skills/alirezarezvani/gdpr-dsgvo-expert

gdpr-dsgvo-expert

🔒 GDPR/DSGVO 合规自动化审查与文档生成

基于 GDPR/DSGVO 的自动化合规工具,提供代码隐私扫描、DPIA 生成及数据主体权利管理,助力企业满足欧盟数据保护法规要求。

收藏
9.6k
安装
2k
版本
v1.0.0
CLS 安全性认证2026-05-13
点击查看完整报告 >

使用说明

GDPR/DSGVO Expert 是一套专注于欧盟《通用数据保护条例》(GDPR)及德国《联邦数据保护法》(BDSG)合规性的自动化工具集。该技能通过三个核心组件——合规检查器、DPIA 生成器和数据主体权利追踪器——为企业提供了从代码层隐私风险识别到合规文档生成的全流程支持。

核心用法方面,该技能提供三大功能模块。首先是 GDPR 合规检查器,通过正则表达式扫描代码库,自动识别个人数据模式(如邮箱、电话、IP 地址)、特殊类别数据(健康、生物识别信息)以及危险代码实践(如记录个人数据、缺乏加密、无限期保留等),输出 0-100 分的合规评分及风险分级报告。其次是 DPIA 生成器,依据 GDPR 第 35 条要求,协助用户完成数据保护影响评估,自动判断是否需要执行 DPIA(如系统性监控、大规模特殊数据处理、自动化决策等场景),并生成包含风险缓解措施的标准 Markdown 报告。最后是 数据主体权利追踪器,用于管理用户根据 GDPR 第 15-22 条提出的访问、更正、删除、可携带性等请求,支持 30 天法定时限跟踪、身份验证工作流及响应模板生成。

显著优点体现在其技术架构与合规专业性的结合。技术层面,该技能仅依赖 Python 标准库(argparse、json、re 等),无外部依赖和网络安全风险,所有操作均在本地完成,确保敏感代码数据不会外泄。合规层面,它不仅涵盖欧盟 GDPR 通用要求,还深入整合德国 BDSG 特殊规定(如 §38 的 DPO 任命门槛、§26 的员工数据处理规则),并提供从代码扫描到权利请求管理的完整工作流指南,显著降低企业的合规实施门槛。

潜在缺点与局限性需引起重视。首先,来源可信度为 T3 级(个人开发者),虽经安全审计代码质量良好,但企业级应用建议进行额外的安全评估。其次,工具仅支持本地命令行操作,缺乏图形界面和 CI/CD 原生插件,对非技术背景的合规人员不够友好。此外,生成的 DPIA 文档和合规报告仅为模板框架,仍需专业数据保护官(DPO)根据具体业务场景进行实质性审核和完善,不能替代专业法律意见。

适合的目标群体包括:处理欧盟用户数据的软件开发团队、负责 GDPR 合规的数据保护官(DPO)、企业法务及合规专员,以及需要进行隐私影响评估的产品经理。特别适合在敏捷开发流程中集成隐私设计(Privacy by Design)理念的工程团队。

使用风险方面,尽管代码本身无恶意行为,但用户需注意:合规检查器扫描项目时可能读取并输出包含真实个人数据的代码片段或配置文件,生成的报告文件需加密存储;数据主体权利追踪器本地存储的 JSON 文件包含请求者个人信息,需采取访问控制措施;此外,该工具仅提供技术层面的合规检测,不能替代法律咨询,错误解读自动化报告可能导致合规误判。

安全解读

核心功能

gdpr-dsgvo-expert 是一套面向欧盟《通用数据保护条例》(GDPR) 与德国《联邦数据保护法》(BDSG) 的合规自动化工具集,由可信组织 openclaw 维护。Skill 提供三大核心模块:

1. GDPR 合规扫描器 (gdpr_compliance_checker.py)

递归扫描代码库,通过正则表达式识别敏感数据模式(邮箱、IP、信用卡、IBAN、健康/生物特征/宗教等特殊类别数据),检测高风险代码实践(日志记录个人数据、缺失同意机制、无限期保留、未加密敏感数据、禁用删除功能)。输出包含 0-100 分合规评分、风险分级(关键/高/中)及引用具体 GDPR 条款的修复建议。

2. DPIA 生成器 (dpia_generator.py)

依据 GDPR 第 35 条自动化生成《数据保护影响评估》文档,内置阈值评估逻辑(系统性监控、大规模特殊类别数据处理、自动化决策、WP29 高风险指标),输出风险识别、法律依据文档、缓解措施建议及 Markdown 格式报告。

3. 数据主体权利追踪器 (data_subject_rights_tracker.py)

管理 GDPR 第 15-22 条规定的七项权利请求(访问、更正、删除、限制处理、可携带性、反对、自动化决策),支持 30 天(可延长至 90 天)期限跟踪与逾期预警、身份验证工作流、响应模板生成及合规报告导出。

显著优点

  • 零依赖安全设计:仅使用 Python 标准库(argparse、json、os、pathlib、re、datetime),无第三方包,彻底消除供应链攻击面
  • 完全离线运行:无网络请求、无外部 API 调用,所有数据处理均在本地完成,杜绝数据外泄
  • 权威法规映射:内置 GDPR 条款引用与德国 BDSG 特定要求(§38 DPO 任命门槛、§26 员工数据处理、§4 视频监控规则、§31 信用评分要求)
  • 工程化集成:支持 JSON 输出与 CI/CD 管道集成,适合 DevSecOps 工作流
  • 结构化工作流:提供新处理活动评估、数据主体请求处理、德国 BDSG 合规检查三条完整 SOP

潜在局限与风险

  • 输入验证待加强:路径解析使用 Path(args.input).resolve(),未严格校验路径范围,理论上存在路径遍历风险(实践中需结合具体调用场景)
  • 符号链接未防护:文件遍历时未检测符号链接,可能意外遍历非预期目录
  • 性能边界缺失:未设置文件大小限制,扫描超大文件可能导致内存或性能问题
  • 静默异常处理:部分异常使用 pass 跳过,缺乏日志记录,不利于问题排查
  • 功能局限声明:Skill 仅提供合规辅助工具,不构成法律建议,DPIA 与合规评估仍需人工专业判断

适合人群

  • 数据保护官 (DPO):需要系统化跟踪 DSAR(数据主体访问请求)并生成合规文档
  • DevOps/安全工程师:希望在 CI/CD 中集成隐私代码扫描,实现 Privacy by Design
  • 在德企业合规团队:需满足德国 BDSG 特定要求(员工数据、视频监控、信用评分场景)
  • 中小型 SaaS 企业:缺乏专职法务团队,需要自动化工具降低 GDPR 合规门槛

常规风险

| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 供应链安全 | 极低 | 零第三方依赖,无 CVE 风险 |
| 数据泄露 | 极低 | 纯本地处理,无网络传输 |
| 路径遍历 | 低 | 输入路径验证可更严格,建议用户仅扫描可信目录 |
| 误报/漏报 | 中 | 正则模式匹配存在固有局限,关键决策需人工复核 |
| 法律合规性 | 中 | 工具输出需结合专业法律意见,不能替代正式法律咨询 |
legalautomationdevelopment-engineeringdocsdata-analytics

gdpr-dsgvo-expert 内容

references文件夹
scripts文件夹
手动下载zip · 30.1 kB
dpia_methodology.mdtext/markdown
请选择文件