Stats
Actions
Tags
Help us improve
Share bugs, ideas, or general feedback.
From privacy-legal
Handles DSAR (Data Subject Access Request) workflows: classifies rights requests, verifies identity, locates data across systems, evaluates exemptions, and drafts response letters.
npx claudepluginhub zhou210712/claude-for-legal-zh --plugin privacy-legalHow this skill is triggered — by the user, by Claude, or both
Slash command
/privacy-legal:dsar-response [粘贴请求,或描述请求][粘贴请求,或描述请求]The summary Claude sees in its skill listing — used to decide when to auto-load this skill
1. 加载 `~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md` → DSAR 流程(系统清单、验证方式、SLA)。
Walks through a Data Subject Access Request (access, deletion, portability, correction) and drafts the response — verify identity, locate data system-by-system, assess exemptions, draft acknowledgment and substantive letters.
Data Subject Access Request (DSAR) workflow management. Covers the full 30-day DSAR lifecycle: receipt, identity verification, data discovery, compilation and redaction, response drafting, and logging. Multi-jurisdiction support for UK GDPR, EU GDPR, CCPA, and PIPEDA.
Guides AI agents through GDPR Article 15 DSAR workflow: identity verification, 30-day deadline calculation with extensions, response formatting, exemptions, and fees. For DSAR handling.
Share bugs, ideas, or general feedback.
~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md → DSAR 流程(系统清单、验证方式、SLA)。粘贴请求前: 请求将包含个人信息主体的 PII。确认你的会话和输出存储满足数据处理要求。删除你不需要的内容(身份证附件、无关邮件线程)。不要在文件名中存储主体姓名。
/privacy-legal:dsar-response
[粘贴请求邮件]
事项上下文。 检查实践级 CLAUDE.md 中的 ## 事项工作区。如果 已启用 为 ✗(法务用户的默认值),跳过本段——技能使用实践级上下文,事项机制不可见。如果已启用且无活动事项,询问:"这是哪个事项?运行 /privacy-legal:matter-workspace switch <slug> 或说 实践级。"加载活动事项的 matter.md 获取事项特定上下文和覆盖项。将输出写入事项文件夹 ~/.claude/plugins/config/claude-for-legal/privacy-legal/matters/<matter-slug>/。除非 跨事项上下文 为 开启,否则绝不读取其他事项的文件。
在生成输出前,检查输出目的地。如果用户指定了目的地(渠道、分发列表、对方当事人、"所有人"),询问是否在保密圈内。公共渠道、全公司列表、对方当事人/对方律师、供应商和客户(就工作成果而言)会放弃保护。当目的地疑似在圈外时,标示并提供 (a) 仅供法务的保密版本,(b) 供更广泛渠道的净化版本,或 (c) 两者——不要默默加上保密抬头然后帮助粘贴到该抬头无法保护的地方。参见本插件 CLAUDE.md 中的 ## 共享护栏 → 目的地检查。
个人信息主体权利请求有期限(由适用制度设定)、有流程(验证、定位、评估豁免、回复),且有很多环节可能出错。本技能逐步执行每一步并起草回复。
本分析假定你的配置中指定的法域范围。隐私规则、回复期限和合法性基础因法域而异(个保法 vs. GDPR vs. 其他法域)。如果个人信息主体、处理活动或处理者位于不同于配置的法域,本分析可能不直接适用。
读取 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md → ## DSAR 流程。该节包含:
如果系统清单为空或过时,标示——不知道数据在哪里就无法做完整的个人信息主体权利请求处理。
识别个人信息主体在行使哪项权利。常见类别(个保法第44-50条) [法条原文]:
在继续前检索适用规则。 对每项被行使的权利,识别适用的法域及其法律依据。引用现行有效的法律或行政法规附精准引用——具体的条号、权利范围、任何例外。注意生效日期;个人信息主体权利因新法出台而调整。不确定时标示并升级供律师核实,而非陈述未经确认的规则。
禁止静默补充。 如果检索查询返回结果很少或为零,报告找到的内容并停止。不要未经询问即从网络搜索或模型知识填补空白。说:"搜索返回[N]条结果。覆盖显得薄弱。选项:(1) 扩大搜索查询,(2) 尝试不同的检索工具,(3) 搜索网页——结果将标记为
[联网检索 — 需复核],(4) 标记为未验证并停止。你想选哪个?"由律师决定是否接受可信度较低的来源。来源溯源标签分层。 为每处引用标记来源。对于模型知识引用:
[已确定]— 稳定、众所周知的法定引用不太可能已变更(如个保法第44-50条个人信息主体权利各款)[需验证]— 模型知识引用是真实的但应验证:具体实施细则、监管指引、案例立场[需验证——精准引用]— 精准引用造假风险最高,应始终对照主源验证
有些请求是组合请求——"删除我的账户并先发给我数据"是删除 + 查阅。按两个关联请求处理。
按 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md 中的验证方式。常见方式:
按风险校准。 过度验证将申请流程变成障碍(监管机关面前不好看)。验证不足冒向欺诈者交出他人数据的风险。
如果身份无法验证:
我们无法验证本请求发自相关数据的个人信息主体本人。要继续处理,请[验证步骤]。我们无法在回应未经核实之请求时提供个人信息。
此暂停时效(存在争议)但不要拖延——几天内回复告知需验证,而非拖到第29天。
遍历 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md 中的系统清单。对每个系统:
| 系统 | 已查询? | 查到数据? | 什么数据 |
|---|---|---|---|
| 生产数据库 | |||
| 数据分析平台 | |||
| 客服工单系统 | |||
| CRM | |||
| 邮件营销 | |||
| 日志 | |||
| 备份 | (注:删除时通常豁免——见下文) | ||
| 受托处理者/第三方 | (删除时可能需要通知他们) |
对于 B2B 受托处理者:"个人信息主体"通常是你客户的最终用户。检查这实际上是你的客户的 DSAR 来处理,而非你的。许多受托处理者 DPA 说"将个人信息主体权利请求转发给处理者。"
不是所有数据都需提供或删除。在继续前检索适用规则。 对每个项目,识别在适用制度下可能存在的每一项豁免(如第三方隐私、法律特权、商业秘密、安全、法定保留义务、诉讼准备、备份循环安排)。引用现行有效的规定附精准引用。豁免范围因法域和制度而异——验证时效并标示不确定。
不在主观判断上缩小清单。 技能在有善意依据存在时提议豁免并标示不确定的豁免;由律师在回复发出前缩小清单。放弃一项后来被认定适用的豁免代价高昂——一旦材料被披露,豁免实际上已消失。过度主张一项合理的豁免可由律师在审核中纠正。偏好可恢复的错误。
每项提议的豁免携带明确注释:"提议——在主张前需律师审核。监管机关审查一揽子豁免主张,因此由律师缩小此清单;技能不做此项。"
常见的需理清的问题:
记录每项主张的豁免。 如果监管机关问为什么没删除某数据,"我们有法定义务"需要引用依据。
检索连接器预检。 在输出确认函、实质回复函或内部豁免分析前,检查法律检索连接器是否在本会话中可访问。收集此信息到 CLAUDE.md
## 输出下的审核备注中——审核备注放在内部豁免分析和封面备忘录上,不放在对外发给个人信息主体的 DSAR 函件上。如果第1步(权利分类)、第4步(豁免分析)或期限管理检索步骤中没有连接器返回结果,记录在内部审核备注的**来源:**行中——如未连接——引用来自训练知识;所主张的豁免、回复期限和延期机制特别容易造假,在向个人信息主体或监管机关主张任何豁免前必须验证。逐条[模型知识 — 需验证]标签保持内联。不在输出上方发出独立横幅。
大多数制度期望(或要求)一份及时的确认函,独立于实质回复。制作两份;不将它们坍塌为一份等到法定期限才发出的函件。
在将任一函件发送给个人信息主体之前: 读取 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md 中的 ## 谁在使用。如果角色为非律师:
发送个人信息主体权利回复具有法律后果——内容、主张的豁免和遗漏均可由监管机关审查,错误陈述构成执法风险敞口。你是否已请律师审查过?如已审查,继续。如未审查,以下是你带给律师的简要材料:
[生成1页摘要:个人信息主体,被行使的权利,适用制度,跨系统清单查找到的数据,什么被扣留及依据哪项豁免,身份验证情况,回复期限,以及发函前应询问律师的三件事。]
如果你需要寻找执业律师或其他经授权的法律专业人士:通过你所在地区的律师协会或司法局的律师查询系统是最快的起点。
未经明确同意,不得越过此关口。
注意: 两份 DSAR 函件均为对外发送给个人信息主体的文件。勿在两份函件上包含
~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md## 输出中的工作成果抬头。函件附随的内部笔记、日志和豁免分析是律师工作成果——将这些分开保存并冠以工作成果抬头。
发送任一函件前: 这是供律师审核的草稿,不是准备发送的回复。发送使处理者对一项立场负责,可能放弃豁免,可能启动监管机关的时限计算。由执业律师审核、编辑和批准后函件方可发送给个人信息主体。勿发送未经审核的函件。
主题:我们收到了您的个人信息请求 — [公司] — [日期]
尊敬的[姓名]:
我们于[收到日期]收到了您的[查阅 / 删除 / 复制 / 更正]请求。
**您请求的内容,按我们的理解:** [一句话重述——例如:"获取我们持有的与您账户关联的全部个人信息副本,以及我们与之共享的第三方类别,并在我们提供副本后删除您的账户。"]
**接下来会发生什么:**
- 我们的实质回复目标日期为[日期——不晚于制度法定期限;如内部 SLA 更严格则使用 SLA]。 [如身份验证未完成:"我们需要[具体验证步骤]才能继续——见下文。" ]
- 如果我们因请求复杂或同时收到您的其他请求而需要更多时间,我们将在初始期限前告知您并解释原因。[如制度允许延期,引用相关条款。]
- 本请求不收费。[或:仅在制度允许且请求明显无依据或过度时收费——引用相关条款。]
[如身份验证未完成:]
**为验证您的身份,** 请[具体验证步骤——例如:使用档案中的邮箱地址回复本邮件,并附上我们档案中记录的支付方式的后4位]。这不暂停我们的期限;我们并行继续工作。
如有疑问,请联系[隐私联系人]。
[发件人]
时限计算规则。 回复时限自收到请求起算,而非自身份验证完成起算——除非适用制度另有规定。不要在验证问题上默示中止时效。如果某制度有不同的触发规则,引用它;不要假设。
查阅请求回复:
主题:您的个人信息查阅请求 — [公司] — [日期]
我们于[日期]收到了您请求获取我们持有的关于您的个人信息副本的请求。
**我们查找到的数据:**
我们持有与[标识符]关联的以下类别的个人信息:
| 类别 | 来源 | 目的 | 保留至 |
|---|---|---|---|
| [账户信息:姓名、邮箱] | 您,注册时 | 账户管理 | 账户删除时 |
| [使用数据] | 我们的服务 | 数据分析、产品改进 | [期间] |
| [客服往来记录] | 您 | 客户服务 | [期间] |
**您的数据已附在** [格式]。 [安全交付说明——密码保护的压缩包、带有效期的安全链接等。]
**第三方:** 我们与以下处理者共享数据:[列表或链接至处理者页面]。
**您的其他权利:** 您还可以请求[删除 / 更正 / 复制]。为此,请[方式]。
**我们未包含的数据:**
- [类别] — [豁免及理由,例如"内部安全日志——披露将危及安全措施"]
- [关于其他个人的数据已从客服往来记录中删除]
如对本回复有疑问,请联系[隐私联系人]。
删除请求回复:
主题:您的个人信息删除请求 — [公司] — [日期]
我们于[日期]收到了您请求删除我们持有的关于您的个人信息的请求。
**我们已删除:**
| 类别 | 系统 | 删除日期 |
|---|---|---|
| [账户和个人资料] | 生产环境 | [日期] |
| [分析事件] | [数据分析平台] | [日期] |
| [等] | | |
**我们保留的内容及原因:**
| 类别 | 原因 | 保留至 |
|---|---|---|
| [交易记录] | 法定义务(税务记录保留,[引用法律]) | [日期] |
| [备份快照] | 将在下一次循环时删除 | [日期] |
**受托处理者/第三方:** 我们已指示[列表]从他们的系统中删除您的数据。
您的账户现已关闭。如对本回复有疑问,请联系[隐私联系人]。
个人信息主体权利请求会被审计。记录:
如果你的团队使用个人信息主体权利请求跟踪工具,在其中创建记录。如果没有,日志文件可用。
按 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md → 升级表,以下情况升级:
两份函件规则。 每个个人信息主体权利请求产出确认函(及时——目标当日到3-5日内发出)和实质回复函(法定期限前)。大多数制度期望或要求独立于实质回复的及时确认;在最后一天送出的单一合并函件是流程失败,即便内容实质正确。
检索被行使的具体权利和适用法域下的当前有效回复期限。 检查是否存在延期机制,可额外给予多少时间,以及必须向个人信息主体发送什么通知才能使用延期。识别时限从何时起算(收到 vs. 验证 vs. 其他触发规则——默认规则是收到;逐制度核实)。引用现行有效的规定附精准引用。注意生效日期——数据保护回复时限经常修订,新法出台引入各自的时限。
如果 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md → ## DSAR 流程 记录了一个比法定期限更严格的内部 SLA,使用内部 SLA 并注明法定底线。
如果你将需要延期,在初始期限到来前很久就发送"我们需要更多时间"的通知。最后一天才延期看起来不好。