---
name: data-inventory
description: >
  个人信息盘点——识别产品/业务处理了哪些个人信息，绘制数据流图。
  适用情形：PIPL合规评估的第一步，全面盘点数据资产。
  核心：数据类型×处理目的×存储位置×数据主体范围四维盘点。
argument-hint: "[产品/功能名称] [或描述数据处理场景]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
trigger_phrases:
  - '数据'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
  - '跨境'
---

## 加载上下文

**首次使用时：** 读取 `../CLAUDE.md` 获取场景级配置（法域足迹/数据源/置信度规则）。

# /data-inventory — 个人信息盘点

## 个人信息定义（PIPL第4条）

### 基本信息
- 姓名、出生日期、身份证号码、生物识别信息（人脸/指纹）、住址、电话、电子签名

### 行为数据
- 位置信息、行踪轨迹、浏览记录、搜索记录、收藏记录

### 账户信息
- 账户密码、账户昵称、IP地址、设备信息

### 其他
- 手机imei号、MAC地址、Cookie ID、UDID（设备唯一标识符）
- 与其他信息结合可识别特定自然人的信息

### 敏感个人信息（PIPL第28条，须单独同意）
- 生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、未成年人信息

---

## 四维盘点框架

### 第一维：数据类型

| 类别 | 示例 | 敏感度 |
|---|---|---|
| 身份信息 | 姓名+手机+身份证 | 🟡 中 |
| 账户信息 | 账号+密码+支付信息 | 🔴 高 |
| 行为数据 | 浏览/搜索/位置 | 🟡 中 |
| 设备信息 | IMEI/MAC/设备指纹 | 🟢 低 |
| 敏感信息 | 人脸/指纹/医疗/金融 | 🔴 极高 |

---

### 第二维：处理目的

| 处理目的 | 合法性基础 | 常见场景 |
|---|---|---|
| 用户登录/账户管理 | 合同履行 | 账号注册 |
| 个性化推荐 | 同意/正当利益 | 内容推荐/广告 |
| 安全风控 | 正当利益 | 反欺诈/账户安全 |
| 统计分析 | 正当利益 | 产品优化 |
| 广告推送 | 同意（单独同意） | 定向广告 |
| 履行法定义务 | 法律义务 | 实名认证/数据留存 |

---

### 第三维：数据主体范围

| 主体类型 | 人数量级 | 影响 |
|---|---|---|
| 用户（已注册） | 已知 | 有明确合同关系 |
| 潜在用户（未注册） | 未知 | 须明确告知方式 |
| 员工 | 已知 | 须单独的员工隐私政策 |
| 供应商员工 | 少量 | 须在供应链隐私政策中覆盖 |

---

### 第四维：存储和安全

| 存储位置 | 风险等级 | 备注 |
|---|---|---|
| 国内服务器 | 🟢 低 | 合规存储 |
| 境外服务器 | 🔴 高 | 须出境合规评估 |
| 员工个人设备 | 🔴 高 | 须 MDM 管控 |
| 第三方云服务 | 🟡 中 | 须评估数据托管安全 |

---

## PIPL适用性判断

### 适用门槛

| 条件 | 说明 |
|---|---|
| 在中国境内处理个人信息 | 包括直接在境外处理但面向境内用户 |
| 处理不满14周岁未成年人个人信息 | 须取得其监护人同意 |
| 处理敏感个人信息 | 须单独同意 |

### 触发安全评估的条件（PIPL第40条）

| 条件 | 要求 |
|---|---|
| 处理个人信息达100万人 | 必须做安全评估 |
| 核心数据处理者 | 安全评估+认证 |
| 向境外提供个人信息 | 出境安全评估/标准合同/认证 |

---

## 输出格式

```
## 个人信息盘点结果

### 基本信息
- 产品/功能：[名称]
- 处理个人信息类型：[类型列表]
- 数据主体范围：[用户/员工/...]
- 处理目的：[目的列表]

### 数据流图
[数据收集 → 存储 → 使用 → 共享/出境 → 删除]

### PIPL适用性
- 是否适用：✅/❌
- 是否触发安全评估：✅/❌（处理>100万人）
- 是否处理敏感信息：✅/❌

### 核心合规风险点
| 风险 | 描述 | 风险等级 |
|---|---|---|
| [风险1] | [描述] | 🔴/🟡/🟢 |

### 建议的下一步
[pipl-assessment / data-localization / subject-rights]
```

---

## 数据源

- PIPL全文：[YD] 个人信息保护法第4-32条
- 敏感信息界定：[YD] GB/T 35273-2020 信息安全技术 个人信息安全规范
- 典型违规案例：[GOV] CAC执法案例公告

---

*Greater China Legal — B-phase Scene C data-compliance v1.0.0*
