Files
gaokao-volunteer-system/docs/LEGAL_PRIVACY_BASELINE.md
Hermes Agent a128fcda0d
Some checks failed
CI / pytest (Python 3.10) (push) Has been cancelled
CI / pytest (Python 3.11) (push) Has been cancelled
CI / pytest (Python 3.12) (push) Has been cancelled
feat: tighten portal delivery gating and add compliance baselines
2026-06-14 10:44:04 +08:00

164 lines
4.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# LEGAL_PRIVACY_BASELINE
状态: 草案T12 上线前基线)
适用范围: `/pricing``/checkout``/api/public/orders``/portal/{token}` 全链路,以及后台订单处理、报告交付、渠道补录场景。
最后更新: 2026-06-14
---
## 1. 目标
本文件定义 T12 用户端 Web 自助 MVP 在法务/隐私侧的**最小上线基线**,防止以下误判:
- 代码能跑 = 可以直接收真实考生资料
- 有加密字段 = 已完成隐私合规
- 可删除数据库记录 = 已具备正式删除流程
本文件只定义当前必须落实的最低要求,不代替正式律师审阅。
---
## 2. 当前涉及的数据类型
### 2.1 用户主动提交的数据
1. 家长/联系人信息
- 称呼
- 手机号
- 微信号(可选)
2. 考生信息
- 姓名
- 省份
- 分数
- 位次
- 选科
- 兴趣方向
- 家长备注
3. 订单与交付信息
- 订单号
- 套餐版本
- 支付状态
- 报告 HTML/PDF 路径
4. 后台处理信息
- 状态流转历史
- 处理人
- 处理原因
### 2.2 敏感级别分层
- S1 高敏: 手机号、身份证号(如未来启用)、支付回调标识、密钥材料
- S2 中敏: 姓名、分数、位次、选科、兴趣、家长备注
- S3 低敏: 订单号、套餐、状态、非个体化统计
---
## 3. 处理目的与边界
允许的处理目的:
1. 生成志愿填报审核/方案服务
2. 联系用户完成资料补充、状态通知、交付提醒
3. 进行售后、退款、争议处理
4. 做最小必要的审计与故障排查
禁止的处理目的:
1. 未经单独同意用于营销推送
2. 出售或共享给无关第三方
3. 用于广告画像或跨场景推荐
4. 在对外案例中展示未脱敏真实资料
---
## 4. 未成年人 / 监护人基线
项目面向高考考生场景,默认视为涉及未成年人或其监护人数据。
最低要求:
1. 前台资料提交前,应展示“监护人已知情并同意提交资料用于志愿填报服务”的确认文案
2. 同意记录至少要保存:
- `consent_version`
- `consent_scope`
- `consent_given_at`
- `consent_operator`self/guardian/admin_import
3. 后台人工补录渠道单时,也必须记录同意来源:
- 闲鱼/微信/学校/线下确认
当前状态:
- 代码中尚未落地上述 consent 字段
- 因此当前仅可视为**待补基线**,不可宣称“已完成监护人同意闭环”
---
## 5. 对外文案最低要求
前台至少应明确告知:
1. 收集哪些信息
2. 用于什么目的
3. 不用于营销出售
4. 可申请删除
5. 监护人同意要求
6. 服务结果为辅助决策,不承诺录取结果
建议文案入口:
- 下单页提交前
- 资料填写页提交前
- 页脚“隐私政策 / 数据删除说明”链接
---
## 6. 同意记录最小字段
上线前至少应在订单上下文保存以下字段:
- `consent_version`: 当前协议/隐私政策版本
- `privacy_accepted_at`: 隐私政策同意时间
- `service_terms_accepted_at`: 服务说明同意时间
- `guardian_confirmed`: 是否监护人确认
- `consent_channel`: web / wechat / xianyu / school / admin
这些字段可先落在:
- `order_intakes` payload
- 或订单扩展字段 / tags
但不得只停留在前端文案、完全不落库。
---
## 7. 当前代码与本基线的差距
已具备:
- 订单敏感字段加密/脱敏基础
- 订单删除 DAO 能力
- Portal token 访问控制基础
尚缺:
- 正式隐私政策页面
- 数据保留与删除规则文档
- 监护人同意落库字段
- 数据删除 SOP
- 服务条款/免责声明独立文案
---
## 8. T12 验收口径
只有同时满足以下条件,才可说“隐私合规基线已补齐”:
- 已有正式文档:隐私政策 + 数据保留删除规则
- 前台存在可见入口
- 同意字段已落库
- 后台/运维知道如何响应删除请求
在此之前,只能说:
- **已建立隐私合规草案基线**
- 不能说“隐私合规已整体完成”