About
将新出台或变更的法规与现行个人信息处理规则及实践进行差异对比——输出差距清单和 附负责人和日期的整改计划。当新法规出台,用户问"[某法规]影响我们吗""[某法规] 差距分析""对照[法规]进行合规检查",或粘贴法规文本时使用。
/reg-gap-analysis
- 加载
~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md→ 个人信息处理规则承诺、监管覆盖范围、DSAR系统。 - 执行以下工作流。
- 范围界定:法规是否适用?(法域、门槛、行业)
- 提取要求 → 与现状差异对比 → 差距清单。
- 带负责人、日期、优先级的整改计划。
- 保存注明日期的文件。即使"无差距"也要记录。
/privacy-legal:reg-gap-analysis "个人信息出境标准合同办法"
/privacy-legal:reg-gap-analysis
[粘贴指引 / 法规文本]
法规与处理规则差距分析
目的
网信办发布了新规定。工信部出了新标准。国家数据局出了新指引。法规变化了——现在你需要知道,如果有的话,你必须改变什么。
本技能将新要求与你当前的实际情况(按 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md → 个人信息处理规则承诺 + PIA 中记录的实际做法)进行差异对比,并产出一份带整改计划的差距清单。
加载现状
读取 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md:
## 个人信息处理规则承诺— 你已公开承诺了什么## 监管覆盖范围— 什么已适用## DSAR 流程→ 系统清单 — 你实际在运营上做什么
如果法规对你不适用(错误的法域、低于门槛、不同行业),差距分析只有一行:"不适用。理由:[理由]。无需行动。"
工作流
第1步:界定法规适用范围
差异对比前,回答:
- 它适用吗? 法域(你在该法域有个人信息主体吗?),门槛(收入、用户数、数据量),行业例外
- 何时? 生效日期,执法开始日期(通常晚于生效),任何分阶段施行
- 什么是真正新增的? 许多新规定可能与你已有的合规有大量重叠。识别相对于你已合规内容的增量,而非全文。
第2步:提取要求
阅读法规(或摘要/指引)。将每项实体性要求列为独立项:
| # | 要求 | 引用 | 类别 | |---|---|---|---| | 1 | [要求原文] | [条款] | [通知 / 权利 / 安全 / 供应商 / 其他] |
类别:
- 通知 — 必须告知用户什么(处理规则内容)
- 权利 — 用户可以要求什么(个人信息主体权利相关)
- 安全 — 技术/组织措施
- 供应商 — 必须传导至受托处理者的内容
- 同意 — 选择加入/退出机制
- 治理 — 个人信息保护负责人、影响评估、记录保存
第3步:与现状差异对比
对每项要求:
### [要求 #N]:[简短名称]
**法规要求:** [要求,原文引用或转述]
**我们目前:** [配置 CLAUDE.md / 处理规则 / 实践显示的内容]
**差距:** [无 / 部分 / 完全]
**如为部分/完全差距 — 缺失什么:** [具体]
**弥合工作量:** [仅需更新处理规则 / 产品变更 / 供应商重新谈判 / 新流程]
**不合规风险:** [行政处罚幅度、执法可能性、声誉影响]
第4步:优先级排序
并非每个差距同等重要。按以下排序:
- 带牙齿的硬期限 — 生效日期 + 积极执法 + 实际处罚
- 工作量与影响比 — 更新处理规则语言很便宜;重建产品不便宜
- 你已完成80%的 — 如果你已因某制度做到八成,新法的增量可能很小
第5步:整改计划
冠以 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md ## 输出 中的工作成果抬头(因用户角色不同而异——见 ## 谁在使用)。
检索连接器预检。 在输出整改计划前,检查法律检索连接器是否可访问。收集此信息到 CLAUDE.md
## 输出下的审核备注中:如果第2步或常见法规类别检索步骤中没有连接器返回结果,记录在审核备注的**来源:**行中——如未连接——引用来自训练知识;差距分析中最容易造假的是新法规的生效日期、执法开始日期和条号精准引用——优先核对这些。逐条[模型知识 — 需验证]标签保持内联。不在输出上方发出独立横幅。
[工作成果抬头 — 按插件配置 ## 输出]
## 整改计划:[法规名称]
**生效日期:** [日期]
**执法开始:** [日期]
### 执法前必须完成
| 差距 | 整改措施 | 负责人 | 截止日期 | 状态 |
|---|---|---|---|---|
| [差距] | [具体措施] | [姓名] | [日期] | [ ] |
### 应做(较低风险,非阻塞)
[同上表]
### 已合规
[差距为"无"的要求列表——对"我们基本没问题"的信息有用]
### 已接受的差距(风险已接受,不整改)
[如有——附记录的理由和风险接受人]
常见法规类别(中国法体系)
在界定增量时,将新法规归入以下大致类别有助于定位,然后检索具体内容:
- 综合性个人信息保护法规 — 覆盖一个法域个人信息处理实践的广泛规定(个保法层级)
- 行业特别监管 — 金融、医疗健康、未成年人、教育、劳动人事等(如《个人金融信息保护技术规范》《儿童个人信息网络保护规定》)
- 数据出境制度 — 安全评估、标准合同、认证要求(《数据出境安全评估办法》《个人信息出境标准合同办法》)
- AI/算法特别规制 — 透明度、影响评估或算法治理(《生成式人工智能服务管理办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》)
- 数据泄露通知制度 — 独立或嵌入更广泛法律的通知要求(个保法第57条及相关部门规章)
- 数据安全制度 — 《数据安全法》及其配套规定(数据分类分级保护、重要数据目录等)
对与新法规相关的每个类别,在起草差距分析前检索当前有效的要求。引用主源。验证时效——新行政法规和部门规章频繁出台。不确定时标示,供律师核实,而非断言未经确认的规则。
禁止静默补充。 如果检索查询返回结果很少或为零,报告找到的内容并停止。不要未经询问即从网络搜索或模型知识填补空白。说:"搜索返回[N]条结果。覆盖显得薄弱。选项:(1) 扩大搜索查询,(2) 尝试不同的检索工具,(3) 搜索网页——结果将标记为
[联网检索 — 需复核],依赖前应与发布机关核对,(4) 标记为未验证并停止。你想选哪个?"由律师决定是否接受可信度较低的来源。来源溯源标签分层。 为差距分析中每处引用标记来源。对于模型知识引用:
[已确定]— 稳定、众所周知的法定和行政法规引用不太可能已变更[需验证]— 模型知识引用是真实的但应验证:具体实施细则、监管指引、案例立场、阈值、生效日期[需验证——精准引用]— 精准引用造假风险最高,应始终对照主源验证检索工具获取的引用保留其来源标签;网页搜索引用保留
[联网检索 — 需复核];用户提供的引用保留[用户提供]。分层揭示了真正的验证工作。绝不剥离或折叠标签。
与其他技能的集成
来自 PIA 生成: PIA 会标注个人信息处理规则不一致——这些在此作为已知差距输入。
至 regulatory-legal 插件(如已安装): 本技能是手动版本。monitor 插件监控法规动态,当法规变化时自动触发本分析。
输出
保存为注明日期的 markdown 文档。整改计划表成为跟踪器——随项目关闭更新状态。
如果差距分析结论是"无差距,已合规",仍撰写该文档——以后它是证明你检查过的有用证据。
以引用验证提示结束:
本输出中的引用由 AI 模型生成,尚未与主源核对。依赖任何法规、指引或执法行动前,请对照法律检索工具(如 yuandian MCP 或发布机关官网)核查准确性和现行效力。AI 生成的引用可能存在编造或引用错误。每条引用上的来源标签(如
[联网检索 — 需复核])显示其来源;带验证的标签造假风险更高,应优先核对。
以下一步决策树结束
以符合 CLAUDE.md ## 输出 的下一步决策树结束。根据本技能刚刚产出的内容定制选项——五个默认分支(起草X、升级、获取更多事实、观察和等待、其他)是起点,而非锁定。决策树即输出;律师选择。
本技能不做的事
- 不权威解释模糊的法规语言。当法规不清晰时,说:"第X条可解读为[A]或[B]。[A]是保守解读。如实质重大建议咨询外部律师。"
- 不主动追踪法规变化。它在你指定一项变化时运行。主动监控见 regulatory-legal 插件。
- 不执行整改措施。它计划它们。
