implementing-gdpr-data-protection-controls

《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。

9 stars

Best use case

implementing-gdpr-data-protection-controls is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。

Teams using implementing-gdpr-data-protection-controls should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-gdpr-data-protection-controls/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-gdpr-data-protection-controls/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-gdpr-data-protection-controls/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-gdpr-data-protection-controls Compares

Feature / Agentimplementing-gdpr-data-protection-controlsStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 实施 GDPR 数据保护控制

## 概述

《通用数据保护条例》(EU)2016/679(GDPR)是欧盟关于个人数据收集、处理、存储和传输的综合数据保护法律。本技能涵盖实施 GDPR 要求的技术和组织措施,包括默认和设计隐私保护、数据保护影响评估(DPIA)、数据主体权利管理、违规通知程序以及跨境数据传输机制。

## 前置条件

- 了解欧盟数据保护法及其地域适用范围
- 了解组织内的个人数据处理活动
- 熟悉数据架构、数据库和应用程序系统
- 了解包括跨境传输在内的数据流

## 核心概念

### 技术控制的关键 GDPR 条款

| 条款 | 要求 |
|---------|-------------|
| 第 5 条 | 原则:合法性、目的限制、数据最小化、准确性、存储限制、完整性和保密性、问责制 |
| 第 6 条 | 处理的合法依据(同意、合同、法律义务、重要利益、公共任务、合法利益) |
| 第 25 条 | 默认和设计数据保护 |
| 第 28 条 | 处理者义务和合同要求 |
| 第 30 条 | 处理活动记录(ROPA) |
| 第 32 条 | 处理安全(技术和组织措施) |
| 第 33 条 | 向监管机构的违规通知(72 小时) |
| 第 34 条 | 向数据主体通报违规 |
| 第 35 条 | 数据保护影响评估(DPIA) |
| 第 37-39 条 | 数据保护官(DPO)的任命和职责 |
| 第 44-49 条 | 跨境数据传输(充分性、标准合同条款、约束性企业规则) |

### 第 32 条安全措施

条例要求组织实施与风险相适应的措施:
- 个人数据的**假名化**和加密
- 处理系统的**保密性、完整性、可用性和弹性**
- 在合理时间内**恢复**个人数据可用性和访问的能力
- **定期测试**和评估技术和组织措施

### 数据主体权利(第 12-22 条)

| 权利 | 条款 | 描述 |
|-------|---------|-------------|
| 被告知权 | 13-14 | 关于处理的透明信息 |
| 访问权 | 15 | 获取个人数据副本 |
| 更正权 | 16 | 更正不准确数据 |
| 删除权 | 17 | "被遗忘权" |
| 限制处理权 | 18 | 限制数据处理 |
| 数据可携带权 | 20 | 以机器可读格式接收数据 |
| 反对权 | 21 | 反对处理(尤其是直接营销) |
| 自动化决策 | 22 | 不受纯粹自动化决策约束 |

## 实施步骤

### 第一阶段:数据映射和评估(第 1-6 周)
1. 创建全面的数据清单:
   - 收集哪些个人数据
   - 来自何处(数据主体)
   - 为何收集(目的和合法依据)
   - 存储在何处(系统、位置、国家)
   - 谁有访问权限(内部和外部)
   - 保留多长时间
   - 哪些安全措施保护它
2. 按第 30 条记录处理活动记录(ROPA)
3. 识别每项处理活动的合法依据
4. 映射跨境数据传输和传输机制
5. 识别需要 DPIA 的处理活动

### 第二阶段:差距分析和风险评估(第 7-10 周)
1. 对照 GDPR 要求评估当前状态
2. 为高风险处理活动执行 DPIA
3. 识别第 32 条合规中的安全差距
4. 评估数据保留合规性
5. 评估数据主体权利请求处理能力

### 第三阶段:技术控制实施(第 11-24 周)
1. **加密**:
   - 静态数据:数据库、文件系统、备份使用 AES-256
   - 传输数据:所有个人数据传输使用 TLS 1.2+
   - 密钥管理:安全密钥存储和轮换程序
2. **假名化**:
   - 为敏感标识符实施令牌化
   - 将假名化密钥与数据存储分离
3. **访问控制**:
   - 个人数据的基于角色的访问控制(RBAC)
   - 最小权限原则
   - 处理个人数据系统的 MFA
   - 定期访问审查
4. **数据最小化**:
   - 在应用层实施数据收集限制
   - 默认隐私设置(默认数据保护)
   - 自动化数据保留执行
5. **删除和可携带**:
   - 在所有系统中构建数据删除工作流
   - 实施机器可读格式(JSON、CSV)的数据导出
   - 级联删除至备份和归档
6. **同意管理**:
   - 实施细粒度同意收集机制
   - 同意撤回功能
   - 同意审计跟踪和版本控制
7. **违规检测**:
   - 个人数据访问监控的 SIEM
   - 数据丢失防护(DLP)控制
   - 异常访问检测

### 第四阶段:组织控制(第 11-24 周)
1. 如有需要,任命数据保护官(DPO)
2. 制定数据保护政策和程序
3. 创建违规通知程序(72 小时时间线)
4. 建立数据主体请求(DSR)处理程序
5. 实施带数据处理协议(DPA)的供应商管理
6. 为所有员工部署隐私意识培训
7. 为开发团队创建设计隐私保护指南

### 第五阶段:文档和合规证据(第 25-30 周)
1. 完成 ROPA 文档
2. 记录所有 DPIA 及其结果
3. 创建数据保护政策
4. 记录技术和组织措施
5. 建立隐私通知和同意记录
6. 创建国际传输文档(标准合同条款、传输影响评估)

### 第六阶段:持续合规(持续进行)
1. 定期对新处理活动进行 DPIA 审查
2. 年度数据映射刷新
3. 定期安全措施测试(第 32 条要求)
4. 数据主体请求追踪和 SLA 监控
5. 违规响应准备测试
6. 培训刷新和意识活动

## 关键工件

- 处理活动记录(ROPA)
- 数据保护影响评估(DPIA)
- 数据处理协议(DPA)
- 隐私通知和同意记录
- 违规响应程序和记录
- 数据主体请求处理程序
- 国际数据传输机制(标准合同条款、约束性企业规则)
- 技术和组织措施文档

## 常见陷阱

- 将 GDPR 视为纯法律/合规工作,而不进行技术实施
- 数据映射不完整,遗漏影子 IT 或遗留系统
- 未能维护同意审计跟踪
- 未测试 72 小时违规通知能力
- 忽略云服务的跨境传输要求
- 在合法利益适用时过度依赖同意作为合法依据

## 参考资料

- GDPR 官方文本:https://gdpr-info.eu/
- 欧洲数据保护委员会(EDPB)指南
- ICO(英国)GDPR 指南:https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/
- CNIL(法国)GDPR 合规工具包
- 第 29 条工作组关于 DPIA 的指南

Related Skills

testing-for-sensitive-data-exposure

9
from killvxk/cybersecurity-skills-zh

在安全评估中识别敏感数据暴露漏洞,包括 API 密钥泄露、响应中的 PII、不安全存储以及未受保护的数据传输。

performing-sqlite-database-forensics

9
from killvxk/cybersecurity-skills-zh

对 SQLite 数据库执行取证分析,从空闲列表(Freelist)和 WAL 文件中恢复已删除记录,解码编码时间戳,并从浏览器历史、即时通讯应用和移动设备数据库中提取证据。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-zero-trust-dns-with-nextdns

9
from killvxk/cybersecurity-skills-zh

将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。

implementing-zero-standing-privilege-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

implementing-zero-knowledge-proof-for-authentication

9
from killvxk/cybersecurity-skills-zh

零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。

implementing-web-application-logging-with-modsecurity

9
from killvxk/cybersecurity-skills-zh

配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。