breakpilot-compliance

Benjamin_Boenisch/breakpilot-compliance

Fork 0

Commit Graph

Author	SHA1	Message	Date
Benjamin Admin	327e6a8984	fix(b19): UNK-Noise drastisch reduzieren BMW4 zeigte 1037 UNK-Findings — die Mail wurde damit unleserlich. Drei pragmatische Anpassungen: 1. UNK severity: LOW → INFO. Mail-Renderer zeigt jetzt nur HIGH/MEDIUM/LOW; INFO bleibt im API-Payload + CSV. 2. UNK wird NICHT emittiert wenn Vendor=First-Party-Owner (z.B. "BMW AG" auf bmw.de). Heuristik _is_first_party_owner vergleicht Vendor-Name gegen Domain-SLD. 3. auto_learning threshold ≥3 Sites → ≥1 Site. Second-time-Audit einer Site hat ihre eigenen Cookies bereits gelernt → kein UNK mehr. Single-site Auto-Learning ist absichtlich konservativ (Annotation, kein Truth). Effekt: erwartete Reduktion bei BMW von 1037 UNK → ~50-100 (nur unbekannte 3rd-party-Vendoren). Mail wird lesbar, MAE- Findings (Salesforce-as-essential) bleiben prominent sichtbar. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-06-08 08:20:39 +02:00
Benjamin Admin	c908fcd5eb	feat(b19): Cookie-Coherence — 3-Layer-Lookup + Vendor-Karten + CSV Adressiert das BMW-Beispiel (740 Cookies, Salesforce als "essential" mit 1-Jahres-Lifetime, Pseudo-Zwecke wie "Siehe dazugehörige Datenverarbeitung"). User-Konzept "Regulation als Code". Step 1 — cookie_library_lookup.py (3 Layer): 1. Override = cookie_knowledge_db.py + extended (74) für Schrems-II / EUGH / EU-Alternative — BreakPilot-juristische-IP. 2. Truth-Base = compliance.cookie_library (2287 aus Open Cookie Database, CC0). actual_category als Wahrheit. 3. Auto-Learning = cookie_behavior_audits — Cross-Site-Konsens wenn ≥3 Sites denselben Cookie melden. Match: exact > prefix (mit Separator-Check) > wildcard. Kurze Library-Namen ("c", "ID") brauchen exact-match — verhindert False-Positive auf "completely_unknown". Trailing-Underscore in OCD ("guest_uuid_essential_") wird als implicit-wildcard interpretiert. Step 2 — cookie_coherence_check.py (B19, 6 Finding-Typen): - MARKETING_AS_ESSENTIAL (HIGH): KB sagt actual=marketing, Site deklariert essential/erforderlich → Einwilligung wird umgangen - LIFETIME_TOO_LONG_FOR_ESSENTIAL (MED): essential + >90d - PSEUDO_PURPOSE (LOW): "Siehe dazugehörige Datenverarbeitung" / <4 Wörter (suppressed wenn Vendor-Purpose substantial ist) - MISSING_COUNTRY (LOW): vendor_country leer trotz KB-Hit - UNKNOWN_VENDOR (LOW): nicht in KB → Auto-Learning-Kandidat - DUPLICATE_VENDOR (MED): selber Vendor in N Kategorien = Stack-Aufspaltung um Marketing unter "essential" zu schmuggeln Jedes Finding mit recommended_action ("Cookie X aus 'erforderlich' raus und in 'Marketing' setzen"). Step 3 — cookie_observation_logger.py: Loggt nach jedem Audit alle (cookie, site, declared_purpose) in compliance.cookie_behavior_audits → Basis für Cross-Site-Konsens in Layer 3. Step 4 — cookie_csv_exporter.py: cookies-full-{check_id}.csv mit 21 Spalten (Name, Vendor decl/KB, Cat decl/KB, Lifetime decl/KB, Country, Opt-Out, 8x FIND_* flags, recommended_action). UTF-8 BOM für Excel. ZIP-Attachment: erweitert audit_walk_zip_builder um extra_files= parameter; phase_e ruft mit cookies-full-...csv auf. Step 5 — mail_render_v2/_vendor_cards.py: Statt 740 Cookie-Rows: Aggregation pro Vendor mit Cookie-Count + Issue-Count + 1-2 Beispiel-Cookies + Issue-Type-Tags. Top 30 Vendoren in der Mail, Rest nur in CSV. Sortiert nach Issue-Score. Step 6 — render_info_box_rechtsrahmen(): Generic Header-Info-Box mit Art. 13 DSGVO + § 25 TDDDG + Art. 5 + § 5 UWG + § 30/130 OWiG. Immer angezeigt, kein explicit- finding-mapping (User-mündigkeit). Orchestrator + _compose: run_b19 + render_vendor_cards + render_info_box_rechtsrahmen ins V2-Layout. Tests: 28/28 grün (15 lookup + 13 coherence). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-06-07 23:48:04 +02:00

Author

SHA1

Message

Date

Benjamin Admin

327e6a8984

fix(b19): UNK-Noise drastisch reduzieren

BMW4 zeigte 1037 UNK-Findings — die Mail wurde damit unleserlich.
Drei pragmatische Anpassungen:

1. UNK severity: LOW → INFO. Mail-Renderer zeigt jetzt nur
   HIGH/MEDIUM/LOW; INFO bleibt im API-Payload + CSV.
2. UNK wird NICHT emittiert wenn Vendor=First-Party-Owner
   (z.B. "BMW AG" auf bmw.de). Heuristik _is_first_party_owner
   vergleicht Vendor-Name gegen Domain-SLD.
3. auto_learning threshold ≥3 Sites → ≥1 Site. Second-time-Audit
   einer Site hat ihre eigenen Cookies bereits gelernt → kein
   UNK mehr. Single-site Auto-Learning ist absichtlich
   konservativ (Annotation, kein Truth).

Effekt: erwartete Reduktion bei BMW von 1037 UNK → ~50-100
(nur unbekannte 3rd-party-Vendoren). Mail wird lesbar, MAE-
Findings (Salesforce-as-essential) bleiben prominent sichtbar.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-06-08 08:20:39 +02:00

Benjamin Admin

c908fcd5eb

feat(b19): Cookie-Coherence — 3-Layer-Lookup + Vendor-Karten + CSV

Adressiert das BMW-Beispiel (740 Cookies, Salesforce als "essential"
mit 1-Jahres-Lifetime, Pseudo-Zwecke wie "Siehe dazugehörige
Datenverarbeitung"). User-Konzept "Regulation als Code".

Step 1 — cookie_library_lookup.py (3 Layer):
  1. Override = cookie_knowledge_db.py + extended (74) für
     Schrems-II / EUGH / EU-Alternative — BreakPilot-juristische-IP.
  2. Truth-Base = compliance.cookie_library (2287 aus Open Cookie
     Database, CC0). actual_category als Wahrheit.
  3. Auto-Learning = cookie_behavior_audits — Cross-Site-Konsens
     wenn ≥3 Sites denselben Cookie melden.

  Match: exact > prefix (mit Separator-Check) > wildcard. Kurze
  Library-Namen ("c", "ID") brauchen exact-match — verhindert
  False-Positive auf "completely_unknown". Trailing-Underscore
  in OCD ("guest_uuid_essential_") wird als implicit-wildcard
  interpretiert.

Step 2 — cookie_coherence_check.py (B19, 6 Finding-Typen):
  - MARKETING_AS_ESSENTIAL (HIGH): KB sagt actual=marketing, Site
    deklariert essential/erforderlich → Einwilligung wird umgangen
  - LIFETIME_TOO_LONG_FOR_ESSENTIAL (MED): essential + >90d
  - PSEUDO_PURPOSE (LOW): "Siehe dazugehörige Datenverarbeitung"
    / <4 Wörter (suppressed wenn Vendor-Purpose substantial ist)
  - MISSING_COUNTRY (LOW): vendor_country leer trotz KB-Hit
  - UNKNOWN_VENDOR (LOW): nicht in KB → Auto-Learning-Kandidat
  - DUPLICATE_VENDOR (MED): selber Vendor in N Kategorien =
    Stack-Aufspaltung um Marketing unter "essential" zu schmuggeln

  Jedes Finding mit recommended_action ("Cookie X aus 'erforderlich'
  raus und in 'Marketing' setzen").

Step 3 — cookie_observation_logger.py:
  Loggt nach jedem Audit alle (cookie, site, declared_purpose) in
  compliance.cookie_behavior_audits → Basis für Cross-Site-Konsens
  in Layer 3.

Step 4 — cookie_csv_exporter.py:
  cookies-full-{check_id}.csv mit 21 Spalten (Name, Vendor decl/KB,
  Cat decl/KB, Lifetime decl/KB, Country, Opt-Out, 8x FIND_* flags,
  recommended_action). UTF-8 BOM für Excel.
  ZIP-Attachment: erweitert audit_walk_zip_builder um extra_files=
  parameter; phase_e ruft mit cookies-full-...csv auf.

Step 5 — mail_render_v2/_vendor_cards.py:
  Statt 740 Cookie-Rows: Aggregation pro Vendor mit Cookie-Count +
  Issue-Count + 1-2 Beispiel-Cookies + Issue-Type-Tags. Top 30
  Vendoren in der Mail, Rest nur in CSV. Sortiert nach Issue-Score.

Step 6 — render_info_box_rechtsrahmen():
  Generic Header-Info-Box mit Art. 13 DSGVO + § 25 TDDDG + Art. 5
  + § 5 UWG + § 30/130 OWiG. Immer angezeigt, kein explicit-
  finding-mapping (User-mündigkeit).

Orchestrator + _compose: run_b19 + render_vendor_cards +
  render_info_box_rechtsrahmen ins V2-Layout.

Tests: 28/28 grün (15 lookup + 13 coherence).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-06-07 23:48:04 +02:00

2 Commits