2.4 数据安全体系

| 文件名 | 标准号 | 高频查询点 | |--------|--------|-----------| | GBT-37988-2019.md | GB/T 37988-2019 | DSMM 五级成熟度、4 大能力维度、30 个过程域、认证流程 | | GBT-45577-2025.md | GB/T 45577-2025 | 风险评估流程、威胁/脆弱性识别、风险等级划分、报告要求 | | GBT-25069-2022.md | GB/T 25069-2022 | 信息安全标准术语定义 |

2.5 特定场景

| 文件名 | 标准号 | 高频查询点 | |--------|--------|-----------| | GBT-37973-2019.md | GB/T 37973-2019 | 大数据平台安全、数据生命周期各环节控制 | | GBT-37932-2019.md | GB/T 37932-2019 | 数据交易各方义务、禁止交易类型、存证要求 | | GBT-39477-2020.md | GB/T 39477-2020 | 政务数据共享安全、无条件/有条件/不予共享分类 | | GBT-43739-2024.md | GB/T 43739-2024 | 应用商店 App 合规审核、上架/持续监督要求 | | GBT-41773-2022.md | GB/T 41773-2022 | 步态识别数据安全（采集告知/加密/销毁） | | GBT-41806-2022.md | GB/T 41806-2022 | 基因数据安全（境内存储/出境审查/家族隐私） | | GB-46864-2025.md | GB 46864-2025 | ⚠️ 强制标准：电子产品信息清除，2027-01-01 强制实施 |

2.6 AI 数据安全

| 文件名 | 标准号 | 高频查询点 | |--------|--------|-----------| | GBT-45652-2025.md | GB/T 45652-2025 | 训练数据来源合规、版权/个人信息过滤、数据记忆检测 | | GBT-45654-2025.md | GB/T 45654-2025 | AI 服务内容安全、AI 身份透明、对话数据保护 | | GBT-45674-2025.md | GB/T 45674-2025 | 数据标注安全、标注平台技术要求、外包安全管理 |

2.7 国际法规

| 文件名 | 法规编号 | 高频查询点 | |--------|---------|-----------| | GDPR-EU-2016-679.md | EU 2016/679 | 六项合法基础、八项权利、72h 通报、SCC 跨境、DPIA、罚款双档、与 PIPL 对比 |

三、内置知识速查

以下内容已从各文件提炼，常见场景可直接使用，无需回头读文件。仅在需要完整条款原文或边缘情形时再读对应文件。

3.1 数据分级四层对照

| 企业内部 | GB/T 43697 | 典型控制要求 | |---------|-----------|------------| | L4 高度敏感 | 核心数据 | 全程加密 + 严格访问控制 + 原则禁止外传 | | L3 较敏感 | 重要数据 | 加密存储 + 审批访问 + 限制流通 | | L2 低敏感 | 一般数据（内部）| 仅内部流通 + 认证访问 | | L1 公开 | 一般数据（公开）| 可对外发布 + 无特殊限制 |

就高原则：多属性数据取最高级别；不同级别数据同时处理且难以分别保护时，按最高级别执行。

3.2 常见字段分级速查（含易错点）

| 数据字段 | 级别 | 易错说明 | |----------|------|---------| | 个人电话号码 | L4 | 高于直觉判断，属于个人联系方式 | | 电子邮箱地址 | L4 | 个人邮箱为 L4；通用企业邮箱视上下文 | | 第三方账号（微信号/Apple ID）| L4 | — | | 身份证号码 | L4 | 数据级别 L4，但单一身份证号不属于敏感个人信息 | | 身份证照片/影印件 | L4 | 属于敏感个人信息（其他敏感类别） | | 生物特征（人脸/指纹/声纹/虹膜/步态/基因）| L4 | 属于敏感个人信息（生物识别类） | | 银行卡号 + 支付密码 | L4 | 属于敏感个人信息（金融账户类） | | 精准位置（经纬度/中文地址）| L4 | 单次不构成行踪轨迹；连续多次+时间戳组合后属于行踪轨迹敏感信息 | | 内部系统账号密码 / API Key / 数据库密码 | L4 | 系统安全数据 | | 核心产品代码/算法/知识产权 | L4 | 研发管理核心数据 | | 战略计划/融资计划/股权激励 | L4 | 经营管理核心数据 | | 员工薪资/绩效/股权 | L4 | 人力资源核心数据 | | 风控规则/推荐模型/业务策略 | L4 | 运营核心数据 | | 真实姓名（公开或非公开显示）| L3 | 公开显示仍是 L3，非 L2 | | UID / IP 地址（非公开）| L3 | — | | 城市级位置信息/省 | L3 | — | | 设备 MAC 地址/IMEI/ICCID | L3 | — | | 用户行为日志/浏览记录/搜索记录 | L3 | 非公开时为 L3 | | 通讯录/好友列表 | L3 | — | | 公司财务报表（非公开披露）| L3 | — | | 账户昵称/头像（公开显示）| L2 | 注意与真实姓名区分 | | 设备品牌型号/操作系统 | L2 | — | | 公开发布的博文/视频/评论 | L2 | — | | 公司官网信息/已公开披露专利 | L1 | — | | 组织机构代码/营业执照号 | L1 | — |

3.3 敏感个人信息 8 类 + 特殊处理要求

| 类别 | 典型字段 | 关键特殊要求 | |------|---------|------------| | 生物识别 | 人脸、指纹、声纹、虹膜、基因、步态 | ①须提供非生物识别替代方式，不得设为默认 ②目的完成后删除原始图像/视频，仅保留特征摘要 ③无感收集须书面同意 | | 宗教信仰 | 宗教、宗教组织、宗教习俗 | 禁止用于构建用户画像 | | 特定身份 | 残障人士身份、不适宜公开的职业身份 | 禁止用于构建用户画像和个性化推荐 | | 医疗健康 | 病症、就诊记录、家族病史、生育信息 | 须建立字段级访问控制审批机制；研究用途须先去标识化 | | 金融账户 | 银行/证券/保险账号及密码 | ①加密收集 ②不得留存非本机构鉴别信息 ③交易完成后及时删除磁道数据/卡验证码/支付密码 | | 行踪轨迹 | 连续精准位置轨迹、车辆行驶轨迹 | ①仅在功能使用时调用，最小频率和范围 ②不得标注国家规定的敏感位置区域 | | 其他敏感 | 身份证照片、征信信息、犯罪记录、婚史（未公开）| 按敏感个人信息通用要求处理 | | 不满14周岁未成年人 | 未成年人各类个人信息 | ①须验证年龄 ②验证为未成年人后宜验证监护人身份 |

汇聚规则（易错）：

| 示例 | 结论 | |------|------| | 单一身份证号 | ❌ 不属于敏感个人信息（数据级别 L4） | | 单一姓名 | ❌ 不属于敏感个人信息 | | 姓名 + 身份证号 + 手机号组合 | ✅ 组合后属于敏感个人信息 | | 购物记录 + 住址 + 职业 | ✅ 可推断宗教信仰，整体属于敏感个人信息 | | 外卖员服务履约中的位置 | ❌ 特定职业履约场景不属于敏感信息（须满足必要性/仅用于履约等条件） | | 血型/血压（非医疗场景）| ❌ 不属于医疗健康敏感信息 | | 血型/血压（医疗就诊中）| ✅ 属于医疗健康敏感信息 | | 多次地理位置 + 时间戳组合 | ✅ 构成行踪轨迹，须按敏感个人信息保护 |

3.4 同意类型三级区分（PIPL）

| 同意类型 | 适用场景 | 形式要求 | |----------|---------|---------| | 一般同意 | 普通个人信息处理 | 知情前提下自愿、明确作出 | | 单独同意 | ①向第三方提供（第23条）②公开个人信息（第25条）③处理敏感个人信息（第29条）④向境外提供（第39条）⑤公共场所图像用于非公共安全目的（第26条） | 单独告知 + 单独确认，不得混入隐私政策概括同意 | | 书面同意 | 法律法规规定的特殊场景（如无感收集生物识别信息） | 须有书面记录/电子存档 |

3.5 GDPR 六大合法依据（第6条）

1. 同意：明确、具体、知情、自由给予，可随时撤回
2. 合同履行：订立或履行与数据主体的合同所必需
3. 法律义务：遵守控制者适用的法律
4. 重要利益：保护数据主体或他人的生命安全
5. 公共任务：执行公共利益或行使官方职权
6. 合法利益：控制者或第三方的合法利益（须做三步平衡测试）

第9条敏感数据须在上述依据之外额外满足第9条(2)款的特定条件之一。

3.6 等保 2.0 三级系统核心控制要求

| 控制域 | 关键要求 | |--------|---------| | 身份鉴别 | 双因素认证（口令 + 令牌/证书等） | | 数据传输/存储 | 须使用密码技术（TLS 1.2+ 或国密 SM2/SM4）保证机密性和完整性 | | 访问控制 | 最小权限；三权分立（系统管理员/安全管理员/审计管理员）；禁止共用账号 | | 安全审计 | 全量审计；日志不可删除；保留**≥6个月** | | 数据备份 | 本地 + 异地备份（三-二-一原则）；定期恢复演练；明确 RPO/RTO | | 高风险否决项 | 空口令/弱口令、多人共用管理账号、审计功能未开启、未修复高危漏洞、重要数据明文传输、无备份机制、无应急预案 → 任一存在直接影响测评结论 |

3.7 全局合规数字速查

| 要求项 | 数值 | 来源 | |--------|------|------| | 个人信息保护影响评估报告保存期 | 3年 | PIPL 第56条 | | 敏感个人信息影响评估报告保存期 | 3年 | GB/T 45574 | | 敏感个人信息操作日志保存期 | 3年 | GB/T 45574 | | 敏感个人信息安全审计频率 | 至少每月1次 | GB/T 45574 | | 处理10万人以上敏感个人信息须指定 | 个人信息保护负责人（须为管理层成员）| GB/T 45574 | | 等保三级审计日志保留期 | ≥6个月 | 等保2.0 | | 等保四级审计日志保留期 | ≥12个月 | 等保2.0 | | 等保三级测评频率 | 每年1次 | 等保2.0 | | 数据交易平台交易存证保留期 | ≥5年 | GB/T 37932-2019 | | GDPR 数据主体权利响应期限 | 1个月（复杂情况可延至3个月）| GDPR 第12条 | | GDPR 泄露通知监管机构时限 | 72小时 | GDPR 第33条 | | CSL 侵害个人信息最高罚款 | 违法所得10倍；无违法所得处100万以下 | CSL 第64条 | | DSL 核心数据违规最高罚款 | 1000万元，可吊销执照 | DSL 第45条 | | DSL 重要数据出境违规最高罚款 | 1000万元（情节严重）| DSL 第46条 | | PIPL 严重违规最高罚款 | 上一年度营业额5% 或5000万元 | PIPL 第66条 | | GDPR 最高罚款 | 全球年营业额4% 或2000万欧元 | GDPR Art.83 | | GB 46864-2025 强制实施日期 | 2027年1月1日 | 电子产品信息清除标准 |

四、常见任务操作指南

任务 A：判断某字段/数据集的分级

步骤：

1. 先查本 Skill 3.2节常见字段速查表 → 大部分常见字段可直接得出结论
2. 未覆盖的字段 → 读取 references/更详细数据分类分级表.md 找对应分类
3. 若涉及个人信息 → 核对 3.3 节的 8 类敏感信息清单，判断是否属于敏感个人信息
4. 若多字段组合 → 应用 3.3 节汇聚规则判断整体是否升级为敏感
5. 有分级方法论疑问 → 读取 references/GBT-43697-2024.md

输出格式：

数据字段：[字段名]
数据分类：[一级] > [二级] > [三级]
数据级别：L[N]（[高度敏感/较敏感/低敏感/公开]）
是否敏感个人信息：是/否（依据：[类别名称 + 条款]）
核心处理要求：
- [加密/访问控制/单独同意/...]
参考文件：[文件名] [章节/条款]

任务 B：评估数据出境合规性

步骤：

1. 判断数据类型：个人信息 / 重要数据 / 两者均有
2. 个人信息出境（PIPL 第三章） → 三条路径之一：
   • 路径①：国家网信部门安全评估（CIIO 或达规定数量须优先）
   • 路径②：专业机构个人信息保护认证
   • 路径③：与境外接收方签订标准合同（SCCs）
3. 重要数据出境 → 须依法进行数据出境安全评估（DSL 第31条）
4. 涉及欧盟用户数据 → 读取 references/GDPR-EU-2016-679.md 跨境章节（中国无欧委会充分性认定，须用 SCCs + TIA）
5. 跨境须告知并取得单独同意（PIPL 第39条）

任务 C：审查隐私政策/数据协议

PIPL 核对清单（第17条）：

• [ ] 处理者名称和联系方式
• [ ] 处理目的、处理方式、信息种类、保存期限
• [ ] 个人行使权利的方式和程序
• [ ] 敏感个人信息处理的必要性及对权益的影响（第30条）
• [ ] 自动化决策的说明及拒绝方式（第24条）
• [ ] 向第三方提供的告知及单独同意机制（第23条）
• [ ] 向境外提供的告知及单独同意机制（第39条）
• [ ] 未成年人信息的专门规则（第31条）

GDPR 额外核对（涉及欧盟用户时）：

• [ ] 六大合法依据之一明确列出
• [ ] 数据主体八项权利的行使方式及1个月响应期限
• [ ] 是否须指定 DPO 及其联系方式
• [ ] 数据保留期限明确说明
• [ ] 跨境传输保障措施（SCCs 等）
• [ ] 委托第三方处理时是否签署 DPA（含第28条7项必备内容）

任务 D：等保合规检查（三级系统）

读取 references/GBT-22239-2019-等保2.0.md，逐项评估：

加密保护：

• [ ] 敏感数据传输是否使用 TLS 1.2+ 或国密？
• [ ] 敏感数据存储是否加密（字段级或库级）？
• [ ] 密钥管理是否规范（轮换/安全存储/解密加密分开授权）？

访问控制：

• [ ] 是否实施最小权限原则？
• [ ] 管理员是否三权分立（系统/安全/审计）？
• [ ] 是否禁止共用账号和默认账号？

审计日志：

• [ ] 是否记录所有数据库操作（增删改查）？
• [ ] 审计日志是否防篡改且不可被管理员删除？
• [ ] 日志保留期是否≥6个月？

备份恢复：

• [ ] 重要数据是否定期备份（本地+异地）？
• [ ] 是否定期进行恢复演练？RPO/RTO 是否明确？

高风险否决项（任一存在须立即整改）：

• [ ] 无空口令/弱口令账户？
• [ ] 无多人共用管理员账号？
• [ ] 审计功能已开启且日志不可删除？
• [ ] 服务器无未修复高危漏洞？
• [ ] 重要数据传输已加密？

任务 E：AI 产品数据合规设计

| 合规维度 | 关键要求 | 参考文件 | |----------|---------|---------| | 训练数据 | 合法来源 + 版权授权 + 个人信息须有合法依据；建立数据溯源记录 | GBT-45652-2025.md | | 数据标注 | 标注人员签保密协议；含个人信息须脱敏；平台须防截图/下载；水印溯源 | GBT-45674-2025.md | | 内容安全 | 输入+输出双层过滤；拒绝生成违法有害内容 | GBT-45654-2025.md | | AI 身份透明 | 须告知用户与 AI 交互；AI 生成内容须有显著标识 | GBT-45654-2025.md | | 用户数据 | 对话数据加密存储；明确保留期限；默认不用于训练；须有删除渠道 | GBT-45654-2025.md | | 未成年人保护 | 防沉迷措施；不得引导未成年人过度依赖 | — | | 数据记忆检测 | 训练后测试模型是否存在个人信息过度记忆风险 | GBT-45652-2025.md |

任务 F：GDPR 合规分析（涉及欧盟用户时）

读取 references/GDPR-EU-2016-679.md，按以下步骤：

1. 适用性判断：在欧盟设立机构 / 向欧盟居民提供服务 / 监控欧盟境内人员行为（三选一即适用）
2. 合法依据确认：六大依据中哪条适用（3.5节）
3. 敏感数据额外条件：是否涉及第9条特殊类别，须满足额外条件
4. DPIA 必要性：是否触发三类强制情形（系统性大规模自动化评分 / 大规模处理敏感数据 / 系统性监控公共区域）
5. 数据主体权利机制：是否支持8项权利行使（含1个月响应期限）
6. DPA 签署：委托第三方处理时须签署 DPA
7. 泄露通知：须在 72小时 内通知监管机构；高风险泄露同时通知数据主体

五、常见误判速查

5.1 敏感个人信息认定误判

| 误判 | 正确结论 | 依据 | |------|---------|------| | 单一身份证号 = 敏感信息 | ❌ 数据级别 L4，但单一身份证号不属于敏感个人信息 | GB/T 45574-2025 | | 任何位置信息 = 行踪轨迹敏感 | ❌ 须具备连续性才属于行踪轨迹 | GB/T 45574 第4.1条 | | 外卖员位置数据 = 敏感信息 | ❌ 特定职业服务履约场景不属于敏感信息 | GB/T 45574 | | 血型/血压 = 必然是医疗健康敏感 | ❌ 与医疗就诊无关不属于；医疗就诊场景中的才属于 | GB/T 45574 | | 多项一般信息汇聚 = 仍为一般信息 | ❌ 组合后达敏感程度须整体按敏感信息保护 | GB/T 45574 第4.1条 | | 生物识别可作为默认登录方式 | ❌ 须同时提供替代方式，不得设为默认 | GB/T 45574 | | 宗教信仰信息 = 不能任何处理 | ❌ 取得单独同意后可处理，但禁止用于画像 | GB/T 45574 |

5.2 数据分级常见误判

| 误判 | 正确结论 | 依据 | |------|---------|------| | 公开显示的真实姓名 = L2 | ❌ 公开显示的姓名仍为 L3 | 数据分类分级表 | | 公开展示的昵称 = L3 | ❌ 公开展示的昵称为 L2 | 数据分类分级表 | | 电子邮箱地址 = L2-L3 | ❌ 个人电子邮箱为 L4（个人联系方式）| 数据分类分级表 | | 手机号 = L4（与电话号码等同）| ⚠️ 数据分类分级表中手机号为 L3，但个人电话号码为 L4；注意区分 | 数据分类分级表 |

5.3 法规适用场景误判

| 场景 | 注意事项 | |------|---------| | 企业内部员工个人信息 | 仍适用 PIPL；人力资源管理必需的处理可无需单独同意 | | 研发/测试环境使用生产数据 | 须去标识化处理，否则视为正式处理须履行全套合规义务 | | 匿名化后的数据 | 不属于个人信息，不适用 PIPL；须确保不可逆、不能复原 | | 已公开的个人信息 | 可在合理范围内处理；对个人权益有重大影响的仍须取得同意（PIPL 第27条）| | 境外员工/用户数据 | 可能同时触发 GDPR，须两套法规并行评估 | | 生成式AI收集用户输入 | 视为个人信息处理，须履行 PIPL 全套义务 | | 多次地理位置+时间戳组合 | 可能构成行踪轨迹，须按敏感个人信息同等保护 |

六、法规适用决策树

某数据处理场景
│
├─ 先确认适用的上位法
│   ├─ 涉及网络系统安全/等保/CIIO → 《网络安全法》CSL（`网络安全法-CSL-2017.md`）
│   ├─ 涉及所有数据处理活动 → 《数据安全法》DSL（`数据安全法-DSL-2021.md`）
│   └─ 涉及个人信息处理 → 《个人信息保护法》PIPL（`个人信息保护法-PIPL-2021.md`）
│       （三法常并行适用，须综合评估）
│
├─ 涉及个人信息？
│   ├─ 是 → PIPL（主法）
│   │   ├─ 属于敏感个人信息？→ + GB/T 45574-2025
│   │   ├─ App 收集个人信息？→ + GB/T 41391-2022
│   │   ├─ 大型互联网平台？→ + GB/T 45404-2025
│   │   └─ 涉及欧盟居民数据？→ + GDPR
│   └─ 否 → 数据安全法（一般数据处理义务）
│
├─ 涉及数据出境？
│   ├─ 个人信息出境 → PIPL 第三章（安全评估/认证/SCCs 三选一）
│   ├─ 重要数据出境 → DSL 第31条（须安全评估）
│   └─ 欧盟用户数据 → GDPR 第44-49条（SCCs+TIA，中国无充分性认定）
│
├─ 网络系统建设/运营？
│   └─ 是 → 等保2.0（GB/T 22239-2019，按系统等级实施控制）
│
├─ 生成式 AI 服务？
│   └─ 是 → GB/T 45652/45654/45674（训练数据/服务安全/标注安全）
│
├─ 生物识别数据？
│   ├─ 步态识别 → GB/T 41773-2022
│   └─ 基因数据 → GB/T 41806-2022 + 《人类遗传资源管理条例》
│
├─ 数据交易/流通？
│   └─ → GB/T 37932-2019
│
├─ 政务数据共享？
│   └─ → GB/T 39477-2020
│
└─ 设备报废/数据销毁？
    └─ → GB 46864-2025（2027-01-01 强制实施）

七、输出规范

合规分析报告

## 数据合规分析：[场景描述]

### 基本情况
- 处理主体：
- 数据类型：[字段/类别]
- 数据级别：[L1-L4]
- 是否含敏感个人信息：[是/否]
- 处理行为：[收集/存储/使用/传输/对外提供/出境]
- 适用法规：

### 合规要点分析
1. **合法依据**：（PIPL 第13条 或 GDPR 第6条）
2. **告知义务**：
3. **同意机制**：（一般同意 / 单独同意 / 书面同意）
4. **最小化原则**：
5. **安全措施**：（管理机制 + 技术措施）
6. **出境合规**（如适用）：

### 风险提示
- ⚠️ [风险描述]（依据：[法规名称] 第X条）

### 合规建议
1.
2.

### 参考依据
- [法规名称 / 标准号] 第X条

数据分级判断

数据字段：[字段名]
数据分类：[一级] > [二级] > [三级]
数据级别：L[N]（[高度敏感/较敏感/低敏感/公开]）
是否敏感个人信息：[是/否]（依据：[类别 + 条款]）
核心处理要求：
- [加密/单独同意/字段级访问控制/...]
参考文件：[文件名] [章节/条款]

回答原则

• 先查内置速查表：3.2节字段速查、3.7节合规数字，大多数常见问题无需再读原文
• 引用具体条款：给出法规名称 + 条文编号，不泛泛而谈
• 区分强制与建议："须/不得/应当"（强制）vs "宜/鼓励"（建议性）
• 标注不确定性：法规模糊地带须说明主流解读，并提示建议咨询专业法律意见
• 跨法规协同：同一场景往往涉及多部法规，须综合引用，不得片面引用单一法规
• 就高原则：数据分级有争议时，取最高级别