6.8 KiB
6.8 KiB
title, type, tags, date
| title | type | tags | date | |||||
|---|---|---|---|---|---|---|---|---|
| Support Legal Compliance Checker Agent Personality | source |
|
2026-05-12 |
Source File
Summary(用中文描述)
- 核心主题:Legal Compliance Checker Agent — The Agency Support 部门的法律合规专家,负责确保企业运营、数据处理和内容创作符合多司法管辖区的法律法规和行业标准。
- 问题域:数据隐私保护(GDPR/CCPA/HIPAA)、财务合规(SOX/PCI-DSS)、教育隐私(FERPA)、合同风险审查、隐私政策生成、合规文化建设与培训。
- 方法/机制:四阶段工作流(监管格局评估 → 风险评估与差距分析 → 政策制定与实施 → 培训与文化建设);GDPR 合规 YAML 配置框架(Article 6 法律基础、数据主体权利、泄露响应);Python
PrivacyPolicyGenerator(多司法管辖区隐私政策生成);PythonContractReviewSystem(关键词扫描风险评估 + 合规条款分析)。 - 结论/价值:通过量化合规评分体系(目标 98%+)、自动化违规检测与文档管理,帮助组织建立持续合规文化,最小化法律风险暴露与监管处罚。
Key Claims(用中文描述)
- Legal Compliance Checker 在实施任何业务流程变更前必须验证监管要求,并将所有合规决策记录在法律推理和监管引用中(合规优先原则)。
- GDPR 合规框架要求数据主体权利响应时间不超过 30 天,数据泄露需在 72 小时内通知监管机构,无不当延迟向数据主体通报。
- 合同风险评分 ≥10 分为高风险(需法律审查),5–10 分为中风险(需经理批准),<5 分为低风险(标准审批流程)——基于关键词加权算法计算。
- 合规培训计划应在员工入职或政策更新后 30 天内达到 100% 完成率,合规文化评分应达到 4.5/5。
- 隐私设计原则(Privacy by Design)要求数据最小化、目的限制、存储限制、准确性、完整保密性和问责制六项原则同时满足。
Key Quotes
"Compliance First Approach — Verify regulatory requirements before implementing any business process changes." — 实施任何业务变更前的核心原则 "Non-compliance with CCPA could result in penalties up to $7,500 per violation." — 风险量化沟通风格示例 "GDPR Article 17 requires data deletion within 30 days of valid erasure request." — 精确引用监管条款的沟通风格 "Implemented consent management system achieving 95% compliance with user rights requirements." — 合规文化建设成果量化表述示例
Key Concepts
- PrivacyByDesign:数据保护原则,要求数据最小化收集、目的限制、存储限制、准确性、完整保密性和问责制同时满足,是 GDPR 合规框架的核心设计理念。
- DataBreachNotification:数据泄露响应机制,要求检测到泄露后 72 小时内向监管机构通报,无不当延迟向受影响数据主体通报,并要求完整文档记录。
- AuditTrail:审计追踪,记录所有合规活动和决策过程,支持多司法管辖区合规验证和审计准备文档管理。
- RiskAssessment:法律风险评估方法,通过关键词扫描和加权算法(高风险×3 + 中风险×2 + 低风险×1)量化法律风险,触发不同级别的审批流程。
- ConsentManagement:同意管理机制,支持 GDPR 的明确同意(explicit consent)和 CCPA 的选择退出(opt-out)两种模式。
- ComplianceTraining:合规培训体系,角色定制教育 + 有效性测量 + 年度再认证,目标 95% 通过率和 100% 30 天完成率。
- MultiJurisdictionalCompliance:多司法管辖区合规策略,跨多个法律体系协调数据保护实践,包括跨境数据传输、标准合同条款和充分性认定。
Key Entities
- GDPR:欧盟通用数据保护条例,Article 6 定义六种合法处理数据的基础(同意、合同履行、法律义务、重要利益、公共任务、合法利益),Article 17 规定被遗忘权(30 天内删除)。
- CCPA:加州消费者隐私法,赋予加州居民知情权(45 天响应)、删除权、选择退出销售权($7,500/次违规罚款)和不受歧视权。
- HIPAA:美国健康保险可携带性和责任法案,医疗行业数据保护要求,涉及敏感健康信息的特殊保护规定。
- PCI-DSS:支付卡行业数据安全标准,处理信用卡数据的合规要求,涵盖 12 项核心安全控制要求。
- SOX:萨班斯-奥克斯利法案,财务报告合规要求,对上市公司内部控制和披露控制有强制性规定。
- FERPA:家庭教育权利和隐私法案,教育记录保护要求,限制未成年学生教育记录的访问和披露。
- StandardContractualClauses:标准合同条款,欧盟批准用于跨境数据传输的法律机制,作为 GDPR 第 46 条的安全保障措施之一。
Connections
- compliance-auditor ← extends ← support-legal-compliance-checker:Compliance Auditor Agent 提供独立审计执行能力,Legal Compliance Checker 提供政策框架和风险评估,两者互补构成完整合规体系。
- support-support-responder ← depends_on ← support-legal-compliance-checker:Support Responder Agent 在处理客户投诉和数据访问请求时依赖 Legal Compliance Checker 的合规框架确保响应符合监管要求。
- automation-governance-architect ← informs ← support-legal-compliance-checker:Automation Governance Architect 的治理框架为 Legal Compliance Checker 的政策制定提供结构化方法论。
- DataProtectionOfficer ← role ← support-legal-compliance-checker:GDPR 合规框架中定义的数据保护官(DPO)角色,是合规组织的关键岗位,承担监管联络和合规监督职责。
Contradictions
- 与 testing-reality-checker 在质量标准严格度上存在张力:
- 冲突点:Legal Compliance Checker 默认"正常通过"(当合规评分达到 98% 阈值即视为合规,可接受有记录的例外情况),而 Testing Reality Checker 默认"NEEDS WORK"(首次实现通常不通过)。
- 当前观点:合规 Agent 认为达到监管标准即为合规,合规评分达标是准入门槛,合规框架内允许有记录的风险接受决策。
- 对方观点:Reality Checker 要求压倒性视觉证明,认为"合规评分达标"不等于"生产就绪",强调实测验证而非理论合规。
- 解决建议:Legal Compliance Checker 的合规框架作为法律准入门槛,Testing Reality Checker 的视觉验证作为质量门禁,两者互补使用:合规≠生产就绪,但生产就绪必须先合规。