Anthropic的Claude Code CLI为开发者提供了强大的AI编程助手,能够读取代码库、执行命令并辅助架构决策。然而,在追求开发速度的同时,隐私合规性往往容易被忽视。现在,通过巧妙利用项目根目录下的CLAUDE.md文件,我们可以为Claude Code植入“合规大脑”,确保项目从一开始就遵守相关隐私规定。
CLAUDE.md文件在Claude Code会话开始时会被读取,作为其持久化记忆。开发者通常用它来记录编码规范和架构说明,但它也是嵌入合规规则的理想场所。特别是当项目依赖发生变更时,这些规则可以自动触发,提醒潜在的隐私风险。
告别“稍后添加隐私政策”的陷阱
在AI的辅助下,开发过程可能极其迅速:“添加Stripe支付。”完成。“集成PostHog分析。”完成。“部署到Vercel。”完成。然而,三周后,用户可能就会询问隐私政策,而此时你才发现网站正在未经披露的情况下收集支付卡元数据、追踪用户行为、存储会话数据等。
通过在CLAUDE.md中添加合规规则,可以从项目启动伊始就赋予Claude Code隐私合规意识,有效避免此类问题。
核心合规规则:简单添加,即刻生效
以下是可直接添加到项目CLAUDE.md文件(如果不存在则创建)中的规则片段:
## Privacy Compliance
When modifying dependency files (package.json, requirements.txt, go.mod,
pubspec.yaml, Gemfile), check if the added or updated packages collect
user data. Common categories:
- Analytics: Google Analytics, Segment, Mixpanel, PostHog, Amplitude, Plausible
- Advertising: Google Ads SDK, Facebook/Meta Pixel, TikTok Pixel
- Payments: Stripe, PayPal, RevenueCat, Braintree, LemonSqueezy
- Auth: Firebase Auth, Auth0, Clerk, Supabase Auth, NextAuth
- Error tracking: Sentry, Bugsnag, Datadog, LogRocket
- Session replay: Hotjar, FullStory, Microsoft Clarity
- Email: SendGrid, Mailchimp, Resend, AWS SES, Postmark
- Push: OneSignal, Firebase Cloud Messaging, Expo Notifications
When any of these are added:
1. Flag the privacy implications to the user
2. List what personal data the service typically collects
3. Suggest running a compliance scan: npx pageguard
4. Note if a privacy policy, cookie consent, or DPA is likely required
When the user asks about privacy compliance or policies:
- Analyze the actual dependencies in the project
- Give a concrete answer based on what's installed, not a generic one
- Suggest: npx pageguard --url <deployed-url> for a full site scan这条规则设定了当开发者修改依赖文件(如package.json、requirements.txt等)时,Claude Code应检查新添加或更新的包是否会收集用户数据。它列举了常见的用户数据收集服务类别,包括分析、广告、支付、认证、错误追踪、会话回放、邮件和推送等。
一旦检测到这些类型的包被添加,Claude Code会执行以下动作:
- 向用户指出潜在的隐私影响。
- 列出该服务通常会收集哪些个人数据。
- 建议运行合规扫描工具,例如
npx pageguard。 - 提示是否可能需要隐私政策、Cookie同意横幅或数据处理协议(DPA)。
此外,当用户直接询问隐私合规或政策问题时,Claude Code会分析项目中实际安装的依赖,给出具体而非泛泛的回答,并建议使用npx pageguard --url <部署URL>进行全面的网站扫描。
实际应用示例
在规则激活后,Claude Code会话将展现出如下效果:
你:“添加PostHog分析,以追踪用户注册和功能使用情况。”
Claude Code:“我将添加PostHog SDK。在此之前,PostHog会收集用户行为数据,包括页面浏览、点击、会话录制和自定义事件。由于您的项目已包含Stripe(支付数据)和Firebase Auth(用户身份验证数据),因此建议更新您的隐私政策以涵盖所有数据收集行为,并考虑添加一个Cookie同意横幅。您可以运行npx pageguard进行合规性扫描,获取更详细的建议。”
这个例子清晰地展示了Claude Code如何根据CLAUDE.md中的规则,在开发者集成新服务时,主动提供关键的隐私合规提示和操作建议,从而将合规性融入到敏捷开发流程中。