Chuyển đến nội dung chính
Nếu ứng dụng AI của bạn chạm tới người tiêu dùng California, ba nghĩa vụ CCPA / CPRA đáp xuống chính đường request: đừng rò rỉ thông tin cá nhân người tiêu dùng tới một mô hình không cần nó (§1798.100), cho thông tin cá nhân nhạy cảm sự xử lý được nâng cao (§1798.140), và giữ các bản ghi bạn có thể hiển thị cho một nhà quản lý (§1798.130). CCPA / CPRA pack biến những cái đó thành các control được thực thi mà bạn cài đặt trong một cuộc gọi — không soạn chính sách từ đầu. Trang này là điểm đáp ccpa ai: cài đặt pack thực sự hiện thực hóa gì, một luồng cài đặt cụ thể, và quyền opt-out của người tiêu dùng khớp vào đâu. Về tham chiếu tầng-nội-dung đầy đủ, hãy theo các liên kết thay vì đọc lại chúng ở đây.

1. CCPA / CPRA pack cài đặt gì

Duyệt catalog là miễn phí cho bất kỳ Member workspace nào; cài đặt là một hành động gói-trả-phí, Admin workspace (cùng cổng như go-live — xem Phân tầng theo gói). Một lần cài đặt hiện thực hóa các hàng Guardrail thực, có thể chỉnh sửa ánh xạ tới các phần của California Civil Code:
Một guardrail PII nghiêm ngặt block request trên stage input khi thông tin cá nhân người tiêu dùng (email, điện thoại, SSN, thẻ tín dụng, IP) có mặt — nên nó không bao giờ đến được provider. Đây là một control hard-reject, không phải một redactor.
Một guardrail PII mask các định danh nhạy cảm — SSN, thẻ tín dụng, và IBAN — trên cả hai stage. Các thực thể bị mask render thành các tag có kiểu như [SSN][CREDIT_CARD], nên hạng mục SPI nhận sự xử lý được nâng cao, che giấu.
Một guardrail logging flag các lần xuất hiện PII và ghi lại mọi quyết định guardrail như bằng chứng lưu giữ hồ sơ — mà không block hoặc sửa đổi traffic — nuôi báo cáo có chữ ký mà auditor của bạn đọc.
Pack là một điểm khởi đầu bạn sở hữu, không phải một hộp đen. Mọi quy tắc nó ghi là một hàng guardrail thông thường mà bạn có thể chỉnh sửa, sắp xếp lại, re-target (input / output / both), hoặc vô hiệu hóa trong console sau đó. Tập thực thể đi kèm và các ghi đè hành động theo-từng-thực-thể sống trong Tham chiếu Guardrails.

2. Cài đặt CCPA / CPRA pack (một luồng cụ thể)

Cài đặt từ console dưới Compliance → Packs, đăng nhập với tư cách Admin workspace trên một gói trả phí. Console điều khiển route quản lý cho bạn bằng session của bạn — đây là một route UserAuth, không bao giờ một relay key (sk-orca-…): 
POST /api/compliance/packs/ccpa/install
Authorization: Bearer <your console session>
Trước khi bạn cam kết, mở catalog với tư cách Member để xác nhận chính xác framework nào bạn đang ánh xạ tới: 
GET /api/compliance/catalog
Authorization: Bearer <your console session>

{
  "key": "ccpa",
  "name": "CCPA/CPRA",
  "framework": "California Consumer Privacy Act (as amended by CPRA)",
  "jurisdiction": "US-CA"
}
Cài đặt vào observe trước nếu bạn muốn theo dõi trước khi thực thi. Control §1798.100 là một hard block — chạy quy tắc đã hiện thực hóa ở chế độ audit trong một tuần cho bạn thấy chính xác traffic nào nó sẽ từ chối trước khi bất kỳ request người tiêu dùng nào thực sự bị dừng. Xem Observe vs enforce.

3. Control PII-người-tiêu-dùng trên request

Control CCPA chịu tải là giữ thông tin cá nhân người tiêu dùng khỏi mô hình, và trên gateway đó là một guardrail PII được đánh giá trước khi request đến được provider. Pack vận chuyển hai tư thế bổ trợ:
ControlHành độngNó bao phủ gì
Thông tin cá nhânblock (input)email, điện thoại, SSN, thẻ tín dụng, IP
PI nhạy cảmmask (both)SSN, thẻ tín dụng, IBAN
Block từ chối request hoàn toàn; mask để nó đi qua với các định danh nhạy cảm được hoán cho các tag có kiểu. Bạn quyết định tư thế nào khớp traffic nào — cả hai là các hàng guardrail thông thường sau khi cài đặt, nên bạn có thể lật một thực thể từ block sang mask, thu hẹp tập thực thể, hoặc thêm các pattern thực thể tùy chỉnh của riêng bạn (regex, kiểm tra Luhn tùy chọn) cho các định danh đặc thù với sản phẩm của bạn.
Các control ở stage input hoàn toàn trực tiếp. Mask trực tiếp các streaming output nằm trên lộ trình — hôm nay, mask ở stage output chỉ là không-streaming, trong khi một block output được thực thi trên cả các response streaming và không-streaming. Hãy lên kế hoạch tối thiểu hóa PII-người-tiêu-dùng của bạn quanh stage input, nơi nó hoàn toàn được thực thi.

4. Quyền opt-out (phía con người)

Quyền người tiêu dùng đặc trưng của CCPA — opt-out khỏi việc bán hoặc chia sẻ thông tin cá nhân (§1798.120) — và nghĩa vụ thông-báo-tại-thời-điểm-thu-thập (§1798.130) là các control organizational trong danh mục kiểm tra readiness, không phải các quy tắc mà gateway có thể soạn cho bạn. Chúng phụ thuộc vào các quy trình kinh doanh của bạn, không phải đường request.
OrcaRouter theo dõi những cái này như các mục readiness để auditor của bạn thấy bức tranh CCPA đầy đủ, nhưng workflow Do-Not-Sell và các tiết lộ chính- sách-riêng-tư của bạn là của bạn để vận hành. Gateway làm bằng chứng những gì nó thực thi (các control PII và lưu giữ hồ sơ ở trên); bạn xác nhận những gì nó không thể thấy. Sự phân tách được ánh xạ trên trang Trách nhiệm chia sẻ.

5. Residency, lưu giữ, và xóa người tiêu dùng

Ba thiết lập ở cấp workspace hoàn thiện một tư thế CCPA:

Residency cho bằng chứng của bạn

Đóng dấu các báo cáo có chữ ký với một khu vực (us / eu / uk / ap / cn / global) để một auditor California đọc bằng chứng cư-trú-Hoa-Kỳ. Đặt nó trước khi bạn sinh báo cáo — nó chi phối artifact, không phải nơi inference chạy.

Lưu giữ log

Lưu giữ request-log mặc định 30 ngày, server kẹp về mức tối đa 180 ngày. Giảm nó thu nhỏ cửa sổ mà dữ liệu người tiêu dùng nằm trong log chút nào.
Một yêu cầu xóa của người tiêu dùng (§1798.105) ánh xạ tới tự-xóa-tài-khoản của OrcaRouter: một luồng ân-hạn-rồi-scrub — soft-delete và chặn-đăng-nhập khi yêu cầu, một cửa sổ 30 ngày hủy được, rồi một lần scrub PII không đảo ngược cascade một lần thanh lọc trên các request log, guardrail match, và firewall event. Luồng đầy đủ nằm trên trang Quyền được xóa. Đặt residency với tư cách Admin workspace — một route UserAuth, điều khiển từ console: 
PUT /api/compliance/residency
Authorization: Bearer <your console session>
Content-Type: application/json

{ "region": "us" }

6. Chứng minh nó với một báo cáo có chữ ký

Một khi pack ở live, hãy sinh một báo cáo compliance: nó được hash SHA-256 và ký Ed25519, nên một auditor có thể xác minh nó được tạo bởi OrcaRouter và không bị thay đổi — công khai, không cần đăng nhập. 
POST /api/compliance/reports
Authorization: Bearer <your console session>
Content-Type: application/json

{ "framework": "ccpa" }
Bất kỳ ai cũng có thể xác minh chữ ký đối với khóa công khai, và bạn có thể trao cho một auditor một liên kết chia sẻ giới hạn, hạn-thời-gian. Cơ chế sống trong Báo cáo có chữ kýXác minh một báo cáo.

7. Phần này khớp vào đâu

CCPA / CPRA là một framework trong vòng compliance rộng hơn — cài đặt một pack, quan sát nó, thực thi, khai báo residency, rồi vận chuyển bằng chứng có chữ ký.

Tổng quan compliance

Toàn bộ vòng lặp — cài đặt, quan sát, thực thi, và vận chuyển bằng chứng có chữ ký.

Một pack cài đặt gì

Cách một pack hiện thực hóa các hàng guardrail và firewall mà bạn sở hữu.

GDPR

Framework riêng tư EU — tối thiểu hóa, chuyển giao, và xóa.

Guardrails

Tham chiếu tầng-nội-dung — các thực thể PII, mask, và ghi đè.
Về ranh giới giữa những gì gateway thực thi dưới CCPA và những gì vẫn thuộc về bạn — workflow opt-out, các tiết lộ của bạn, kích hoạt các lần xóa — bản đồ Trách nhiệm chia sẻ đặt CCPA / CPRA pack vào ngữ cảnh.