Scan to join WeChat groupREADME
🚀 美国法规MCP服务器
在人工智能时代助力您应对美国合规挑战
您可以直接通过Claude、Cursor或任何支持MCP的客户端查询**《健康保险流通与责任法案》(HIPAA)、《加州消费者隐私法案》(CCPA)、《萨班斯-奥克斯利法案》(SOX)、《格雷姆-利奇-比利雷法案》(GLBA)、《家庭教育权利和隐私法案》(FERPA)、《儿童在线隐私保护法案》(COPPA)、《美国食品药品监督管理局(FDA)21 CFR第11部分》、《FDA 21 CFR 820(质量体系法规/QMSR)》、《FDA上市前和上市后网络安全指南》、《联邦食品、药品和化妆品法案》第524B节(《PATCH法案》)、《关键基础设施网络事件报告法案》(CIRCIA)、《美国环境保护署(EPA)风险管理计划》(RMP)、《联邦金融机构检查委员会(FFIEC)指南》、《纽约州金融服务部(NYDFS)500号法规》以及4项州隐私法(弗吉尼亚州《消费者数据保护法案》(CDPA)、科罗拉多州《隐私法案》(CPA)、康涅狄格州《数据隐私法案》(CTDPA)、犹他州《消费者隐私法案》(UCPA))**。
如果您正在为美国市场开发医疗技术、消费应用程序或金融服务,那么这个合规参考工具将非常适合您。
本项目由 Ansvar Systems 开发 —— 瑞典斯德哥尔摩
🚀 快速开始
远程使用(无需安装)
直接连接到托管版本 —— 零依赖,无需安装任何东西。
端点: https://us-regulations-mcp.vercel.app/mcp
| 客户端 | 连接方式 |
|--------|---------------|
| Claude.ai | 设置 > 连接器 > 添加集成 > 粘贴URL |
| Claude Code | claude mcp add us-regulations --transport http https://us-regulations-mcp.vercel.app/mcp |
| Claude桌面版 | 添加到配置文件(见下文) |
| GitHub Copilot | 添加到VS Code设置(见下文) |
Claude桌面版 —— 添加到 claude_desktop_config.json:
{
"mcpServers": {
"us-regulations": {
"type": "url",
"url": "https://us-regulations-mcp.vercel.app/mcp"
}
}
}
GitHub Copilot —— 添加到VS Code settings.json:
{
"github.copilot.chat.mcp.servers": {
"us-regulations": {
"type": "http",
"url": "https://us-regulations-mcp.vercel.app/mcp"
}
}
}
本地使用(npm)
npx @ansvar/us-regulations-mcp
Claude桌面版 —— 添加到 claude_desktop_config.json:
macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
Windows: %APPDATA%\Claude\claude_desktop_config.json
{
"mcpServers": {
"us-regulations": {
"command": "npx",
"args": ["-y", "@ansvar/us-regulations-mcp"]
}
}
}
Cursor / VS Code:
{
"mcp.servers": {
"us-regulations": {
"command": "npx",
"args": ["-y", "@ansvar/us-regulations-mcp"]
}
}
}
✨ 主要特性
- 法规查询便捷:可直接通过Claude、Cursor或任何MCP兼容客户端查询多种美国联邦和州法规。
- 数据来源可靠:所有法规文本均从官方来源获取,如eCFR.gov、California LegInfo等。
- 智能上下文管理:搜索返回带高亮匹配的32令牌片段,支持跨引用,方便导航。
- 安全合规保障:遵循OpenSSF最佳实践,进行自动化安全扫描、每日更新监控、安全发布和安全指标评估。
- 提供多种工具:服务器提供9种MCP工具,可进行全文搜索、特定法规章节检索、法规比较等操作。
📦 安装指南
远程使用
直接连接到托管版本,无需安装任何依赖,端点为 https://us-regulations-mcp.vercel.app/mcp ,不同客户端有不同的连接方式,具体见上文“快速开始 - 远程使用”部分。
本地使用
使用npm进行安装,命令为 npx @ansvar/us-regulations-mcp ,并根据不同客户端(Claude桌面版、Cursor / VS Code)进行相应的配置,具体配置内容见上文“快速开始 - 本地使用”部分。
💻 使用示例
基础用法
连接到服务器后,您可以自然地提出问题,例如:
- 医疗保健与HIPAA相关
- “HIPAA安全规则对访问控制有哪些要求?”
- “我的远程医疗应用程序是否需要遵守HIPAA?”
- “HIPAA对电子受保护健康信息(ePHI)访问需要哪些审计日志?”
- “我需要多长时间报告HIPAA违规事件?”
- 隐私与CCPA相关
- “比较HIPAA和CCPA的违规通知时间线”
- “CCPA为数据删除提供了哪些消费者权利?”
- “如果我有10,000名加州客户,是否需要遵守CCPA?”
- “根据CCPA,什么是个人信息的‘销售’?”
- 金融与SOX相关
- “SOX第404节需要哪些IT控制措施?”
- “哪些NIST 800 - 53控制措施满足SOX审计要求?”
- “根据SOX,我必须保留财务记录多长时间?”
- “SOX内部控制评估有哪些要求?”
高级用法
您可以使用服务器提供的9种MCP工具进行更复杂的操作,例如:
- 使用
compare_requirements工具比较多个法规中的特定主题要求。 - 使用
map_controls工具将NIST控制措施映射到法规章节。 - 使用
check_applicability工具确定哪些法规适用于您所在的行业。
详细的工具参考请见 docs/tools.md。
📚 详细文档
包含的法规
v1.2版本法规(共20项,约192个章节)
医疗保健与隐私:
- HIPAA - 《健康保险流通与责任法案》
- 隐私规则(45 CFR Part 164 Subpart E)
- 安全规则(45 CFR 164 Subpart C)
- 违规通知规则(45 CFR 164 Subpart D)
- CCPA/CPRA - 《加州消费者隐私法案》/《隐私权利法案》
- 《加州民法典》§1798.100 - 1798.199
- 消费者权利和企业义务
金融服务:
- SOX - 《萨班斯 - 奥克斯利法案》
- 关键法规章节(第101、201、301、302、404、409、802、806、906节)
- 美国证券交易委员会(SEC)实施法规(17 CFR 229.308、240.13a - 14、240.13a - 15)
- 公众公司会计监督委员会(PCAOB)审计标准(AS 2201)
- IT通用控制指南
- GLBA - 《格雷姆 - 利奇 - 比利雷法案》安全规则(v1.1版本新增)
- 16 CFR Part 314
- 金融机构数据安全要求
教育:
- FERPA - 《家庭教育权利和隐私法案》(v1.1版本新增)
- 34 CFR Part 99
- 学生教育记录隐私
儿童隐私:
- COPPA - 《儿童在线隐私保护法案》(v1.1版本新增)
- 16 CFR Part 312
- 收集13岁以下儿童数据的要求
制药与医疗设备:
- FDA 21 CFR Part 11 - 电子记录和签名(v1.1版本新增)
- 受FDA监管行业的电子记录保存和数字签名
- FDA上市前网络安全指南 - 医疗设备网络安全(新增)
- 安全产品开发框架(SPDF)、威胁建模、软件物料清单(SBOM)要求
- 涵盖网络设备定义(第524B节)、OTS软件和上市前提交内容
- FDA上市后网络安全指南 - 上市后管理(新增)
- 受控与不受控风险评估、网络安全漏洞披露(CVD)、信息共享与分析组织(ISAO)参与、SBOM维护
- 漏洞监控、补救时间线和FDA报告要求
- 《联邦食品、药品和化妆品法案》第524B节(《PATCH法案2022》) - 法定网络安全要求(新增)
- 网络设备定义、强制性SBOM、上市前网络安全计划
- FDA对不符合要求的提交拒绝接受的权力(2023年3月生效)
- FDA 21 CFR Part 820(质量体系法规/QMSR) - 质量体系法规(新增)
- 设计控制(820.30)、纠正和预防措施(CAPA)(820.90/820.100)、软件验证(820.70(i))
- QMSR修正案(2026年2月2日生效)与ISO 13485:2016保持一致
关键基础设施与事件报告:
- CIRCIA - 《2022年关键基础设施网络事件报告法案》(新增)
- 72小时网络事件报告和24小时赎金支付报告给美国网络安全和基础设施安全局(CISA)
- 适用于16个关键基础设施领域的实体(医疗保健、金融、IT等)
- 最终实施规则预计2026年3月出台
环境与化学安全:
- EPA RMP - 《风险管理计划规则》(v1.1版本新增)
- 40 CFR Part 68
- 化学设施事故预防
银行与金融机构:
- FFIEC - 《IT检查手册》(v1.1版本新增)
- 联邦金融机构检查委员会指南
- 银行业信息安全和网络安全
州金融服务:
- NYDFS 500 - 《纽约州金融服务部网络安全法规》(v1.1版本新增)
- 23 NYCRR 500
- 纽约州金融服务机构的网络安全要求
州隐私法:
- 弗吉尼亚州CDPA - 《消费者数据保护法案》(v1.2版本新增)
- 《弗吉尼亚州法典》§59.1 - 575至59.1 - 585
- 消费者隐私权利和企业义务
- 科罗拉多州CPA - 《科罗拉多州隐私法案》(v1.2版本新增)
- 《科罗拉多州修订法规》§6 - 1 - 1301至6 - 1 - 1313
- 通用退出机制要求
- 康涅狄格州CTDPA - 《康涅狄格州数据隐私法案》(v1.2版本新增)
- 《康涅狄格州普通法规》§42 - 515至42 - 524
- 数据保护评估要求
- 犹他州UCPA - 《犹他州消费者隐私法案》(v1.2版本新增)
- 《犹他州法典》§13 - 61 - 101至13 - 61 - 404
- 对企业友好的隐私方法
支付卡行业:
- PCI DSS - 《支付卡行业数据安全标准》(交叉引用)
- 有关PCI DSS v4.0要求,请参阅 security-controls-mcp
- 此MCP提供PCI安全标准委员会(PCI SSC)的官方要求和测试程序
控制框架映射
- NIST 800 - 53 - 安全和隐私控制(第5版)
- NIST CSF 2.0 - 网络安全框架
- ISO 27001 - 信息安全管理(计划中)
路线图
正在开发的其他法规:
- 州违规通知法(50个州) - 美国所有州的违规报告要求
- 《联邦信息安全管理法案》(FISMA) - 联邦机构网络安全
- 《反垃圾邮件法案》(CAN - SPAM) - 电子邮件营销法规 - 商业电子邮件要求
- 州隐私法 - 扩展到其他州(蒙大拿州、爱荷华州、印第安纳州、田纳西州、俄勒冈州)
详细覆盖范围请见 docs/coverage.md。
🔧 技术细节
工作原理
原始文本来源(无大语言模型处理):
- 所有法规文本均从官方来源(eCFR.gov、California LegInfo)获取。
- 从SQLite FTS5数据库行中返回的片段保持不变。
- 零大语言模型总结或释义 —— 数据库包含法规文本,而非人工智能解释。
- 注意:HTML到文本的转换会规范空格/格式,但保留内容。
智能上下文管理:
- 搜索返回带高亮匹配的32令牌片段(适合上下文)。
- 章节检索会提醒令牌使用情况(某些章节可能很大)。
- 跨引用有助于在不一次性加载所有内容的情况下进行导航。
技术架构:
eCFR/LegInfo HTML → 解析 → SQLite → FTS5 snippet() → MCP响应
↑ ↑
仅格式化 原始数据库查询
与regulations.gov对比
| regulations.gov / eCFR | 本MCP服务器 |
|------------------------|-----------------|
| 通过CFR引用搜索 | 通过普通英语搜索:“违规通知时间线” |
| 浏览分散的机构网站 | 获取带上下文的准确章节 |
| 手动跨联邦/州进行交叉引用 | compare_requirements 工具可立即完成 |
| “哪些法规适用于我?” → 数周的研究 | check_applicability 工具 → 数秒内得到答案 |
| 从有格式问题的PDF中复制粘贴 | 章节 + 定义 + 相关要求 |
| 检查eCFR、regulations.gov、50个州的网站 | 跨所有来源的统一搜索 |
| 大多数来源没有API | MCP协议 → 人工智能原生 |
regulations.gov示例:下载HIPAA PDF → Ctrl + F “breach” → 阅读§164.410 → 谷歌搜索 “什么是‘可报告的违规行为’?” → 交叉引用CCPA → 检查加州网站 → 对SOX重复上述步骤。
本MCP示例:“比较HIPAA、CCPA和SOX的违规通知要求” → 完成。
📄 许可证
本项目采用Apache License 2.0许可协议。详情请见 LICENSE。
⚠️ 重要提示
🚨 本工具不提供法律建议 🚨 本工具提供法规文本用于研究和教育目的。然而:
- 控制映射(NIST 800 - 53、NIST CSF)是解释性指导,并非美国卫生与公众服务部(HHS)、NIST或相关机构的官方交叉引用。
- 适用性规则是一般性概括,并非法律判定。
- 交叉引用是研究辅助工具,并非合规要求。
始终要对照官方来源进行验证,并咨询合格的法律顾问以做出合规决策。
💡 使用建议
- 数据来源透明度:本工具的数据来源分为三个层级,不同层级的数据来源有不同的获取方式和验证要求,用户应检查官方来源以获取更新。HIPAA - to - NIST和CCPA - to - NIST的映射是解释性指导,并非官方机构的交叉引用,如需权威映射,请参考NIST SP 800 - 66和官方机构指南。
- 令牌使用:某些法规章节可能很大,MCP服务器的搜索工具返回智能片段(适合上下文),获取章节工具返回全文(可能消耗大量令牌),建议先使用搜索功能,再按需获取特定章节。Claude桌面版有200k令牌的上下文窗口,在检索多个大章节时要监控令牌使用情况。
- MVP状态:本项目是一个功能完备的最小可行产品(MVP),具有三个基础法规(HIPAA、CCPA、SOX),数据库架构和所有9个MCP工具都已完全功能化并经过全面测试(100%测试覆盖率)。数据从官方API来源(eCFR.gov、California LegInfo)的自动摄入已可运行,更多法规正在添加到数据库中。即将推出更多联邦法规(GLBA、FERPA、FISMA)和州违规通知法。
- NIST标准:本工具不包含受版权保护的NIST标准,控制映射仅引用NIST 800 - 53控制ID(如 “AC - 1”、“SI - 4”)。虽然NIST标准可从NIST免费获取,但本工具有助于将法规映射到控制措施,但不能替代阅读标准本身。