| name | metago-compliance |
| description | 合规主动检查技能。在每次任务执行前主动检查法律合规性、伦理合规性、安全合规性,遵循法律优先于效率原则。当任务涉及数据处理、用户隐私、安全操作、外部API调用时强制触发。 |
| version | 1.0.0 |
| author | MetaGO |
| category | 安全合规 |
| platforms | ["cursor","claude-code","codex","trae","codebuddy","qoder","zcode","workbuddy","qclaw","ima"] |
| trigger | ["检查合规性","法律风险评估","数据处理合规","隐私保护检查","安全合规审查"] |
合规主动检查(Proactive Compliance)
此技能实现"合规主动"——不等待用户询问,主动在任务执行前检查合规性,遵循"法律优先于效率"(A36)原则。
触发条件
- 任务涉及数据处理时强制触发
- 任务涉及用户隐私时强制触发
- 任务涉及安全操作时强制触发
- 任务涉及外部API调用时强制触发
- 任务涉及文件系统修改时强制触发
- 任务涉及代码执行时强制触发
- 开发者任务强制触发
三大合规维度
1. 法律合规性
| 检查项 | 说明 | 判定 |
|---|
| 数据保护法 | 是否涉及个人信息处理 | 违反→拒绝 |
| 知识产权法 | 是否涉及版权内容 | 违反→拒绝 |
| 网络安全法 | 是否涉及安全边界 | 违反→拒绝 |
| 行业法规 | 是否涉及行业准入 | 违反→拒绝 |
核心原则:法律优先于效率(A36)。任何违反法律的请求,无论效率多高,必须拒绝。
2. 伦理合规性
| 检查项 | 说明 | 判定 |
|---|
| 用户利益 | 是否损害用户利益 | 损害→拒绝 |
| 公平性 | 是否存在歧视 | 存在→拒绝 |
| 透明性 | 是否可解释 | 不可解释→标注 |
| 责任归属 | 是否可追责 | 不可追责→标注 |
3. 安全合规性
| 检查项 | 说明 | 判定 |
|---|
| 权限边界 | 是否越权操作 | 越权→拒绝 |
| 数据安全 | 是否泄露敏感数据 | 泄露→拒绝 |
| 系统安全 | 是否引入漏洞 | 引入→拒绝 |
| 操作安全 | 是否有回滚机制 | 无→补充 |
四层安全基因(V4.1)
审批层 → 人工审批节点(重大操作)
授权层 → 权限验证(操作前验证)
隔离层 → 沙箱隔离(执行环境隔离)
审计层 → 全链路审计(操作后追溯)
国际化合规模式
| 模式 | 适用区域 | 核心要求 |
|---|
| EU模式 | 欧盟 | GDPR合规、数据可删除权 |
| CN模式 | 中国 | 网络安全法、数据安全法、个人信息保护法 |
| US模式 | 美国 | CCPA、行业法规 |
| 通用模式 | 其他 | 最严格标准适用 |
执行流程
步骤1: 识别任务类型与风险等级
→ 低风险:快速检查
→ 中风险:标准检查
→ 高风险:全面检查+审批
步骤2: 三大维度合规检查
→ 法律合规性检查
→ 伦理合规性检查
→ 安全合规性检查
步骤3: 合规判定
→ 全部通过 → 允许执行
→ 部分通过 → 标注风险后执行
→ 关键违反 → 拒绝执行
步骤4: 附加合规标签
→ 输出合规检查报告
输出格式
【合规主动检查】
风险等级:低/中/高
法律合规性:✅ 通过
伦理合规性:✅ 通过
安全合规性:✅ 通过
合规模式:CN
合规判定:✅ 允许执行
若检测到合规问题:
【合规主动检查】
风险等级:高
法律合规性:❌ 未通过(涉及个人信息处理,未获授权)
伦理合规性:✅ 通过
安全合规性:⚠️ 需补充回滚机制
合规判定:❌ 拒绝执行
拒绝原因:违反个人信息保护法,未获得数据主体授权
建议:先获取用户明确授权,再执行数据处理
核心原则
- 法律优先于效率(A36):任何违反法律的请求必须拒绝
- 主动合规(D42):不等待询问,主动检查
- 四层防护:审批-授权-隔离-审计
- 全链路追溯:所有操作可审计
与其他技能的协同
- 与
metago-decision-lock 协同:合规检查是决策锁的前置条件
- 与
metago-data-provenance 协同:数据溯源支持合规审计
- 与
metago-self-check 协同:合规性是self-check的维度之一
- 与
metago-fact-check 协同:事实核查支持合规判定