跳转到主要内容
如果你的 LLM 应用处理欧盟个人数据,三项 GDPR 义务落在请求路径 本身:把个人数据保持在模型所需的最小量(第 5 条)、为工具 egress 把它发往哪里提供证据(第 44 条),并尊重数据主体的被 遗忘权(第 17 条)。GDPR 包把这些转化为你一次调用即可安装的 执行控制——无需从零编写策略。 本页是 GDPR LLM 落地页:安装包实际实体化什么、一个具体的 安装流程,以及擦除如何端到端工作。关于完整的内容层和动作层 参考,请跟随链接,而非在这里重读它们。

1. GDPR 包安装什么

浏览目录对任何工作区 Member 免费;安装是一个付费套餐、 工作区 Admin 动作(与上线相同的门——参见 套餐门控)。一次安装实体化 映射到 GDPR 条款的真实、可编辑 防护栏防火墙 行:
一个 PII 防护栏,在检测到欧盟标识符(IBAN、UK NHS 号、德国 Steuer-ID、法国 NIR)时拦截请求,于是受监管数据永远不会 到达上游提供商。它运行在 input 阶段。实体列表和按实体的 动作覆盖参见 防护栏——你可以在安装 后把一个被覆盖的实体从 block 切换到 mask。
一个更宽泛的 PII 防护栏,硬拒绝包含 email、电话号码、SSN、 信用卡号或 IP 的请求,于是特殊类别和普通个人数据被一起捕获。
一个日志防护栏,把每个防护栏决策记录为处理证据——喂入你 审计员所读的签名报告。
一条防火墙 egress 规则,审计你的工具向网关报告的出站 目的地,于是一次传输评估有一条数据去向的真实轨迹。egress 匹配参见 防火墙
包是一个你拥有的起点,而非一个黑盒。它写入的每一条规则都是 一个普通的防护栏或防火墙行,你之后可以在控制台编辑、重排序或 禁用它。

2. 安装 GDPR 包(一个具体流程)

从控制台的 Compliance → Packs 下、以付费套餐上的工作区 Admin 身份登录来安装。控制台用你的会话为你驱动管理路由—— 这是一条 UserAuth 路由,绝非中继(sk-orca-…)密钥: 
POST /api/compliance/packs/gdpr/install
Authorization: Bearer <your console session>
在你承诺之前,目录精确告诉你正映射到哪个框架——先以 Member 身份打开它: 
GET /api/compliance/catalog
Authorization: Bearer <your console session>

{
  "key": "gdpr",
  "name": "GDPR",
  "framework": "EU General Data Protection Regulation",
  "jurisdiction": "EU/EEA"
}
先安装到观察模式。实体化的防火墙 egress 规则可以仅审计运行, 于是你在它们中任何一个被拒绝之前先观察真实传输目的地一周——参见 观察 vs 执行

3. 请求上的 PII 控制

数据最小化是承重的 GDPR 控制,而在网关上它是一个 PII 防护栏。 默认情况下,包在检测到欧盟个人数据时在输入阶段拦截请求 ——请求在模型看到它之前被拒绝,于是受监管数据永远不会到达上游 提供商。 除了捆绑的欧盟实体,你还可以调优包安装的防护栏:精确挑选要覆盖 哪些实体、把一个被覆盖的实体从 block 切换到 mask,并添加你 自己的自定义实体模式。完整的实体列表、按实体的动作覆盖和自定义 实体选项在 防护栏参考 中。
如果你把一个实体切换到 mask,那个掩码在输入阶段是实时的, 但在输出阶段是沙盒评估的——模型响应的实时掩码在路线图上。 一个输出 block 在流式和非流式响应上都执行。围绕输入阶段 规划你的最小化,那里 block 和 mask 都完全实时。

4. 为你的 GDPR LLM 证据设置驻留地

GDPR 审计员问证据存放在哪里。OrcaRouter 的数据驻留设置用 一个区域(us / eu / uk / ap / cn / global)戳记每份 签名合规报告,并扣留任何其戳记区域不再匹配工作区的报告。对一个 欧盟项目,在你生成审计员将依赖的报告之前声明 eu 
PUT /api/compliance/residency
Authorization: Bearer <your console session>
Content-Type: application/json

{ "region": "eu" }
驻留地治理报告制品,而非推理运行的位置。它不是模型流量的 地理钉定。专门的 数据驻留 页面讲解这一区别,以及当你在报告已存在后更改区域时会发生什么。

5. 被遗忘权(第 17 条)

一个真实的 GDPR 应用需要一条真实的擦除路径,而非一个承诺。 在 OrcaRouter 上,账户自助删除运行一个宽限然后清除流程:
步骤发生什么
请求账户立即软删除;登录被阻止。
宽限一个 30 天可取消的窗口,在不可逆清除之前。
清除PII 被清除;级联清理请求日志、防护栏匹配和防火墙事件。
宽限窗口是可取消的——且用户在清除触发之前仍可在其期间 导出他们的数据(数据可携带性,第 20 条)。窗口之后,清除 不可逆,并级联触及携带直接标识符的记录。
请求日志独立于擦除被治理:默认保留是 30 天,被服务端钳制到 180 天最大值。降低它会缩短任何个人数据停留在日志中的窗口 ——参见 保留

6. 用一份签名报告证明它

包一旦上线,生成一份合规报告:它是 SHA-256 哈希和 Ed25519 签名的,于是审计员可以验证它由 OrcaRouter 产生且未被篡改——公开 地,无需登录。 
POST /api/compliance/reports
Authorization: Bearer <your console session>
Content-Type: application/json

{ "framework": "gdpr" }
任何人都能针对公钥验证签名,而你可以交给审计员一个限定、限时的 共享链接。机制在 签名报告验证一份报告 中。

7. 这一切的归属

GDPR 是更宽泛的合规循环中的一个框架——安装一个包、观察它、 执行、声明驻留地,然后交付签名证据。

被遗忘权

完整的宽限然后清除流程和级联清理。

数据驻留

区域戳记证据,以及为什么它不是推理地理钉定。

合规概览

完整循环——安装、观察、执行,并交付签名证据。

防护栏

内容层参考——PII 实体、掩码和覆盖。
关于 GDPR 下网关保证什么与什么仍归你之间的边界——声明驻留地、 分类你的数据、触发删除—— 责任共担 地图把 GDPR 包放进上下文。