出海产品的合规底线:隐私政策、服务条款、GDPR
合规这事,很多独立开发者是这么处理的:找个竞品的隐私政策,复制过来,把公司名改一改,上线。
这么干能过初期,但它埋了雷。Stripe 审核可能因为合规文件不规范被拒;App Store 审核会查隐私合规;面向欧盟用户没做 GDPR,被投诉了就是真金白银的罚款。这些不是「以后再说」的事——它们在你产品上线的那一刻就开始生效了。
这篇讲清楚出海产品的合规底线:哪些文件必须有、GDPR 到底要你做什么、以及 AI 产品特有的坑。
提醒:本文是合规要点的梳理,不构成法律建议。涉及大额业务或高风险数据处理,请咨询专业律师。
两份你必须有的文件
任何收集用户数据、或者向用户提供服务的产品,都需要这两份文件。它们不是摆设——是法律协议,也是各大平台审核的硬性要求。
Privacy Policy(隐私政策)
说明你收集什么数据、怎么用、存在哪、和谁共享、用户有什么权利。
为什么必须有:
- Stripe / Paddle / LemonSqueezy 注册时会检查
- Apple App Store / Google Play 上架强制要求
- Google AdSense / Google 登录等服务接入时要求
- GDPR、CCPA 等法律强制要求
至少要覆盖:
- 收集哪些信息(邮箱、姓名、支付信息、使用数据、Cookie)
- 收集的目的和法律依据
- 数据存储在哪(哪个国家/云服务商)
- 是否与第三方共享(支付商、分析工具、AI 模型提供商)
- 用户的权利(访问、删除、导出自己的数据)
- 数据保留期限
- 联系方式(用户行使权利的渠道)
Terms of Service(服务条款 / ToS)
规定用户使用你产品的规则、你的责任边界、付费/退款政策、知识产权归属、免责声明。
为什么必须有:
- 限定你的法律责任(出问题时的责任边界)
- 明确退款政策(减少支付纠纷和拒付)
- 规定可接受使用范围(封禁滥用用户的依据)
- 应用商店和支付平台同样会检查
至少要覆盖:
- 服务内容和使用规则
- 付费、订阅、退款条款
- 用户行为限制(禁止的用途)
- 知识产权(你的 vs 用户生成内容的)
- 免责声明和责任限制
- 账户终止条件
- 适用法律和争议解决
怎么生成这两份文件
不需要从零手写,也不建议直接抄竞品(竞品的条款不一定适用你的业务,照抄可能不准确甚至违法)。
常见做法:
| 方式 | 成本 | 适合 |
|---|---|---|
| 合规生成工具(Termly、iubenda、Termsfeed) | 免费-$10/月 | 大多数独立开发者 |
| 模板改写(GitHub 开源模板、平台官方模板) | 免费 | 业务简单、预算有限 |
| 律师起草 | 几百到几千美元 | 高风险业务、融资阶段 |
推荐路径: 大多数独立开发者用 Termly 或 iubenda 这类工具——回答一些关于你业务的问题,自动生成符合 GDPR/CCPA 的文件,还能随法规更新自动维护。比自己抄竞品靠谱,比请律师便宜。
注意: 生成工具给的是通用模板。生成后要通读一遍,确保里面描述的数据处理方式和你实际做的一致——比如它写「我们不与第三方共享数据」,但你实际上把用户输入发给了 OpenAI,这就是不一致,必须改。
GDPR:面向欧盟用户就绕不过
GDPR(通用数据保护条例)是欧盟的数据保护法。只要你有欧盟用户,不管你公司在哪注册,都受它约束。 美国 LLC、香港公司一样要遵守。
GDPR 的罚款上限是全球年营收的 4% 或 2000 万欧元(取较高者)——对独立开发者来说虽然不至于顶格罚,但被投诉、被调查的麻烦足够让你头疼。
GDPR 的核心要求(实操版):
- 合法依据: 处理用户数据要有合法理由(用户同意、履行合同等)
- 明确同意: 不能默认勾选、不能强制捆绑。用户要主动、明确地同意
- 数据最小化: 只收集你真正需要的数据,别为了「以后可能用得上」乱收集
- 用户权利: 用户有权访问、更正、删除(被遗忘权)、导出自己的数据,你要提供实现这些的渠道
- 数据泄露通知: 发生数据泄露,72 小时内要通知监管机构
- 数据出境: 把欧盟用户数据传到欧盟外(比如发给美国的 AI 模型),需要有合法的传输机制
对独立开发者的最小可行动作:
- 隐私政策里如实说明数据处理方式
- Cookie 横幅做真正的同意(见下文)
- 提供一个「删除我的数据」的渠道(哪怕是一个邮箱)
- 不收集不需要的数据
CCPA(加州)
如果你有加州用户,还有 CCPA(加州消费者隐私法)。要求和 GDPR 类似但宽松一些,核心是给用户「知情权」和「选择退出数据出售」的权利。用 Termly 这类工具生成的隐私政策通常会同时覆盖 GDPR 和 CCPA。
Cookie 同意横幅怎么做
就是你访问欧洲网站时弹出来的那个「我们使用 Cookie」的横幅。GDPR 下它不是装饰——是合规要求。
做对的关键:
- 加载非必要 Cookie 之前先获得同意(不是先加载再问)
- 提供真正的选择:接受、拒绝、自定义,不能只有「接受」一个按钮
- 必要 Cookie(保证网站运行的)可以不经同意,但分析类、广告类必须经同意
怎么实现: 用 Cookiebot、Termly、Osano 这类工具,几行代码嵌入,自动扫描你的 Cookie 并管理同意状态。别自己手写——容易做得不合规。
一个常见误区: 很多人的 Cookie 横幅是"先把 Google Analytics、广告追踪都加载了,再弹个横幅"——这恰恰违反 GDPR。正确的是同意之前不加载这些。
AI 产品特有的合规点
如果你做的是 AI 产品,有几个普通产品没有的合规问题:
用户数据会不会被喂给模型
用户输入的内容发给了 OpenAI/Anthropic,这构成数据出境 + 第三方共享。你必须:
- 在隐私政策里明确告知用户,他们的输入会发送给第三方 AI 提供商
- 说明这些提供商是谁(OpenAI、Anthropic 等)
- 如果用户数据敏感,考虑用提供商的「不用于训练」选项(OpenAI/Anthropic 的 API 默认不拿来训练,但要在政策里写清楚)
数据出境问题
把欧盟用户的数据发给美国的 AI 模型,属于跨境数据传输,GDPR 下需要合法机制(如标准合同条款 SCC)。OpenAI、Anthropic 等主流提供商一般提供了相应的合规框架,但你要确认并在政策里体现。
未成年人
如果你的产品可能被未成年人使用,要特别注意——GDPR 对儿童数据有更严格要求(部分场景需要家长同意),美国还有 COPPA(针对 13 岁以下)。AI 产品如果不想碰这块,可以在 ToS 里限定「仅供 18 岁以上使用」并做年龄确认。
AI 生成内容的责任
AI 可能生成错误、有害或侵权的内容。ToS 里要有免责声明:说明 AI 输出仅供参考、不保证准确性、用户对如何使用输出负责。这能在出问题时限定你的责任。
AI 监管新规
2025-2026 年各地 AI 监管在密集出台(欧盟 AI Act 已经分阶段生效)。如果你的 AI 产品涉及高风险场景(招聘、信贷、医疗、执法相关),可能触发额外的合规义务。一般的工具类 AI 产品影响较小,但值得持续关注政策变化。
上线前的合规检查清单
产品上线前,对照这个清单过一遍:
- [ ] 有 Privacy Policy,且内容和实际数据处理一致
- [ ] 有 Terms of Service,包含退款政策和免责声明
- [ ] 两份文件在网站有可访问的链接(通常放页脚)
- [ ] 注册/付费流程有「我同意条款」的勾选
- [ ] 面向欧盟用户:有合规的 Cookie 同意横幅
- [ ] 提供用户删除/导出数据的渠道
- [ ] AI 产品:隐私政策说明了数据会发给哪些 AI 提供商
- [ ] AI 产品:ToS 有 AI 输出的免责声明
- [ ] 不收集业务不需要的用户数据
- [ ] 数据泄露有基本的应对预案
别过度也别裸奔
两个极端都要避免。
裸奔:什么合规文件都没有就上线收钱——这是给自己埋雷,Stripe 可能封号,用户投诉可能招致调查。
过度:还没有用户就花几千美元请律师起草全套法律文件——这是把有限的资源浪费在错误的阶段。
对绝大多数独立开发者,合理的做法是:用 Termly/iubenda 生成合规的隐私政策和 ToS(成本极低),做好 Cookie 同意,提供数据删除渠道。这套组合能覆盖早期到中期的绝大部分合规需求。等业务做大、收入可观、或者要融资了,再请律师做专业审查。
合规不是为了应付检查,是为了让你的出海事业有个干净的地基。地基不稳,跑得越快摔得越惨。
相关阅读:AI 出海为什么要注册海外公司 · 中国开发者接入 Stripe