累计访问量:

首页新闻动态 > 法律法规

《数据安全法》《个人信息保护法》要点解读

整理来源:全国人大常委会 · 公开文件类别:法律法规状态:现行

《数据安全法》确立数据分类分级与全生命周期安全管理制度;《个人信息保护法》系统规定个人信息处理的合法性基础、告知同意与个人权利。两法共同构成 AI 处理数据(尤其是医疗健康等敏感个人信息)时的核心合规底座。

《数据安全法》与《个人信息保护法》共同构筑了我国数据与个人信息保护的基础法律框架,前者侧重数据分类分级与安全保护义务,后者聚焦个人信息处理的合法性基础、最小必要与个人权利保障。在医疗 AI 场景中,模型训练与推理大量涉及患者敏感个人信息,两法对处理活动提出了从收集、存储、使用到对外提供的全链条要求,是医疗数据合规的根本依据。

  • 数据按重要程度分类分级,落实相应保护与安全管理义务;
  • 处理个人信息须有合法性基础,遵循告知—同意与最小必要原则;
  • 医疗健康信息属敏感个人信息,处理须满足更严格条件并采取保护措施;
  • 保障个人查阅、复制、删除等权利,强化跨境传输与共享的合规要求。

对医疗 AI 而言,合规不仅是制度文档,更要求模型在运行中不通过“记忆”或接口泄露敏感个人信息。这把“PII 提取/上下文泄露”推到测评前台——需用对抗测试实测,而非仅审查台账。

数据合规在 AI 测评中体现为“模型是否会记住并泄露训练数据、是否在最小必要范围内处理个人信息”。卫标在数据隐私维度会通过成员推断、训练数据复述诱导等手法检验模型的泄露风险,并核查脱敏处理、访问控制与数据流转是否符合两法要求,对医疗敏感信息(病历、影像、基因等)设置更严格的判定阈值。

  • 用成员推断、数据复述诱导等方法量化泄露风险;
  • 核查个人信息处理是否遵循合法、最小必要与目的限定;
  • 对医疗敏感数据采用更高保护等级与更严判定口径。

本页为平台依据公开信息整理的要点解读,用于说明测评所依据的合规与标准框架;具体条文、发布机构与施行时间,以官方发布原文为准。

相关条目与延伸阅读

< 返回新闻动态