← agilist.cn 爱科拓 企业 AI 安全产品 · 核心开源


合规 · Compliance

中国 AI 合规 Ready

PIPL · 网安法 · 生成式 AI 管理办法 · 等保 2.0
条款 × 能力 × Evidence 三列完整映射

白皮书下载中心

所有白皮书基于 Argus Gateway 实际能力 · 不是营销 claim

可下载

PIPL 合规白皮书 v0.1

个人信息保护法条款 × Argus Gateway 能力映射示意。条款对照 + Evidence 方向性示例。

↓ 下载 PDF
可下载

Argus Gateway 部署 DPIA 清单 v0.1

PIPL 第 55 条数据保护影响评估模板 · 22 项控制 / A-E 五类 / Argus Gateway 自动化支撑字段映射。

↓ 下载 PDF
可下载

生成式 AI 管理办法 合规白皮书 v0.1

《生成式人工智能服务管理暂行办法》5 条核心要求(第 4 / 7 / 14 / 17 / 19 条)× Argus Gateway 能力方向。明确"代理网关、非算法主体"定位。

→ 在线查看
可下载

等保 2.0 三级 对照白皮书 v0.1

GB/T 22239-2019 三级 11 项控制项(安全通信网络 1 / 安全计算环境 8 / 安全管理中心 2)× Argus Gateway 能力 × evidence 字段。产品级符合性自评说明,供测评机构对照参考。

→ 在线查看
可下载 · draft

等保 2.0 三级 符合性自评报告 v0.1-draft

GB/T 22239-2019 三级 18 项控制详细自评(8.1.2 通信 / 8.1.3 边界 / 8.1.4 计算环境 10 项 / 8.1.5 管理中心 4 项)× Argus Gateway 实现 × 证据指针 × 客户责任边界。含封面、签章位、draft 水印。供测评机构按条打分。

→ 在线查看 ↓ 下载 PDF

合规对照总表

条款 → Argus Gateway 能力 → Evidence

下表示意主要法规条款与 Argus Gateway 能力的对应方向。evidence 字段以实际部署 admin 后台为准,详细映射见 PIPL 白皮书。

法规条款 要求 Argus Gateway 能力方向
PIPL 第 10 条 合法、正当、必要处理个人信息 多层 PII 脱敏 · 只转发必需字段到上游 LLM
PIPL 第 19 条 合理期限内存储 审计日志可配置保留期 · 自动清理
PIPL 第 38-40 条 数据出境审批(跨境) 国产 LLM 后端路由(数据不出境)· 地域路由策略
PIPL 第 55 条 DPIA(数据保护影响评估) DPIA 清单模板 v0.1 可下载 · Argus Gateway 部署自评 22 项控制
网安法 第 21 条 网络日志留存 6 个月 审计日志长期存储 · 可配置保留期
网安法 第 37 条 关键信息基础设施数据境内存储 本地 / 私有云部署 · 自托管无外部依赖
生成式 AI 管理办法 第 7 条 训练数据来源合法 Argus Gateway 为 gateway,不存储推理内容用于训练
生成式 AI 管理办法 第 14 条 安全评估备案材料 Argus Gateway 提供算法 / 训练数据 / 安全机制技术说明,支持客户自制备案材料
等保 2.0 第三级 身份鉴别 / 访问控制 Admin 鉴权 + API Key · RBAC 权限矩阵
等保 2.0 第三级 安全审计 全链路审计 · 操作 / 访问 / 数据流日志
等保 2.0 第三级 剩余信息保护 PII 脱敏后原文不落盘 · 还原 key 内存级不持久化

结构化审计

每个 AI 请求都可追溯 · 合规证据链结构化

Argus Gateway 为每个 LLM 请求生成结构化审计日志,覆盖请求方身份、PII 检出、路由决策、上游后端、响应时长、成本归因等维度。

审计可按部门 / PII 类型 / 上游 / 用户聚合,导出 CSV / JSON 对接企业 SIEM 或合规审计系统。 字段 schema 在部署时随 admin 后台提供。

DPIA 与部署评估

企业装 Argus Gateway 前的合规自评工具

Argus Gateway 部署 DPIA 清单 v0.1

PIPL 第 55 条要求企业部署 AI 系统前进行数据保护影响评估(DPIA)。本清单基于 §55,覆盖 5 大类 22 项控制:

  • A. 处理活动识别(目的 / 主体 / 规模)
  • B. 数据流映射(PII 类别 / 来源 / 上游 / 跨境)
  • C. 必要性与合法性(法律依据 / 最小必要 / 知情 / 保留期)
  • D. 风险识别(未授权访问 / 残留 / 再识别 / 自动化决策 / 出境)
  • E. 缓解措施(脱敏 / 访问控制 / 审计 / 应急响应 / 残留风险)

清单中多项可由 Argus Gateway 管理后台直接导出作为 evidence(PII 引擎命中统计 / 路由审计 / 访问记录 / 保留期配置)。

↓ 下载 PDF (v0.1)    或在线查看 →

按 PIPL 第 55 条要求,DPIA 记录至少保存 3 年。本清单为模板起点,不替代企业合规主体责任。

常见合规问题

部署前企业最关心的 6 个问题

Q1: Argus Gateway 和 AI 上游之间的数据流,PIPL 上算"委托处理"还是"共同处理"?

企业是数据控制者,Argus Gateway 是数据处理者。PIPL 第 21 条委托处理关系——需要签 DPA(数据处理协议)。Argus Gateway 提供标准 DPA 模板供法务 review。

Q2: 数据跨境怎么处理?能不能合规使用 GPT-4 / Claude?

Argus Gateway 默认路由国产 LLM(数据不出境)。业务若必须用 OpenAI / Anthropic 等海外后端,需按 PIPL 第 38-40 条做数据出境评估,并配合地域路由策略做脱敏层隔离。

Q3: 审计日志能否被修改?满足"防篡改"要求吗?

Argus Gateway 审计层规划了防篡改机制(hash chain),以满足网安法第 21 条"防止被删除、修改"要求。具体形态随版本演进。

Q4: 员工聊天内容会不会作为训练数据?

不会。Argus Gateway 是 gateway 不是 SaaS,只做转发和审计。我们不存储推理内容用于任何训练。脱敏 key 内存级,重启即失,不落盘。此条写入 DPA。

Q5: 生成式 AI 管理办法要求的"算法备案"Argus Gateway 怎么支持?

Argus Gateway 是 gateway 不是算法提供方,无需自行备案。上游 LLM 后端若在备案范围内,Argus Gateway 提供算法原理 / 训练数据归属 / 安全机制等技术说明,帮助客户自行完成备案。

Q6: /v1/embeddings/v1/moderations 为什么不默认脱敏?

这两个接口 默认禁用(返 501)。在 admin 后台 opt-in 后走 透传 + 审计(不脱敏) 路径。原因:脱敏会破坏 embedding 向量语义(RAG 静默跑偏)、让 moderation 漏判。如需 PII 保护的 embedding,推荐本地 embedding 模型(如 text2vec-base-chinese)+ 完全私有部署。启用后每次请求仍带审计日志(endpoint / model / PII 命中统计)。详见 诚实的边界

合规团队需要具体 Evidence?

申请 demo 我们一起走一遍审计日志 / DPIA 填写 / 合规 PDF 导出

申请 demo → 下载 PIPL 白皮书 v0.1 下载 DPIA 清单 v0.1

免责声明:本页所述等保 2.0 / PIPL / 网安法 / 生成式 AI 管理办法等合规对照,均为 Argus Gateway 的产品级符合性自评说明,不属于、也不替代由具备资质的等级保护测评机构(或相应监管认可机构)依法开展的等级测评 / 合规评估,亦不构成等保认证或“已通过等保”的结论。信息系统的定级、备案、测评与合规主体责任,依法由客户作为网络运营者 / 个人信息处理者承担(“谁运营谁负责”原则)。本页内容供客户及其委托的测评机构对照参考,不构成法律意见。