數據作為新型生產要素�,已成為國家重要資產和我國數字經濟發展的基礎戰略資源��。2021年以來����,國家����、行業���、地方相繼頒布了大量數據安全政策文件��。作為數字經濟健康發展的重要基石,數據安全的重要性愈發突出,數據安全合規管理需求愈加明顯�。
零售企業的消費者數據�、交易數據���、商品數據規模龐大�����,近年來�����,消費者法律意識不斷提升,國家相關監管機制也在不斷完善,對零售企業存儲、使用現有數據提出了很高的要求�����。與此同時���,零售企業的數據治理理念和架構又相對傳統�,形成了數據量大�、高要求和低治理水平之間的矛盾,處理不好可能會上升到司法層面的問題��。
為此�����,中國百貨商業協會聯合知名律所北京市盈科律師事務所�����,結合零售企業反饋,起草《零售企業數據安全合規指南》���,圍繞數據合規目標、治理框架、治理實踐路徑展開論述�����。本指南結合司法實踐����,系統闡述了數據安全合規的相關管理要求,擬為企業開展數據相關工作提供有效指引��。
《指南》將于9月7-8日“中國零售技術應用大會”上正式發布�����,并請相關專家詳細解讀����。
現就《指南》向行業征求意見����,希望行業專家�、零售企業以及相關專家積極反饋,提出寶貴意見和建議(請于7月21日前反饋意見�,請填寫附件2)����。
《指南》具體內容如下:
1 總則
2 數據安全合規管理規劃
2.1 現狀分析
2.2 方案規劃
2.3 方案論證
3 數據安全合規管理實踐
3.1 零售企業涉及的消費者個人信息保護
3.1.1 通用要求
3.1.2 敏感個人信息的處理
3.1.3 個人信息處理規則(隱私政策)的制定
3.1.4 定期進行合規審計
3.1.5 特定情形下需進行個人信息保護影響評估
3.2 數據安全組織建設
3.2.1 組織架構
3.2.2 授權和審批
3.2.3 數據安全管理人員
3.3 數據安全管理制度
3.3.1 制定安全策略
3.3.2 建立數據安全管理制度體系
3.3.3 制定和發布
3.3.4 評審和修訂
3.4 數據資產盤點
3.4.1 盤點范疇
3.4.2 盤點方法和過程
3.5 數據分類分級
3.5.1 數據分類分級實施流程
3.5.2 數據分級框架
3.6 零售企業數據全生命周期保護要求
3.6.1 數據收集安全
3.6.2 數據傳輸安全
3.6.3 數據存儲安全
3.6.4 數據使用�����、加工安全
3.6.5 數據交換和共享安全
3.6.6 數據出境安全
3.6.7 數據銷毀安全
3.7 算法合規管理要求
3.8 數據安全事件應急響應
3.8.1 制定應急預案
3.8.2 制定應急演練計劃
3.8.3 安全事件的報告
3.8.4 事件取證小組及職責
3.8.5 做好安全事件記錄
詳細請見附件:
附件1:零售企業數據安全合規管理指南(征求意見稿).pdf
附件2:《零售企業數據安全合規管理指南(征求意見稿)》 意見反饋表.docx
