Перейти к основному содержанию
Когда субъект данных реализует своё право быть забытым, вам нужны две вещи: портативная копия их данных и необратимое удаление, которое действительно дотягивается до каждой поверхности, которой коснулась их активность — а не только до строки пользователя. OrcaRouter делает обе самообслуживаемыми. Залогиненный аккаунт может экспортировать свои собственные данные и запланировать своё собственное удаление; удаление выполняется как 30-дневное льготное окно, за которым следует вычистка PII, которая каскадно очищает записи наблюдаемости, привязанные к этому аккаунту. Эта страница покрывает наблюдаемый клиентом процесс удаления. По поводу того, где живут артефакты доказательств, см. Резидентность данных; по поводу того, как долго логи запросов персистируют независимо от удаления, см. Удержание.

1. gdpr удаление llm: самообслуживаемый процесс DSAR

Три консольных действия покрывают запрос субъекта данных от начала до конца. Каждое — маршрут UserAuth под /api/user/* — управляемый вашей консольной сессией, никогда релейным (sk-orca-…) ключом:

Экспорт

Скачайте портативную JSON-копию ваших персональных данных перед удалением.

Удаление

Мягкое удаление немедленно; планирование необратимой вычистки на +30 дней.

Отмена

Восстановите аккаунт в любой момент внутри льготного окна.
Экспорт — это портативность данных — половина DSAR про доступ. Удаление — половина про удаление. Запустите экспорт первым; как только вычистка сработает, нечего будет экспортировать.

2. Экспортируйте свои данные (один конкретный поток)

Из консоли откройте Account → Privacy и выберите Export my data. Консоль управляет этим маршрутом чтения вашей сессией: 
GET /api/user/self/export
Authorization: Bearer <your console session>
Ответ — это скачиваемый JSON-документ вашего профиля и несекретных персональных данных. Экспорт — это явный allow-list — он никогда не включает хэш вашего пароля, ваш системный токен доступа, OAuth-секреты, учётные данные webhook/нотификаций или тела нагрузки логов запросов.
Экспорт остаётся доступным в течение льготного окна. Запланированный к удалению аккаунт мягко удалён, но всё ещё может достичь экспорта и отмены — портативность это весь смысл держать эту дверь открытой, пока вычистка не запустится.

3. Запланируйте удаление

Account → Privacy → Delete my account мягко удаляет аккаунт немедленно и планирует вычистку PII на сейчас + 30 дней: 
DELETE /api/user/self
Authorization: Bearer <your console session>
Content-Type: application/json

{ "password": "<current password>" }
Ответ несёт запланированную дату вычистки. Применяется несколько защит:
Аккаунты с паролем должны предоставить свой текущий пароль на запросе удаления — защита от перехваченной сессии, перманентно уничтожающей данные. У аккаунтов только-OAuth нет пароля; аутентифицированная сессия — это доказательство.
Если вы единственный владелец общего командного рабочего пространства, у которого ещё есть другие участники, удаление отклоняется — иначе товарищи по команде унаследовали бы рабочее пространство без владельца. Передайте владение или заархивируйте рабочее пространство сначала.
Root-аккаунт инстанса отклоняется — само-стирание его оставило бы развёртывание без супер-админа. Передайте роль root сначала.
Вызов удаления снова, когда оно уже в ожидании, возвращает дружелюбный ответ «уже запланировано», а не ошибку.
После планирования ваша сессия ограничена эндпоинтами cancel и export на оставшуюся часть льготного окна — сохранённая кука больше не проходит auth на остальной части /api/user/*. Отмена снимает ограничение и восстанавливает полный доступ без повторного логина.

4. 30-дневное льготное окно

Льготное окно — это осознанный буфер отмены. Пока оно не истечёт, аккаунт мягко удалён, не стёрт, и один вызов восстанавливает его: 
POST /api/user/self/deletion/cancel
Authorization: Bearer <your console session>
Если отмена попадает в гонку между тем, как развёртка выбирает ваш аккаунт, и запуском вычистки, теперь-активный аккаунт не анонимизируется — вычистка защищается на всё-ещё-ожидающем состоянии и пропускает всё, что было оживлено.
Трактуйте 30 дней как буфер вашего SLA выполнения DSAR. Субъект, который передумал, или запрос, поднятый по ошибке, полностью восстановимы, пока окно не закроется — после чего вычистка необратима по дизайну.

5. Вычистка PII и её каскадная очистка

Когда льготное окно истекает, развёртка запускает вычистку. Она не просто прячет строку — она снимает прямые идентификаторы и каскадно очищает записи, которые ваша активность оставила на каждой поверхности наблюдаемости:
ПоверхностьЧто делает вычистка
АккаунтПрямые идентификаторы анонимизированы; учётные данные, ключи, OAuth-привязки, passkeys и 2FA жёстко удалены
Логи запросовОчищены из хранилища логов запросов
Строки учёта / использованияИмя пользователя отредактировано и IP очищен на строках, удерживаемых для биллинга
Совпадения guardrailОчищены — включая любые сырые совпавшие подстроки
События firewallОчищены — имена инструментов, IP и id запросов, атрибутированные вам
Поля аккаунта анонимизируются на месте (имя пользователя и email переписаны на плейсхолдер deleted-…, статус отключён), так что строки учёта и аудита, которые имеют законное основание персистировать, сохраняют свою форму, теряя встроенные персональные данные. Всё, что несёт учётные данные, жёстко удалено — истинное удаление, а не мягкое удаление, которое лишь прячет.
Каскад дотягивается до тех же трёх поверхностей, которые вы читаете в других местах консоли: совпадения Guardrail, события Firewall и логи запросов. После вычистки ни одна из них не разрешается обратно к удалённому человеку. Это то, что делает удаление симметричным по слою содержимого, слою действий и логу.
Заметьте различие от сырого совпавшего содержимого. Совпадения guardrail хранят совпавшую подстроку только когда тумблер Log raw content этого guardrail включён (выключен по умолчанию). В любом случае вычистка очищает эти записи целиком — так что тумблер меняет то, что вообще было записано, а не то, что переживает удаление.

6. Удаление vs удержание

Удаление и удержание — это два разных таймера — не путайте их:
  • Удержание устаревает логи запросов на скользящем окне для всех — 30-дневный дефолт, ограниченный сервером до 180-дневного жёсткого максимума. См. Удержание.
  • Удаление — это одноразовое, скоупнутое на аккаунт событие, запускаемое DSAR: 30-дневное льготное окно, затем вычистка.
Логи субъекта могут уже устареть по удержанию, прежде чем они вообще подадут DSAR; вычистка всё равно запускается против того, что остаётся, и редактирует удерживаемые строки учёта.

7. Куда это вписывается

Право на удаление — одна часть ваших обязательств перед субъектом данных. Сочетайте его с проштампованными регионом доказательствами и более широким циклом комплаенса:

Удержание

Скользящее окно логов запросов — 30-дневный дефолт, 180-дневное ограничение — которое работает независимо от удаления.

Резидентность данных

Регион, под которым хранятся и отдаются ваши подписанные отчёты комплаенса.

Пакет GDPR

Установите контроли и отправьте подписанные доказательства GDPR аудитору.

Разделённая ответственность

Что шлюз стирает за вас и что остаётся вашим решением.
Шлюз даёт вам самообслуживаемый DSAR, который дотягивается до каждой записи, которой он владеет. Решение о том, когда удаление требуется, и соблюдение любого специфичного для юрисдикции дедлайна остаётся вашим решением — 30-дневное льготное окно — ваш буфер для его принятия.