合规检查清单构建器Skill compliance-review-planner

该技能为特定业务场景构建合规检查清单,覆盖GDPR、个保法、广告法、数据安全法等主要法规,输出包含检查项、法规依据、风险等级和整改建议的结构化清单。当用户描述业务场景并提及合规检查、合规清单、GDPR检查、个保法合规、广告法审查、数据合规、隐私合规、compliance checklist、数据出境评估、个人信息保护、合规自查、隐私影响评估(PIA/DPIA)、上线前合规审查或询问‘这个功能合不合规’时触发。关键词:合规检查清单、GDPR、个保法、数据合规、风险等级、整改建议。

合规管理 0 次安装 2 次浏览 更新于 7/8/2026

name: 合规检查清单构建器 description: “为特定业务场景构建合规检查清单,覆盖 GDPR、个保法、广告法、数据安全法等主要法规,输出包含检查项、法规依据、风险等级和整改建议的结构化清单。当用户描述业务场景并提及合规检查、合规清单、GDPR 检查、个保法合规、广告法审查、数据合规、隐私合规、compliance checklist、数据出境评估、个人信息保护、合规自查、隐私影响评估(PIA/DPIA)、上线前合规审查或询问“这个功能合不合规”时触发。” license: MIT

合规检查清单构建器 — 业务场景合规检查清单构建器

根据用户描述的业务场景,识别适用的法律法规,输出结构化的合规检查清单,涵盖 GDPR、个人信息保护法、广告法、网络安全法、数据安全法等主要法规。

快速入门

用户只需描述业务场景,Agent 会:

  1. 识别适用法规:根据业务场景判断涉及哪些法律法规
  2. 生成检查清单:输出结构化的检查项列表
  3. 标注风险等级:按严重程度排序,标明高/中/低风险
  4. 给出整改建议:针对每项不合规风险提供可落地的整改方向

用户只需说:

“我们要上线一个用户画像功能,帮我做个合规检查清单”

Agent 会引导用户补充必要信息,然后输出完整的合规检查清单。


一、支持的法规体系

核心法规

法规 简称 适用范围 关注重点
个人信息保护法 个保法/PIPL 中国境内处理个人信息 知情同意、最小必要、个人信息出境
通用数据保护条例 GDPR 涉及欧盟用户数据 合法基础、数据主体权利、DPO、DPIA
数据安全法 DSL 中国境内数据处理活动 数据分类分级、安全评估、重要数据出境
网络安全法 CSL 网络运营者 等保、日志留存、安全事件报告
广告法 广告发布与经营 禁用极限词、虚假宣传、医疗广告
电子商务法 电子商务经营者 公示信息、用户评价、搭售
反不正当竞争法 市场经营活动 商业贿赂、虚假宣传、侵犯商业秘密
消费者权益保护法 消保法 消费者权益相关 知情权、公平交易权、个人信息

行业专项法规

行业 相关法规/标准
金融 《个人金融信息保护技术规范》(JR/T 0171)、《银行保险机构数据安全管理办法》
医疗 《人口健康信息管理办法》、《医疗大数据标准》
教育 《未成年人保护法》中网络保护专章、《儿童个人信息网络保护规定》
汽车 《汽车数据安全管理若干规定》
App 《App 违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》

二、合规检查流程(SOP)

第 1 步:收集业务场景信息

向用户确认以下关键信息:

维度 需要确认的内容 示例
业务描述 功能/服务的具体内容 “用户画像功能,基于行为数据推荐商品”
用户群体 服务对象的地域和人群 “中国大陆用户,含未成年人”
数据类型 收集/处理哪些数据 “姓名、手机号、浏览记录、位置信息”
数据流向 数据存储、传输、共享情况 “存储在阿里云华东节点,共享给第三方广告平台”
业务阶段 新上线 / 已运行需整改 / 并购尽调 “新功能,计划下月上线”
已有措施 当前已采取的合规措施 “有隐私政策,但未做 DPIA”

如果用户未提供部分信息,Agent 应主动追问,而非假设或跳过。

第 2 步:识别适用法规

根据收集到的信息,按以下规则判断适用法规:

如果处理个人信息 → 个保法
如果涉及欧盟用户 → GDPR
如果涉及数据存储/传输 → 数据安全法 + 网络安全法
如果涉及广告/营销内容 → 广告法
如果涉及电商交易 → 电子商务法
如果涉及未成年人 → 未成年人保护法 + 儿童个人信息网络保护规定
如果数据出境(境外存储/传输/访问) → 个保法第三章 + 数据出境安全评估办法
如果涉及敏感个人信息 → 个保法第二章第二节(单独同意 + PIIA)
如果涉及自动化决策 → 个保法第 24 条(透明度 + 拒绝权)
如果涉及金融数据 → JR/T 0171

第 3 步:生成合规检查清单

按以下结构输出检查清单:

清单输出格式

# [业务场景名称] 合规检查清单

**评估日期**:YYYY-MM-DD
**业务描述**:[简要描述]
**适用法规**:[法规列表]

## 检查清单

| 序号 | 检查项 | 法规依据 | 风险等级 | 当前状态 | 整改建议 |
|------|--------|---------|---------|---------|---------|
| 1 | [检查项描述] | [法规名称 + 条款号] | 高/中/低 | 合规/不合规/待确认 | [具体建议] |

## 风险汇总

- 高风险项:X 项
- 中风险项:X 项  
- 低风险项:X 项

## 优先整改建议

1. [最高优先级整改项及理由]
2. [次高优先级整改项及理由]

第 4 步:输出整改优先级

按以下规则排序整改优先级:

优先级 条件 说明
P0 — 立即整改 高风险 + 当前不合规 可能面临行政处罚、业务下架
P1 — 本周完成 高风险 + 待确认,或中风险 + 不合规 存在较大合规隐患
P2 — 本月完成 中风险 + 待确认 需要进一步评估和完善
P3 — 持续优化 低风险 建议改进但不紧急

三、常见业务场景检查要点

场景 1:用户注册与登录

检查项 法规依据 说明
是否有隐私政策/用户协议 个保法第 17 条 需在注册前展示并取得同意
是否仅收集必要个人信息 个保法第 6 条 注册阶段只收手机号/邮箱即可,不应强制收集身份证号等
第三方登录是否告知数据共享 个保法第 23 条 使用微信/支付宝登录需告知共享了哪些信息
密码是否加密存储 网络安全法第 21 条 禁止明文存储密码
是否支持账号注销 个保法第 47 条 必须提供便捷的注销渠道

场景 2:营销推送与广告

检查项 法规依据 说明
营销短信/邮件是否取得同意 个保法第 13 条、广告法第 43 条 需获得用户明示同意
是否提供退订机制 广告法第 43 条 每条营销信息需包含退订方式
广告内容是否含极限用语 广告法第 9 条 禁止"最"“第一”"国家级"等绝对化用语
用户画像推荐是否可关闭 个保法第 24 条 需提供不针对个人特征的选项
广告是否标注"广告"字样 广告法第 14 条 大众传播媒介需显著标明

场景 3:数据出境

检查项 法规依据 说明
是否达到安全评估申报门槛 数据出境安全评估办法第 4 条 处理 100 万人以上个人信息、或累计出境 10 万人/1 万人敏感信息
是否签署标准合同 个人信息出境标准合同办法 未达申报门槛的可签署标准合同
是否完成个人信息保护影响评估 个保法第 55 条 数据出境前必须完成 PIIA
是否告知用户并取得单独同意 个保法第 39 条 需告知境外接收方信息
境外接收方安全保障能力 个保法第 38 条 需评估接收方的数据保护水平

场景 4:用户画像与个性化推荐

检查项 法规依据 说明
是否告知自动化决策逻辑 个保法第 24 条 需对用户透明
是否提供关闭个性化推荐的选项 个保法第 24 条 用户有权拒绝
是否对用户画像做 PIIA 个保法第 55 条 利用个人信息进行自动化决策需评估
画像标签是否涉及敏感信息 个保法第 28 条 宗教、健康、金融等标签属敏感信息
是否限制画像结果的使用范围 个保法第 24 条 不得在交易价格等方面实施不合理差别待遇

场景 5:GDPR 合规要点(涉及欧盟用户)

检查项 法规依据 说明
是否确定合法处理基础 GDPR Art.6 同意/合同/法律义务/合法利益等六选一
是否任命 DPO GDPR Art.37 大规模处理或处理特殊类别数据时必须
是否完成 DPIA GDPR Art.35 高风险处理活动需要
是否支持数据可携带权 GDPR Art.20 以结构化、可机读格式提供数据
是否在 72 小时内报告数据泄露 GDPR Art.33 发现泄露后 72 小时内通知监管机构
Cookie Banner 是否合规 GDPR + ePrivacy 需主动同意,不可默认勾选
是否记录处理活动记录 GDPR Art.30 250 人以上组织或非偶尔处理时必须

四、风险等级判定标准

风险等级 判定条件 可能后果
违反法律强制性规定;涉及敏感个人信息违规处理;缺少合法基础;数据出境未评估 行政处罚(罚款)、业务下架、刑事责任
合规措施不完善但有基础;告知不充分;同意机制有瑕疵;安全措施部分缺失 监管约谈、限期整改、用户投诉
最佳实践未达标但不违法;文档不完善;流程可优化 审计发现、内部改进

五、输出交付物

Agent 最终应向用户交付以下内容:

  1. 合规检查清单表格:包含所有检查项、法规依据、风险等级、当前状态、整改建议
  2. 风险汇总:高/中/低风险项数量统计
  3. 优先整改路线图:按 P0-P3 排序的整改行动清单
  4. 补充说明:对关键合规要求的通俗解释,帮助非法务人员理解

六、注意事项

  1. 法规时效性:法律法规会持续更新,检查清单中的法规条款以最新版本为准,Agent 应提醒用户核实最新法规动态
  2. 非法律意见:本清单仅供参考,不构成法律意见,重大合规决策建议咨询专业律师
  3. 行业差异:不同行业有特定监管要求,清单需结合行业特点调整
  4. 持续合规:合规不是一次性工作,建议定期(至少每半年)重新评估

参考资料

  • 《中华人民共和国个人信息保护法》(2021)
  • 《中华人民共和国数据安全法》(2021)
  • 《中华人民共和国网络安全法》(2017)
  • 《中华人民共和国广告法》(2018 修正)
  • EU General Data Protection Regulation (GDPR, 2018)
  • 《个人信息出境标准合同办法》(2023)
  • 《数据出境安全评估办法》(2022)
  • GB/T 35273-2020《信息安全技术 个人信息安全规范》