# Add to your Claude Code skills
git clone https://github.com/njcx/datasec_skillGuides for using data processing skills like datasec_skill.
Last scanned: 5/30/2026
{
"issues": [],
"status": "PASSED",
"scannedAt": "2026-05-30T17:06:10.934Z",
"npmAuditRan": true,
"pipAuditRan": true
}datasec_skill is an open-source data processing skill for AI coding assistants such as Claude Code, Codex CLI, and ChatGPT, built by njcx. datasec_skill. It has 1 GitHub star.
Yes. datasec_skill passed SkillsLLM's automated security scan — a dependency vulnerability audit plus prompt-injection heuristics — with no high-severity issues. You can read the full report in the Security Report section on this page.
Clone the repository with "git clone https://github.com/njcx/datasec_skill" and add it to your Claude Code skills directory (see the Installation section above). datasec_skill ships a SKILL.md manifest, so compatible agents can discover and load it automatically.
Yes. SkillsLLM lists many other Data Processing skills you can browse and compare side by side. Open the Data Processing category from the badge at the top of this page, or use the Related Skills and comparison links further down to weigh datasec_skill against similar tools.
No comments yet. Be the first to share your thoughts!
30 days in the Featured rail · terms & refunds
name: data-security description: | 专注于企业数据安全合规全场景,覆盖数据分类分级、个人信息保护、敏感数据处理、等保2.0、GDPR/PIPL跨境合规、AI数据合规、数据交易安全、隐私政策审查等领域。
本 Skill 用于辅助处理企业数据安全合规相关任务,覆盖中国数据安全法规体系及 GDPR,内置常见字段分级速查、敏感信息认定规则、合规数字速查等,大多数常见问题无需读取 references/ 文件即可直接回答。
适用任务类型:
操作规则:先用第六节决策树锁定场景,再查第三节内置速查表;仅在需要完整条款或边缘情形时,定向读取 references/ 中对应文件,不要全量扫描。
| 文件名 | 简称 | 施行时间 | 高频查询点 |
|---|---|---|---|
网络安全法-CSL-2017.md |
CSL | 2017年6月1日 | 等保法律依据(第21条)、CIIO 数据本地化(第37条)、个人信息基本义务(第40-44条)、日志留存≥6个月、侵害个人信息罚款(违法所得10倍) |
数据安全法-DSL-2021.md |
DSL | 2021年9月1日 | 数据分类分级法律依据(第21条)、重要数据风险评估义务(第30条)、数据出境安全评估(第31条)、数据交易中介义务(第33条)、向外国司法机构提供数据限制(第36条)、核心数据最高罚款1000万 |
个人信息保护法-PIPL-2021.md |
PIPL | 2021年11月1日 | 七项合法依据(第13条)、同意三层级(一般/单独/书面)、敏感个人信息处理(第29-32条)、跨境三路径(第38条)、影响评估(第55-56条)、数据主体六项权利(第44-50条)、最高罚款5000万或年营业额5% |
| 文件名 | 核心用途 | 高频查询点 |
|---|---|---|
更详细数据分类分级表.md |
字段级分类权威依据 | 用户/业务/经营管理/系统运维四大类、L1-L4 对应字段示例 |
GBT-43697-2024.md |
国标分类分级方法论 | 核心/重要/一般数据三级定义、影响评估要素、就高原则 |
| 文件名 | 标准号 | 高频查询点 |
|---|---|---|
GBT-35273-2020.md |
GB/T 35273-2020 | 个人信息处理全流程要求、7 类主体权利、PIA 触发条件 |
GBT-41391-2022.md |
GB/T 41391-2022 | App 必要信息范围认定、各类 App 必要字段表 |
GBT-45574-2025.md |
GB/T 45574-2025 | 8 类敏感信息清单、汇聚规则、月度审计、日志 3 年、10 万人门槛 |
GBT-45404-2025.md |
GB/T 45404-2025 | 大型平台内设个人信息保护监督机构要求 |
| 文件名 | 标准号 | 高频查询点 |
|---|---|---|
GBT-22239-2019-等保2.0.md |
GB/T 22239-2019 | 五级划分、1+5 安全要求结构、三级高风险否决项、日志≥6个月 |
| 文件名 | 标准号 | 高频查询点 |
|---|---|---|
GBT-37988-2019.md |
GB/T 37988-2019 | DSMM 五级成熟度、4 大能力维度、30 个过程域、认证流程 |
GBT-45577-2025.md |
GB/T 45577-2025 | 风险评估流程、威胁/脆弱性识别、风险等级划分、报告要求 |
GBT-25069-2022.md |
GB/T 25069-2022 | 信息安全标准术语定义 |
| 文件名 | 标准号 | 高频查询点 |
|---|---|---|
GBT-37973-2019.md |
GB/T 37973-2019 | 大数据平台安全、数据生命周期各环节控制 |
GBT-37932-2019.md |
GB/T 37932-2019 | 数据交易各方义务、禁止交易类型、存证要求 |
GBT-39477-2020.md |
GB/T 39477-2020 | 政务数据共享安全、无条件/有条件/不予共享分类 |
GBT-43739-2024.md |
GB/T 43739-2024 | 应用商店 App 合规审核、上架/持续监督要求 |
GBT-41773-2022.md |
GB/T 41773-2022 | 步态识别数据安全(采集告知/加密/销毁) |
GBT-41806-2022.md |
GB/T 41806-2022 | 基因数据安全(境内存储/出境审查/家族隐私) |
GB-46864-2025.md |
GB 46864-2025 | ⚠️ 强制标准:电子产品信息清除,2027-01-01 强制实施 |
| 文件名 | 标准号 | 高频查询点 |
|---|---|---|
GBT-45652-2025.md |
GB/T 45652-2025 | 训练数据来源合规、版权/个人信息过滤、数据记忆检测 |
GBT-45654-2025.md |
GB/T 45654-2025 | AI 服务内容安全、AI 身份透明、对话数据保护 |
GBT-45674-2025.md |
GB/T 45674-2025 | 数据标注安全、标注平台技术要求、外包安全管理 |
| 文件名 | 法规编号 | 高频查询点 |
|---|---|---|
GDPR-EU-2016-679.md |
EU 2016/679 | 六项合法基础、八项权利、72h 通报、SCC 跨境、DPIA、罚款双档、与 PIPL 对比 |
以下内容已从各文件提炼,常见场景可直接使用,无需回头读文件。仅在需要完整条款原文或边缘情形时再读对应文件。
| 企业内部 | GB/T 43697 | 典型控制要求 |
|---|---|---|
| L4 高度敏感 | 核心数据 | 全程加密 + 严格访问控制 + 原则禁止外传 |
| L3 较敏感 | 重要数据 | 加密存储 + 审批访问 + 限制流通 |
| L2 低敏感 | 一般数据(内部) | 仅内部流通 + 认证访问 |
| L1 公开 | 一般数据(公开) | 可对外发布 + 无特殊限制 |
就高原则:多属性数据取最高级别;不同级别数据同时处理且难以分别保护时,按最高级别执行。
| 数据字段 | 级别 | 易错说明 |
|---|---|---|
| 个人电话号码 | L4 | 高于直觉判断,属于个人联系方式 |
| 电子邮箱地址 | L4 | 个人邮箱为 L4;通用企业邮箱视上下文 |
| 第三方账号(微信号/Apple ID) | L4 | — |
| 身份证号码 | L4 | 数据级别 L4,但单一身份证号不属于敏感个人信息 |
| 身份证照片/影印件 | L4 | 属于敏感个人信息(其他敏感类别) |
| 生物特征(人脸/指纹/声纹/虹膜/步态/基因) | L4 | 属于敏感个人信息(生物识别类) |
| 银行卡号 + 支付密码 | L4 | 属于敏感个人信息(金融账户类) |
| 精准位置(经纬度/中文地址) | L4 | 单次不构成行踪轨迹;连续多次+时间戳组合后属于行踪轨迹敏感信息 |
| 内部系统账号密码 / API Key / 数据库密码 | L4 | 系统安全数据 |
| 核心产品代码/算法/知识产权 | L4 | 研发管理核心数据 |
| 战略计划/融资计划/股权激励 | L4 | 经营管理核心数据 |
| 员工薪资/绩效/股权 | L4 | 人力资源核心数据 |
| 风控规则/推荐模型/业务策略 | L4 | 运营核心数据 |
| 真实姓名(公开或非公开显示) | L3 | 公开显示仍是 L3,非 L2 |
| UID / IP 地址(非公开) | L3 | — |
| 城市级位置信息/省 | L3 | — |
| 设备 MAC 地址/IMEI/ICCID | L3 | — |
| 用户行为日志/浏览记录/搜索记录 | L3 | 非公开时为 L3 |
| 通讯录/好友列表 | L3 | — |
| 公司财务报表(非公开披露) | L3 | — |
| 账户昵称/头像(公开显示) | L2 | 注意与真实姓名区分 |
| 设备品牌型号/操作系统 | L2 | — |
| 公开发布的博文/视频/评论 | L2 | — |
| 公司官网信息/已公开披露专利 | L1 | — |
| 组织机构代码/营业执照号 | L1 | — |
| 类别 | 典型字段 | 关键特殊要求 |
|---|---|---|
| 生物识别 | 人脸、指纹、声纹、虹膜、基因、步态 | ①须提供非生物识别替代方式,不得设为默认 ②目的完成后删除原始图像/视频,仅保留特征摘要 ③无感收集须书面同意 |
| 宗教信仰 | 宗教、宗教组织、宗教习俗 | 禁止用于构建用户画像 |
| 特定身份 | 残障人士身份、不适宜公开的职业身份 | 禁止用于构建用户画像和个性化推荐 |
| 医疗健康 | 病症、就诊记录、家族病史、生育信息 | 须建立字段级访问控制审批机制;研究用途须先去标识化 |
| 金融账户 | 银行/证券/保险账号及密码 | ①加密收集 ②不得留存非本机构鉴别信息 ③交易完成后及时删除磁道数据/卡验证码/支付密码 |
| 行踪轨迹 | 连续精准位置轨迹、车辆行驶轨迹 | ①仅在功能使用时调用,最小频率和范围 ②不得标注国家规定的敏感位置区域 |
| 其他敏感 | 身份证照片、征信信息、犯罪记录、婚史(未公开) | 按敏感个人信息通用要求处理 |
| 不满14周岁未成年人 | 未成年人各类个人信息 | ①须验证年龄 ②验证为未成年人后宜验证监护人身份 |
汇聚规则(易错):
| 示例 | 结论 |
|---|---|
| 单一身份证号 | ❌ 不属于敏感个人信息(数据级别 L4) |
| 单一姓名 | ❌ 不属于敏感个人信息 |
| 姓名 + 身份证号 + 手机号组合 | ✅ 组合后属于敏感个人信息 |
| 购物记录 + 住址 + 职业 | ✅ 可推断宗教信仰,整体属于敏感个人信息 |
| 外卖员服务履约中的位置 | ❌ 特定职业履约场景不属于敏感信息(须满足必要性/仅用于履约等条件) |
| 血型/血压(非医疗场景) | ❌ 不属于医疗健康敏感信息 |
| 血型/血压(医疗就诊中) | ✅ 属于医疗健康敏感信息 |
| 多次地理位置 + 时间戳组合 | ✅ 构成行踪轨迹,须按敏感个人信息保护 |
| 同意类型 | 适用场景 | 形式要求 |
|---|---|---|
| 一般同意 | 普通个人信息处理 | 知情前提下自愿、明确作出 |
| 单独同意 | ①向第三方提供(第23条)②公开个人信息(第25条)③处理敏感个人信息(第29条)④向境外提供(第39条)⑤公共场所图像用于非公共安全目的(第26条) | 单独告知 + 单独确认,不得混入隐私政策概括同意 |
| 书面同意 | 法律法规规定的特殊场景(如无感收集生物识别信息) | 须有书面记录/电子存档 |
第9条敏感数据须在上述依据之外额外满足第9条(2)款的特定条件之一。
| 控制域 | 关键要求 |
|---|---|
| 身份鉴别 | 双因素认证(口令 + 令牌/证书等) |
| 数据传输/存储 | 须使用密码技术(TLS 1.2+ 或国密 SM2/SM4)保证机密性和完整性 |
| 访问控制 | 最小权限;三权分立(系统管理员/安全管理员/审计管理员);禁止共用账号 |
| 安全审计 | 全量审计;日志不可删除;保留**≥6个月** |
| 数据备份 | 本地 + 异地备份(三-二-一原则);定期恢复演练;明确 RPO/RTO |
| 高风险否决项 | 空口令/弱口令、多人共用管理账号、审计功能未开启、未修复高危漏洞、重要数据明文传输、无备份机制、无应急预案 → 任一存在直接影响测评结论 |
| 要求项 | 数值 | 来源 |
|---|---|---|
| 个人信息保护影响评估报告保存期 | 3年 | PIPL 第56条 |
| 敏感个人信息影响评估报告保存期 | 3年 | GB/T 45574 |
| 敏感个人信息操作日志保存期 | 3年 | GB/T 45574 |
| 敏感个人信息安全审计频率 | 至少每月1次 | GB/T 45574 |
| 处理10万人以上敏感个人信息须指定 | 个人信息保护负责人(须为管理层成员) | GB/T 45574 |
| 等保三级审计日志保留期 | ≥6个月 | 等保2.0 |
| 等保四级审计日志保留期 | ≥12个月 | 等保2.0 |
| 等保三级测评频率 | 每年1次 | 等保2.0 |
| 数据交易平台交易存证保留期 | ≥5年 | GB/T 37932-2019 |
| GDPR 数据主体权利响应期限 | 1个月(复杂情况可延至3个月) | GDPR 第12条 |
| GDPR 泄露通知监管机构时限 | 72小时 | GDPR 第33条 |
| CSL 侵害个人信息最高罚款 | 违法所得10倍;无违法所得处100万以下 | CSL 第64条 |
| DSL 核心数据违规最高罚款 | 1000万元,可吊销执照 | DSL 第45条 |
| DSL 重要数据出境违规最高罚款 | 1000万元(情节严重) | DSL 第46条 |
| PIPL 严重违规最高罚款 | 上一年度营业额5% 或5000万元 | PIPL 第66条 |
| GDPR 最高罚款 | 全球年营业额4% 或2000万欧元 | GDPR Art.83 |
| GB 46864-2025 强制实施日期 | 2027年1月1日 | 电子产品信息清除标准 |
步骤:
references/更详细数据分类分级表.md 找对应分类references/GBT-43697-2024.md输出格式:
数据字段:[字段名]
数据分类:[一级] > [二级] > [三级]
数据级别:L[N]([高度敏感/较敏感/低敏感/公开])
是否敏感个人信息:是/否(依据:[类别名称 + 条款])
核心处理要求:
- [加密/访问控制/单独同意/...]
参考文件:[文件名] [章节/条款]
步骤:
references/GDPR-EU-2016-679.md 跨境章节(中国无欧委会充分性认定,须用 SCCs + TIA)PIPL 核对清单(第17条):
GDPR 额外核对(涉及欧盟用户时):
读取 references/GBT-22239-2019-等保2.0.md,逐项评估:
加密保护:
访问控制:
审计日志:
备份恢复:
高风险否决项(任一存在须立即整改):
| 合规维度 | 关键要求 | 参考文件 |
|---|---|---|
| 训练数据 | 合法来源 + 版权授权 + 个人信息须有合法依据;建立数据溯源记录 | GBT-45652-2025.md |
| 数据标注 | 标注人员签保密协议;含个人信息须脱敏;平台须防截图/下载;水印溯源 | GBT-45674-2025.md |
| 内容安全 | 输入+输出双层过滤;拒绝生成违法有害内容 | GBT-45654-2025.md |
| AI 身份透明 | 须告知用户与 AI 交互;AI 生成内容须有显著标识 | GBT-45654-2025.md |
| 用户数据 | 对话数据加密存储;明确保留期限;默认不用于训练;须有删除渠道 | GBT-45654-2025.md |
| 未成年人保护 | 防沉迷措施;不得引导未成年人过度依赖 | — |
| 数据记忆检测 | 训练后测试模型是否存在个人信息过度记忆风险 | GBT-45652-2025.md |
读取 references/GDPR-EU-2016-679.md,按以下步骤:
| 误判 | 正确结论 | 依据 |
|---|---|---|
| 单一身份证号 = 敏感信息 | ❌ 数据级别 L4,但单一身份证号不属于敏感个人信息 | GB/T 45574-2025 |
| 任何位置信息 = 行踪轨迹敏感 | ❌ 须具备连续性才属于行踪轨迹 | GB/T 45574 第4.1条 |
| 外卖员位置数据 = 敏感信息 | ❌ 特定职业服务履约场景不属于敏感信息 | GB/T 45574 |
| 血型/血压 = 必然是医疗健康敏感 | ❌ 与医疗就诊无关不属于;医疗就诊场景中的才属于 | GB/T 45574 |
| 多项一般信息汇聚 = 仍为一般信息 | ❌ 组合后达敏感程度须整体按敏感信息保护 | GB/T 45574 第4.1条 |
| 生物识别可作为默认登录方式 | ❌ 须同时提供替代方式,不得设为默认 | GB/T 45574 |
| 宗教信仰信息 = 不能任何处理 | ❌ 取得单独同意后可处理,但禁止用于画像 | GB/T 45574 |
| 误判 | 正确结论 | 依据 |
|---|---|---|
| 公开显示的真实姓名 = L2 | ❌ 公开显示的姓名仍为 L3 | 数据分类分级表 |
| 公开展示的昵称 = L3 | ❌ 公开展示的昵称为 L2 | 数据分类分级表 |
| 电子邮箱地址 = L2-L3 | ❌ 个人电子邮箱为 L4(个人联系方式) | 数据分类分级表 |
| 手机号 = L4(与电话号码等同) | ⚠️ 数据分类分级表中手机号为 L3,但个人电话号码为 L4;注意区分 | 数据分类分级表 |
| 场景 | 注意事项 |
|---|---|
| 企业内部员工个人信息 | 仍适用 PIPL;人力资源管理必需的处理可无需单独同意 |
| 研发/测试环境使用生产数据 | 须去标识化处理,否则视为正式处理须履行全套合规义务 |
| 匿名化后的数据 | 不属于个人信息,不适用 PIPL;须确保不可逆、不能复原 |
| 已公开的个人信息 | 可在合理范围内处理;对个人权益有重大影响的仍须取得同意(PIPL 第27条) |
| 境外员工/用户数据 | 可能同时触发 GDPR,须两套法规并行评估 |
| 生成式AI收集用户输入 | 视为个人信息处理,须履行 PIPL 全套义务 |
| 多次地理位置+时间戳组合 | 可能构成行踪轨迹,须按敏感个人信息同等保护 |
某数据处理场景
│
├─ 先确认适用的上位法
│ ├─ 涉及网络系统安全/等保/CIIO → 《网络安全法》CSL(`网络安全法-CSL-2017.md`)
│ ├─ 涉及所有数据处理活动 → 《数据安全法》DSL(`数据安全法-DSL-2021.md`)
│ └─ 涉及个人信息处理 → 《个人信息保护法》PIPL(`个人信息保护法-PIPL-2021.md`)
│ (三法常并行适用,须综合评估)
│
├─ 涉及个人信息?
│ ├─ 是 → PIPL(主法)
│ │ ├─ 属于敏感个人信息?→ + GB/T 45574-2025
│ │ ├─ App 收集个人信息?→ + GB/T 41391-2022
│ │ ├─ 大型互联网平台?→ + GB/T 45404-2025
│ │ └─ 涉及欧盟居民数据?→ + GDPR
│ └─ 否 → 数据安全法(一般数据处理义务)
│
├─ 涉及数据出境?
│ ├─ 个人信息出境 → PIPL 第三章(安全评估/认证/SCCs 三选一)
│ ├─ 重要数据出境 → DSL 第31条(须安全评估)
│ └─ 欧盟用户数据 → GDPR 第44-49条(SCCs+TIA,中国无充分性认定)
│
├─ 网络系统建设/运营?
│ └─ 是 → 等保2.0(GB/T 22239-2019,按系统等级实施控制)
│
├─ 生成式 AI 服务?
│ └─ 是 → GB/T 45652/45654/45674(训练数据/服务安全/标注安全)
│
├─ 生物识别数据?
│ ├─ 步态识别 → GB/T 41773-2022
│ └─ 基因数据 → GB/T 41806-2022 + 《人类遗传资源管理条例》
│
├─ 数据交易/流通?
│ └─ → GB/T 37932-2019
│
├─ 政务数据共享?
│ └─ → GB/T 39477-2020
│
└─ 设备报废/数据销毁?
└─ → GB 46864-2025(2027-01-01 强制实施)
## 数据合规分析:[场景描述]
### 基本情况
- 处理主体:
- 数据类型:[字段/类别]
- 数据级别:[L1-L4]
- 是否含敏感个人信息:[是/否]
- 处理行为:[收集/存储/使用/传输/对外提供/出境]
- 适用法规:
### 合规要点分析
1. **合法依据**:(PIPL 第13条 或 GDPR 第6条)
2. **告知义务**:
3. **同意机制**:(一般同意 / 单独同意 / 书面同意)
4. **最小化原则**:
5. **安全措施**:(管理机制 + 技术措施)
6. **出境合规**(如适用):
### 风险提示
- ⚠️ [风险描述](依据:[法规名称] 第X条)
### 合规建议
1.
2.
### 参考依据
- [法规名称 / 标准号] 第X条
数据字段:[字段名]
数据分类:[一级] > [二级] > [三级]
数据级别:L[N]([高度敏感/较敏感/低敏感/公开])
是否敏感个人信息:[是/否](依据:[类别 + 条款])
核心处理要求:
- [加密/单独同意/字段级访问控制/...]
参考文件:[文件名] [章节/条款]