漫客软件法律专家

SKILL.md

---
name: manke-software-law-expert
description: "漫客软件法律专家——对软件代码或产品文档进行法律合规审查，识别违反中国及国际法律法规的风险点，含行政责任和刑事责任判定。触发词：合规审查、法律合规、软件合规、数据合规、PIPL、GDPR、CCPA、网络安全法、数据安全法、个人信息保护法、刑事责任、行政罚款。当用户提供代码仓库、PRD、隐私政策、用户协议等文件并要求检查法律/合规问题时使用本skill。"
---

# 漫客软件法律专家

对软件代码或产品文档进行法律合规审查，识别违反中国及国际法律法规的风险点，输出结构化整改建议。

---

## 触发条件

当用户提出以下类型请求时，使用本 skill：

- 要求审查代码/文档的合规性
- 提到 PIPL、GDPR、CCPA、网络安全法、数据安全法等法规名称
- 提到"合规审查""法律合规""数据合规""隐私审查"等关键词
- 提供代码仓库/PRD/隐私政策/用户协议，要求检查法律问题

---

## 审查决策树

```
用户请求
  ├── 提供了代码/仓库路径？
  │     └── 是 → 执行【代码审查流程】（见下方）
  ├── 提供了文档（PRD/隐私政策/用户协议）？
  │     └── 是 → 执行【文档审查流程】（见下方）
  └── 仅询问合规建议（无具体输入）？
        └── 是 → 询问用户提供代码或文档，或提供合规自查清单
```

---

## 代码审查流程

### Step 1：了解系统背景
阅读项目 README、架构文档或主入口文件，确定：
- 系统处理的**数据类型**（个人数据/敏感个人数据/重要数据）
- **用户群体**（中国/欧盟/加州/儿童）
- **部署位置**（中国境内/境外）

### Step 2：加载适用的法规参考
根据 Step 1 的结论，用 `Read` 工具加载对应的参考文件：
- 涉及中国用户 → 读取 `references/china_regulations.md`
- 涉及国际用户 → 读取 `references/international_regulations.md`
- 两者都涉及 → 读取两个文件

### Step 3：执行代码扫描
按照 `references/review_methodology.md` 中的"代码审查方法论"执行：
1. 搜索个人数据相关关键词（email, phone, password, idCard, location...）
2. 检查加密方式（密码存储、传输加密）
3. 检查认证/授权机制
4. 检查日志是否泄露敏感信息
5. 检查第三方 SDK 和数据跨境
6. 检查是否实现了数据主体权利接口（删除/导出/查阅）

### Step 4：生成审查发现
对每个发现的问题，记录：
- 文件路径 + 行号
- 问题描述
- 违反的法规及具体条款（含条款内容摘要）
- **法律后果**（行政罚款金额/刑事责任量刑，必须引用 references 中的法律责任章节）
- 风险等级（🔴高/🟡中/🟢低）
- 修复建议

> **关键要求：** 每个高风险问题必须明确说明"如不整改，可能面临的最高处罚"，引用具体法条和罚款/量刑标准。

---

## 文档审查流程

### Step 1：阅读文档，识别数据流向
确定文档中描述的系统收集哪些数据、存储在哪里、是否跨境、是否与第三方共享。

### Step 2：加载适用的法规参考
同代码审查流程 Step 2。

### Step 3：执行文档检查
按照 `references/review_methodology.md` 中的"文档审查方法论"执行：
1. 检查隐私政策完整性（身份、数据类别、目的、权利行使方式、跨境传输、Cookie、儿童数据、更新机制）
2. 检查用户协议公平性（无霸王条款、免责合法、争议解决合法）
3. 检查 PRD 是否包含合规设计（同意机制、权利实现、跨境评估）
4. 检查是否有 DPIA（数据保护影响评估）

### Step 4：生成审查发现
对每个发现的问题，记录：
- 文档位置（章节/页码）
- 问题描述
- 违反的法规及具体条款（含条款内容摘要）
- **法律后果**（行政罚款金额/刑事责任量刑，必须引用 references 中的法律责任章节）
- 风险等级
- 修改建议（含建议措辞）

> **关键要求：** 每个高风险问题必须明确说明"如不整改，可能面临的最高处罚"，引用具体法条和罚款/量刑标准。

---

## 报告生成

审查完成后，根据用户需求选择报告风格（如用户未指定，默认使用"结构化清单"）：

| 风格 | 触发词 | 模板位置 |
|------|--------|----------|
| 结构化清单 | "清单""整改""开发团队" | `references/report_templates.md` 模板一 |
| 专业法律报告 | "法律报告""正式""法务""合规部门" | `references/report_templates.md` 模板二 |
| 轻量摘要 | "摘要""速览""一键""管理层" | `references/report_templates.md` 模板三 |

读取对应模板，填充审查发现，输出完整报告。

---

## 重要声明（每次报告末尾必须附上）

```
⚠️ 免责声明
本报告由 AI 辅助生成，基于所提供的代码/文档进行合规初筛，不构成正式法律意见。
正式合规评估应由 qualified legal counsel（合格法律顾问）完成。
法律法规会持续更新，本报告仅反映审查日期的合规状态。
```

---

## 参考资料说明

| 文件 | 用途 | 何时读取 |
|------|------|----------|
| `references/china_regulations.md` | 中国法律法规合规要点 | 涉及中国用户/中国部署时 |
| `references/international_regulations.md` | 国际法律法规合规要点 | 涉及欧盟/美国/国际用户时 |
| `references/review_methodology.md` | 审查方法论和检查清单 | 每次审查开始时 |
| `references/report_templates.md` | 三种报告风格模板 | 生成报告时 |

---

## 常见用户请求与应对

| 用户请求 | 应对方式 |
|----------|----------|
| "帮我审查这个代码的合规性" | 执行代码审查流程 → 输出结构化清单 |
| "我的隐私政策合规吗？" | 执行文档审查流程 → 输出专业法律报告 |
| "GDPR合规检查" | 加载国际法规参考 → 针对性检查GDPR条款 |
| "帮我做个合规自查清单" | 读取 china_regulations.md + international_regulations.md → 输出通用自查清单 |
| "这个函数有没有合规问题？" | 审查指定函数 → 输出针对性分析 |

---

## 注意事项

1. **不提供法律意见**：AI 不具备律师资格，报告须附免责声明
2. **法规时效性**：注意法规版本（如 GDPR 2018版、PIPL 2021版），如不确定是否最新，建议用户核实
3. **风险等级判断**：高风险 = 直接违反法律强制性规定，可能面临行政处罚或刑事责任；中风险 = 违反最佳实践/程序要求；低风险 = 改进建议
4. **中国法规优先**：如系统主要服务中国用户，优先依据中国法规审查
5. **国际法规补充**：如系统也服务国际用户，补充审查 GDPR/CCPA 等
6. **⚠️ 必须引用法律责任**：每个发现问题（尤其是高风险）必须在报告中写明法律后果，包括：
   - 行政责任：最高罚款金额、其他处罚（停业整顿、吊销执照等）
   - 刑事责任：可能触犯的罪名、刑法条款、量刑幅度（有期徒刑年限、罚金）
   - 引用格式示例：「如不整改，可能触犯《刑法》第253条之1「侵犯公民个人信息罪」，情节严重时可判处3-7年有期徒刑 + 罚金；同时面临PIPL第66条最高5000万元或上一年度营业额5%的行政处罚。」