夜雨聆风
本清单基于《中华人民共和国数据安全法》编制,精准匹配 OpenClaw(开源 AI Agent,含企业版 ClawPro)产品特性,覆盖个人开发者、企业部署方、运营管理方的全维度合规义务。
一、合规基础与核心原则
✅ 数据处理活动遵循合法、正当、必要原则
法律依据:《数据安全法》第 3 条、第 4 条
检查项
已明确 OpenClaw 可处理的数据范围,禁止处理国家秘密、核心数据、未经授权的重要数据及个人敏感信息 所有自动化任务(含网页抓取、文档解析、API 数据拉取)均已设定合规边界 数据处理目的与业务需求直接相关,无过度收集、超范围处理
✅ 遵守数据安全法律法规,履行保护主体责任
法律依据:《数据安全法》第 8 条、第 27 条
检查项
已明确 OpenClaw 部署方/运营方为数据安全责任主体 开源二次开发版本已界定开发方与使用方的责任边界 企业版部署已完成内部权责划分,无责任空白区域
✅ 数据新技术研发与应用符合社会公德与伦理
法律依据:《数据安全法》第 28 条
检查项
已对技能插件、自动化任务执行做合规校验 禁止开发/使用非法数据抓取、数据破解类插件 已建立任务执行合规前置校验机制
二、组织架构与责任体系
✅ 明确数据安全负责人和管理机构
法律依据:《数据安全法》第 27 条
检查项
企业级部署场景已明确数据安全负责人、管理机构及岗位职责 数据安全负责人具备对应专业能力与管理权限 开源个人使用场景已明确合规责任与操作红线
✅ 建立健全全流程数据安全管理制度
法律依据:《数据安全法》第 27 条
检查项
已制定《数据安全管理规范》,覆盖数据采集、存储、处理、传输、共享、销毁全流程 制度包含自动化任务审批规则、网页抓取合规规则、文档处理权限规则等 制度已完成内部发布、培训与落地执行
✅ 组织开展数据安全教育培训
法律依据:《数据安全法》第 27 条
检查项
已对使用人员、运维人员、管理人员开展数据安全专项培训 每年至少开展 1 次全员培训与考核
三、数据分类分级与重要数据保护
✅ 建立数据分类分级保护制度
法律依据:《数据安全法》第 21 条
检查项
已对接国家及行业数据分类分级规则,明确核心数据、重要数据、一般数据的划分标准 针对不同等级数据设置差异化的访问权限、处理规则、加密要求与审计机制 禁止处理核心数据,确需处理重要数据已单独制定专项保护方案
✅ 重要数据处理者定期开展风险评估
法律依据:《数据安全法》第 30 条
检查项
处理重要数据场景每年至少开展 1 次全流程数据安全风险评估 风险评估报告覆盖法定内容,已向主管部门报送
✅ 重要数据目录动态更新
法律依据:《数据安全法》第 21 条、第 24 条
检查项
已建立重要数据动态识别机制,对新增数据同步完成分级判定 行业重要数据目录更新后 15 个工作日内完成管控措施同步调整
四、数据全生命周期处理合规
(一)数据采集/抓取环节
✅ 数据采集来源合法
法律依据:《数据安全法》第 32 条
检查项
已明确网页抓取、OCR 识别、文件读取、API 数据拉取的合法来源边界 网页抓取功能已适配 robots 协议,设置合理访问频率 采集公开数据时不侵犯他人知识产权、商业秘密与个人信息权益
✅ 遵循最小必要原则
法律依据:《数据安全法》第 3 条、第 27 条
检查项
所有自动化采集任务均已限定数据采集范围、字段、频次 文档解析、表格处理等功能仅读取完成任务必需的最小数据内容
(二)数据存储环节
✅ 采取加密、备份等技术措施保障存储安全
法律依据:《数据安全法》第 27 条
检查项
重要数据、敏感数据已采用国密算法加密存储 已建立数据备份机制,定期备份核心业务数据 Memory 记忆功能日志已设定存储期限与安全管控规则
✅ 重要数据核心存储节点位于境内
法律依据:《数据安全法》第 31 条
检查项
境内业务场景下重要数据存储于境内服务器 已关闭非必要的境外数据同步功能
(三)数据处理/使用环节
✅ 数据处理活动符合授权范围
法律依据:《数据安全法》第 27 条、第 32 条
检查项
已基于角色权限设置 OpenClaw 操作权限 自动化任务执行前已完成合规与权限校验 数据脱敏、去标识化处理已制定规范流程
✅ 禁止实施危害数据安全的行为
法律依据:《数据安全法》第 3 条、第 32 条
检查项
已禁止通过 OpenClaw 开展危害国家安全、公共利益的数据活动 无批量处理、出售、非法提供他人数据的设计 已建立异常数据处理行为的监测拦截机制
(四)数据传输/共享/提供环节
✅ 数据传输采取安全加密措施
法律依据:《数据安全法》第 27 条
检查项
公网传输数据已采用 HTTPS、SFTP 等合规加密协议 多端消息推送、跨系统 API 联调场景已设置传输鉴权与加密机制
✅ 向第三方提供数据履行合规审批义务
法律依据:《数据安全法》第 27 条、第 32 条
检查项
已建立第三方数据共享审批机制,完成合规审批与风险评估 与第三方签订数据安全协议,明确双方数据安全责任
(五)数据销毁环节
✅ 建立数据销毁全流程管控机制
法律依据:《数据安全法》第 27 条
检查项
已建立"申请-审批-执行-验证"全流程数据销毁机制 任务到期、授权终止、存储期限届满数据已及时完成销毁 销毁方式符合国家相关标准,完成不可恢复性验证
五、风险监测、应急处置合规
✅ 加强数据安全风险监测
法律依据:《数据安全法》第 29 条
检查项
已建立全流程数据安全风险监测机制 发现安全漏洞、缺陷时立即采取补救措施 开源二次开发版本已建立常态化漏洞扫描机制
✅ 制定数据安全事件应急预案
法律依据:《数据安全法》第 29 条
检查项
已制定数据安全事件应急预案,明确事件分级、处置流程、上报机制 安全事件发生后立即启动应急预案,及时告知用户并上报主管部门 每年至少开展 1 次应急演练
六、技术防护与基础安全合规
✅ 在等级保护制度基础上落实数据安全保护义务
法律依据:《数据安全法》第 27 条
检查项
企业版云端部署场景已按等保 2.0 要求完成定级、备案、测评与整改 本地部署版本已落实网络安全防护措施,部署防火墙、入侵检测等设备
✅ 采取技术措施保障可追溯、可审计
法律依据:《数据安全法》第 27 条、第 28 条
检查项
已建立全流程操作审计机制,全程留痕 审计日志至少留存 6 个月,重要数据审计日志留存不少于 1 年 定期开展合规审计,形成审计报告与整改方案
✅ 落实身份认证与访问控制
法律依据:《数据安全法》第 27 条
检查项
OpenClaw 管控台已实施强身份认证机制,采用多因素认证方式 已基于最小权限原则设置访问控制策略 已建立权限申请、审批、变更、注销全流程管理机制
七、数据出境与跨境合规
✅ 重要数据出境履行法定合规程序
法律依据:《数据安全法》第 31 条、第 35 条
检查项
确需向境外提供的重要数据已通过数据出境安全评估、标准合同备案或安全认证 无通过 OpenClaw 境外节点非法传输、存储境内重要数据的情形
✅ 遵守国家出口管制规定
法律依据:《数据安全法》第 25 条
检查项
已排查 OpenClaw 处理的数据与技术是否属于出口管制范围 无违反国家出口管制规定向境外提供管制类数据的情形
八、禁止性义务与红线合规
⚠️ **三条绝对红线**
>
❶ 不得窃取、非法获取、非法出售、非法向他人提供数据
>
❷ 不得开展危害国家数据安全、损害公共利益的数据处理活动
>
❸ 不得拒不配合监管部门的数据安全监督检查工作
✅ 不得窃取、非法获取、非法出售数据
法律依据:《数据安全法》第 32 条
检查项
无任何窃取、非法获取他人数据的功能设计与应用场景 已建立违法违规行为的拦截与追责机制
✅ 不得危害国家数据安全、损害公共利益
法律依据:《数据安全法》第 3 条、第 4 条
检查项
禁止通过 OpenClaw 处理危害国家主权、安全和发展利益的数据 无批量汇总、分析可能危害国家安全、公共利益的数据的场景 属于审查范围的已主动履行申报义务
✅ 不得拒不配合监管部门监督检查
法律依据:《数据安全法》第 35 条
检查项
已明确监管配合责任与对接流程 无拒绝、阻碍监管部门依法实施检查、调查取证工作的情形
九、持续合规管理
✅ 合规制度与管控措施动态更新
法律依据:《数据安全法》全条款
检查项
法律法规更新后 30 个工作日内完成合规制度修订与落地 产品版本迭代、新增功能上线前完成数据安全合规评估 每年开展 1 次全面合规自查,形成自查报告与整改计划
✅ 建立合规考核与问责机制
法律依据:《数据安全法》第 27 条
检查项
已将数据安全合规责任纳入岗位绩效考核 对违反数据安全管理规定的行为已按制度落实问责与整改
**📋 合规自查指南**:每季度对照本清单进行合规自查,对待整改项目制定整改计划并跟踪闭环。保存所有合规检查、整改、培训记录,关注法规动态持续更新。
