/compliance-check —— 合规审查

如果您看到不熟悉的占位符或需要检查已连接了哪些工具,请参见 CONNECTORS.md

对拟议的行动、产品功能、营销活动或业务计划进行合规检查。

重要提示:此命令协助法律工作流程,但不提供法律意见。合规评估应由合格的法律专业人士进行审查。法规要求频繁变更;请始终通过权威来源核实当前要求。

使用方法

/compliance-check $ARGUMENTS

我需要您提供的信息

描述您计划要做的事情。示例:

输出

## 合规检查:[计划]

### 摘要
[快速评估:可以进行 / 有条件进行 / 需要进一步审查]

### 适用法规和政策
| 法规/政策 | 相关性 | 关键要求 |
|-------------------|-----------|-----------------|
| [GDPR / CCPA / HIPAA / 等] | [如何适用] | [您需要做什么] |

### 要求
| # | 要求 | 状态 | 需要采取的行动 |
|---|-------------|--------|---------------|
| 1 | [要求] | [已满足 / 未满足 / 未知] | [做什么] |

### 风险领域
| 风险 | 严重程度 | 缓解措施 |
|------|----------|------------|
| [风险] | [高/中/低] | [如何应对] |

### 建议的行动
1. [最重要的行动]
2. [第二优先级]
3. [第三优先级]

### 需要的批准
| 批准人 | 原因 | 状态 |
|----------|-----|--------|
| [人员/团队] | [原因] | [待定] |

### 建议进一步审查
[建议由外部法律顾问或专家审查的领域]

隐私法规概述

GDPR(通用数据保护条例)

适用范围:适用于处理欧盟/欧洲经济区内个人数据的行为,无论处理组织位于何处。

企业法务团队的关键义务

企业法务常见接触点

CCPA / CPRA(加州消费者隐私法案 / 加州隐私权法案)

适用范围:适用于收集加州居民个人信息且满足收入、数据量或数据销售门槛的企业。

关键义务

回复时限

其他需要监控的关键法规

法规 司法管辖区 关键差异点
LGPD(巴西) 巴西 类似于 GDPR;需要任命 DPO;国家数据保护局(ANPD)执法
POPIA(南非) 南非 信息监管机构监督;需要注册处理活动
PIPEDA(加拿大) 加拿大(联邦) 基于同意的框架;OPC 监督;正在现代化
PDPA(新加坡) 新加坡 勿来电登记;强制数据泄露通知;PDPC 执法
隐私法(澳大利亚) 澳大利亚 澳大利亚隐私原则(APP);可通知的数据泄露计划
PIPL(中国) 中国 严格的跨境传输规则;数据本地化要求;网信办监督
UK GDPR 英国 脱欧后的英国版本;ICO 监督;类似于欧盟 GDPR,带有英国特定的充分性

DPA 审查清单

审查数据处理协议或数据处理附录时,请核实以下内容:

必备要素(GDPR 第 28 条)

处理者义务

国际传输

实务考虑因素

常见 DPA 问题

问题 风险 标准立场
无通知的概括性子处理者授权 失去对处理链的控制 要求通知并有权反对
泄露通知时限 > 72 小时 可能妨碍及时监管通知 要求 24-48 小时内通知
无审计权(或仅通过第三方报告的审计权) 无法验证合规性 接受 SOC 2 Type II + 有原因时的审计权
数据删除时限未指定 数据无限期保留 要求终止后 30-90 天内删除
未指定数据处理位置 数据可能在任何地方处理 要求披露处理位置
过时的 SCC 无效的传输机制 要求使用当前欧盟 SCC(2021 年版)

数据主体请求处理

请求接收

收到数据主体请求时:

  1. 识别请求类型

  2. 识别适用法规

  3. 核实身份

  4. 记录请求

回复时限

法规 初始确认 实质性回复 延长
GDPR 未指定(最佳做法:及时) 30 天 +60 天(通知后)
CCPA/CPRA 10 个工作日 45 个日历日 +45 天(通知后)
UK GDPR 未指定(最佳做法:及时) 30 天 +60 天(通知后)
LGPD 未指定 15 天 有限的延长

豁免和例外情况

在履行请求前,检查是否有任何豁免适用:

各法规共同的豁免

组织特定考虑因素

回复流程

  1. 跨系统收集请求者的所有个人数据
  2. 应用任何豁免并记录依据
  3. 准备回复:履行请求或解释为何(全部或部分)无法履行
  4. 如果拒绝(全部或部分):引用具体的拒绝法律依据
  5. 告知请求者有权向监管机构投诉
  6. 记录回复并保留请求和回复的记录

法规监控基础

需要监控的内容

关注以下方面的动态:

监控方法

  1. 订阅监管机构通信(简报、RSS 源、官方公告)
  2. 关注相关法律出版物以获取新动态分析
  3. 查看行业协会更新以获取特定行业指南
  4. 维护监管日历记录已知的即将到来的截止日期、生效日期和合规里程碑
  5. 向法务团队简报影响组织处理活动的重大动态

升级标准

当出现以下情况时,将监管动态升级至高级法律顾问或领导层:

提示

  1. 要具体 —— "我们想给所有用户发邮件"比"营销活动"更好。
  2. 包括地理位置 —— 合规要求因司法管辖区而异。
  3. 提及数据 —— 涉及哪些个人数据?这决定了大多数合规要求。