零售企业数据安全合规管理指南（征求意见稿）

I 零售企业数据安全合规管理指南 （意见征求稿） 中国百货商业协会 2023 年 07 月 2 版权声明 本文件版权属于中国百货商业协会，并受法律保护。转载、摘编或利用其它方式使用本文件文字或者观点的，应注明“来源：中国百货商业协会”。违反上述声明者，编者将追究其相关法律责任。 起草专家 刘知函，北京市盈科律师事务所高级合伙人 张 良，北京市盈科律师事务所律师 王秋杨，北京市盈科律师事务所律师 3 前言 数据作为新型生产要素，已成为国家重要资产和我国数字经济发展的基础战略资源。2021 年以来，国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，数据安全合规管理需求愈加明显。 零售企业的消费者数据、交易数据、商品数据规模庞大，近年来，消费者法律意识不断提升，国家相关监管机制也在不断完善，对零售企业存储、使用现有数据提出了很高的要求。与此同时，零售企业的数据治理理念和架构又相对传统，形成了数据量大、高要求和低治理水平之间的矛盾，处理不好可能会上升到司法层面的问题。 为此，中国百货商业协会联合知名律所北京市盈科律师事务所，结合企业反馈，起草《零售企业数据安全合规指南（征求意见稿）》，围绕数据合规目标、治理框架、治理实践路径展开论述。本指南结合司法实践，系统阐述了数据安全合规的相关管理要求，拟为企业开展数据相关工作提供有效指引。 4 目录 1.总则 ............................................................................................................................................. 6 2.数据安全合规管理规划 ......................................................................................................... 8 2.1 现状分析 ....................................................................................................................... 8 2.2 方案规划 ....................................................................................................................... 8 2.3 方案论证 ....................................................................................................................... 9 3.数据安全合规管理实践 ....................................................................................................... 10 3.1 零售企业涉及的消费者个人信息保护 ............................................................... 10 3.1.1 通用要求 ......................................................................................................... 10 3.1.2 敏感个人信息的处理 .................................................................................. 10 3.1.3 个人信息处理规则（隐私政策）的制定 .............................................. 12 3.1.4 定期进行合规审计 ....................................................................................... 12 3.1.5 特定情形下需进行个人信息保护影响评估 ......................................... 12 3.2 数据安全组织建设 ................................................................................................... 13 3.2.1 组织架构 ......................................................................................................... 13 3.2.2 授权和审批 .................................................................................................... 14 3.2.3 数据安全管理人员 ....................................................................................... 14 3.3 数据安全管理制度 ................................................................................................... 15 3.3.1 制定安全策略 ................................................................................................ 15 3.3.2 建立数据安全管理制度体系 .................................................................... 15 3.3.3 制定和发布 .................................................................................................... 15 3.3.4 评审和修订 .................................................................................................... 16 3.4 数据