---
name: pipl-assessment
description: >
  PIPL合规评估checklist——对照PIPL核心要求，评估合规差距。
  适用情形：data-inventory完成后，对照PIPL全面评估合规状态。
  核心：合法性基础→告知义务→同意管理→数据安全→主体权利五模块。
argument-hint: "[产品名称] [或个人信息来源：app/网站/线下]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: high
trigger_phrases:
  - '个人信息保护'
  - '评估'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
---

## 加载上下文

**首次使用时：** 读取 `../CLAUDE.md` 获取场景级配置（法域足迹/数据源/置信度规则）。

# /pipl-assessment — PIPL合规评估checklist

## 五大合规模块

---

### 模块一：合法性基础（第13条）

**PIPL规定的六种合法性基础（满足其一即可）：**

| 合法性基础 | 说明 | 适用场景 |
|---|---|---|
| 同意 | 个人信息主体明确同意 | 个性化推荐/广告/非必要处理 |
| 合同履行 | 为订立/履行合同所必要 | 用户服务所必须的功能 |
| 法律义务 | 履行法定义务 | 反洗钱/实名认证/数据留存 |
| 正当利益 | 利益权衡不过分损害个人利益 | 安全风控/内部管理 |
| 紧急情况 | 保护生命健康 | 紧急联系人 |
| 公共利益 | 新闻报道/舆论监督等 | 新闻报道 |

**⚠️ 关键判断：处理目的是否是"必要的"**

---

### 模块二：告知义务（第17条）

**必须告知的内容：**

| 告知项 | 说明 | 风险 |
|---|---|---|
| 处理目的 | 处理目的须具体明确 | ⚠️ "改善用户体验"等模糊表述不够 |
| 处理方式 | 自动化决策须说明 | ⚠️ 算法推荐须特别说明 |
| 种类和数量 | 收集的个人信息类型和数量 | ⚠️ 过度收集 |
| 存储期限 | 存储多长时间 | ⚠️ 过长存储 |
| 共享/提供给第三方 | 第三方的身份和目的 | ⚠️ 未披露 |
| 境外提供 | 如有，须说明 | 触发出境合规 |

**告知方式要求：**
- 显著位置公开隐私政策（不得捆绑在服务协议中）
- 敏感信息须单独同意（不得一揽子同意）

---

### 模块三：同意管理

#### 同意撤回

**要求：** 个人信息主体可以撤回同意，撤回后不得影响撤回前基于同意的处理

**实现要点：**
- 提供撤回同意的便捷路径（与给予同意同等便捷）
- 撤回后停止相关数据处理
- 不得设置障碍（复杂流程/多次点击）

#### 单独同意的场景

| 场景 | 要求 | 实现方式 |
|---|---|---|
| 向第三方提供个人信息 | 单独同意 | 弹窗/页面跳转确认 |
| 公开个人信息 | 单独同意 | 单独弹窗确认 |
| 敏感信息处理 | 单独同意 | 单独弹窗+明示处理必要性 |
| 境外提供 | 单独同意 | 出境专项同意 |
| 自动化决策 | 可关闭/拒绝 | 提供关闭选项 |

---

### 模块四：数据安全

#### 安全措施要求（第51条）

| 要求 | 说明 |
|---|---|
| 管理制度 | 建立个人信息保护管理制度 |
| 分类分级 | 对个人信息分类分级管理 |
| 加密/去标识化 | 敏感信息须加密或去标识化处理 |
| 访问控制 | 最小授权原则 |
| 安全培训 | 员工安全意识培训 |
| 应急预案 | 制定应急预案 |

#### 个人信息保护负责人（第52条）

| 条件 | 要求 |
|---|---|
| 处理>100万人个人信息 | 须指定负责人，并报省级网信部门 |
| 核心数据处理者 | 须指定负责人，并报省级网信部门 |

---

### 模块五：个人信息主体权利（第44-50条）

| 权利 | 说明 | 响应时限 |
|---|---|---|
| 知情权 | 了解信息处理情况 | — |
| 决定权 | 控制个人信息处理 | — |
| 查阅复制权 | 查阅/复制个人信息 | 15日内提供 |
| 更正权 | 更正不准确信息 | 15日内更正 |
| 删除权 | 撤回同意/目的实现/违法处理时删除 | 15日内删除 |
| 解释说明权 | 要求解释处理规则 | — |
| 撤回同意权 | 撤回同意 | — |
| 逝者信息权 | 亲属可代为行使（限定范围） | — |

**⚠️ 拒绝处理的例外：**
- 涉及国家安全/国防安全
- 公共安全/公共卫生
- 重大公共利益
- 刑事侦查/起诉/审判
- 法律规定的其他情形

---

## 合规评估评分

| 模块 | 合规项数 | 总项数 | 得分 |
|---|---|---|---|
| 合法性基础 | /6 | | /100 |
| 告知义务 | /7 | | /100 |
| 同意管理 | /5 | | /100 |
| 数据安全 | /6 | | /100 |
| 主体权利 | /7 | | /100 |

**综合评分：五模块平均分**

---

## 输出格式

```
## PIPL合规评估结果

### 综合评分
[综合评分]/100

### 各模块评分
| 模块 | 评分 | 主要问题 |
|---|---|---|
| 合法性基础 | X/100 | [问题] |
| 告知义务 | X/100 | [问题] |
| 同意管理 | X/100 | [问题] |
| 数据安全 | X/100 | [问题] |
| 主体权利 | X/100 | [问题] |

### 高风险问题（须立即整改）
| 问题 | 描述 | 依据 | 整改建议 |
|---|---|---|---|
| [问题1] | [描述] | [法条] | [建议] |

### 中风险问题（近期整改）
| 问题 | 描述 | 依据 | 整改建议 |
|---|---|---|---|

### 低风险问题（持续改进）
| 问题 | 描述 | 依据 | 整改建议 |
|---|---|---|---|
```

---

## 数据源

- PIPL全文：[YD] 个人信息保护法
- 安全规范：[YD] GB/T 35273-2020
- 执法案例：[GOV] CAC官网 / 网信办执法案例公告
- 评估标准：[YD] 数据安全法 / 个人信息出境标准合同办法

---

*Greater China Legal — B-phase Scene C data-compliance v1.0.0*
