零售企业数据安全合规管理指南（征求意见稿）

零售企业数据安全合规管理指南 （意见征求稿） 中国百货商业协会 2023年07月 I 版权声明 本文件版权属于中国百货商业协会，并受法律保护。转载、摘编或利用其它方式使用本文件文字或者观点的，应注明“来源：中国百货商业协会”。违反上述声明者，编者将追究其相关法律责任。 起草专家 刘知函，北京市盈科律师事务所高级合伙人张良，北京市盈科律师事务所律师 王秋杨，北京市盈科律师事务所律师 前言 数据作为新型生产要素，已成为国家重要资产和我国数字经济发展的基础战略资源。2021年以来，国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，数据安全合规管理需求愈加明显。 零售企业的消费者数据、交易数据、商品数据规模庞大，近年来，消费者法律意识不断提升，国家相关监管机制也在不断完善，对零售企业存储、使用现有数据提出了很高的要求。与此同时，零售企业的数据治理理念和架构又相对传统，形成了数据量大、高要求和低治理水平之间的矛盾，处理不好可能会上升到司法层面的问题。 为此，中国百货商业协会联合知名律所北京市盈科律师事务所，结合企业反馈，起草《零售企业数据安全合规指南（征求意见稿）》，围绕数据合规目标、治理框架、治理实践路径展开论述。本指南结合司法实践，系统阐述了数据安全合规的相关管理要求，拟为企业开展数据相关工作提供有效指引。 目录 1.总则6 2.数据安全合规管理规划8 2.1现状分析8 2.2方案规划8 2.3方案论证9 3.数据安全合规管理实践10 3.1零售企业涉及的消费者个人信息保护10 3.1.1通用要求10 3.1.2敏感个人信息的处理10 3.1.3个人信息处理规则（隐私政策）的制定12 3.1.4定期进行合规审计12 3.1.5特定情形下需进行个人信息保护影响评估12 3.2数据安全组织建设13 3.2.1组织架构13 3.2.2授权和审批14 3.2.3数据安全管理人员14 3.3数据安全管理制度15 3.3.1制定安全策略15 3.3.2建立数据安全管理制度体系15 3.3.3制定和发布15 3.3.4评审和修订16 3.4数据资产盘点16 3.4.1盘点范畴16 3.4.2盘点方法和过程17 3.5数据分类分级18 3.5.1数据分类分级实施流程18 3.5.2数据分级框架20 3.6零售企业数据全生命周期保护要求21 3.6.1数据收集安全21 3.6.2数据传输安全21 3.6.3数据存储安全22 3.6.4数据使用、加工安全22 3.6.5数据交换和共享安全23 3.6.6数据出境安全23 3.6.7数据销毁安全24 3.7算法合规管理要求24 3.8数据安全事件应急响应25 3.8.1制定应急预案25 3.8.2制定应急演练计划26 3.8.3安全事件的报告26 3.8.4事件取证小组及职责26 3.8.5做好安全事件记录27 1.总则 1.1为推动零售企业全面加强数据安全合规管理，规范零售企业数据处理活动，保障企业数据安全，促进企业健康发展，保护个人、组织的合法权益，维护国家经济安全和社会稳定，提升零售企业数据治理能力及数据安全保护水平，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》 《中华人民共和国网络安全法》《中华人民共和国电子商务法》《中华人民共和国消费者权益保护法》《数据出境安全评估办法》《网络交易监督管理办法》 《中央企业合规管理办法》等有关法律法规规定，制定本指南。 1.2本指南适用于百货商店、购物中心、奥特莱斯、大型超市、专卖店，日用工业品的零售、批发和生产企业等，以及上述企业的线上业态（以下称“零售企业”）。 1.3中国百货商业协会负责协同其他监管单位，监督指导零售企业数据安全合规管理工作。 1.4零售企业应当对本企业工作中收集和产生的数据和数据安全承担主体责任。 数据安全合规管理是合规管理体系的专项重点领域，已建立合规管理体系的零售企业，应在现有合规管理体系的基础上，进行专项深化管理。 数据安全风险较高的零售企业，必须将数据安全合规作为重点领域进行专项管理。达到以下条件之一的，视为数据安全风险较高： A.主要业务涉及个人信息处理，且从业人员规模大于200人； B.处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息； C.处理超过10万人的个人敏感信息的； D.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的； E.法律法规规定的其他情形。 1.5零售企业应当按照以下原则提升数据安全合规管理： A.高度重视。数据是重要的战略性资源，零售企业要将数据安全合规管理提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度，始终把国家主权、安全、发展利益放在首位，加强安全能力建设，重视企业、员工、股东及合作方数据安全及个人信息保护，以发展促安全、以安全保发展。 B.推进落实。零售企业要坚持将数据安全合规要求逐步覆盖各业务领域，各部门，各级全资、控股或实际控制的子企业、分支机构及其员工。数据应当全面包括电子或其他方式对信息的记录。数据安全合规管控措施及技术应用覆盖所有数据资产及数据处理全流程。 C.强化责任。零售企业要切实加强对数据安全合规管理的组织领导，明确职责，建立健全分工负责、协作配合的工作机制，明确管理人员和各岗位员工的数据合规责任并督促有效落实。 D.协同融合。零售企业认真贯彻落实数据安全合规的相关要求，将数据安全合规工作纳入企业数字化转型整体布局中，将数据安全合规管理通过企业数字化技术的应用及升级进行有效落地。 1.6零售企业的数据安全合规管理建设应达到以下目标： A.满足合规要求。及时发现合规差距，全面履行数据安全责任义务，为业务的稳定运行和规范化开展筑牢根基。 B.有效管理数据安全风险。不断产出的海量数据在动态实时流转过程中，面临着较大的风险暴露面，数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题，零售企业数据安全风险的有效管理必然是数据安全合规管理的重要使命。 C.逐步实现数据资产化。数字经济的高速发展离不开数据价值的充分释放，数据安全是保障数据价值释放的重要基石。数据安全合规管理通过体系化的建设，完善组织的合规管理和风险管理工作机制，提升数据安全保护水平，促进数据的开发利用，进而实现数据资产化。 2.数据安全合规管理规划 数据安全规划阶段主要确定零售企业数据安全合规管理工作的总体定位和愿景，根据企业整体发展战略内容，结合实际情况进行现状分析，制定数据安全规划，并对规划进行充分论证。 2.1现状分析 零售企业应通过现状分析找到数据安全合规管理的核心诉求及差距项，以此作为规划设计的依据。可以从安全合规对标、风险现状分析对比入手。 一是数据安全合规对标。数据安全合规是企业履行数据安全相关责任义务的底线要求。零售企业应对企业适用的外部法律法规、监管要求、标准规范等进行梳理，将重要条款与现有情况进行对比，分析其差距，确定合规需求。 二是数据安全风险现状分析。有效的数据安全风险管理是企业推进业务发展的重要保障。零售企业需结合其业务场景，基于数据全生命周期安全防护要求，通过数据安全风险评估等方式识别数据面临的安全威胁及所在环境的脆弱性，形成风险问题清单，提炼数据安全建设需求点。 2.2方案规划 零售企业应根据现状分析结果，结合数据安全合规管理目标，给出可落地实施的数据安全合规管理规划方案，并提炼重点目标和任务，分阶段落实到工程实施中。方案规划可以从组织架构、制度流程、技术工具和人员能力四个维度入手，通过不断建设与完善达成建设目标。 以一家数据安全合规管理建设刚起步的零售企业为例，一般来说，可以将数据安全规划分为三个阶段，如图1所示。 图1：数据安全合规管理规划示例 来源：中国信息通信研究院数据安全推进计划 第一阶段，零售企业尚处于数据安全合规管理建设初期，急需在内部明确数据安全合规管理责任分工和管理要求，因而建议主要完成初步的数据安全合规管理体系建设工作，包括数据安全组织机构的建立、数据安全制度体系的编制、数据安全基础能力建设以及数据安全意识培训宣贯。同时数据分类分级作为实施数据安全管理措施和技术措施的前提，是一个需要提前布局且长期推进的工作。 第二阶段，零售企业有了一定的数据安全合规管理基础，可以在这一阶段着重完善数据安全技术能力体系，通过建设统一的管理平台，全面落实数据安全管理规范及策略要求，并通过常态化数据安全运营，实现持续的数据安全保障能力。同时，应加强数据安全能力培训体系的构建，培养复合型数据安全专业人才，壮大数据安全人才队伍。 第三阶段，零售企业已经初步建成数据安全合规管理体系，这一阶段以持续优化为主要目标，重在建立数据安全合规管理的量化评估体系，定期开展数据安全评估评测，监测各项指标的达标情况。再根据评估评测结果及时优化建设内容，最终达到较高的数据安全合规管理水平。同时，通过提炼并输出成功经验，促进行业共同进步。 2.3方案论证 为保障规划方案在建设过程的顺利实施，应从以下方面进行论证分析。 一是可行性分析，根据组织现状，明确人力、物力、资金的投入与产生的效益对比，协调数据安全管理机制和技术能力建设与业务系统之间的分歧，确保在业务发展与安全保障之间达到平衡。 二是安全性分析，方案在正式实施前，要进行详细的方案论证分析，确保可以在业务稳定运行的前提下实施治理建设，同时要考虑治理过程中可能产生的新风险，避免未知风险的引入。 三是可持续性分析，数据安全合规管理是持续性过程，随着业务拓展和技术进步，规划方案在保证与当前组织现有体系兼容的同时，也要考虑与后续的发展相适应。因此数据安全合规管理方案不仅要考虑当下，还要着眼于未来。在满足当前数据安全需求的同时，还要适应后续的持续发展。 3.数据安全合规管理实践 3.1零售企业涉及的消费者个人信息保护 3.1.1通用要求 1)处理消费者个人信息应遵循合法、正当、必要和诚信原则，具有明确、合理的目的并公开处理规则。 2)收集个人信息，应先取得个人的同意，且限于实现处理目的的最小范围，不得过度收集个人信息。 3)应采取必要措施保障所处理的个人信息的安全。 4)不得以任何理由强制要求消费者同意个人信息处理行为，不得因消费者不同意提供非必要个人信息，而拒绝消费者使用其基本功能服务。 5)应提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能，且不得设置不合理条件。 6)应该保证个人信息的遗忘权和修改权，个人有权要求删除相关的所有个人信息和更改个人的信息。如果因为技术限制不能删除，应该确认只应该存储个人信息而不能做任何其他用途。 7)移动互联网应用程序（APP）使用第三方组件或SDK时，应避免其未经授权收集个人身份信息。 3.1.2敏感个人信息的处理 敏感个人信息指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息，包括消费者的银行账户、交易和消费记录、指纹/声纹/人脸等生物识别信息、身份证、通信记录和内容、通讯录、好友列表、群组列表、精准定位信息等。此外，14岁以下（含）儿童的个人信息亦属于个人敏感信息。 3.1.2.1敏感个人信息的收集 1)应对处理敏感个人信息的合法性、必要性及正当性进行审查，重点排除非必要收集敏感个人信息的场景。原则上不应以改善服务质量、提升消费者体验以及研发新产品等为目的处理敏感个人信息。 2)对于人脸、声纹或指纹等生物识别信息，应评估是否具有增加消费者利益的目的和充分的必要性，并应满足国家标准《信息安全技术生物特征识别信息保护基本要求》（GB/T40660-2021）。 3)除3.1.1所列通用要求外，还应向消费者告知处理敏感个人信息的必要性以及对个人权益的影响。 4)应对每项敏感个人信息取得消费者单独