合规上线检查清单

合规不是上线后的事,而是上线前就必须完成的事。很多团队在产品功能开发上投入了大量精力,却在即将上线时发现缺少隐私政策、Cookie 同意没有接入、支付流程没有经过 PCI 合规检查——这些问题一旦在上线后暴露,轻则下架整改,重则面临罚款和诉讼。

本文提供一套完整的合规检查清单,覆盖法律页面、数据保护、支付安全、内容安全和技术基础设施五个维度。每个检查项都标注了优先级和推荐工具,可以直接拿去用。

合规检查清单概述

AI 产品出海涉及的合规要求可以归纳为五个核心类别:

类别核心目标覆盖范围
法律合规确保产品具备必要的法律文件和条款隐私政策、服务条款、Cookie 政策、DMCA
数据保护保护用户个人数据,满足各地隐私法规GDPR、CCPA、数据分类、用户权利
支付安全确保支付流程安全、合规PCI DSS、退款政策、税务合规
内容安全确保 AI 生成内容符合各地法规内容审核、版权合规、年龄限制
技术安全确保技术基础设施安全可靠加密、认证、日志、漏洞扫描

法律合规检查项

法律合规是上线的最低门槛。没有必要的法律文件,应用商店可能拒绝上架,支付服务商可能终止合作。

隐私政策(Privacy Policy)

隐私政策是所有市场中最基本的法律文件。GDPR 要求隐私政策必须包含:数据控制者身份、处理目的和法律依据、数据保留期限、用户权利说明、数据跨境传输说明。

具体检查项:

  • 隐私政策页面已创建且可通过固定 URL 访问
  • 明确说明收集哪些数据(姓名、邮箱、支付信息、使用数据等)
  • 说明数据使用目的和法律依据(consent、contract、legitimate interest 等)
  • 说明数据保留期限或保留策略
  • 包含用户权利说明(访问权、更正权、删除权、可携带权等)
  • 说明是否进行数据跨境传输及保障措施(SCCs 等)
  • 包含 DPO(数据保护官)联系方式(如适用)
  • 隐私政策版本号和最后更新日期清晰标注

服务条款(Terms of Service)

服务条款定义了你和用户之间的权利义务关系。对于 AI 产品,需要特别关注 AI 生成内容的责任界定。

  • 服务条款页面已创建且可通过固定 URL 访问
  • 明确用户账户责任和终止条件
  • 明确 AI 生成内容的所有权和使用限制
  • 包含免责声明和责任限制条款
  • 包含争议解决机制(仲裁条款、管辖法院)
  • 包含条款变更通知机制

面向欧盟用户的产品必须接入符合 ePrivacy Directive 和 GDPR 标准的 Cookie 同意机制。

  • 首次访问时展示 Cookie 同意横幅
  • 默认不加载非必要的 Cookie(先同意再加载)
  • 提供细粒度的 Cookie 分类选择(必要、分析、营销)
  • 同意状态可随时撤回
  • Cookie 政策页面已创建并说明每类 Cookie 用途
  • 同意记录可被审计(记录用户何时、选择了什么)

DMCA 与知识产权

如果你的产品涉及用户上传内容,需要指定 DMCA 代理人并在美国版权局注册。

  • DMCA 代理人信息已在网站公示
  • DMCA 代理人已在 copyright.gov 注册
  • 侵权通知处理流程已建立
  • 网站包含版权声明

数据保护检查项

数据保护是出海合规中最复杂也最容易踩坑的部分。不同地区有不同的法规要求,但 GDPR 是最严格的标准,满足 GDPR 基本可以覆盖其他地区的要求。

GDPR 合规

GDPR 适用于任何处理欧盟公民个人数据的组织,不论组织是否设在欧盟。对于 SaaS 产品来说,只要有欧盟用户,就受 GDPR 约束。

  • 已确定数据处理的法律依据(consent、contract、legitimate interest)
  • 已建立数据处理活动记录(ROPA)
  • 需要时已任命 DPO(数据保护官)
  • 已完成数据保护影响评估(DPIA)(针对高风险处理)
  • 已建立数据主体权利响应流程(访问、更正、删除、可携带)
  • 已建立数据泄露通知流程(72 小时内通知监管机构)
  • 与数据处理方(第三方服务)已签署 DPA(数据处理协议)
  • 跨境传输已建立合法机制(SCCs、 adequacy decision)

数据分类与管理

  • 已完成数据分类(个人信息、敏感信息、匿名数据)
  • 敏感数据(如健康、金融、生物特征)有额外保护措施
  • 数据保留策略已定义并执行
  • 用户注销/删除账户后数据清理流程已实现
  • 数据存储位置已明确记录

CCPA/CPRA 合规(面向美国加州用户)

  • 网站包含「Do Not Sell My Personal Information」链接
  • 隐私政策包含 CCPA 要求的消费者权利说明
  • 已建立消费者数据请求响应流程
  • 已确认是否达到 CCPA 适用门槛(年收入超 2500 万美元,或处理 10 万+ 消费者数据)

支付安全检查项

支付合规直接影响你能否合法收款。不合规的后果可能是支付服务商终止合作、罚款,甚至在某些地区构成刑事犯罪。

PCI DSS 合规

如果你处理信用卡信息,必须满足 PCI DSS 要求。使用 Stripe、Paddle 等托管支付服务可以大幅降低合规负担。

  • 已确认支付方式是否涉及直接处理卡数据
  • 如果直接处理卡数据,已完成 PCI DSS 合规认证
  • 如果使用托管支付(Stripe/Paddle),已确认 SAQ A 适用性
  • 支付页面通过 HTTPS 传输
  • 卡数据不存储在自有服务器上
  • 已配置 Webhook 签名验证(防止支付回调被伪造)

退款与争议处理

  • 退款政策已创建并在购买页面可见
  • 退款流程已实现(用户可发起退款请求)
  • 争议处理响应流程已建立
  • 订阅产品已支持用户自主取消

税务合规

  • 已确认目标市场的数字服务税(VAT/GST)义务
  • 如果使用 Merchant of Record(如 Paddle),已确认税务由 MoR 处理
  • 如需自行处理税务,已注册相关税号
  • 发票/收据生成逻辑已实现
支付方式PCI 合规要求税务处理适用场景
Stripe(直接)SAQ A 或更高需自行处理需要完全控制支付体验
Paddle(MoR)SAQ A(最低负担)Paddle 处理希望降低合规负担
LemonSqueezy(MoR)SAQ ALemonSqueezy 处理面向开发者和数字产品
自建支付系统完整 PCI DSS Level 1需自行处理大型平台或特殊需求

内容安全检查项

AI 产品有独特的内容安全挑战。AI 生成的内容可能涉及版权侵权、虚假信息、有害内容等问题。

AI 生成内容合规

  • AI 生成内容有明确标识(告知用户内容由 AI 生成)
  • 已建立内容审核机制(自动审核 + 人工复审)
  • 已定义禁止生成的内容类型并写入服务条款
  • 已建立用户举报/投诉处理流程
  • AI 模型训练中使用的数据已获得合法授权

版权与知识产权

  • 已确认 AI 模型训练数据的版权合规性
  • AI 生成内容的版权归属已在服务条款中说明
  • 已建立侵权内容下架机制(DMCA takedown)
  • 用户输入内容的知识产权归属已明确

年龄限制与可访问性

  • 已设置最低使用年龄(通常为 13 岁或 16 岁,取决于市场)
  • 已实施年龄验证机制(如适用)
  • 产品符合 WCAG 2.1 AA 级可访问性标准
  • 已提供无障碍声明页面

技术安全检查项

技术安全是合规的基础设施层。即使法律文件齐全,技术上的安全漏洞也可能导致数据泄露和合规失败。

加密与传输安全

  • 全站 HTTPS 已启用(包括 API 端点)
  • TLS 版本为 1.2 或以上
  • 敏感数据(密码、Token)在数据库中使用强加密存储
  • API 密钥和凭据使用环境变量或密钥管理服务,不硬编码

认证与授权

  • 用户认证使用安全的密码哈希算法(如 bcrypt、argon2)
  • 支持 MFA(多因素认证)
  • API 接口有速率限制(rate limiting)
  • Session/Token 有合理过期时间
  • OAuth 回调 URL 已正确配置和验证

日志与审计

  • 关键操作有审计日志(登录、数据修改、支付操作)
  • 日志不包含敏感信息(密码、卡号、Token)
  • 日志保留策略已定义
  • 异常访问检测和告警已配置

漏洞管理

  • 依赖包漏洞扫描已集成到 CI/CD 流程
  • 已知漏洞有修复计划和时间表
  • 安全头(CSP、HSTS、X-Frame-Options)已配置
  • 已建立安全漏洞披露政策(security.txt 或 security@ 邮箱)
安全类别检查项优先级推荐工具
加密全站 HTTPSP0Let's Encrypt / Cloudflare
加密数据库敏感字段加密P0应用层加密 / Vault
认证密码安全哈希P0bcrypt / argon2
认证MFA 支持P1otplib / Auth0
审计操作审计日志P1Pino + 日志系统
漏洞依赖漏洞扫描P1Snyk / Dependabot
漏洞安全头配置P1Helmet.js
认证速率限制P1express-rate-limit / Upstash

优先级和实施顺序

合规检查项不可能一次性全部完成。建议按照以下顺序实施:

第一阶段:上线前必须完成(P0)

这一阶段的项目是上线的最低要求。任何一项缺失都可能导致法律风险或平台拒绝上架。

  • 隐私政策和服务条款
  • Cookie 同意机制(面向欧盟)
  • HTTPS 全站加密
  • 支付安全(PCI 合规或确认托管支付)
  • 用户数据删除能力

第二阶段:上线后 30 天内完成(P1)

这一阶段的项目对合规有重要影响,但不会直接阻止上线。

  • GDPR 完整合规(DPIA、ROPA、DPA 等)
  • CCPA 合规(面向美国市场)
  • 内容审核机制
  • 审计日志系统
  • 漏洞扫描集成到 CI/CD

第三阶段:持续改进(P2)

这一阶段的项目是合规成熟度的体现,需要长期维护。

  • WCAG 可访问性合规
  • 安全漏洞披露政策
  • 定期渗透测试
  • 合规自动化监控
适读画布 · 130%
Mermaid 流程图加载中...

工具推荐

合规工作不需要从零开始。下面按类别推荐可以直接使用的工具。

合规管理平台

工具适用场景价格特点
Vanta自动化合规监控$5,000+/年支持 SOC 2、ISO 27001、GDPR 等
Drata合规自动化$5,000+/年持续监控、证据收集
Sprinto合规管理$3,000+/年适合中小型 SaaS
Secureframe多框架合规$5,000+/年支持 GDPR、HIPAA、SOC 2
工具适用场景价格特点
CookiebotCookie 同意免费起自动扫描、细粒度控制
OneTrust隐私管理企业定价全功能隐私管理平台
Osano数据隐私$500+/年适合中小团队
CookieYesCookie 同意$10+/月性价比高

安全扫描与监控

工具适用场景价格特点
Snyk依赖漏洞扫描免费起集成 CI/CD
OWASP ZAPWeb 应用安全测试免费开源渗透测试
SecurityHeaders.com安全头检查免费在线检测安全头
SSL LabsTLS 配置检测免费评估 SSL/TLS 配置

法律文件生成

工具适用场景价格特点
Termly法律文件生成$15+/月隐私政策、条款生成器
iubenda合规文档$29+/年覆盖多国合规
TermsFeed法律模板$9+/月适合独立开发者

常见错误和避坑指南

错误一:先用通用模板,打算以后再改

很多团队从网上下载隐私政策模板直接发布,但模板中的内容与实际产品不符。GDPR 要求隐私政策准确反映实际的数据处理活动,虚假的隐私政策本身就是违规。

正确做法:根据产品实际的数据流和功能编写法律文件,上线前让有经验的律师审核。

错误二:Cookie 横幅「先加载后同意」

有些产品虽然展示了 Cookie 同意横幅,但在用户点击同意之前就已经加载了分析脚本。这违反了 ePrivacy Directive 的要求——非必要 Cookie 必须在获得同意后才能加载。

正确做法:使用 Consent Management Platform(CMP)确保先同意再加载,并记录同意状态。

错误三:忽视数据删除请求

GDPR 赋予用户「被遗忘权」,用户有权要求删除其个人数据。如果收到删除请求但没有响应流程,可能面临投诉和调查。

正确做法:建立标准化的数据删除流程,收到请求后 30 天内完成响应和处理,保留处理记录。

错误四:支付数据存在自己的数据库里

一些团队为了方便,把信用卡号或支付信息存在自己的数据库中。这不仅增加了 PCI DSS 合规负担,也带来了巨大的安全风险。

正确做法:使用 Stripe、Paddle 等托管支付服务,让支付数据不经过自己的服务器。

错误五:AI 生成内容没有任何审核

AI 产品可能生成违规内容(暴力、歧视、虚假信息等)。如果没有内容审核机制,产品可能被应用商店下架或遭到用户投诉。

正确做法:建立自动审核(关键词过滤、AI 分类器)和人工复审结合的内容安全体系。

案例

案例一:独立开发者的 GDPR 踩坑经历

一位独立开发者在欧洲市场推出了一款 AI 写作工具。产品上线三个月后收到了德国用户的数据访问请求(DSAR)。开发者此前没有建立 DSAR 响应流程,不知道如何在 30 天内完成响应。最终他花了两周时间手动整理用户数据,还因为响应超时被用户投诉到监管机构。

这次经历让他意识到合规不是可选项。他随后接入了 Cookiebot 处理 Cookie 同意,用 Termly 重新生成了隐私政策,建立了标准化的数据请求响应流程。整个过程花费了约 500 美元和两周的开发时间,但避免了可能的罚款(GDPR 违规罚款上限为全球年营业额的 4% 或 2000 万欧元)。

教训:GDPR 合规的初始投入不高,但忽视它的代价可能很高。对于独立开发者来说,使用合规工具和模板是性价比最高的选择。

案例二:AI 图片生成产品的内容安全事件

一家初创公司推出了 AI 图片生成产品,但没有建立内容审核机制。上线后,有用户上传提示词生成了不当内容并分享到社交媒体,引发舆论关注。产品被应用商店临时下架,公司不得不紧急开发内容审核系统。

他们在事后建立了三层防护:输入端提示词过滤(阻止敏感关键词)、模型端安全对齐(拒绝生成特定类型内容)、输出端自动审核(AI 分类器检测不当图片)。这个案例说明,内容安全不是可以延后的功能,而是上线前就必须具备的能力。

教训:AI 产品需要在上线前就建立完善的内容安全机制。三层防护(输入过滤、模型对齐、输出审核)是行业标准做法。

完整合规检查清单

以下检查清单包含 25 个项目,分为 5 个类别。建议打印出来逐项检查,确保上线前所有 P0 项目已完成。

一、法律合规(5 项)

  • 隐私政策已创建,包含数据收集、使用目的、用户权利等必要内容
  • 服务条款已创建,包含 AI 生成内容的权属和责任说明
  • Cookie 同意机制已接入,非必要 Cookie 先同意再加载
  • DMCA 代理人已指定并注册(如适用)
  • 所有法律文件可通过固定 URL 访问,且在注册/购买流程中展示

二、数据保护(6 项)

  • 已完成数据分类,明确个人信息和敏感信息
  • 已确定每类数据处理的法律依据
  • 用户数据删除能力已实现(账户注销后数据清理)
  • 数据主体权利响应流程已建立(访问、更正、删除、可携带)
  • 数据处理方已签署 DPA(数据处理协议)
  • 数据泄露通知流程已建立(72 小时内通知监管机构)

三、支付安全(5 项)

  • PCI DSS 合规已确认(自有处理需认证,托管支付需确认 SAQ)
  • 退款政策已创建并在购买页面可见
  • 订阅产品支持用户自主取消
  • 支付回调 Webhook 签名验证已配置
  • 税务合规已确认(VAT/GST 义务或 MoR 处理)

四、内容安全(5 项)

  • AI 生成内容有明确标识
  • 内容审核机制已建立(自动 + 人工)
  • 用户举报处理流程已实现
  • 禁止生成内容类型已写入服务条款
  • 最低使用年龄限制已设置

五、技术安全(4 项)

  • 全站 HTTPS 已启用,TLS 1.2+
  • 密码使用强哈希算法存储(bcrypt/argon2)
  • 关键操作有审计日志
  • 安全头已配置(CSP、HSTS、X-Frame-Options)

小结

合规上线不是一个可以跳过的步骤。从隐私政策到数据保护,从支付安全到内容审核,每一项检查都对应着真实的法律义务和用户信任。好消息是,借助现有的合规工具和服务,大部分工作不需要从零开始。

建议的做法是:在产品开发初期就把合规纳入计划,而不是在上线前临时补救。将本文的检查清单作为基准,根据你的产品类型和目标市场做增减。上线前完成所有 P0 项目,上线后 30 天内完成 P1 项目,然后进入持续改进的 P2 阶段。

合规是一个持续的过程,不是一次性的任务。保持对法规变化的关注,定期检查合规状态,才能确保产品长期稳定运营。

参考资料

  1. GDPR Compliance Checklist - GDPR.eu — GDPR 官方合规检查清单,覆盖所有核心要求。
  2. SaaS Compliance Checklist - Paddle — 面向 SaaS 的合规指南,涵盖税务、数据保护、安全和支付合规。
  3. GDPR Compliance Checklist for SaaS - GRCTrail — 分步骤的 GDPR 合规指南,包含文档管理和供应商管理。
  4. GDPR Compliance for SaaS: 2026 Action Plan - Feroot Security — 2026 年 SaaS GDPR 合规行动计划,包含最新要求更新。
  5. Data Protection Trends 2026 - Secureframe — 2026 年数据保护趋势分析,包含风险可视化和合规自动化。
  6. 合规终审清单·上线期 - YYMuse — AI 项目上线前的合规终审闸门,强调红线问题不可带病上线。
  7. 企业开源合规自查 Checklist - 啊靓啊笔记 — 面向 CTO 和技术总监的开源合规自查清单,适合大版本发布前执行。