Claude Code 使用安全合规红线 v1

适用范围：公司全体员工，凡使用 Claude Code（含官方订阅与第三方中转接入）处理任何与公司业务、客户、员工相关的信息均适用。 文档性质：强制规范。违反红线条款将按违规等级处理（见第七部分）。 起草人：[占位：起草人姓名/工号]　审核：[占位：法务/IT/安全审核签字]　生效日期：[占位：YYYY-MM-DD] 上次更新：[占位：YYYY-MM-DD]

前置摘要（管理层 1 页速读版）

核心结论：CC 是生产力工具，不是数据保险柜。能不能用得安全，本质是"什么数据可以发出去"+"通过什么通道发出去"两件事说清。

三大风险区（按严重度排）：

1. 客户 PII 与订单/支付数据外流 —— 电商业务最大风险点。客户姓名/电话/地址/身份证、订单号+金额组合、支付凭证若直接贴入 CC 对话窗口，等同于发送至外部模型方与（如使用）第三方中转方。
2. 跨境数据传输不合规 —— 跨境电商涉及 EU 客户（GDPR）、个保法（PIPL）跨境传输专章。Claude 服务器位于境外，未脱敏的客户信息发送出去即构成跨境传输。
3. 第三方中转链路二次截留 —— 公司目前混用官方订阅 + 第三方中转，中转代理商存在留存对话日志的可能性。供应商资质未评估即使用，等于把数据交给一个未经审计的第四方。

关键管控措施（v1 启动期 6 项）：

1. 数据分级：四级分类，L3/L4 数据进入 CC 前必须脱敏。
2. 接入收口：第三方中转必须使用公司白名单服务，禁止个人自行选择代理。
3. 账号管理：官方订阅必须公司邮箱注册，离职当日回收。
4. 仓库规范：所有项目根目录必须配置 .claudeignore，敏感仓库禁用 CC。
5. 跨境数据：欧盟/美国客户相关信息，未脱敏一律不入 CC。
6. 事件响应：发现敏感数据外发，30 分钟内上报 [占位：#cc-security 频道]，按 SOP 处置。

第一部分　适用范围与基本原则

1.1 适用范围

• 凡使用 Claude Code 处理任何公司业务相关内容（代码、文档、表格、对话、客户数据、订单数据、培训资料等），均适用本规范。
• 个人学习用途使用 CC（无任何公司数据），不在本规范约束范围。
• 凡公司分发的 API Key、官方订阅账号、白名单中转通道，均视为"公司接入"，受本规范约束。

1.2 三个基本原则

1. 最小必要原则：交给 CC 的数据，只能是完成任务所必需的最小集合。能脱敏的不传原值，能不传的不传。
2. 分级管控原则：数据按敏感度分四级（见第二部分），不同级别走不同处理路径。
3. 可追溯原则：所有"用 CC 处理过的客户/订单/财务相关任务"，需在团队周报或工作记录中留痕，便于事后审计。

1.3 谁来管（角色定义）

第二部分　数据分级与红线（全员必读）

2.1 四级数据分类

2.2 电商场景特有红线（按业务高频度排）

国内电商场景：

• 客户姓名 + 手机号 + 地址（任两项组合即 L3）—— 必须脱敏
• 身份证号、银行卡号、支付密码 —— L4，绝对禁止
• 订单号 + 金额 + 时间组合 —— L3，必须打码或替换
• 平台后台截图（淘宝/拼多多/抖音店铺后台等）—— 截图前必须打码买家昵称、订单号、手机尾号
• 退款/纠纷工单原文（含买家完整对话）—— L3，需脱敏处理
• 店铺核心数据（GMV、转化率明细到 SKU）—— L3，仅供分析，禁止贴入个人订阅 CC

跨境电商场景（额外）：

• 欧盟客户的任何 PII（姓名/邮箱/地址/IP）—— 受 GDPR 约束，未脱敏严禁外发
• 美国客户敏感数据 —— CCPA 适用州（加州等）需额外注意
• 跨境支付通道（PayPal/Stripe/连连等）的账户信息、API 凭证 —— L4，禁止
• 海关申报数据、HS 编码与对应客户信息 —— L3，脱敏后可用

电商培训业务场景：

• 学员真实姓名 + 联系方式 + 付费记录 —— L3，必须脱敏
• 学员完整学习档案、心理评估、私人沟通记录 —— L4，禁止
• 培训客户（B 端学员公司）的店铺真实数据 —— L3，需获取该客户书面授权后方可使用脱敏版本

2.3 通用红线（任何业务场景）

• 公司未公开的财务数据（季度报表、预算、成本结构）—— L3
• 员工个人信息（薪资、身份证、家庭住址、绩效）—— L3/L4
• 公司商业合同、合作协议（含价格条款）—— L3
• 公司账号密码、API Key、Token、SSH Key、私钥 —— L4
• 尚未发布的新业务、并购、人事变动信息 —— L4

第三部分　接入方式与账号管理

3.1 公司目前的接入方式

公司当前混用两种接入：

1. Claude 官方订阅（Max/Pro） —— 用于个人订阅、轻量任务
2. 第三方中转/代理 —— 用于统一 Key 管理、降本、网络访问便利

两种方式均被允许，但必须遵守以下规范。

3.2 官方订阅账号规范

• ✅ 必须使用公司邮箱（@[占位：公司域名]）注册
• ✅ 账号开通需在 [占位：账号申请工单链接] 留档
• ❌ 严禁使用个人邮箱注册的账号处理公司业务
• ❌ 严禁两人共用一个账号（违反 Anthropic 服务条款 + 无法审计）
• ⏰ 离职/转岗当日，账号由 IT 回收并注销
• 🔐 账号密码禁止保存在任何明文文件（含 CC 对话历史）

3.3 第三方中转/代理规范

• ✅ 仅可使用公司白名单中转服务，名单见 [占位：白名单 wiki 链接]
• ✅ 中转使用的 API Key 由公司统一发放，按人头登记
• ❌ 严禁自行注册其他中转服务并配入 CC（无论"听说便宜"或"听说更稳定"）
• ❌ 严禁将公司 Key 配入个人电脑外的任何设备（含个人云主机、家庭 PC）
• 🔍 IT 季度审计中转服务商资质，未通过 DPA（数据处理协议）审核的供应商即时下架

3.4 API Key 管理

• 所有 Key 集中由 [占位：归口部门] 申请、保管、回收
• 个人禁止在 GitHub/Gitlab/任何公开仓库提交 Key（即使是测试 Key）
• Key 配置位置：~/.claude/ 或 CC Switch 加密存储，禁止明文写入项目代码
• 发现 Key 泄露：30 分钟内上报，由归口部门吊销并补发新 Key

第四部分　使用场景红线（Do / Don't 清单）

4.1 绿区（鼓励放心用）

• 写营销文案、商品详情、客服话术模板（不含真实订单/客户数据）
• 整理培训讲义、SOP、操作手册
• 处理已脱敏的运营数据分析（销量趋势、品类对比，不带个人信息）
• 写代码、改 Bug、做代码 Review（无客户数据耦合的项目）
• 翻译、润色、会议纪要整理（不含敏感决策）

4.2 黄区（脱敏后可用）

• 客户咨询/退款 Case 复盘 → 必须先把姓名、手机、订单号替换为占位符
• 跨境客户邮件回复模板 → 客户邮箱、地址必须脱敏为示例
• 运营数据深度分析（涉及客户画像）→ 仅传入聚合后数据，禁传明细行
• 平台后台截图分析 → 截图工具或手动打码买家信息

4.3 红区（绝对禁止）

• ❌ 把客户原始 Excel 表（含手机号/地址列）整张拖给 CC
• ❌ 把支付凭证、银行流水截图丢给 CC 让它"分析"
• ❌ 把员工花名册（含薪酬、身份证）让 CC 整理
• ❌ 把跨境客户原始订单数据让 CC 写报告
• ❌ 把公司商业合同（含价格、保密条款）让 CC 总结
• ❌ 把尚未发布的财务/战略文件让 CC 帮忙做 PPT
• ❌ 让 CC 写"绕过 XX 平台规则""刷单脚本""仿冒话术"等违法或违反平台 ToS 的内容

4.4 典型翻车场景（真实案例改编，反复看）

场景 1：运营同学把"双 11 退款客户名单.xlsx"原表（含 800 个客户姓名+手机+订单号+退款金额）整张拖入 CC，让它"帮我分类退款原因"。

• ❌ 红区违规：800 条 PII 一次性外发，且经第三方中转可能留存。
• ✅ 正确做法：先用脱敏脚本把姓名→"客户A/B/C..."、手机→"139****1234"、订单号→序号，再让 CC 分析。

场景 2：跨境运营把欧盟客户邮件原文（含完整邮箱、地址、订单详情）粘入 CC，让它"帮我写个回复"。

• ❌ 红区违规：GDPR 项下未授权跨境传输，单笔可触发监管处罚。
• ✅ 正确做法：把客户具体信息抽离，只描述场景（"客户问 XX 商品何时到货，订单已发出 7 天"），让 CC 写模板，自己填回真实信息后发出。

场景 3：技术同学把含 .env（内含数据库密码、支付通道密钥）的项目整个目录交给 CC 改代码。

• ❌ 红区违规：L4 凭证外泄，可被用于直接攻击。
• ✅ 正确做法：项目根目录配置 .claudeignore 排除 .env、secrets/、*.key、*.pem 等，并在 CC 启动前 cat .claudeignore 自检。

场景 4：HR 同学让 CC 整理"全员薪资调整表"。

• ❌ 红区违规：员工 L3 数据，且属未公开决策。
• ✅ 正确做法：薪资类工作不入 CC，用本地工具处理。

场景 5：培训运营把 200 名学员的"完整档案+付费记录"上传，让 CC 写续费分析。

• ❌ 红区违规：学员 L3/L4 数据批量外发。
• ✅ 正确做法：只传聚合数据（按课程、按城市、按付费档位的统计行），不传个体明细。

场景 6：技术同学截图把 GitHub 仓库里某文件的内容（含一段 OAuth Token）发给 CC 问"这段为啥报错"。

• ❌ 红区违规：Token 即时失效价值 = 即时被滥用风险。
• ✅ 正确做法：截图前手动打码，或先把 Token 换成 <TOKEN> 占位符再贴。

第五部分　代码与仓库规范（研发/技术岗必读）

5.1 必选配置：`.claudeignore`

每个使用 CC 的项目根目录，必须配置 .claudeignore 文件，至少排除以下内容：

# 凭证类
.env
.env.*
secrets/
**/credentials.json
*.key
*.pem
*.p12

# 客户数据快照
data/customers/
data/orders/
exports/
*.csv
*.xlsx

# 日志与备份
logs/
*.log
*.bak
*.dump

# 第三方依赖（无需 CC 读取）
node_modules/
vendor/
.venv/

各业务线可在此基础上追加，但不可减少凭证类与客户数据类条目。

5.2 敏感仓库标识

• 处理客户 PII / 订单 / 支付的核心仓库，由 [占位：归口部门] 统一标注为"敏感仓库"。
• 敏感仓库默认禁用 CC，确需使用须经技术负责人审批 + 配置加强版 .claudeignore。
• 敏感仓库列表见 [占位：敏感仓库清单 wiki]。

5.3 提交前规范

• CC 生成的代码合并主干前，必须人工 Review，重点检查：

- 是否引入硬编码的 API Key、Token、密码 - 是否输出客户数据到日志或临时文件 - 是否调用未在白名单的外部接口

• Review 通过的 commit message 建议标注 [CC-assisted]，便于后续审计抽样。

5.4 Hooks 强制项（v1 启动期）

公司模板版 ~/.claude/settings.json 中已预置以下 Hook，禁止本地关闭：

• PreToolUse：拦截 rm -rf、对 .env* 的写入、对 secrets/ 的读取
• PostToolUse：对所有写入操作做日志留痕（落本地，季度抽查）

完整模板见 [占位：CC 配置模板仓库]。

第六部分　跨境数据特别规定

6.1 适用情形

凡处理涉及以下任一类客户/数据的，均适用本部分：

• 欧盟成员国自然人（GDPR）
• 英国自然人（UK GDPR）
• 美国加州、弗吉尼亚、康涅狄格等已立法州自然人（CCPA 等）
• 中国大陆出境数据（PIPL 第三章）

6.2 关键规则

1. 未脱敏的境外自然人数据，一律禁止入 CC（包括官方订阅与中转）。Claude 服务器位于境外（主要为美国），任何上传即构成跨境传输。
2. 已脱敏的境外客户数据（无法关联到具体自然人）可使用，但需在工作记录中注明"已脱敏使用"。
3. PIPL 项下，向境外提供个人信息需同时满足"单独同意 + 安全评估/认证/标准合同"，目前公司未完成上述任一项，故出境数据明细不得入 CC。
4. 跨境业务报告/分析类工作，仅传入聚合数据（最少满足 K-匿名 K≥10 的统计行），不传明细。

6.3 法务咨询通道

跨境数据具体场景判定有疑问，先停手，去 [占位：法务咨询入口] 提单，48 小时内回复。

第七部分　事件响应与违规处理

7.1 发现敏感数据外发后的处置 SOP

按以下顺序立即执行（30 分钟内完成 1-3 步）：

1. 停手：立即关闭当前 CC 会话，记录会话 ID 与时间戳。
2. 上报：在 [占位：#cc-security 频道] 报告，附事件简述（什么数据、走哪条通道、范围）。
3. 取证：保留 CC 会话历史、相关截图，禁止本人删除任何记录。
4. 止损（24 小时内）：由 IT/安全归口介入，吊销相关 Key、联系中转方请求删除日志、评估通知客户必要性。
5. 复盘（72 小时内）：填写《CC 数据事件复盘表》[占位：模板链接]，归档至安全事件库。

7.2 违规分级与处理

7.3 鼓励主动上报

主动上报本人误操作（在被发现前），降一级处理。隐瞒不报但事后被发现，升一级处理。

第八部分　管控机制（安全/IT/法务参阅）

8.1 账号与 Key 审计

• 频率：每季度
• 内容：账号活跃度、共享账号检测、离职未回收账号清理、Key 使用量异常排查
• 责任方：[占位：归口部门]
• 输出：季度审计报告，归档于 [占位：审计档案目录]

8.2 第三方中转供应商管理

• 入选门槛（任一不满足即不可入白名单）：

1. 提供完整 DPA（数据处理协议） 2. 承诺不留存对话日志，或留存期限明确（≤7 天）且支持按需删除 3. 服务器物理位置可披露，且符合公司跨境数据策略 4. 通过 ISO 27001 或同等安全认证（或承诺一年内通过） 5. 提供应急联系人与事件响应 SLA（≤4 小时响应）

• 评估周期：每年至少 1 次，遇供应商重大变更（被收购、改名、改服务条款）即时复评
• 评估清单见附录 B

8.3 日志与抽查

• CC 客户端 Hook 落本地操作日志（不含对话原文，仅记录文件读写、命令执行）
• 季度由 [占位：归口部门] 抽样 5%-10% 员工日志做合规抽查
• 抽查发现违规走第七部分流程

8.4 规范迭代

• 频率：每季度 review，每半年发布主要版本（v1 → v2 → ...）
• 触发临时更新：发生重大事件、监管法规变化、Anthropic 服务条款重大变更
• 维护责任人：CC 推动负责人 + 安全/法务归口联签

附录 A　电商场景脱敏示例

A.1 客户信息字段脱敏对照

A.2 一键脱敏工具

公司已开源脱敏脚本：[占位：脱敏脚本仓库链接]

使用方法：

# Excel 表脱敏
python desensitize.py --input customers.xlsx --output customers_safe.xlsx

# 文本脱敏（自动识别手机/身份证/邮箱/银行卡）
python desensitize.py --text "张三的手机是13912345678" 
# 输出：客户A的手机是139****5678

强烈建议：处理任何含 PII 的数据前，先过一遍此脚本，再进入 CC 流程。

A.3 截图脱敏

• macOS 推荐：[占位：推荐工具]（带打码功能）
• Windows 推荐：[占位：推荐工具]
• 切勿使用在线打码网站（数据二次外流）

附录 B　第三方中转供应商评估 Checklist

供应商接入白名单前，需评估方逐项打勾。任一项标 ✗ 即拒绝。

□ 提供 DPA（数据处理协议）原件
□ 明确日志留存策略（不留存 / 留存 ≤7 天 / 支持按需删除）
□ 服务器物理位置披露
□ ISO 27001 或同等认证（或一年内承诺）
□ 应急联系人与 SLA 明确（响应 ≤4 小时）
□ 主体公司工商信息可查，无重大法律纠纷
□ 不向第三方共享对话内容（书面承诺）
□ 支持 IP 白名单/账号绑定等访问控制
□ 计费模式与对账机制清晰
□ 提供试用期至少 14 天用于安全评估
评估人：__________  评估日期：__________
评估结论：□ 通过　□ 拒绝　□ 待整改

模板可下载：[占位：评估表模板链接]

附录 C　常见违规案例与处置（持续更新）

C.1 案例库

本节由实际发生的事件脱敏后归档，作为培训素材。新员工入职 CC 培训时必读。

（v1 暂为空，后续按事件发生持续填充。）

C.2 月度通报机制

• [占位：归口部门] 每月 1 日发布上月违规简报（脱敏后）
• 简报渠道：[占位：沟通渠道]
• 目的：以案促学，不点名个人

版本记录

写在最后：这份文档不是为了限制你，是为了让你"放心地用"。看不懂、判断不准、拿不定主意，都去 [占位：#cc-helpdesk] 问，比自己赌一把强得多。