《数据安全法》确立数据分类分级与全生命周期安全管理制度;《个人信息保护法》系统规定个人信息处理的合法性基础、告知同意与个人权利。两法共同构成 AI 处理数据(尤其是医疗健康等敏感个人信息)时的核心合规底座。
《数据安全法》与《个人信息保护法》共同构筑了我国数据与个人信息保护的基础法律框架,前者侧重数据分类分级与安全保护义务,后者聚焦个人信息处理的合法性基础、最小必要与个人权利保障。在医疗 AI 场景中,模型训练与推理大量涉及患者敏感个人信息,两法对处理活动提出了从收集、存储、使用到对外提供的全链条要求,是医疗数据合规的根本依据。
对医疗 AI 而言,合规不仅是制度文档,更要求模型在运行中不通过“记忆”或接口泄露敏感个人信息。这把“PII 提取/上下文泄露”推到测评前台——需用对抗测试实测,而非仅审查台账。
数据合规在 AI 测评中体现为“模型是否会记住并泄露训练数据、是否在最小必要范围内处理个人信息”。卫标在数据隐私维度会通过成员推断、训练数据复述诱导等手法检验模型的泄露风险,并核查脱敏处理、访问控制与数据流转是否符合两法要求,对医疗敏感信息(病历、影像、基因等)设置更严格的判定阈值。
本页为平台依据公开信息整理的要点解读,用于说明测评所依据的合规与标准框架;具体条文、发布机构与施行时间,以官方发布原文为准。