名称: gdpr-dsgvo-expert
描述: GDPR 与德国 DSGVO 合规自动化工具。扫描代码库中的隐私风险,生成 DPIA 文档,跟踪数据主体权利请求。适用于 GDPR 合规评估、隐私审计、数据保护规划、DPIA 生成和数据主体权利管理。
提供欧盟《通用数据保护条例》(GDPR) 和德国《联邦数据保护法》(BDSG) 合规性的工具与指南。
扫描代码库中潜在的 GDPR 合规问题,包括个人数据模式和风险代码实践。
# 扫描项目目录
python scripts/gdpr_compliance_checker.py /path/to/project
# 用于 CI/CD 集成的 JSON 输出
python scripts/gdpr_compliance_checker.py . --json --output report.json
检测内容:
- 个人数据模式(电子邮件、电话、IP 地址)
- 特殊类别数据(健康、生物识别、宗教信仰)
- 财务数据(信用卡、IBAN)
- 风险代码模式:
- 记录个人数据
- 缺少同意机制
- 无限期数据保留
- 未加密的敏感数据
- 禁用的删除功能
输出:
- 合规分数 (0-100)
- 风险分类(严重、高、中)
- 附带 GDPR 条款引用的优先建议
根据 GDPR 第 35 条要求生成数据保护影响评估文档。
# 获取输入模板
python scripts/dpia_generator.py --template > input.json
# 生成 DPIA 报告
python scripts/dpia_generator.py --input input.json --output dpia_report.md
功能:
- 自动 DPIA 触发阈值评估
- 基于处理特征的风险识别
- 法律依据要求文档化
- 缓解建议
- Markdown 报告生成
评估的 DPIA 触发条件:
- 系统性监控(第 35(3)(c) 条)
- 大规模特殊类别数据处理(第 35(3)(b) 条)
- 自动化决策(第 35(3)(a) 条)
- WP29 高风险标准
管理 GDPR 第 15-22 条规定的数据主体权利请求。
# 添加新请求
python scripts/data_subject_rights_tracker.py add \
--type access --subject "张三" --email "zhangsan@example.com"
# 列出所有请求
python scripts/data_subject_rights_tracker.py list
# 更新状态
python scripts/data_subject_rights_tracker.py status --id DSR-202601-0001 --update verified
# 生成合规报告
python scripts/data_subject_rights_tracker.py report --output compliance.json
# 生成回复模板
python scripts/data_subject_rights_tracker.py template --id DSR-202601-0001
支持的权利:
| 权利 | 条款 | 截止期限 |
|---|---|---|
| 访问权 | 第 15 条 | 30 天 |
| 更正权 | 第 16 条 | 30 天 |
| 删除权(被遗忘权) | 第 17 条 | 30 天 |
| 限制处理权 | 第 18 条 | 30 天 |
| 数据可携权 | 第 20 条 | 30 天 |
| 反对权 | 第 21 条 | 30 天 |
| 自动化决策相关权利 | 第 22 条 | 30 天 |
功能:
- 截止期限跟踪与逾期提醒
- 身份验证工作流
- 回复模板生成
- 合规报告
references/gdpr_compliance_guide.md
全面的实施指南,涵盖:
- 处理的法律依据(第 6 条)
- 特殊类别数据处理要求(第 9 条)
- 数据主体权利的实施
- 问责制要求(第 30 条)
- 国际数据传输(第五章)
- 数据泄露通知(第 33-34 条)
references/german_bdsg_requirements.md
德国特定要求,包括:
- 数据保护官任命门槛(§ 38 BDSG - 20 名以上员工)
- 员工数据处理(§ 26 BDSG)
- 视频监控规则(§ 4 BDSG)
- 信用评分要求(§ 31 BDSG)
- 州数据保护法
- 工会共同决定权
references/dpia_methodology.md
分步 DPIA 流程:
- 触发阈值评估标准
- WP29 高风险指标
- 风险评估方法
- 缓解措施类别
- 数据保护官和监管机构咨询
- 模板和清单
步骤 1:对代码库运行合规检查器
→ python scripts/gdpr_compliance_checker.py /path/to/code
步骤 2:审查发现的问题和合规分数
→ 处理严重和高风险问题
步骤 3:判断是否需要 DPIA
→ 参考 references/dpia_methodology.md 中的触发标准
步骤 4:如需 DPIA,生成评估
→ python scripts/dpia_generator.py --template > input.json
→ 填写处理详情
→ python scripts/dpia_generator.py --input input.json --output dpia.md
步骤 5:记录在案(处理活动记录)
步骤 1:在追踪器中记录请求
→ python scripts/data_subject_rights_tracker.py add --type [type] ...
步骤 2:验证身份(采取相称的措施)
→ python scripts/data_subject_rights_tracker.py status --id [ID] --update verified
步骤 3:从系统中收集数据
→ python scripts/data_subject_rights_tracker.py status --id [ID] --update in_progress
步骤 4:生成回复
→ python scripts/data_subject_rights_tracker.py template --id [ID]
步骤 5:发送回复并完成
→ python scripts/data_subject_rights_tracker.py status --id [ID] --update completed
步骤 6:监控合规性
→ python scripts/data_subject_rights_tracker.py report
步骤 1:判断是否需要任命数据保护官
→ 20 名以上员工自动处理个人数据
→ 或 处理活动需要 DPIA
→ 或 业务涉及数据传输/市场研究
步骤 2:若涉及员工数据,审查 § 26 BDSG
→ 记录员工数据的法律依据
→ 检查工会要求
步骤 3:若涉及视频监控,遵守 § 4 BDSG
→ 安装标识
→ 记录必要性
→ 限制保留期限
步骤 4:向监管机构注册数据保护官
→ 参见 references/german_bdsg_requirements.md 中的机构列表
需要明确同意或符合第 9(2) 条例外情况:
- 健康数据
- 生物识别数据
- 种族或民族出身
- 政治观点
- 宗教信仰
- 工会成员身份
- 基因数据
- 性取向
所有权利必须在 30 天 内履行(复杂请求可延长至 90 天):
- 访问权:提供数据副本和处理信息
- 更正权:纠正不准确数据
- 删除权(被遗忘权):删除数据(法定义务等例外情况除外)
- 限制处理权:在问题解决期间限制处理
- 数据可携权:提供机器可读格式的数据
- 反对权:停止基于合法利益的处理
| 主题 | BDSG 条款 | 关键要求 |
|---|---|---|
| 数据保护官门槛 | § 38 | 20 名以上员工 = 必须任命数据保护官 |
| 雇佣关系 | § 26 | 详细的员工数据规则 |
| 视频监控 | § 4 | 标识和相称性原则 |
| 信用评分 | § 31 | 算法需可解释 |