Zainstaluj pakiet

Zmaterializuj kontrole frameworka; retencja i usuwanie są częścią historii prywatności, której oczekuje.

Frameworki

Katalog na żywo — GDPR, CCPA, HIPAA oraz regionalne reżimy prywatności, które przypinają retencję.

6. Gdzie to pasuje

Prawo do usunięcia

Samo-usunięcie, 30-dniowa karencja, czyszczenie PII oraz kaskada usuwania.

Zgoda

Zarejestrowane potwierdzenie wymagane przed włączeniem przechwytywania logów żądań.

Rezydencja danych

Gdzie przechowywane i serwowane są podpisane dowody zgodności — osobna kontrola regionu od retencji.

Współdzielona odpowiedzialność

Brama egzekwuje retencję, którą ustawisz; wybór okna i kadencji usuwania pozostaje twój.
Retencja na OrcaRouter to jedno uczciwe pokrętło z wartością domyślną i twardym pułapem: włączaj przechwytywanie tylko, gdy go potrzebujesz, trzymaj okno krótkie i pozwól bramie starzeć ciała — z usuwaniem w gotowości na chwilę, gdy podmiot poprosi, byś zapomniał o nim całkowicie.