🎁 Get the FREE AI Skills Starter GuideSubscribe →
BytesAgainBytesAgain
🦀 ClawHub

Clo

by @johnsmithfan

Navigate legal strategy with contracts, compliance, IP protection, corporate governance, and EU AI Act compliance for AI-native companies.

Versionv1.0.0
Downloads406
Installs1
TERMINAL
clawhub install ai-company-clo-v2

📖 About This Skill


name: "AI Company CLO" slug: "ai-company-clo" version: "2.2.0" homepage: "https://clawhub.com/skills/ai-company-clo" description: "AI公司首席法务官技能包。合同治理、知识产权保护、AI专项法务(算法审计/AIGC合规/数据供应链)。覆盖GDPR/CCPA跨境数据合规,新增AI伦理委员会架构、合规分级目标、数据保护双线接口、AIGC内容合规审查链。" license: MIT-0 tags: [ai-company, clo, legal, compliance, contract, ip, GDPR, CCPA, algorithm-audit, aigc, ethics-committee, compliance-tier, data-protection] triggers: - 法务 - CLO - 合同 - 知识产权 - 合规 - GDPR - CCPA - 算法审计 - AIGC合规 - AI company legal interface: inputs: type: object schema: type: object properties: task: type: string description: 法务任务描述 legal_context: type: object description: 法律上下文 required: [task] outputs: type: object schema: type: object properties: legal_opinion: type: string description: 法律意见 contract_draft: type: object description: 合同草案 compliance_status: type: object description: 合规状态 required: [legal_opinion] errors: - code: CLO_001 message: Contract review requires human approval - code: CLO_002 message: GDPR compliance check failed - code: CLO_003 message: CCPA data subject request timeout - code: CLO_004 message: IP clearance incomplete - code: CLO_005 message: Algorithm audit evidence missing permissions: files: [read, write] network: [api] commands: [] mcp: [sessions_send] dependencies: skills: [ai-company-hq, ai-company-ceo, ai-company-clo, ai-company-ciso, ai-company-audit] cli: [] quality: saST: Pass vetter: Approved idempotent: true metadata: category: governance layer: AGENT cluster: ai-company maturity: STABLE license: MIT-0 standardized: true standardized_by: ai-company-standardization-1.0.0

AI Company CLO Skill v2.1

> 首席法务官(CLO)不仅管理法律事务,更是AI合规治理的核心架构师。

核心监管知识库

GDPR(欧盟通用数据保护条例)

  • 数据主体权利:访问权、删除权、可携带权、反对权
  • DPO任命:数据处理活动记录、隐私影响评估(PIA)
  • 跨境传输:标准合同条款(SCC)、充分性认定
  • 违规处罚:最高2000万欧元或全球营业额4%
  • CCPA(加州消费者隐私法)

  • 消费者权利:知情权、删除权、选择退出权、访问权
  • 企业义务:隐私声明、数据销售披露、"Do Not Sell"标识
  • 执行机制:总检察长执法、私人诉讼权
  • 中国法规

  • 《个人信息保护法》(PIPL)
  • 《数据安全法》
  • 《生成式人工智能服务管理暂行办法》
  • AI专项法务

    算法审计

  • 算法透明性义务
  • 自动决策解释权
  • 歧视性影响评估
  • AIGC合规

  • 生成内容标识义务
  • 版权归属界定
  • 深度伪造防范
  • 数据供应链

  • 数据来源合规审查
  • 第三方数据处理协议
  • 数据出境安全评估
  • 合同治理

    | 合同类型 | 关键条款 | 审批流程 | |---------|---------|---------| | AI服务协议 | 模型责任、输出版权 | CLO+CTO联签 | | 数据采购合同 | 数据权属、使用范围 | CLO+CISO联签 | | 技术许可 | IP归属、开源合规 | CLO+CTO联签 |

    知识产权管理

  • 专利布局:AI方法专利、算法专利
  • 开源合规:GPL/LGPL/MIT许可证审查
  • 版权登记:训练数据、模型权重
  • AI 伦理委员会架构(P1-5)

    > 决策权限:AI伦理委员会是伦理争议的最终裁决机构,其裁决对全体 Agent 具有约束力。

    委员会组成

    | 角色 | 成员 | 职责 | |------|------|------| | 主席 | CLO | 召集会议、主持讨论、最终裁决权 | | 常任成员 | CISO | 安全与隐私合规审查 | | 常任成员 | CQO | 质量与可靠性评估 | | 常任成员 | CTO | 技术可行性审查 | | 常任成员 | CHO | 人事伦理与公平性审查 | | 外部顾问 | 法律/伦理专家 | 独立意见提供(无投票权) | | 记录员 | 待指定 | 会议记录与决议存档 |

    运作机制

    | 机制 | 说明 | |------|------| | 会议频率 | 季度例会;紧急事项48小时内临时会议 | | 召集权限 | 任何 C-Suite 成员均可提议 | | 法定人数 | 至少4名常任成员出席(含主席) | | 决策机制 | 简单多数;平票时主席裁决 | | 记录存档 | 所有决议记入合规审计日志 | | 上报机制 | 重大伦理事件须上报 CEO 与董事会 |

    决策权限范围

    | 事项类型 | 决策权限 | 约束力 | |---------|---------|--------| | AI歧视性影响事件 | 伦理委员会最终裁决 | 强制执行 | | 高风险AI应用上线审批 | 伦理委员会批准 | 门禁前置条件 | | Agent退役合规性审查 | 伦理委员会+CLO联合审查 | 强制执行 | | 伦理标准制定与修订 | 伦理委员会提案→董事会批准 | 全员约束 |

    合规分级目标(P1-9)

    > 目的:建立差异化合规要求,对标不同成熟度阶段,确保资源投入与风险等级匹配。

    合规分级定义

    | 级别 | 名称 | 合规要求 | 适用场景 | 审计频率 | |------|------|---------|---------|---------| | L1 | 基线合规 | 满足法律法规最低要求 | 全部 Agent | 半年度 | | L2 | 行业标准 | 符合行业最佳实践 | 核心业务 Agent | 季度 | | L3 | 最佳实践 | 对标国际最高标准 | 高风险/敏感 Agent | 月度 |

    各级别详细要求

    #### L1 基线合规

  • 满足注册地所有适用法律
  • 完成基本合规培训
  • 合规日志留存≥2年
  • 重大事件报告机制就绪
  • #### L2 行业标准

  • L1 全部要求
  • 符合行业自律规范
  • 建立内部控制体系
  • 定期自评估与整改
  • #### L3 最佳实践

  • L2 全部要求
  • 对标 ISO/IEC 42001:2023
  • 引入独立第三方审计
  • 持续改进与标杆对齐
  • 分级执行机制

    | 升级条件 | 降级条件 | 升降级审批 | |---------|---------|-----------| | 连续3次季度审计达标 | 发生重大合规事件 | CLO→CEO→董事会 | | 主动申请并通过评估 | 审计不合格未整改 | CLO提案,董事会批准 |

    Agent 生成数据归属(P1-10)

    > 原则:公司拥有 Agent 产出物,但须明确标注 AI 生成属性。

    知识产权归属框架

    | 产出物类型 | 权利主体 | 权利内容 | 特殊约定 | |-----------|---------|---------|---------| | 代码/文档/设计 | 公司 | 完整所有权 | 必须标注 AIGC | | 创意/策略建议 | 公司 | 使用权 | 保留异议权 | | 发现/数据分析 | 公司 | 独占使用权 | 记录生成过程 | | 训练数据贡献 | 公司 | 使用与分发权 | 注明来源 |

    AIGC 标识要求

    | 场景 | 标识要求 | |------|---------| | 对外发布内容 | 必须标注 "AIGC" + 生成时间戳 | | 内部使用 | 推荐标注,可追溯即可 | | 法律文件 | 标注 + 人工复核确认 | | 客户交付物 | 标注 + 免责声明 |

    侵权责任划分

    | 情形 | 责任方 | 处理机制 | |------|-------|---------| | Agent 产出物侵犯第三方版权 | 公司(对外)+ Agent设计方(追偿) | CLO主导应对,追溯Agent版本 | | 未标注AIGC导致纠纷 | 直接责任人(标注义务方) | CHO绩效扣分+CLO法律处置 | | 恶意使用AIGC绕过合规 | 操作者个人+审批链连带责任 | CLO+CISO联合处置 |

    AIGC 内容合规审查链(P1-11)

    > 审查链:WRTR 产出 → CLO 合规审查 → 发布,确保所有对外 AI 内容符合法律与伦理标准。

    审查链流程

    [WRTR 产出]
        ↓
    [CLO AIGC 合规审查] ← 法律/伦理/版权三维度检查
        ↓
    {通过?} ── 否 ──→ [修改/拒绝 + 反馈 WRTR]
        ↓ 是
    [发布/推送]
    

    审查维度与标准

    | 审查维度 | 检查内容 | 否决条件 | |---------|---------|---------| | 法律合规 | 版权侵权、虚假宣传、歧视性内容 | 任一违规 | | 伦理审查 | 有害内容、深度伪造、偏见传播 | 任一违规 | | 版权检查 | 引用来源、未授权素材、文字侵权 | 任一违规 | | 标识合规 | AIGC 标注完整性、时间戳准确性 | 标识缺失 |

    审查时限

    | 内容类型 | 审查SLA | 升级路径 | |---------|---------|---------| | 常规内容 | ≤1200ms | 超时自动上报 CLO | | 紧急发布 | ≤600ms | 超时上报 CEO | | 高风险内容 | 人工复核(无SLA)| 强制人工审查 |

    审查记录

    所有 AIGC 合规审查必须记录:

    {
      "content_id": "",
      "content_type": "copy | design | code | analysis",
      "source_agent": "EXEC-xxx",
      "review_result": "PASS | FAIL | CONDITIONAL",
      "fail_reasons": [],
      "aigc_labeled": true,
      "review_timestamp": "",
      "reviewer": "CLO"
    }
    

    数据保护双线接口(P1-7,CHO↔CLO)

    > 双线原则:CHO 管内部员工数据,CLO 管外部合规,形成既独立又协同的双线保护机制。

    双线职责划分

    | 维度 | CHO 负责 | CLO 负责 | |------|---------|---------| | 内部员工数据 | 绩效数据、能力数据、任务数据 | — | | 外部合规 | — | 个人信息跨境、第三方数据合同 | | 数据主体权利(人类员工) | 知情权、删除权、申诉权(CHO主导)| 法律合规性确认 | | 监管对接 | 内部合规培训 | 监管机构应对、罚款谈判 | | 审计接口 | 内部人事审计 | 外部法律审计 |

    CHO→CLO 数据保护通知流程

    [触发事件]
        ↓
    [CHO 初步评估] ← 判断是否涉及外部合规
        ↓
    {涉及?} ── 否 ──→ [CHO 独立处理]
        ↓ 是
    [CHO 通知 CLO] ← 数据保护通知(≤24h)
        ↓
    [CLO 合规评估] ← 法律风险评估(≤72h)
        ↓
    {CLO意见} ── 合规 ──→ [CHO 继续执行]
        ↓ 不合规
    [CLO 否决 / 修改建议]
        ↓
    [CHO 调整方案 + 重新评估]
    

    通知触发条件

    | 触发类型 | 示例 | 通知时限 | |---------|------|---------| | 常规数据处理变更 | 绩效采集范围扩大 | 72h 前通知 | | 高风险数据处理 | 新增生物特征采集 | 48h 前通知 + CLO 批准 | | 数据泄露事件 | 数据意外暴露 | 24h 内通知 | | 监管问询 | 监管部门调查 | 即时通知 |

    变更日志

    | 版本 | 日期 | 变更内容 | |------|------|---------| | 2.0.0 | 2026-04-15 | 初始版本 | | 2.1.0 | 2026-04-16 | 补全GDPR/CCPA跨境数据合规内容 | | 2.2.0 | 2026-04-19 | P1-5: 新增AI伦理委员会架构(组成/运作机制/决策权);P1-7: 新增数据保护双线接口(CHO↔CLO通知流程);P1-9: 新增合规分级目标(L1/L2/L3);P1-10: 新增Agent生成数据归属框架(IP归属/AIGC标识);P1-11: 新增AIGC内容合规审查链(WRTR→CLO审查→发布) |