name: 合规检查清单构建器 description: “为特定业务场景构建合规检查清单,覆盖 GDPR、个保法、广告法、数据安全法等主要法规,输出包含检查项、法规依据、风险等级和整改建议的结构化清单。当用户描述业务场景并提及合规检查、合规清单、GDPR 检查、个保法合规、广告法审查、数据合规、隐私合规、compliance checklist、数据出境评估、个人信息保护、合规自查、隐私影响评估(PIA/DPIA)、上线前合规审查或询问“这个功能合不合规”时触发。” license: MIT
合规检查清单构建器 — 业务场景合规检查清单构建器
根据用户描述的业务场景,识别适用的法律法规,输出结构化的合规检查清单,涵盖 GDPR、个人信息保护法、广告法、网络安全法、数据安全法等主要法规。
快速入门
用户只需描述业务场景,Agent 会:
- 识别适用法规:根据业务场景判断涉及哪些法律法规
- 生成检查清单:输出结构化的检查项列表
- 标注风险等级:按严重程度排序,标明高/中/低风险
- 给出整改建议:针对每项不合规风险提供可落地的整改方向
用户只需说:
“我们要上线一个用户画像功能,帮我做个合规检查清单”
Agent 会引导用户补充必要信息,然后输出完整的合规检查清单。
一、支持的法规体系
核心法规
| 法规 | 简称 | 适用范围 | 关注重点 |
|---|---|---|---|
| 个人信息保护法 | 个保法/PIPL | 中国境内处理个人信息 | 知情同意、最小必要、个人信息出境 |
| 通用数据保护条例 | GDPR | 涉及欧盟用户数据 | 合法基础、数据主体权利、DPO、DPIA |
| 数据安全法 | DSL | 中国境内数据处理活动 | 数据分类分级、安全评估、重要数据出境 |
| 网络安全法 | CSL | 网络运营者 | 等保、日志留存、安全事件报告 |
| 广告法 | — | 广告发布与经营 | 禁用极限词、虚假宣传、医疗广告 |
| 电子商务法 | — | 电子商务经营者 | 公示信息、用户评价、搭售 |
| 反不正当竞争法 | — | 市场经营活动 | 商业贿赂、虚假宣传、侵犯商业秘密 |
| 消费者权益保护法 | 消保法 | 消费者权益相关 | 知情权、公平交易权、个人信息 |
行业专项法规
| 行业 | 相关法规/标准 |
|---|---|
| 金融 | 《个人金融信息保护技术规范》(JR/T 0171)、《银行保险机构数据安全管理办法》 |
| 医疗 | 《人口健康信息管理办法》、《医疗大数据标准》 |
| 教育 | 《未成年人保护法》中网络保护专章、《儿童个人信息网络保护规定》 |
| 汽车 | 《汽车数据安全管理若干规定》 |
| App | 《App 违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》 |
二、合规检查流程(SOP)
第 1 步:收集业务场景信息
向用户确认以下关键信息:
| 维度 | 需要确认的内容 | 示例 |
|---|---|---|
| 业务描述 | 功能/服务的具体内容 | “用户画像功能,基于行为数据推荐商品” |
| 用户群体 | 服务对象的地域和人群 | “中国大陆用户,含未成年人” |
| 数据类型 | 收集/处理哪些数据 | “姓名、手机号、浏览记录、位置信息” |
| 数据流向 | 数据存储、传输、共享情况 | “存储在阿里云华东节点,共享给第三方广告平台” |
| 业务阶段 | 新上线 / 已运行需整改 / 并购尽调 | “新功能,计划下月上线” |
| 已有措施 | 当前已采取的合规措施 | “有隐私政策,但未做 DPIA” |
如果用户未提供部分信息,Agent 应主动追问,而非假设或跳过。
第 2 步:识别适用法规
根据收集到的信息,按以下规则判断适用法规:
如果处理个人信息 → 个保法
如果涉及欧盟用户 → GDPR
如果涉及数据存储/传输 → 数据安全法 + 网络安全法
如果涉及广告/营销内容 → 广告法
如果涉及电商交易 → 电子商务法
如果涉及未成年人 → 未成年人保护法 + 儿童个人信息网络保护规定
如果数据出境(境外存储/传输/访问) → 个保法第三章 + 数据出境安全评估办法
如果涉及敏感个人信息 → 个保法第二章第二节(单独同意 + PIIA)
如果涉及自动化决策 → 个保法第 24 条(透明度 + 拒绝权)
如果涉及金融数据 → JR/T 0171
第 3 步:生成合规检查清单
按以下结构输出检查清单:
清单输出格式
# [业务场景名称] 合规检查清单
**评估日期**:YYYY-MM-DD
**业务描述**:[简要描述]
**适用法规**:[法规列表]
## 检查清单
| 序号 | 检查项 | 法规依据 | 风险等级 | 当前状态 | 整改建议 |
|------|--------|---------|---------|---------|---------|
| 1 | [检查项描述] | [法规名称 + 条款号] | 高/中/低 | 合规/不合规/待确认 | [具体建议] |
## 风险汇总
- 高风险项:X 项
- 中风险项:X 项
- 低风险项:X 项
## 优先整改建议
1. [最高优先级整改项及理由]
2. [次高优先级整改项及理由]
第 4 步:输出整改优先级
按以下规则排序整改优先级:
| 优先级 | 条件 | 说明 |
|---|---|---|
| P0 — 立即整改 | 高风险 + 当前不合规 | 可能面临行政处罚、业务下架 |
| P1 — 本周完成 | 高风险 + 待确认,或中风险 + 不合规 | 存在较大合规隐患 |
| P2 — 本月完成 | 中风险 + 待确认 | 需要进一步评估和完善 |
| P3 — 持续优化 | 低风险 | 建议改进但不紧急 |
三、常见业务场景检查要点
场景 1:用户注册与登录
| 检查项 | 法规依据 | 说明 |
|---|---|---|
| 是否有隐私政策/用户协议 | 个保法第 17 条 | 需在注册前展示并取得同意 |
| 是否仅收集必要个人信息 | 个保法第 6 条 | 注册阶段只收手机号/邮箱即可,不应强制收集身份证号等 |
| 第三方登录是否告知数据共享 | 个保法第 23 条 | 使用微信/支付宝登录需告知共享了哪些信息 |
| 密码是否加密存储 | 网络安全法第 21 条 | 禁止明文存储密码 |
| 是否支持账号注销 | 个保法第 47 条 | 必须提供便捷的注销渠道 |
场景 2:营销推送与广告
| 检查项 | 法规依据 | 说明 |
|---|---|---|
| 营销短信/邮件是否取得同意 | 个保法第 13 条、广告法第 43 条 | 需获得用户明示同意 |
| 是否提供退订机制 | 广告法第 43 条 | 每条营销信息需包含退订方式 |
| 广告内容是否含极限用语 | 广告法第 9 条 | 禁止"最"“第一”"国家级"等绝对化用语 |
| 用户画像推荐是否可关闭 | 个保法第 24 条 | 需提供不针对个人特征的选项 |
| 广告是否标注"广告"字样 | 广告法第 14 条 | 大众传播媒介需显著标明 |
场景 3:数据出境
| 检查项 | 法规依据 | 说明 |
|---|---|---|
| 是否达到安全评估申报门槛 | 数据出境安全评估办法第 4 条 | 处理 100 万人以上个人信息、或累计出境 10 万人/1 万人敏感信息 |
| 是否签署标准合同 | 个人信息出境标准合同办法 | 未达申报门槛的可签署标准合同 |
| 是否完成个人信息保护影响评估 | 个保法第 55 条 | 数据出境前必须完成 PIIA |
| 是否告知用户并取得单独同意 | 个保法第 39 条 | 需告知境外接收方信息 |
| 境外接收方安全保障能力 | 个保法第 38 条 | 需评估接收方的数据保护水平 |
场景 4:用户画像与个性化推荐
| 检查项 | 法规依据 | 说明 |
|---|---|---|
| 是否告知自动化决策逻辑 | 个保法第 24 条 | 需对用户透明 |
| 是否提供关闭个性化推荐的选项 | 个保法第 24 条 | 用户有权拒绝 |
| 是否对用户画像做 PIIA | 个保法第 55 条 | 利用个人信息进行自动化决策需评估 |
| 画像标签是否涉及敏感信息 | 个保法第 28 条 | 宗教、健康、金融等标签属敏感信息 |
| 是否限制画像结果的使用范围 | 个保法第 24 条 | 不得在交易价格等方面实施不合理差别待遇 |
场景 5:GDPR 合规要点(涉及欧盟用户)
| 检查项 | 法规依据 | 说明 |
|---|---|---|
| 是否确定合法处理基础 | GDPR Art.6 | 同意/合同/法律义务/合法利益等六选一 |
| 是否任命 DPO | GDPR Art.37 | 大规模处理或处理特殊类别数据时必须 |
| 是否完成 DPIA | GDPR Art.35 | 高风险处理活动需要 |
| 是否支持数据可携带权 | GDPR Art.20 | 以结构化、可机读格式提供数据 |
| 是否在 72 小时内报告数据泄露 | GDPR Art.33 | 发现泄露后 72 小时内通知监管机构 |
| Cookie Banner 是否合规 | GDPR + ePrivacy | 需主动同意,不可默认勾选 |
| 是否记录处理活动记录 | GDPR Art.30 | 250 人以上组织或非偶尔处理时必须 |
四、风险等级判定标准
| 风险等级 | 判定条件 | 可能后果 |
|---|---|---|
| 高 | 违反法律强制性规定;涉及敏感个人信息违规处理;缺少合法基础;数据出境未评估 | 行政处罚(罚款)、业务下架、刑事责任 |
| 中 | 合规措施不完善但有基础;告知不充分;同意机制有瑕疵;安全措施部分缺失 | 监管约谈、限期整改、用户投诉 |
| 低 | 最佳实践未达标但不违法;文档不完善;流程可优化 | 审计发现、内部改进 |
五、输出交付物
Agent 最终应向用户交付以下内容:
- 合规检查清单表格:包含所有检查项、法规依据、风险等级、当前状态、整改建议
- 风险汇总:高/中/低风险项数量统计
- 优先整改路线图:按 P0-P3 排序的整改行动清单
- 补充说明:对关键合规要求的通俗解释,帮助非法务人员理解
六、注意事项
- 法规时效性:法律法规会持续更新,检查清单中的法规条款以最新版本为准,Agent 应提醒用户核实最新法规动态
- 非法律意见:本清单仅供参考,不构成法律意见,重大合规决策建议咨询专业律师
- 行业差异:不同行业有特定监管要求,清单需结合行业特点调整
- 持续合规:合规不是一次性工作,建议定期(至少每半年)重新评估
参考资料
- 《中华人民共和国个人信息保护法》(2021)
- 《中华人民共和国数据安全法》(2021)
- 《中华人民共和国网络安全法》(2017)
- 《中华人民共和国广告法》(2018 修正)
- EU General Data Protection Regulation (GDPR, 2018)
- 《个人信息出境标准合同办法》(2023)
- 《数据出境安全评估办法》(2022)
- GB/T 35273-2020《信息安全技术 个人信息安全规范》