中国百货商业协会：2023年零售企业数据安全合规管理指南意见征求稿（27页）.pdf

1、I 零售企业数据安全合规管理指南（意见征求稿）中国百货商业协会 2023 年 07 月 2 版权声明 本文件版权属于中国百货商业协会，并受法律保护。转载、摘编或利用其它方式使用本文件文字或者观点的，应注明“来源：中国百货商业协会”。违反上述声明者，编者将追究其相关法律责任。起草专家 刘知函，北京市盈科律师事务所高级合伙人 张 良，北京市盈科律师事务所律师 王秋杨，北京市盈科律师事务所律师 3 前言 数据作为新型生产要素，已成为国家重要资产和我国数字经济发展的基础战略资源。2021 年以来，国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，

2、数据安全合规管理需求愈加明显。零售企业的消费者数据、交易数据、商品数据规模庞大，近年来，消费者法律意识不断提升，国家相关监管机制也在不断完善，对零售企业存储、使用现有数据提出了很高的要求。与此同时，零售企业的数据治理理念和架构又相对传统，形成了数据量大、高要求和低治理水平之间的矛盾，处理不好可能会上升到司法层面的问题。为此，中国百货商业协会联合知名律所北京市盈科律师事务所，结合企业反馈，起草零售企业数据安全合规指南（征求意见稿），围绕数据合规目标、治理框架、治理实践路径展开论述。本指南结合司法实践，系统阐述了数据安全合规的相关管理要求，拟为企业开展数据相关工作提供有效指引。4 目录 1.总则.

3、6 2.数据安全合规管理规划.8 2.1 现状分析.8 2.2 方案规划.8 2.3 方案论证.9 3.数据安全合规管理实践.10 3.1 零售企业涉及的消费者个人信息保护.10 3.1.1 通用要求.10 3.1.2 敏感个人信息的处理.10 3.1.3 个人信息处理规则（隐私政策）的制定.12 3.1.4 定期进行合规审计.12 3.1.5 特定情形下需进行个人信息保护影响评估.12 3.2 数据安全组织建设.13 3.2.1 组织架构.13 3.2.2 授权和审批.14 3.2.3 数据安全管理人员.14 3.3 数据安全管理制度.15 3.3.1 制定安全策略.15 3.3.2 建立数

4、据安全管理制度体系.15 3.3.3 制定和发布.15 3.3.4 评审和修订.16 3.4 数据资产盘点.16 3.4.1 盘点范畴.16 3.4.2 盘点方法和过程.17 3.5 数据分类分级.18 3.5.1 数据分类分级实施流程.18 3.5.2 数据分级框架.20 3.6 零售企业数据全生命周期保护要求.21 3.6.1 数据收集安全.21 3.6.2 数据传输安全.21 3.6.3 数据存储安全.22 3.6.4 数据使用、加工安全.22 3.6.5 数据交换和共享安全.23 3.6.6 数据出境安全.23 3.6.7 数据销毁安全.24 3.7 算法合规管理要求.24 3.8 数

5、据安全事件应急响应.25 3.8.1 制定应急预案.25 3.8.2 制定应急演练计划.26 5 3.8.3 安全事件的报告.26 3.8.4 事件取证小组及职责.26 3.8.5 做好安全事件记录.27 6 1.总则总则 1.1 为推动零售企业全面加强数据安全合规管理，规范零售企业数据处理活动，保障企业数据安全，促进企业健康发展，保护个人、组织的合法权益，维护国家经济安全和社会稳定，提升零售企业数据治理能力及数据安全保护水平，根据中华人民共和国数据安全法中华人民共和国个人信息保护法中华人民共和国网络安全法中华人民共和国电子商务法中华人民共和国消费者权益保护法数据出境安全评估办法 网络交易监督

6、管理办法中央企业合规管理办法等有关法律法规规定，制定本指南。1.2 本指南适用于百货商店、购物中心、奥特莱斯、大型超市、专卖店，日用工业品的零售、批发和生产企业等，以及上述企业的线上业态（以下称“零售企业”）。1.3 中国百货商业协会负责协同其他监管单位，监督指导零售企业数据安全合规管理工作。1.4 零售企业应当对本企业工作中收集和产生的数据和数据安全承担主体责任。数据安全合规管理是合规管理体系的专项重点领域，已建立合规管理体系的零售企业，应在现有合规管理体系的基础上，进行专项深化管理。数据安全风险较高的零售企业，必须将数据安全合规作为重点领域进行专项管理。达到以下条件之一的，视为数据安全风险