数据作为新型生产要素，已成为国家重要资产和我国数字经济发展的基础战略资源。2021年以来，国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，数据安全合规管理需求愈加明显。

零售企业的消费者数据、交易数据、商品数据规模庞大，近年来，消费者法律意识不断提升，国家相关监管机制也在不断完善，对零售企业存储、使用现有数据提出了很高的要求。与此同时，零售企业的数据治理理念和架构又相对传统，形成了数据量大、高要求和低治理水平之间的矛盾，处理不好可能会上升到司法层面的问题。

为此，中国百货商业协会联合知名律所北京市盈科律师事务所，结合零售企业反馈，起草《零售企业数据安全合规指南》，围绕数据合规目标、治理框架、治理实践路径展开论述。本指南结合司法实践，系统阐述了数据安全合规的相关管理要求，拟为企业开展数据相关工作提供有效指引。

《指南》将于9月7-8日“中国零售技术应用大会”上正式发布，并请相关专家详细解读。

现就《指南》向行业征求意见，希望行业专家、零售企业以及相关专家积极反馈，提出宝贵意见和建议（请于7月21日前反馈意见，请填写附件2）。

《指南》具体内容如下：

1       总则

2       数据安全合规管理规划

2.1      现状分析

2.2      方案规划

2.3      方案论证

3       数据安全合规管理实践

3.1      零售企业涉及的消费者个人信息保护

3.1.1  通用要求

3.1.2  敏感个人信息的处理

3.1.3  个人信息处理规则（隐私政策）的制定

3.1.4  定期进行合规审计

3.1.5  特定情形下需进行个人信息保护影响评估

3.2      数据安全组织建设

3.2.1  组织架构

3.2.2  授权和审批

3.2.3  数据安全管理人员

3.3      数据安全管理制度

3.3.1  制定安全策略

3.3.2  建立数据安全管理制度体系

3.3.3  制定和发布

3.3.4  评审和修订

3.4      数据资产盘点

3.4.1  盘点范畴

3.4.2  盘点方法和过程

3.5      数据分类分级

3.5.1  数据分类分级实施流程

3.5.2  数据分级框架

3.6      零售企业数据全生命周期保护要求

3.6.1  数据收集安全

3.6.2  数据传输安全

3.6.3  数据存储安全

3.6.4  数据使用、加工安全

3.6.5  数据交换和共享安全

3.6.6  数据出境安全

3.6.7  数据销毁安全

3.7      算法合规管理要求

3.8      数据安全事件应急响应

3.8.1  制定应急预案

3.8.2  制定应急演练计划

3.8.3  安全事件的报告

3.8.4  事件取证小组及职责

3.8.5  做好安全事件记录

详细请见附件：

附件1：零售企业数据安全合规管理指南（征求意见稿）.pdf

附件2：《零售企业数据安全合规管理指南（征求意见稿）》 意见反馈表.docx