FinClaw V1 Sub-Packet: Commercial Signal — 隐私 / Consent 复核
状态:Pending / 等待 sub-2 工程实现完成(依赖可被评审的代码) 日期:2026-05-16 Lane:Legal / Privacy Owner:FinClaw Controller + 项目发起人(Labs 内测无外部 Legal Counsel,由 D-13 项目发起人代行 baseline 评审) Parent Packet:v1-commercial-signal-instrumentation-task-packet.md 对齐决策:v1-engineering-kickoff-decisions.md D-12 + D-13
1. 目标
对 commercial signal 工程实现做闭环隐私 / consent 复核:
- 验证 consent flow 与 v1-product-object-and-schema-design.md §8 ProfileConsent 字段语义一致;
- 验证撤回路径与 v1-trial-operations-plan.md §11 Risk Response + design §8 一致;
- 验证事件 payload 不含 PII 模式 + Sensitive Filter 工作正常;
- 评估 Pricing Intent UI 文案是否产生「真实付费」误导;
- 评估 Labs 内测 cohort 与未来公开扩展时的 consent 兼容性(Phase 0 不写未来逻辑,但需标注 future-risk);
- 给出 trial-start gate go-no-go 隐私维度结论。
2. 允许读取
见 frontmatter must_read / reference_only。
3. 禁止范围
- 不修改工程代码(评审结论以 gate / Open Items 形式回写,由 sub-2 owner 修复);
- 不替代外部 Legal Counsel 出具的正式合规结论(Labs 内测 baseline 不等于公开发布合规);
- 不在评审报告中泄露 trial user 的 anon id 与真实身份对照表;
- 不允许在评审通过前打开 consent_for_training_pool 默认 true。
4. Acceptance Criteria
| AC ID | 验收项 |
|---|---|
| AC-1 | Consent flow 评审通过:opt-in 默认 false / 撤回入口可见 / 撤回后 48h 清理 |
| AC-2 | Sensitive Filter 评审通过:PII / 账户 / 助记词 / 链上地址全部丢弃 |
| AC-3 | Pricing Intent 文案评审通过:UI 与 API 层都明确「意愿调查不扣款」 |
| AC-4 | Labs 内测知会函与 schema / 实现的字段范围一致(不出现「未告知就采集」字段) |
| AC-5 | 评审 checklist + 结论文档落库 evaluation/finclaw/reports/privacy-review/cs-instr-v1.md |
| AC-6 | 治理库 design / trial-ops / execution 三处 Open Items / Risk Register 完成回写 |
| AC-7 | Trial-start gate 隐私维度 go-no-go 决议 + 责任人签字(项目发起人 + Controller) |
| AC-8 | 「未来公开发布前必须做的合规事项」清单已记录到 v1-execution-plan-and-milestones.md §6 Risk Register |
5. 回写位置
- 评审报告 → 治理库
evaluation/finclaw/reports/privacy-review/; - Open Items → 治理库对应 design doc;
- Hand-off anchor →
handoff-anchors/v1-cs-instr-sub-3-privacy-review.yaml; - 解除依赖:trial sub-1(trial-start gate 隐私维度通过)、acceptance review。
6. 风险与裁决项
- 风险 PR-1:项目发起人代行评审 ≠ 正式法律合规 → 评审报告必须显式标注「Labs 内测 baseline,公开发布需外部 Legal Counsel」;
- 风险 PR-2:ProfileConsent UI 默认勾选 → 必须在评审中复查并确认 opt-in 默认 false;
- 风险 PR-3:事件中 cohort 字段在小样本下成为准识别符(N=3 易反推)→ 评审报告必须提出小样本下不发布外部 dashboard 的限制;
- 裁决项 J-1:是否在 Labs 内测期保留 IP 地理粒度由项目发起人裁决(默认 country-level,不收 city 与 ASN)。
7. 与其他 Sub-Packet 的关系
- 依赖:cs-instr sub-2、eng-impl sub-1 ProfileConsent、trial sub-1 内部知会函;
- 解除:trial sub-1(cohort prep 隐私 gate)、trial sub-2(trial 启动)、acceptance review;
- 共享文件:无;输出在治理库新目录。