reg-gap-analysis

/reg-gap-analysis

1. 加载 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md → 个人信息处理规则承诺、监管覆盖范围、DSAR系统。
2. 执行以下工作流。
3. 范围界定：法规是否适用？（法域、门槛、行业）
4. 提取要求 → 与现状差异对比 → 差距清单。
5. 带负责人、日期、优先级的整改计划。
6. 保存注明日期的文件。即使"无差距"也要记录。

/privacy-legal:reg-gap-analysis "个人信息出境标准合同办法"

/privacy-legal:reg-gap-analysis
[粘贴指引 / 法规文本]

---

法规与处理规则差距分析

目的

网信办发布了新规定。工信部出了新标准。国家数据局出了新指引。法规变化了——现在你需要知道，如果有的话，你必须改变什么。

本技能将新要求与你当前的实际情况（按 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md → 个人信息处理规则承诺 + PIA 中记录的实际做法）进行差异对比，并产出一份带整改计划的差距清单。

加载现状

读取 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md：

• ## 个人信息处理规则承诺 — 你已公开承诺了什么
• ## 监管覆盖范围 — 什么已适用
• ## DSAR 流程 → 系统清单 — 你实际在运营上做什么

如果法规对你不适用（错误的法域、低于门槛、不同行业），差距分析只有一行："不适用。理由：[理由]。无需行动。"

工作流

第1步：界定法规适用范围

差异对比前，回答：

• 它适用吗？ 法域（你在该法域有个人信息主体吗？），门槛（收入、用户数、数据量），行业例外
• 何时？ 生效日期，执法开始日期（通常晚于生效），任何分阶段施行
• 什么是真正新增的？ 许多新规定可能与你已有的合规有大量重叠。识别相对于你已合规内容的增量，而非全文。

第2步：提取要求

阅读法规（或摘要/指引）。将每项实体性要求列为独立项：

#	要求	引用	类别
1	[要求原文]	[条款]	[通知 / 权利 / 安全 / 供应商 / 其他]

类别：

• 通知 — 必须告知用户什么（处理规则内容）
• 权利 — 用户可以要求什么（个人信息主体权利相关）
• 安全 — 技术/组织措施
• 供应商 — 必须传导至受托处理者的内容
• 同意 — 选择加入/退出机制
• 治理 — 个人信息保护负责人、影响评估、记录保存

第3步：与现状差异对比

对每项要求：

### [要求 #N]：[简短名称]

**法规要求：** [要求，原文引用或转述]

**我们目前：** [配置 CLAUDE.md / 处理规则 / 实践显示的内容]

**差距：** [无 / 部分 / 完全]

**如为部分/完全差距 — 缺失什么：** [具体]

**弥合工作量：** [仅需更新处理规则 / 产品变更 / 供应商重新谈判 / 新流程]

**不合规风险：** [行政处罚幅度、执法可能性、声誉影响]

第4步：优先级排序

并非每个差距同等重要。按以下排序：

1. 带牙齿的硬期限 — 生效日期 + 积极执法 + 实际处罚
2. 工作量与影响比 — 更新处理规则语言很便宜；重建产品不便宜
3. 你已完成80%的 — 如果你已因某制度做到八成，新法的增量可能很小

第5步：整改计划

冠以 ~/.claude/plugins/config/claude-for-legal/privacy-legal/CLAUDE.md ## 输出 中的工作成果抬头（因用户角色不同而异——见 ## 谁在使用）。

检索连接器预检。 在输出整改计划前，检查法律检索连接器是否可访问。收集此信息到 CLAUDE.md ## 输出 下的审核备注中：如果第2步或常见法规类别检索步骤中没有连接器返回结果，记录在审核备注的**来源：**行中——如 未连接——引用来自训练知识；差距分析中最容易造假的是新法规的生效日期、执法开始日期和条号精准引用——优先核对这些。逐条 [模型知识 — 需验证] 标签保持内联。不在输出上方发出独立横幅。

[工作成果抬头 — 按插件配置 ## 输出]

## 整改计划：[法规名称]

**生效日期：** [日期]
**执法开始：** [日期]

### 执法前必须完成

| 差距 | 整改措施 | 负责人 | 截止日期 | 状态 |
|---|---|---|---|---|
| [差距] | [具体措施] | [姓名] | [日期] | [ ] |

### 应做（较低风险，非阻塞）

[同上表]

### 已合规

[差距为"无"的要求列表——对"我们基本没问题"的信息有用]

### 已接受的差距（风险已接受，不整改）

[如有——附记录的理由和风险接受人]

常见法规类别（中国法体系）

在界定增量时，将新法规归入以下大致类别有助于定位，然后检索具体内容：

• 综合性个人信息保护法规 — 覆盖一个法域个人信息处理实践的广泛规定（个保法层级）
• 行业特别监管 — 金融、医疗健康、未成年人、教育、劳动人事等（如《个人金融信息保护技术规范》《儿童个人信息网络保护规定》）
• 数据出境制度 — 安全评估、标准合同、认证要求（《数据出境安全评估办法》《个人信息出境标准合同办法》）
• AI/算法特别规制 — 透明度、影响评估或算法治理（《生成式人工智能服务管理办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》）
• 数据泄露通知制度 — 独立或嵌入更广泛法律的通知要求（个保法第57条及相关部门规章）
• 数据安全制度 — 《数据安全法》及其配套规定（数据分类分级保护、重要数据目录等）

对与新法规相关的每个类别，在起草差距分析前检索当前有效的要求。引用主源。验证时效——新行政法规和部门规章频繁出台。不确定时标示，供律师核实，而非断言未经确认的规则。

禁止静默补充。 如果检索查询返回结果很少或为零，报告找到的内容并停止。不要未经询问即从网络搜索或模型知识填补空白。说："搜索返回[N]条结果。覆盖显得薄弱。选项：(1) 扩大搜索查询，(2) 尝试不同的检索工具，(3) 搜索网页——结果将标记为 [联网检索 — 需复核]，依赖前应与发布机关核对，(4) 标记为未验证并停止。你想选哪个？"由律师决定是否接受可信度较低的来源。

来源溯源标签分层。 为差距分析中每处引用标记来源。对于模型知识引用：

• [已确定] — 稳定、众所周知的法定和行政法规引用不太可能已变更
• [需验证] — 模型知识引用是真实的但应验证：具体实施细则、监管指引、案例立场、阈值、生效日期
• [需验证——精准引用] — 精准引用造假风险最高，应始终对照主源验证

检索工具获取的引用保留其来源标签；网页搜索引用保留 [联网检索 — 需复核]；用户提供的引用保留 [用户提供]。分层揭示了真正的验证工作。绝不剥离或折叠标签。

与其他技能的集成

来自 PIA 生成： PIA 会标注个人信息处理规则不一致——这些在此作为已知差距输入。

至 regulatory-legal 插件（如已安装）： 本技能是手动版本。monitor 插件监控法规动态，当法规变化时自动触发本分析。

输出

保存为注明日期的 markdown 文档。整改计划表成为跟踪器——随项目关闭更新状态。

如果差距分析结论是"无差距，已合规"，仍撰写该文档——以后它是证明你检查过的有用证据。

以引用验证提示结束：

本输出中的引用由 AI 模型生成，尚未与主源核对。依赖任何法规、指引或执法行动前，请对照法律检索工具（如 yuandian MCP 或发布机关官网）核查准确性和现行效力。AI 生成的引用可能存在编造或引用错误。每条引用上的来源标签（如 [联网检索 — 需复核]）显示其来源；带 验证 的标签造假风险更高，应优先核对。

以下一步决策树结束

以符合 CLAUDE.md ## 输出 的下一步决策树结束。根据本技能刚刚产出的内容定制选项——五个默认分支（起草X、升级、获取更多事实、观察和等待、其他）是起点，而非锁定。决策树即输出；律师选择。

本技能不做的事

• 不权威解释模糊的法规语言。当法规不清晰时，说："第X条可解读为[A]或[B]。[A]是保守解读。如实质重大建议咨询外部律师。"
• 不主动追踪法规变化。它在你指定一项变化时运行。主动监控见 regulatory-legal 插件。
• 不执行整改措施。它计划它们。