夜雨聆风
🛡️ OpenClaw
《个人信息保护法》合规清单
本清单基于《中华人民共和国个人信息保护法》编制,精准匹配 OpenClaw(开源 AI Agent,含企业版 ClawPro)产品特性,覆盖个人信息处理全流程合规义务,可直接用于合规自查、制度建设、风险整改与审计核验。
一、合规基础与核心原则
✅ 处理个人信息遵循合法、正当、必要、诚信原则
法律依据:《个人信息保护法》第 5 条、第 6 条
检查项
- ✓
已明确 OpenClaw 处理个人信息的目的,处理行为与目的直接相关 - ✓
采取对个人权益影响最小的方式处理个人信息 - ✓
处理的个人信息范围限于实现处理目的的最小范围 - ✓
不得通过误导、欺诈、胁迫等方式处理个人信息
✅ 处理个人信息应当具有明确、合理的目的
法律依据:《个人信息保护法》第 6 条
- ✓
OpenClaw 所有涉及个人信息的功能均已明确处理目的 - ✓
处理目的应当明确、合理,并与处理行为直接相关 - ✓
处理目的发生变更的,已重新取得个人同意
✅ 处理个人信息遵循公开、透明原则
法律依据:《个人信息保护法》第 7 条
- ✓
已以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理相关信息 - ✓
告知事项包括:处理者名称、联系方式、处理目的、处理方式、个人信息种类、保存期限、个人行使权利的方式和程序等
✅ 处理个人信息应当保证个人信息质量
法律依据:《个人信息保护法》第 8 条
- ✓
OpenClaw 处理个人信息时已采取必要措施保障信息准确性和完整性 - ✓
信息的准确、完整程度足以满足处理目的 - ✓
发现信息不准确的,已及时更正或删除
✅ 个人信息处理者应当对其个人信息处理活动负责
法律依据:《个人信息保护法》第 9 条
- ✓
已明确 OpenClaw 部署方/运营方为个人信息处理者,承担个人信息处理主体责任 - ✓
开源二次开发版本已明确界定开发方与使用方的责任边界 - ✓
企业版部署已完成内部个人信息保护责任划分
二、个人信息处理规则
(一)处理个人信息的合法性基础
✅ 处理个人信息取得个人同意
法律依据:《个人信息保护法》第 13 条、第 14 条、第 15 条
- ✓
OpenClaw 处理个人信息前已取得个人自愿、明确的同意 - ✓
同意由个人在充分知情的前提下自愿、明确作出 - ✓
个人有权撤回同意,OpenClaw 已提供便捷的撤回同意方式 - ✓
撤回同意不影响撤回前基于同意已进行的个人信息处理活动的效力
✅ 无需取得同意的特殊情形
法律依据:《个人信息保护法》第 13 条
- ✓
已梳理 OpenClaw 可能存在的无需取得同意的情形:订立合同必需、履行法定职责、应对突发公共卫生事件等 - ✓
非基于同意处理个人信息的,已确保符合法定情形要求 
(二)敏感个人信息处理规则
✅ 敏感个人信息的特殊保护义务
法律依据:《个人信息保护法》第 28 条、第 29 条、第 30 条
- ✓
已识别 OpenClaw 可能涉及的敏感个人信息类型(生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人信息) - ✓
处理敏感个人信息已取得个人的单独同意 - ✓
已向个人告知处理敏感个人信息的必要性以及对个人权益的影响 - ✓
具有特定的目的和充分的必要性,采取严格的保护措施
(三)自动化决策规则
✅ 自动化决策的透明度与公平性
法律依据:《个人信息保护法》第 24 条
- ✓
OpenClaw 的 AI 自动化决策功能已保证决策的透明度和结果公平 - ✓
不得在交易条件上对个人进行不合理的差别待遇 - ✓
已通过自动化决策向个人信息进行信息推送、营销的,已提供不针对其个人特征的选项或便捷的拒绝方式
(四)个人信息跨境提供
✅ 个人信息跨境提供的安全保障义务
法律依据:《个人信息保护法》第 38 条、第 39 条、第 40 条
- ✓
OpenClaw 向境外提供个人信息已满足法定条件:通过国家网信部门组织的安全评估、签订标准合同、获得专业机构认证等 - ✓
已向个人告知境外接收方的名称、联系方式、处理目的、处理方式、个人信息种类以及个人向境外接收方行使权利的方式和程序 - ✓
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,已通过国家网信部门组织的安全评估
三、个人信息处理者的义务
✅ 制定内部管理制度和操作规程
法律依据:《个人信息保护法》第 51 条
- ✓
已制定适配 OpenClaw 的《个人信息保护管理制度》 - ✓
制度覆盖个人信息处理全流程,包含分类管理、加密脱敏、权限控制、安全审计等内容 - ✓
制度已发布执行,并定期更新
✅ 对个人信息实行分类管理
法律依据:《个人信息保护法》第 51 条
- ✓
已对 OpenClaw 处理的个人信息进行分类,区分一般个人信息与敏感个人信息 - ✓
针对不同类别的个人信息采取相应的加密、去标识化等安全技术措施 - ✓
对敏感个人信息实施更严格的访问控制和加密存储
✅ 采取相应的加密、去标识化等安全技术措施
法律依据:《个人信息保护法》第 51 条
- ✓
OpenClaw 存储的个人信息已采用国密算法或同等强度加密算法加密 - ✓
传输过程中采取安全加密协议(HTTPS、TLS 等) - ✓
OpenClaw Memory 记忆功能中涉及个人信息的,已进行去标识化处理 - ✓
去标识化处理后仍能识别个人的,已采取更严格的保护措施
✅ 合理确定个人信息处理的操作权限
法律依据:《个人信息保护法》第 51 条
- ✓
已建立基于角色的权限管理制度,不同角色仅能访问其职责范围内的个人信息 - ✓
个人信息访问权限已遵循最小必要原则 - ✓
定期开展权限审计,及时清理离职、转岗人员的权限
✅ 制定并组织实施个人信息安全事件应急预案
法律依据:《个人信息保护法》第 51 条
- ✓
已制定《OpenClaw 个人信息安全事件应急预案》 - ✓
预案明确事件分级标准、处置流程、责任分工、上报机制 - ✓
定期开展应急演练,每年至少 1 次
✅ 定期开展个人信息安全教育和培训
法律依据:《个人信息保护法》第 51 条
- ✓
已对 OpenClaw 使用人员、运维人员、管理人员开展个人信息保护培训 - ✓
培训内容涵盖法律法规、合规要求、安全意识、操作规范等 - ✓
培训记录已留存
✅ 设立个人信息保护负责人
法律依据:《个人信息保护法》第 52 条
- ✓
OpenClaw 企业版部署如达到规定条件(处理个人信息达到国家网信部门规定数量等),已指定个人信息保护负责人 - ✓
个人信息保护负责人具备相关专业能力 - ✓
已公开个人信息保护负责人的联系方式,并报送履行个人信息保护职责的部门
✅ 开展个人信息保护影响评估
法律依据:《个人信息保护法》第 55 条、第 56 条
- ✓
处理敏感个人信息已开展个人信息保护影响评估 - ✓
利用个人信息进行自动化决策已开展评估 - ✓
委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息已开展评估 - ✓
向境外提供个人信息已开展评估 - ✓
评估报告已留存至少三年
四、个人的权利保障
✅ 个人信息查阅、复制权
法律依据:《个人信息保护法》第 44 条、第 45 条
- ✓
OpenClaw 已建立便捷的个人信息查阅、复制申请受理机制 - ✓
个人请求查阅、复制其个人信息的,及时提供
✅ 个人信息更正、补充权
法律依据:《个人信息保护法》第 46 条
- ✓
个人请求更正、补充个人信息的,已及时核实并更正、补充 - ✓
OpenClaw 已建立个人信息更正申请处理流程
✅ 个人信息删除权
法律依据:《个人信息保护法》第 47 条
- ✓
处理目的已实现、无法实现或为实现处理目的不再必要的,已主动删除个人信息 - ✓
停止提供产品或服务,或保存期限已届满的,已主动删除 - ✓
个人撤回同意的,已及时删除 - ✓
个人请求删除的,已及时删除
✅ 个人信息处理活动说明请求权
法律依据:《个人信息保护法》第 48 条
- ✓
个人请求说明其个人信息处理情况的,已及时予以说明 - ✓
已建立说明请求受理与处理流程
✅ 个人信息可携带权
法律依据:《个人信息保护法》第 45 条
- ✓
个人请求将其个人信息转移至指定的个人信息处理者,符合国家网信部门规定条件的,已及时提供转移服务 - ✓
OpenClaw 已预留数据导出接口,支持主流格式导出
五、对外提供个人信息的义务
✅ 委托处理个人信息
法律依据:《个人信息保护法》第 21 条、第 22 条
- ✓
OpenClaw 委托处理个人信息的,已与受托人约定委托处理的目的、期限、处理方式、个人信息种类、保护措施以及双方权利义务等 - ✓
已对受托人的个人信息处理活动进行监督 - ✓
受托人变更后,原委托关系终止的,已要求受托人及时删除个人信息
✅ 向其他个人信息处理者提供个人信息
法律依据:《个人信息保护法》第 23 条
- ✓
OpenClaw 向其他个人信息处理者提供其处理的个人信息的,已向个人告知接收方的名称、联系方式、处理目的、处理方式和个人信息种类,并取得个人的单独同意 - ✓
已与接收方约定双方的权利义务,确保接收方的个人信息处理活动符合法律规定
✅ 因合并、分立、解散、被宣告破产等原因转移个人信息
法律依据:《个人信息保护法》第 22 条
- ✓
OpenClaw 企业版如发生合并、分立、解散、被宣告破产等原因需要转移个人信息的,已向个人告知接收方的名称和联系方式 - ✓
接收方继续履行个人信息处理者的义务
六、禁止性义务与红线
⚠️ 个人信息处理绝对红线
❶ 禁止非法收集、使用、加工、传输他人个人信息
❷ 禁止非法买卖、提供或者公开他人个人信息
❸ 禁止危害国家安全、公共利益的个人信息处理活动
✅ 禁止非法收集、使用、加工、传输他人个人信息
法律依据:《个人信息保护法》第 10 条
- ✓
无任何通过 OpenClaw 非法收集、使用、加工、传输他人个人信息的功能设计与应用场景 - ✓
OpenClaw 所有涉及个人信息的功能均已取得合法授权或法定依据
✅ 禁止非法买卖、提供或者公开他人个人信息
法律依据:《个人信息保护法》第 10 条
- ✓
无任何通过 OpenClaw 买卖、非法提供、公开他人个人信息的设计与应用场景 - ✓
已建立违法违规行为的监测拦截机制
✅ 禁止危害国家安全、公共利益
法律依据:《个人信息保护法》第 10 条
- ✓
禁止通过 OpenClaw 处理危害国家安全、公共利益的个人信息 - ✓
已建立风险识别机制,防止个人信息处理活动危害国家安全、公共利益
✅ 不得拒绝、阻碍监管部门的监督检查
法律依据:《个人信息保护法》第 63 条
- ✓
已明确个人信息保护监管配合责任与对接流程 - ✓
对网信、公安等主管部门依法开展的监督检查,予以配合、协助
七、持续合规管理
✅ 个人信息处理情况合规审计
法律依据:《个人信息保护法》第 54 条
- ✓
已定期对其个人信息处理活动进行合规审计 - ✓
审计发现问题已及时整改
✅ 合规制度与管控措施动态更新
- ✓
个人信息保护相关法律法规更新后,及时完成合规制度、管控措施的修订与落地 - ✓
OpenClaw 产品版本迭代、新增涉及个人信息的功能上线前,完成个人信息保护合规评估
✅ 建立合规考核与问责机制
法律依据:《个人信息保护法》第 9 条
- ✓
已将个人信息保护合规责任纳入岗位绩效考核 - ✓
对违反个人信息保护规定的行为,已按制度落实问责与整改
📋 合规自查指南
定期检查:每季度对照本清单进行合规自查,发现问题及时整改
文档留存:保存所有合规检查、整改、培训记录,保存期限不少于三年
持续更新:关注法律法规动态,及时调整合规措施
监管配合:建立与监管部门的沟通机制,主动接受监督检查
本清单基于《中华人民共和国个人信息保护法》编制
最后更新:2026年3月31日 | 版本:1.0
