# ToS 合规法务前置沟通方案

> 版本：v1.0
> 日期：2026-03-18
> 目的：为与法务团队的沟通提供准备材料，确保合规策略符合法律要求

---

## 1. 沟通背景

### 1.1 为什么需要法务前置

| 风险项 | 影响 | 严重性 |
|--------|------|--------|
| ToS违规 | 供应商封号、追责 | 🔴 高 |
| 法律风险 | 诉讼、罚款 | 🔴 高 |
| 业务中断 | 服务不可用 | 🟡 中 |

**评审意见**：S4阶段的低成本账号模块存在法律风险，需法务前置

### 1.2 当前规划中的合规要素

- ToS 合规引擎（红/黄/绿规则）
- 执行模式：告警+人工复核（默认）
- 供应商合规矩阵
- 审计报表

---

## 2. 沟通议题清单

### 议题1：红线规则定义

**问题**：哪些行为是绝对禁止的？

| 规则类型 | 行为 | 建议状态 | 法务确认 |
|----------|------|----------|----------|
| 账号共享 | 多人共用一个账号 | 🔴 禁止 | ⬜ |
| 转售 | 加价转售配额 | 🔴 禁止 | ⬜ |
| 代理 | 未经授权的代理服务 | 🟡 需确认 | ⬜ |
| 地区限制 | 限制地区访问 | 🔴 禁止 | ⬜ |

**需要法务确认**：
1. "账号共享"的定义边界是什么？
2. "转售"的定义是否包括平台加价销售？
3. 代理服务的合规边界？

### 议题2：低成本账号模块

**问题**：S4阶段的"低成本账号"模块是否合规？

| 账号来源 | 合规性 | 风险等级 |
|----------|--------|----------|
| 官方直购 | ✅ 合规 | 🟢 低 |
| 授权分销商 | ⚠️ 需确认 | 🟡 中 |
| 第三方平台 | ❌ 存疑 | 🔴 高 |
| 用户共享 | ⚠️ 需确认 | 🟡 中 |

**需要法务确认**：
1. 授权分销商的定义和授权链如何验证？
2. 用户共享模式是否违反ToS？
3. 平台作为"中间商"是否涉及法律风险？

### 议题3：执行模式

**问题**：告警+人工复核模式是否足够？

| 模式 | 优点 | 缺点 | 建议 |
|------|------|------|------|
| 告警+人工复核 | 灵活、减少误伤 | 人工成本高 | ✅ 推荐 |
| 自动拦截 | 效率高 | 误伤可能 | 补充 |
| 事后审计 | 不影响体验 | 事后补救 | 辅助 |

**需要法务确认**：
1. 人工复核的法律效力？
2. 审计日志的法律证据效力？
3. 跨境数据传输的合规要求？

### 议题4：供应商ToS差异

**问题**：不同供应商的ToS要求不同，如何处理？

| 供应商 | 账号共享 | 转售 | 代理 | 地区限制 |
|--------|----------|------|------|----------|
| OpenAI | 🔴 | 🔴 | 🟡 | 🔴 |
| Anthropic | 🔴 | 🔴 | 🔴 | 🔴 |
| Azure OpenAI | 🟢 | 🟢 | 🟢 | 🟢 |
| 国内供应商 | 🟡 | 🟡 | 🟡 | 🔴 |

**需要法务确认**：
1. 是否需要对不同供应商采用不同策略？
2. 混合供应商模式的法律风险？

---

## 3. 法务沟通要点

### 3.1 核心诉求

1. **明确红线**：哪些行为绝对禁止？
2. **合规边界**：哪些行为可以做？如何做？
3. **证据链**：如何保留合规证据？
4. **应急预案**：违规后如何应对？

### 3.2 需准备的材料

| 材料 | 用途 | 准备方 |
|------|------|--------|
| 供应商ToS摘要 | 了解各供应商要求 | 产品 |
| 平台合规策略 | 展示我们的方案 | 产品 |
| 风险评估报告 | 说明风险和缓解 | 技术 |
| 审计方案 | 证据链设计 | 技术 |

### 3.3 预期产出

| 产出 | 说明 |
|------|------|
| 红线规则清单 | 法务确认的禁止行为 |
| 合规执行手册 | 操作指南 |
| 风险告知书 | 对用户的风险告知 |
| 法务意见书 | 正式法律意见 |

---

## 4. 合规执行框架

### 4.1 三线防御

```
┌─────────────────────────────────────────┐
│           第一线：技术防御                │
│  - API Key 验证                         │
│  - ToS 规则引擎                         │
│  - 请求前置拦截                          │
└─────────────────────────────────────────┘
                   │
┌─────────────────────────────────────────┐
│           第二线：运营防御                │
│  - 人工复核机制                         │
│  - 定期审计                             │
│  - 异常告警                             │
└─────────────────────────────────────────┘
                   │
┌─────────────────────────────────────────┐
│           第三线：法务防御                │
│  - 用户协议                             │
│  - 服务条款                             │
│  - 免责声明                             │
└─────────────────────────────────────────┘
```

### 4.2 责任矩阵

| 角色 | 职责 |
|------|------|
| 产品 | 规则设计、体验优化 |
| 技术 | 引擎实现、审计日志 |
| 运营 | 人工复核、异常处理 |
| 法务 | 规则确认、风险告知 |

---

## 5. 风险应对

### 5.1 供应商追责应对

| 场景 | 应对措施 |
|------|----------|
| 收到供应商警告 | 立即排查，24小时内响应 |
| 账号被封 | 启动应急预案，切换到备用账号 |
| 法律函 | 法务介入，评估和解方案 |
| 诉讼 | 法律团队介入，保留证据 |

### 5.2 用户追责应对

| 场景 | 应对措施 |
|------|----------|
| 用户违规 | 依据用户协议处理 |
| 用户损失 | 依据服务条款免责 |
| 集体投诉 | 法务预案，启动保险 |

---

## 6. 下一步行动

### 6.1 沟通计划

| 时间 | 议题 | 参与方 |
|------|------|--------|
| 第1周 | 红线规则确认 | 产品+法务 |
| 第2周 | 合规执行模式 | 运营+法务 |
| 第3周 | 供应商ToS分析 | 技术+法务 |
| 第4周 | 最终确认 | 全体 |

### 6.2 待法务确认事项

- [ ] 账号共享定义边界
- [ ] 转售行为合法性
- [ ] 代理服务合规性
- [ ] 跨境数据传输要求
- [ ] 用户协议条款
- [ ] 免责声明效力

---

## 7. 紧急联络

| 场景 | 联系人 | 响应时间 |
|------|--------|----------|
| 供应商警告 | 法务负责人 | 2小时 |
| 账号异常 | 技术负责人 | 1小时 |
| 法律函 | 法务负责人 | 24小时 |

---

**文档状态**：法务沟通准备材料
**关联文档**：
- `llm_gateway_subapi_evolution_plan_v4_1_2026-03-18.md`
- `tos_compliance_engine_design_v1_2026-03-18.md`