跳转到主要内容
当一个数据主体行使其被遗忘权时,你需要两样东西:一份他们数据 的可携带副本,以及一次真正触及他们活动所触碰的每个执行面—— 而不只是用户行——的不可逆删除。OrcaRouter 让两者都自助。一个 登录的账户可以导出它自己的数据并安排它自己的删除;删除以一个 30 天宽限窗口运行,随后是一次PII 清除,它级联清理与该 账户相关联的可观测性记录。 本页讲解客户可观察的擦除流程。关于证据制品存放在哪里,参见 数据驻留;关于请求日志 独立于擦除地持久存在多久,参见 保留

1. GDPR 擦除 LLM:自助 DSAR 流程

三个控制台动作端到端地涵盖一个数据主体访问请求。每一个都是 /api/user/* 下的一条 UserAuth 路由——由你的控制台会话驱动, 绝非中继(sk-orca-…)密钥:

导出

在你删除之前下载你个人数据的一份可携带 JSON 副本。

删除

立即软删除;把不可逆的清除安排在 +30 天。

取消

在宽限窗口内随时恢复账户。
导出是数据可携带性——DSAR 的访问那一半。删除是擦除那一半。 先运行导出;一旦清除触发,就没有什么可导出的了。

2. 导出你的数据(一个具体流程)

从控制台打开 Account → Privacy 并选择 Export my data。 控制台用你的会话驱动这条读取路由: 
GET /api/user/self/export
Authorization: Bearer <your console session>
响应是你个人资料和非密敏个人数据的一个可下载 JSON 文档。导出 是一个明确的允许列表——它从不包含你的密码哈希、你的系统 访问令牌、OAuth 密钥、webhook/通知凭据,或请求日志的载荷正文。
导出在宽限窗口期间保持可用。一个已安排删除的账户被软删除, 但仍能触达导出和取消——可携带性正是把那扇门保持敞开直到清除 运行的全部要点。

3. 安排删除

Account → Privacy → Delete my account 立即软删除账户,并把 PII 清除安排在当前 + 30 天 
DELETE /api/user/self
Authorization: Bearer <your console session>
Content-Type: application/json

{ "password": "<current password>" }
响应携带已安排的清除日期。有几道防护适用:
密码账户必须在删除请求上提供其当前密码——防御被劫持的会话 永久销毁数据。仅 OAuth 的账户没有密码;经认证的会话就是 凭证。
如果你是一个仍有其他成员的共享团队工作区的唯一所有者,删除 会被拒绝——否则队友将继承一个无主的工作区。请先转移所有权 或归档工作区。
实例 root 账户被拒绝——自我擦除它会让部署没有超级管理员。 请先交接 root 角色。
在已处于待处理状态时再次调用删除,会返回一个友好的”已安排” 响应,而非一个错误。
一旦安排,在宽限窗口余下的时间里,你的会话被限制到取消导出端点——一个保留的 cookie 在 /api/user/* 的其余部分上 不再通过认证。取消会解除该限制,并在无需重新登录的情况下恢复 完全访问。

4. 30 天宽限窗口

宽限窗口是一个有意的撤销缓冲。直到它流逝,账户都是软删除而非 被擦除的,且一次调用即可恢复它: 
POST /api/user/self/deletion/cancel
Authorization: Bearer <your console session>
如果一次取消落在清扫选中你的账户与清除运行之间的竞争中,那个 现在已激活的账户不会被匿名化——清除以仍处待处理状态为 守卫,并跳过任何已被复活的东西。
把这 30 天当作你的 DSAR 履行 SLA 缓冲。一个改变主意的主体,或 一个错误提起的请求,在窗口关闭之前完全可恢复——其后清除按设计 不可逆。

5. PII 清除及其级联清理

当宽限窗口流逝时,一次清扫运行清除。它只是隐藏一行—— 它剥离直接标识符,并级联清理你的活动在每个可观测性执行面留下 的记录:
执行面清除做什么
账户直接标识符被匿名化;凭据、密钥、OAuth 绑定、passkey 和 2FA 被硬删除
请求日志从请求日志存储中清除
核算 / 用量行为计费保留的行上用户名被脱敏、IP 被清空
防护栏匹配清除——包括任何原始匹配子串
防火墙事件清除——归因于你的工具名、IP 和请求 ID
账户字段被原地匿名化(用户名和邮箱被重写为一个 deleted-… 占位符,状态被禁用),于是有合法依据持久存在的核算和审计行 保持其形态,同时失去内嵌的个人数据。每一个携带凭据的东西都 被硬删除——真正的擦除,而非仅仅隐藏的软删除。
级联触及你在控制台别处阅读的同样的三个执行面: 防护栏 匹配防火墙 事件,以及请求日志。在清除 之后,它们没有一个能解析回那个被删除的人。这正是使擦除在内容 层、动作层和日志之间对称的原因。
注意与原始匹配内容的区别。防护栏匹配只在该防护栏的 Log raw content 开关开启时(默认关闭)才存储一个匹配子串。无论哪种 方式,清除都会完全清理那些记录——所以该开关改变的是曾经记录了 什么,而非删除后存活下来什么。

6. 擦除 vs 保留

擦除和保留是两个不同的时钟——不要把它们混为一谈:
  • 保留所有人在一个滚动窗口上老化淘汰请求日志——30 天 默认值,被服务端钳制到 180 天的硬性最大值。参见 保留
  • 擦除是由一个 DSAR 触发的一次性、账户范围的事件:30 天 宽限窗口,然后清除。
一个主体的日志在他们提起 DSAR 之前可能已经在保留下老化淘汰了; 清除仍针对剩下的任何东西运行,并脱敏保留的核算行。

7. 这一切的归属

被遗忘权是你的数据主体义务的一部分。把它与区域戳记证据和更 宽泛的合规循环配对:

保留

滚动的请求日志窗口——30 天默认、180 天钳制——它独立于擦除 运行。

数据驻留

你的签名合规报告被存储和提供服务所在的区域。

GDPR 包

安装控制并向审计员交付签名 GDPR 证据。

责任共担

网关为你擦除什么、什么仍是你的决定。
网关给你一个触达它所拥有的每条记录的自助 DSAR。决定何时需要 一次删除,以及满足任何司法辖区特定的截止期限,仍由你决定—— 30 天宽限窗口是你做出决定的缓冲。