跳轉到主要內容
當一位資料當事人援引他們的被遺忘權時,你需要兩樣東西:他們資料的一份可攜副本,以及一次真正觸及他們活動所碰到每個介面——而不只是使用者列——的不可逆刪除。OrcaRouter 讓兩者皆可自助。一個已登入的帳號能匯出它自己的資料並排定它自己的刪除;刪除以一個 30 天寬限視窗接著一次PII 清除的形式執行,該清除級聯清除繫到該帳號的可觀測性記錄。 本頁涵蓋客戶可觀測的抹除流程。關於證據產物存放在哪裡,參見 資料駐留地;關於請求日誌獨立於抹除之外持續多久,參見 保留

1. GDPR 抹除 LLM:自助 DSAR 流程

三個主控台動作端到端涵蓋一次資料當事人存取請求。每個都是 /api/user/* 下的一條 UserAuth 路由——由你的主控台工作階段驅動,絕非中繼(sk-orca-…)金鑰:

匯出

在你刪除之前,下載你個人資料的一份可攜 JSON 副本。

刪除

立即軟刪除;排定不可逆的清除於 +30 天。

取消

在寬限視窗內隨時還原帳號。
匯出是資料可攜性——DSAR 的存取那一半。刪除是抹除那一半。先執行匯出;一旦清除觸發,就沒有東西可匯出了。

2. 匯出你的資料(一個具體流程)

從主控台,開啟 Account → Privacy 並選擇 Export my data。主控台用你的工作階段驅動這條讀取路由: 
GET /api/user/self/export
Authorization: Bearer <your console session>
回應是你個人檔案與非機密個人資料的一份可下載 JSON 文件。匯出是一個明確的允許清單——它永遠不包含你的密碼雜湊、你的系統存取權杖、OAuth 密鑰、webhook/通知憑證,或請求日誌負載主體。
匯出在寬限視窗期間保持可用。一個已排定刪除的帳號被軟刪除,但仍能觸及匯出與取消——可攜性正是把那扇門保持開啟直到清除執行的全部重點。

3. 排定刪除

Account → Privacy → Delete my account 立即軟刪除帳號,並排定 PII 清除於目前 + 30 天 
DELETE /api/user/self
Authorization: Bearer <your console session>
Content-Type: application/json

{ "password": "<current password>" }
回應攜帶排定的清除日期。套用幾道防護:
密碼帳號必須在刪除請求上提供它們目前的密碼——防範一個被劫持的工作階段永久銷毀資料。僅 OAuth 帳號沒有密碼;已驗證的工作階段就是證明。
如果你是一個仍有其他成員的共享團隊工作區的唯一擁有者,刪除會被拒絕——否則隊友會繼承一個無主的工作區。先轉移擁有權或封存工作區。
執行個體根帳號被拒絕——自我抹除它會讓部署沒有超級管理員。先交接根角色。
在已經待處理時再次呼叫刪除會回傳一個友善的「已排定」回應,而非錯誤。
一旦排定,你的工作階段在寬限視窗其餘時間內被限制到 cancelexport 端點——一個保留的 cookie 在 /api/user/* 其餘部分上不再通過驗證。取消解除限制並還原完整存取,無需重新登入。

4. 30 天寬限視窗

寬限視窗是一個刻意的還原緩衝。在它經過之前,帳號被軟刪除而非抹除,且一次呼叫即可還原它: 
POST /api/user/self/deletion/cancel
Authorization: Bearer <your console session>
如果一次取消落在掃描選中你帳號與清除執行之間的競爭中,現在作用中的帳號不會被匿名化——清除以一個仍待處理的狀態為條件,並跳過任何被復活的東西。
把那 30 天當作你的 DSAR 履行 SLA 緩衝。一位改變心意的當事人,或一個誤提的請求,在視窗關閉之前都完全可復原——在那之後,清除按設計不可逆。

5. PII 清除及其級聯清除

當寬限視窗經過時,一次掃描執行清除。它不只是隱藏一列——它剝除直接識別碼,並級聯清除你的活動橫跨每個可觀測性介面留下的記錄:
介面清除做什麼
帳號直接識別碼匿名化;憑證、金鑰、OAuth 綁定、passkey 與 2FA 硬刪除
請求日誌從請求日誌儲存區清除
計帳 / 用量列在為計費保留的列上,使用者名稱被編修且 IP 被清空
防護欄匹配清除——包括任何原始匹配子字串
防火牆事件清除——歸因於你的工具名稱、IP 與請求 ID
帳號欄位就地匿名化(使用者名稱與電子郵件被改寫為一個 deleted-… 佔位符,狀態停用),因此有合法依據持續存在的計帳與稽核列保持其形狀,同時失去嵌入的個人資料。每一個攜帶憑證的東西都被硬刪除——真正的抹除,而非僅僅隱藏的軟刪除。
級聯觸及你在主控台別處讀取的同樣三個介面:防護欄 匹配防火牆 事件與請求日誌。清除後,它們沒有一個能解析回被刪除的人。這就是讓抹除在內容層、動作層與日誌之間對稱的東西。
注意與原始匹配內容的區別。防護欄匹配只在該防護欄的 Log raw content 切換開啟(預設關閉)時才儲存匹配子字串。無論如何,清除都完整清除那些記錄——因此切換改變的是曾經被記錄的東西,而非在一次刪除中存活的東西。

6. 抹除 vs 保留

抹除與保留是兩個不同的時鐘——別把它們混為一談:
  • 保留每個人在一個滾動視窗上把請求日誌老化失效——一個 30 天預設,被伺服器鉗制到一個 180 天硬性最大值。參見 保留
  • 抹除是一次由 DSAR 觸發、限定帳號範圍的一次性事件:30 天寬限視窗,然後清除。
一位當事人的日誌可能在他們提出 DSAR 之前就已在保留下老化失效;清除仍對任何剩餘的東西執行,並編修保留的計帳列。

7. 這如何契合整體

被遺忘權是你資料當事人義務的一塊。把它與蓋印地區的證據及更廣的合規迴圈搭配:

保留

滾動的請求日誌視窗——30 天預設、180 天鉗制——獨立於抹除執行。

資料駐留地

你的簽署合規報告被儲存與提供所在的地區。

GDPR 套件

安裝控制項並把簽署的 GDPR 證據交付給稽核師。

共同責任

閘道為你抹除什麼,以及什麼仍是你的決定。
閘道給你一個觸及它擁有的每筆記錄的自助 DSAR。決定何時需要刪除,並符合任何司法管轄區特定的期限,仍是你的決定——30 天寬限視窗是你做出它的緩衝。