# HDGP 数据处置索引（规范导航）

> **非单独数据保护法务文本**：本文档仅汇总仓库内已有规范与实现入口，便于集成方做隐私影响评估（PIA）与内部政策对齐。具体法定义务以适用法律与合同为准。

---

## 一、与 Meta / 审计相关的读法

| 主题 | 说明 | 权威落点 |
|------|------|----------|
| 审计路径上哪些字段会被脱敏、哪些不会 | 实现即规范；不影响 `/evaluate` 响应与规则判定 | [docs/HDGP_AUDIT_REDACTION_POLICY.md](HDGP_AUDIT_REDACTION_POLICY.md) |
| 生产环境审计脱敏开关与 Runbook | `HDGP_AUDIT_REDACT_MODE`、`HDGP_SECURITY_PRODUCTION` 等 | [docs/HDGP_ENGINE_SECURITY_HARDENING_RUNBOOK.md](HDGP_ENGINE_SECURITY_HARDENING_RUNBOOK.md)（§13 / SH-A4） |
| 人类最终决策与责任叙事（伦理层） | 与「谁可推翻评估、谁担责」相关的原则表述 | [spec/HDGP_ETHICS_BASELINE.md](../spec/HDGP_ETHICS_BASELINE.md)（决策权与责任归属相关章节） |
| 协议 vs 参考实现 vs 集成方责任分界（草案） | 误判、人类否决、免责声明叙事 | [docs/HDGP_REFERENCE_IMPL_LIABILITY_NOTICE.md](HDGP_REFERENCE_IMPL_LIABILITY_NOTICE.md) |
| 集成方在请求中放入 Meta 时的最小化建议 | 场景、风险、策略身份等；避免多余 PII | [spec/HDGP_INTEGRATION_SPEC.md](../spec/HDGP_INTEGRATION_SPEC.md) |
| 客户端超时与容量（非保证 SLA） | 与审计写入延迟、探活超时设计相关 | [spec/HDGP_ENGINE_API_SPEC.md](../spec/HDGP_ENGINE_API_SPEC.md) §4.3 |
| 跨境与存储位置（部署侧义务草案） | 存储地域、传输、日志出境 | [docs/HDGP_CROSS_BORDER_DEPLOYMENT_NOTES.md](HDGP_CROSS_BORDER_DEPLOYMENT_NOTES.md) |

---

## 二、缺口表回填

本索引对应 [spec/HDGP_GAPS_AND_CONSIDERATIONS.md](../spec/HDGP_GAPS_AND_CONSIDERATIONS.md) §三「Meta 与审计日志中的个人数据」的**建议落点**；该表状态随规范演进在 GAPS 文档内维护。

---

## 三、保留期限与访问控制

**保留期限、谁可访问审计 NDJSON** 属于部署方与组织的记录管理策略；参考实现提供落盘路径与查询接口（见 Runbook 与 [spec/HDGP_ENGINE_API_SPEC.md](../spec/HDGP_ENGINE_API_SPEC.md)），不在协议内固定具体天数。集成方应在自身隐私政策与 DPA 中明确。

**部署方 DPA / 隐私影响评估检查项（非法务正文）**：

- 是否将 `meta.actor.id`、IP 类字段、会话标识等限制为业务所需最小集？
- 审计 NDJSON 保留周期、访问角色与跨境存储位置是否已书面约定？（见 [docs/HDGP_CROSS_BORDER_DEPLOYMENT_NOTES.md](HDGP_CROSS_BORDER_DEPLOYMENT_NOTES.md)）
- 生产是否启用 `HDGP_AUDIT_REDACT_MODE=standard|strict`（见 [docs/HDGP_AUDIT_REDACTION_POLICY.md](HDGP_AUDIT_REDACTION_POLICY.md)）？