/compliance-check —— 合规审查
如果您看到不熟悉的占位符或需要检查已连接了哪些工具,请参见 CONNECTORS.md。
对拟议的行动、产品功能、营销活动或业务计划进行合规检查。
重要提示:此命令协助法律工作流程,但不提供法律意见。合规评估应由合格的法律专业人士进行审查。法规要求频繁变更;请始终通过权威来源核实当前要求。
使用方法
/compliance-check $ARGUMENTS
我需要您提供的信息
描述您计划要做的事情。示例:
- "我们想推出一个带现金奖励的推荐计划"
- "我们正在为移动应用添加生物识别认证"
- "我们需要在美国数据中心处理欧盟客户数据"
- "营销部门想在广告中使用客户评价"
输出
## 合规检查:[计划]
### 摘要
[快速评估:可以进行 / 有条件进行 / 需要进一步审查]
### 适用法规和政策
| 法规/政策 | 相关性 | 关键要求 |
|-------------------|-----------|-----------------|
| [GDPR / CCPA / HIPAA / 等] | [如何适用] | [您需要做什么] |
### 要求
| # | 要求 | 状态 | 需要采取的行动 |
|---|-------------|--------|---------------|
| 1 | [要求] | [已满足 / 未满足 / 未知] | [做什么] |
### 风险领域
| 风险 | 严重程度 | 缓解措施 |
|------|----------|------------|
| [风险] | [高/中/低] | [如何应对] |
### 建议的行动
1. [最重要的行动]
2. [第二优先级]
3. [第三优先级]
### 需要的批准
| 批准人 | 原因 | 状态 |
|----------|-----|--------|
| [人员/团队] | [原因] | [待定] |
### 建议进一步审查
[建议由外部法律顾问或专家审查的领域]
隐私法规概述
GDPR(通用数据保护条例)
适用范围:适用于处理欧盟/欧洲经济区内个人数据的行为,无论处理组织位于何处。
企业法务团队的关键义务:
- 合法基础:为每项处理活动识别并记录合法基础(同意、合同、合法利益、法律义务、重大利益、公共任务)
- 数据主体权利:在 30
天内响应访问、更正、删除、可携带性、限制处理和反对请求(复杂请求可延长
60 天)
- 数据保护影响评估(DPIA):对于可能对个人造成高风险的处理需要
- 数据泄露通知:在意识到个人数据泄露后 72
小时内通知监管机构;高风险情况下及时通知受影响个人
- 处理记录:维护第 30 条规定的处理活动记录
- 国际传输:确保向欧洲经济区以外传输时有适当保障措施(SCC、充分性决定、BCR)
- DPO
要求:如果需要(公共机构、大规模特殊类别数据处理、大规模系统性监控),任命数据保护官
企业法务常见接触点:
- 审查供应商 DPA 的 GDPR 合规性
- 就隐私设计要求向产品团队提供建议
- 回应监管机构的询问
- 管理跨境数据传输机制
- 审查同意机制和隐私通知
CCPA /
CPRA(加州消费者隐私法案 / 加州隐私权法案)
适用范围:适用于收集加州居民个人信息且满足收入、数据量或数据销售门槛的企业。
关键义务:
- 知情权:消费者可以请求披露收集、使用和共享的个人信息
- 删除权:消费者可以请求删除其个人信息
- 选择退出权:消费者可以选择退出个人信息的销售或共享
- 更正权:消费者可以请求更正不准确的个人信息(CPRA
新增)
- 限制敏感个人信息的使用权:消费者可以限制敏感个人信息的使用仅限于特定目的(CPRA
新增)
- 不歧视:不得歧视行使权利的消费者
- 隐私通知:必须在收集时或之前提供隐私通知,描述收集的
PI 类别和目的
- 服务提供商协议:与服务提供商的合同必须限制 PI
的使用仅限于指定的业务目的
回复时限:
- 10 个工作日内确认收到
- 45 个日历日内实质性回复(通知后可延长 45 天)
其他需要监控的关键法规
| 法规 |
司法管辖区 |
关键差异点 |
| LGPD(巴西) |
巴西 |
类似于 GDPR;需要任命 DPO;国家数据保护局(ANPD)执法 |
| POPIA(南非) |
南非 |
信息监管机构监督;需要注册处理活动 |
| PIPEDA(加拿大) |
加拿大(联邦) |
基于同意的框架;OPC 监督;正在现代化 |
| PDPA(新加坡) |
新加坡 |
勿来电登记;强制数据泄露通知;PDPC 执法 |
| 隐私法(澳大利亚) |
澳大利亚 |
澳大利亚隐私原则(APP);可通知的数据泄露计划 |
| PIPL(中国) |
中国 |
严格的跨境传输规则;数据本地化要求;网信办监督 |
| UK GDPR |
英国 |
脱欧后的英国版本;ICO 监督;类似于欧盟
GDPR,带有英国特定的充分性 |
DPA 审查清单
审查数据处理协议或数据处理附录时,请核实以下内容:
必备要素(GDPR 第 28 条)
处理者义务
国际传输
实务考虑因素
常见 DPA 问题
| 问题 |
风险 |
标准立场 |
| 无通知的概括性子处理者授权 |
失去对处理链的控制 |
要求通知并有权反对 |
| 泄露通知时限 > 72 小时 |
可能妨碍及时监管通知 |
要求 24-48 小时内通知 |
| 无审计权(或仅通过第三方报告的审计权) |
无法验证合规性 |
接受 SOC 2 Type II + 有原因时的审计权 |
| 数据删除时限未指定 |
数据无限期保留 |
要求终止后 30-90 天内删除 |
| 未指定数据处理位置 |
数据可能在任何地方处理 |
要求披露处理位置 |
| 过时的 SCC |
无效的传输机制 |
要求使用当前欧盟 SCC(2021 年版) |
数据主体请求处理
请求接收
收到数据主体请求时:
识别请求类型:
- 访问(个人数据副本)
- 更正(纠正不准确的数据)
- 擦除/删除("被遗忘权")
- 限制处理
- 数据可携带性(结构化、机器可读格式)
- 反对处理
- 选择退出销售/共享(CCPA/CPRA)
- 限制敏感个人信息的使用(CPRA)
识别适用法规:
- 数据主体位于何处?
- 根据您组织的存在和活动,哪些法律适用?
- 具体要求和时限是什么?
核实身份:
- 确认请求者身份属实
- 使用与数据敏感性相称的合理核实措施
- 不要要求过多文件
记录请求:
- 收到日期
- 请求类型
- 请求者身份
- 适用法规
- 回复截止日期
- 指定的处理人员
回复时限
| 法规 |
初始确认 |
实质性回复 |
延长 |
| GDPR |
未指定(最佳做法:及时) |
30 天 |
+60 天(通知后) |
| CCPA/CPRA |
10 个工作日 |
45 个日历日 |
+45 天(通知后) |
| UK GDPR |
未指定(最佳做法:及时) |
30 天 |
+60 天(通知后) |
| LGPD |
未指定 |
15 天 |
有限的延长 |
豁免和例外情况
在履行请求前,检查是否有任何豁免适用:
各法规共同的豁免:
- 法律索赔的辩护或确立
- 需要保留的法律义务
- 公共利益或官方权力
- 表达和信息自由(对于删除请求)
- 公共利益存档或科学/历史研究
组织特定考虑因素:
- 诉讼保全:受法律保全令约束的数据不能被删除
- 监管保留:财务记录、雇佣记录和其他类别可能有强制保留期限
- 第三方权利:履行请求可能不利地影响他人权利
回复流程
- 跨系统收集请求者的所有个人数据
- 应用任何豁免并记录依据
- 准备回复:履行请求或解释为何(全部或部分)无法履行
- 如果拒绝(全部或部分):引用具体的拒绝法律依据
- 告知请求者有权向监管机构投诉
- 记录回复并保留请求和回复的记录
法规监控基础
需要监控的内容
关注以下方面的动态:
- 监管指南:监管机构(ICO、CNIL、FTC、州检察长等)发布的新指南或更新指南
- 执法行动:表明监管优先级的罚款、命令和和解
- 立法变化:新的隐私法、现有法律的修订、实施条例
- 行业标准:ISO 27001、SOC 2、NIST
框架以及特定行业要求的更新
- 跨境传输动态:充分性决定、SCC
更新、数据本地化要求
监控方法
- 订阅监管机构通信(简报、RSS 源、官方公告)
- 关注相关法律出版物以获取新动态分析
- 查看行业协会更新以获取特定行业指南
- 维护监管日历记录已知的即将到来的截止日期、生效日期和合规里程碑
- 向法务团队简报影响组织处理活动的重大动态
升级标准
当出现以下情况时,将监管动态升级至高级法律顾问或领导层:
- 新法规或指南直接影响组织的核心业务活动
- 组织所在行业的执法行动表明监管审查加强
- 合规截止日期临近,需要组织做出改变
- 组织依赖的数据传输机制受到质疑或被宣告无效
- 监管机构启动涉及组织的调查或查询
提示
- 要具体 ——
"我们想给所有用户发邮件"比"营销活动"更好。
- 包括地理位置 —— 合规要求因司法管辖区而异。
- 提及数据 ——
涉及哪些个人数据?这决定了大多数合规要求。