合规上线检查清单
合规不是上线后的事,而是上线前就必须完成的事。很多团队在产品功能开发上投入了大量精力,却在即将上线时发现缺少隐私政策、Cookie 同意没有接入、支付流程没有经过 PCI 合规检查——这些问题一旦在上线后暴露,轻则下架整改,重则面临罚款和诉讼。
本文提供一套完整的合规检查清单,覆盖法律页面、数据保护、支付安全、内容安全和技术基础设施五个维度。每个检查项都标注了优先级和推荐工具,可以直接拿去用。
合规检查清单概述
AI 产品出海涉及的合规要求可以归纳为五个核心类别:
| 类别 | 核心目标 | 覆盖范围 |
|---|---|---|
| 法律合规 | 确保产品具备必要的法律文件和条款 | 隐私政策、服务条款、Cookie 政策、DMCA |
| 数据保护 | 保护用户个人数据,满足各地隐私法规 | GDPR、CCPA、数据分类、用户权利 |
| 支付安全 | 确保支付流程安全、合规 | PCI DSS、退款政策、税务合规 |
| 内容安全 | 确保 AI 生成内容符合各地法规 | 内容审核、版权合规、年龄限制 |
| 技术安全 | 确保技术基础设施安全可靠 | 加密、认证、日志、漏洞扫描 |
法律合规检查项
法律合规是上线的最低门槛。没有必要的法律文件,应用商店可能拒绝上架,支付服务商可能终止合作。
隐私政策(Privacy Policy)
隐私政策是所有市场中最基本的法律文件。GDPR 要求隐私政策必须包含:数据控制者身份、处理目的和法律依据、数据保留期限、用户权利说明、数据跨境传输说明。
具体检查项:
- 隐私政策页面已创建且可通过固定 URL 访问
- 明确说明收集哪些数据(姓名、邮箱、支付信息、使用数据等)
- 说明数据使用目的和法律依据(consent、contract、legitimate interest 等)
- 说明数据保留期限或保留策略
- 包含用户权利说明(访问权、更正权、删除权、可携带权等)
- 说明是否进行数据跨境传输及保障措施(SCCs 等)
- 包含 DPO(数据保护官)联系方式(如适用)
- 隐私政策版本号和最后更新日期清晰标注
服务条款(Terms of Service)
服务条款定义了你和用户之间的权利义务关系。对于 AI 产品,需要特别关注 AI 生成内容的责任界定。
- 服务条款页面已创建且可通过固定 URL 访问
- 明确用户账户责任和终止条件
- 明确 AI 生成内容的所有权和使用限制
- 包含免责声明和责任限制条款
- 包含争议解决机制(仲裁条款、管辖法院)
- 包含条款变更通知机制
Cookie 同意与跟踪
面向欧盟用户的产品必须接入符合 ePrivacy Directive 和 GDPR 标准的 Cookie 同意机制。
- 首次访问时展示 Cookie 同意横幅
- 默认不加载非必要的 Cookie(先同意再加载)
- 提供细粒度的 Cookie 分类选择(必要、分析、营销)
- 同意状态可随时撤回
- Cookie 政策页面已创建并说明每类 Cookie 用途
- 同意记录可被审计(记录用户何时、选择了什么)
DMCA 与知识产权
如果你的产品涉及用户上传内容,需要指定 DMCA 代理人并在美国版权局注册。
- DMCA 代理人信息已在网站公示
- DMCA 代理人已在 copyright.gov 注册
- 侵权通知处理流程已建立
- 网站包含版权声明
数据保护检查项
数据保护是出海合规中最复杂也最容易踩坑的部分。不同地区有不同的法规要求,但 GDPR 是最严格的标准,满足 GDPR 基本可以覆盖其他地区的要求。
GDPR 合规
GDPR 适用于任何处理欧盟公民个人数据的组织,不论组织是否设在欧盟。对于 SaaS 产品来说,只要有欧盟用户,就受 GDPR 约束。
- 已确定数据处理的法律依据(consent、contract、legitimate interest)
- 已建立数据处理活动记录(ROPA)
- 需要时已任命 DPO(数据保护官)
- 已完成数据保护影响评估(DPIA)(针对高风险处理)
- 已建立数据主体权利响应流程(访问、更正、删除、可携带)
- 已建立数据泄露通知流程(72 小时内通知监管机构)
- 与数据处理方(第三方服务)已签署 DPA(数据处理协议)
- 跨境传输已建立合法机制(SCCs、 adequacy decision)
数据分类与管理
- 已完成数据分类(个人信息、敏感信息、匿名数据)
- 敏感数据(如健康、金融、生物特征)有额外保护措施
- 数据保留策略已定义并执行
- 用户注销/删除账户后数据清理流程已实现
- 数据存储位置已明确记录
CCPA/CPRA 合规(面向美国加州用户)
- 网站包含「Do Not Sell My Personal Information」链接
- 隐私政策包含 CCPA 要求的消费者权利说明
- 已建立消费者数据请求响应流程
- 已确认是否达到 CCPA 适用门槛(年收入超 2500 万美元,或处理 10 万+ 消费者数据)
支付安全检查项
支付合规直接影响你能否合法收款。不合规的后果可能是支付服务商终止合作、罚款,甚至在某些地区构成刑事犯罪。
PCI DSS 合规
如果你处理信用卡信息,必须满足 PCI DSS 要求。使用 Stripe、Paddle 等托管支付服务可以大幅降低合规负担。
- 已确认支付方式是否涉及直接处理卡数据
- 如果直接处理卡数据,已完成 PCI DSS 合规认证
- 如果使用托管支付(Stripe/Paddle),已确认 SAQ A 适用性
- 支付页面通过 HTTPS 传输
- 卡数据不存储在自有服务器上
- 已配置 Webhook 签名验证(防止支付回调被伪造)
退款与争议处理
- 退款政策已创建并在购买页面可见
- 退款流程已实现(用户可发起退款请求)
- 争议处理响应流程已建立
- 订阅产品已支持用户自主取消
税务合规
- 已确认目标市场的数字服务税(VAT/GST)义务
- 如果使用 Merchant of Record(如 Paddle),已确认税务由 MoR 处理
- 如需自行处理税务,已注册相关税号
- 发票/收据生成逻辑已实现
| 支付方式 | PCI 合规要求 | 税务处理 | 适用场景 |
|---|---|---|---|
| Stripe(直接) | SAQ A 或更高 | 需自行处理 | 需要完全控制支付体验 |
| Paddle(MoR) | SAQ A(最低负担) | Paddle 处理 | 希望降低合规负担 |
| LemonSqueezy(MoR) | SAQ A | LemonSqueezy 处理 | 面向开发者和数字产品 |
| 自建支付系统 | 完整 PCI DSS Level 1 | 需自行处理 | 大型平台或特殊需求 |
内容安全检查项
AI 产品有独特的内容安全挑战。AI 生成的内容可能涉及版权侵权、虚假信息、有害内容等问题。
AI 生成内容合规
- AI 生成内容有明确标识(告知用户内容由 AI 生成)
- 已建立内容审核机制(自动审核 + 人工复审)
- 已定义禁止生成的内容类型并写入服务条款
- 已建立用户举报/投诉处理流程
- AI 模型训练中使用的数据已获得合法授权
版权与知识产权
- 已确认 AI 模型训练数据的版权合规性
- AI 生成内容的版权归属已在服务条款中说明
- 已建立侵权内容下架机制(DMCA takedown)
- 用户输入内容的知识产权归属已明确
年龄限制与可访问性
- 已设置最低使用年龄(通常为 13 岁或 16 岁,取决于市场)
- 已实施年龄验证机制(如适用)
- 产品符合 WCAG 2.1 AA 级可访问性标准
- 已提供无障碍声明页面
技术安全检查项
技术安全是合规的基础设施层。即使法律文件齐全,技术上的安全漏洞也可能导致数据泄露和合规失败。
加密与传输安全
- 全站 HTTPS 已启用(包括 API 端点)
- TLS 版本为 1.2 或以上
- 敏感数据(密码、Token)在数据库中使用强加密存储
- API 密钥和凭据使用环境变量或密钥管理服务,不硬编码
认证与授权
- 用户认证使用安全的密码哈希算法(如 bcrypt、argon2)
- 支持 MFA(多因素认证)
- API 接口有速率限制(rate limiting)
- Session/Token 有合理过期时间
- OAuth 回调 URL 已正确配置和验证
日志与审计
- 关键操作有审计日志(登录、数据修改、支付操作)
- 日志不包含敏感信息(密码、卡号、Token)
- 日志保留策略已定义
- 异常访问检测和告警已配置
漏洞管理
- 依赖包漏洞扫描已集成到 CI/CD 流程
- 已知漏洞有修复计划和时间表
- 安全头(CSP、HSTS、X-Frame-Options)已配置
- 已建立安全漏洞披露政策(security.txt 或 security@ 邮箱)
| 安全类别 | 检查项 | 优先级 | 推荐工具 |
|---|---|---|---|
| 加密 | 全站 HTTPS | P0 | Let's Encrypt / Cloudflare |
| 加密 | 数据库敏感字段加密 | P0 | 应用层加密 / Vault |
| 认证 | 密码安全哈希 | P0 | bcrypt / argon2 |
| 认证 | MFA 支持 | P1 | otplib / Auth0 |
| 审计 | 操作审计日志 | P1 | Pino + 日志系统 |
| 漏洞 | 依赖漏洞扫描 | P1 | Snyk / Dependabot |
| 漏洞 | 安全头配置 | P1 | Helmet.js |
| 认证 | 速率限制 | P1 | express-rate-limit / Upstash |
优先级和实施顺序
合规检查项不可能一次性全部完成。建议按照以下顺序实施:
第一阶段:上线前必须完成(P0)
这一阶段的项目是上线的最低要求。任何一项缺失都可能导致法律风险或平台拒绝上架。
- 隐私政策和服务条款
- Cookie 同意机制(面向欧盟)
- HTTPS 全站加密
- 支付安全(PCI 合规或确认托管支付)
- 用户数据删除能力
第二阶段:上线后 30 天内完成(P1)
这一阶段的项目对合规有重要影响,但不会直接阻止上线。
- GDPR 完整合规(DPIA、ROPA、DPA 等)
- CCPA 合规(面向美国市场)
- 内容审核机制
- 审计日志系统
- 漏洞扫描集成到 CI/CD
第三阶段:持续改进(P2)
这一阶段的项目是合规成熟度的体现,需要长期维护。
- WCAG 可访问性合规
- 安全漏洞披露政策
- 定期渗透测试
- 合规自动化监控
工具推荐
合规工作不需要从零开始。下面按类别推荐可以直接使用的工具。
合规管理平台
| 工具 | 适用场景 | 价格 | 特点 |
|---|---|---|---|
| Vanta | 自动化合规监控 | $5,000+/年 | 支持 SOC 2、ISO 27001、GDPR 等 |
| Drata | 合规自动化 | $5,000+/年 | 持续监控、证据收集 |
| Sprinto | 合规管理 | $3,000+/年 | 适合中小型 SaaS |
| Secureframe | 多框架合规 | $5,000+/年 | 支持 GDPR、HIPAA、SOC 2 |
Cookie 同意与隐私管理
| 工具 | 适用场景 | 价格 | 特点 |
|---|---|---|---|
| Cookiebot | Cookie 同意 | 免费起 | 自动扫描、细粒度控制 |
| OneTrust | 隐私管理 | 企业定价 | 全功能隐私管理平台 |
| Osano | 数据隐私 | $500+/年 | 适合中小团队 |
| CookieYes | Cookie 同意 | $10+/月 | 性价比高 |
安全扫描与监控
| 工具 | 适用场景 | 价格 | 特点 |
|---|---|---|---|
| Snyk | 依赖漏洞扫描 | 免费起 | 集成 CI/CD |
| OWASP ZAP | Web 应用安全测试 | 免费开源 | 渗透测试 |
| SecurityHeaders.com | 安全头检查 | 免费 | 在线检测安全头 |
| SSL Labs | TLS 配置检测 | 免费 | 评估 SSL/TLS 配置 |
法律文件生成
| 工具 | 适用场景 | 价格 | 特点 |
|---|---|---|---|
| Termly | 法律文件生成 | $15+/月 | 隐私政策、条款生成器 |
| iubenda | 合规文档 | $29+/年 | 覆盖多国合规 |
| TermsFeed | 法律模板 | $9+/月 | 适合独立开发者 |
常见错误和避坑指南
错误一:先用通用模板,打算以后再改
很多团队从网上下载隐私政策模板直接发布,但模板中的内容与实际产品不符。GDPR 要求隐私政策准确反映实际的数据处理活动,虚假的隐私政策本身就是违规。
正确做法:根据产品实际的数据流和功能编写法律文件,上线前让有经验的律师审核。
错误二:Cookie 横幅「先加载后同意」
有些产品虽然展示了 Cookie 同意横幅,但在用户点击同意之前就已经加载了分析脚本。这违反了 ePrivacy Directive 的要求——非必要 Cookie 必须在获得同意后才能加载。
正确做法:使用 Consent Management Platform(CMP)确保先同意再加载,并记录同意状态。
错误三:忽视数据删除请求
GDPR 赋予用户「被遗忘权」,用户有权要求删除其个人数据。如果收到删除请求但没有响应流程,可能面临投诉和调查。
正确做法:建立标准化的数据删除流程,收到请求后 30 天内完成响应和处理,保留处理记录。
错误四:支付数据存在自己的数据库里
一些团队为了方便,把信用卡号或支付信息存在自己的数据库中。这不仅增加了 PCI DSS 合规负担,也带来了巨大的安全风险。
正确做法:使用 Stripe、Paddle 等托管支付服务,让支付数据不经过自己的服务器。
错误五:AI 生成内容没有任何审核
AI 产品可能生成违规内容(暴力、歧视、虚假信息等)。如果没有内容审核机制,产品可能被应用商店下架或遭到用户投诉。
正确做法:建立自动审核(关键词过滤、AI 分类器)和人工复审结合的内容安全体系。
案例
案例一:独立开发者的 GDPR 踩坑经历
一位独立开发者在欧洲市场推出了一款 AI 写作工具。产品上线三个月后收到了德国用户的数据访问请求(DSAR)。开发者此前没有建立 DSAR 响应流程,不知道如何在 30 天内完成响应。最终他花了两周时间手动整理用户数据,还因为响应超时被用户投诉到监管机构。
这次经历让他意识到合规不是可选项。他随后接入了 Cookiebot 处理 Cookie 同意,用 Termly 重新生成了隐私政策,建立了标准化的数据请求响应流程。整个过程花费了约 500 美元和两周的开发时间,但避免了可能的罚款(GDPR 违规罚款上限为全球年营业额的 4% 或 2000 万欧元)。
教训:GDPR 合规的初始投入不高,但忽视它的代价可能很高。对于独立开发者来说,使用合规工具和模板是性价比最高的选择。
案例二:AI 图片生成产品的内容安全事件
一家初创公司推出了 AI 图片生成产品,但没有建立内容审核机制。上线后,有用户上传提示词生成了不当内容并分享到社交媒体,引发舆论关注。产品被应用商店临时下架,公司不得不紧急开发内容审核系统。
他们在事后建立了三层防护:输入端提示词过滤(阻止敏感关键词)、模型端安全对齐(拒绝生成特定类型内容)、输出端自动审核(AI 分类器检测不当图片)。这个案例说明,内容安全不是可以延后的功能,而是上线前就必须具备的能力。
教训:AI 产品需要在上线前就建立完善的内容安全机制。三层防护(输入过滤、模型对齐、输出审核)是行业标准做法。
完整合规检查清单
以下检查清单包含 25 个项目,分为 5 个类别。建议打印出来逐项检查,确保上线前所有 P0 项目已完成。
一、法律合规(5 项)
- 隐私政策已创建,包含数据收集、使用目的、用户权利等必要内容
- 服务条款已创建,包含 AI 生成内容的权属和责任说明
- Cookie 同意机制已接入,非必要 Cookie 先同意再加载
- DMCA 代理人已指定并注册(如适用)
- 所有法律文件可通过固定 URL 访问,且在注册/购买流程中展示
二、数据保护(6 项)
- 已完成数据分类,明确个人信息和敏感信息
- 已确定每类数据处理的法律依据
- 用户数据删除能力已实现(账户注销后数据清理)
- 数据主体权利响应流程已建立(访问、更正、删除、可携带)
- 数据处理方已签署 DPA(数据处理协议)
- 数据泄露通知流程已建立(72 小时内通知监管机构)
三、支付安全(5 项)
- PCI DSS 合规已确认(自有处理需认证,托管支付需确认 SAQ)
- 退款政策已创建并在购买页面可见
- 订阅产品支持用户自主取消
- 支付回调 Webhook 签名验证已配置
- 税务合规已确认(VAT/GST 义务或 MoR 处理)
四、内容安全(5 项)
- AI 生成内容有明确标识
- 内容审核机制已建立(自动 + 人工)
- 用户举报处理流程已实现
- 禁止生成内容类型已写入服务条款
- 最低使用年龄限制已设置
五、技术安全(4 项)
- 全站 HTTPS 已启用,TLS 1.2+
- 密码使用强哈希算法存储(bcrypt/argon2)
- 关键操作有审计日志
- 安全头已配置(CSP、HSTS、X-Frame-Options)
小结
合规上线不是一个可以跳过的步骤。从隐私政策到数据保护,从支付安全到内容审核,每一项检查都对应着真实的法律义务和用户信任。好消息是,借助现有的合规工具和服务,大部分工作不需要从零开始。
建议的做法是:在产品开发初期就把合规纳入计划,而不是在上线前临时补救。将本文的检查清单作为基准,根据你的产品类型和目标市场做增减。上线前完成所有 P0 项目,上线后 30 天内完成 P1 项目,然后进入持续改进的 P2 阶段。
合规是一个持续的过程,不是一次性的任务。保持对法规变化的关注,定期检查合规状态,才能确保产品长期稳定运营。
参考资料
- GDPR Compliance Checklist - GDPR.eu — GDPR 官方合规检查清单,覆盖所有核心要求。
- SaaS Compliance Checklist - Paddle — 面向 SaaS 的合规指南,涵盖税务、数据保护、安全和支付合规。
- GDPR Compliance Checklist for SaaS - GRCTrail — 分步骤的 GDPR 合规指南,包含文档管理和供应商管理。
- GDPR Compliance for SaaS: 2026 Action Plan - Feroot Security — 2026 年 SaaS GDPR 合规行动计划,包含最新要求更新。
- Data Protection Trends 2026 - Secureframe — 2026 年数据保护趋势分析,包含风险可视化和合规自动化。
- 合规终审清单·上线期 - YYMuse — AI 项目上线前的合规终审闸门,强调红线问题不可带病上线。
- 企业开源合规自查 Checklist - 啊靓啊笔记 — 面向 CTO 和技术总监的开源合规自查清单,适合大版本发布前执行。