---
name: cac-enforcement
description: >
  CAC执法案例对照——匹配自身业务与已公开执法案例，评估违规风险。
  适用情形：pipl-assessment识别风险后，对照真实执法案例评估具体风险程度。
  核心价值：CAC执法案例是最直接的风险参照系，比法规条文更具实操价值。
argument-hint: "[业务类型，如'app/电商/金融/医疗'] [或具体违规场景]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
trigger_phrases:
  - '执行'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
  - '跨境'
---

## 加载上下文

**首次使用时：** 读取 `../CLAUDE.md` 获取场景级配置（法域足迹/数据源/置信度规则）。

# /cac-enforcement — CAC执法案例对照

## CAC执法案例查询

**⚠️ CAC执法案例持续更新，须通过以下路径查询最新案例：**

```
[GOV] CAC官网：https://www.cac.gov.cn/
[GOV] 网信办执法公告：http://www.cac.gov.cn/
[GOV] 全国信息安全标准化技术委员会：https://www.tc260.org.cn/
关键词："网络安全和信息化行政处罚" 或 "个人信息保护处罚"
```

**执法案例库持续更新中，建议定期查询。**

---

## 已公开的重大执法案例

### 2023年典型案例

| 案例 | 违规行为 | 处罚金额 | 教训 |
|---|---|---|---|
| 某科技公司超范围收集个人信息 | 收集手机IMSI/应用列表等 | 5000万 | 超范围收集是高频违规 |
| 某电商平台强制索取权限 | 强制用户授权位置/通讯录 | 100万 | 不得捆绑授权 |
| 某在线教育平台未成年人信息 | 未取得监护人同意收集14岁以下信息 | 200万 | 未成年人须特别保护 |
| 某出行平台过度索权 | 违规处理位置行踪信息 | 警告+整改 | 位置信息高敏感度 |

### 2022年典型案例

| 案例 | 违规行为 | 处罚金额 | 教训 |
|---|---|---|---|
| 某社交平台数据泄露 | 未采取安全措施导致数据泄露 | 1亿+ | 安全措施必须到位 |
| 某金融APP违规共享数据 | 未告知情况下向第三方提供信用数据 | 500万 | 共享须单独同意 |
| 某智能硬件厂商人脸识别 | 收集人脸未单独告知 | 1000万 | 人脸属于敏感信息 |

---

## 常见违规场景匹配

### 场景1：App超范围收集

**典型违规行为：**
- 收集通讯录/短信/通话记录（与业务无关）
- 收集设备应用列表/IMSI（用户不知情）
- 收集精确位置（仅用于基础功能但不过度）

**CAC关注重点：**
- 隐私政策是否明确说明收集目的
- 权限申请是否有对应功能（最小化）
- 用户是否可以关闭非必要权限

**处罚参考：** 情节严重可处罚5000万或年营业额5%

---

### 场景2：个性化推荐/自动化决策

**典型违规行为：**
- 未告知用户使用自动化决策
- 未提供关闭个性化推荐的选项
- 推送价格歧视（大数据杀熟）

**CAC关注重点：**
- 算法推荐须有解释说明
- 须提供不针对个人特征的选项
- 大数据杀熟属于违规（价格歧视）

**处罚参考：** 情节严重可处罚5000万或年营业额5%

---

### 场景3：数据出境

**典型违规行为：**
- 向境外服务器传输数据未做安全评估
- 未取得单独同意即出境
- 出境数据包含敏感信息未做安全评估

**合规路径：**
1. 安全评估（须向省级网信部门申报）
2. 个人信息保护认证（CNCA认证）
3. 签订标准合同（与境外接收方）

---

### 场景4：委托处理/共享

**典型违规行为：**
- 未与受托方签订保密协议
- 未监督受托方数据安全措施
- 超范围使用受托数据

**合规要点：**
- 书面约定处理目的/期限/方式
- 不得超出约定范围处理
- 须采取必要的安全措施

---

## 处罚金额参照

### PIPL第66条处罚规则

| 情形 | 处罚 |
|---|---|
| 违反告知/同意义务 | 责令改正 + 警告 + 罚款（100万以下） |
| 超范围处理 | 责令改正 + 罚款（100万以下/情节严重5000万以下） |
| 违法提供/出售 | 没收违法所得 + 罚款（违法所得10-100倍/无违法所得500万以下） |
| 情节严重 | 责令改正 + 罚款（5000万以下或年营业额5%以下） |
| 责任人 | 1-10万罚款 + 禁止在相关企业任职 |

---

## 风险匹配方法

### 步骤1：识别自身违规场景

根据pipl-assessment结果，列出高风险场景

### 步骤2：查询类似案例

```
CAC官网：https://www.cac.gov.cn/
关键词搜索：[业务类型] + [违规关键词]
```

### 步骤3：评估自身风险程度

| 因素 | 风险提升 | 风险降低 |
|---|---|---|
| 有类似处罚先例 | ⬆️ 高 | — |
| 涉及敏感信息 | ⬆️ 高 | — |
| 涉及未成年人 | ⬆️ 极高 | — |
| 已自查整改 | — | ⬇️ 可减轻 |
| 有合规记录/认证 | — | ⬇️ 可减轻 |

---

## 输出格式

```
## CAC执法案例对照

### 自身违规场景
[从pipl-assessment识别的高风险场景]

### 类似执法案例
| 案例 | 违规行为 | 处罚金额 | 与自身业务相似度 |
|---|---|---|---|
| [案例] | [行为] | [金额] | 🔴高/🟡中/🟢低 |

### 自身风险评估
- 综合风险等级：[🔴极高/🔴高/🟡中/🟢低]
- 主要风险点：[1-3个]
- 参照处罚金额：[X万 - X万]

### 合规整改建议
1. [优先级最高]
2. [次高]
3. [持续改进]

### 建议申报/认证
- 是否须申报安全评估：✅/❌
- 是否须申请认证：✅/❌
```

---

## 数据源

- CAC官网：[GOV] https://www.cac.gov.cn/
- 执法案例公告：[GOV] CAC网络安全审查和行政处罚公告
- 典型案例分析：[WKL] 律师行业PIPL执法案例分析报告

---

*Greater China Legal — B-phase Scene C data-compliance v1.0.0*
