零售企业数据安全合规管理指南.pdf

零售企业数据安全合规管理指南

（意见征求稿）

中国百货商业协会

2023年07月

I

1.总则

1.1为推动零售企业全面加强数据安全合规管理，规范零售企业数据处理活

动，保障企业数据安全，促进企业健康发展，保护个人、组织的合法权益，维

护国家经济安全和社会稳定，提升零售企业数据治理能力及数据安全保护水

平，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》

《中华人民共和国网络安全法》《中华人民共和国电子商务法》《中华人民共

和国消费者权益保护法》《数据出境安全评估办法》《网络交易监督管理办法》

《中央企业合规管理办法》等有关法律法规规定，制定本指南。

1.2本指南适用于百货商店、购物中心、奥特莱斯、大型超市、专卖店，日用

工业品的零售、批发和生产企业等，以及上述企业的线上业态（以下称“零售

企业”）。

1.3中国百货商业协会负责协同其他监管单位，监督指导零售企业数据安全合

规管理工作。

1.4零售企业应当对本企业工作中收集和产生的数据和数据安全承担主体责

任。

数据安全合规管理是合规管理体系的专项重点领域，已建立合规管理体系

的零售企业，应在现有合规管理体系的基础上，进行专项深化管理。

数据安全风险较高的零售企业，必须将数据安全合规作为重点领域进行专

项管理。达到以下条件之一的，视为数据安全风险较高：

A.主要业务涉及个人信息处理，且从业人员规模大于200人；

B.处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个

人信息；

C.处理超过10万人的个人敏感信息的；

D.自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信

息的；

E.法律法规规定的其他情形。

1.5零售企业应当按照以下原则提升数据安全合规管理：

6

A.高度重视。数据是重要的战略性资源，零售企业要将数据安全合规管理提

升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高

度，始终把国家主权、安全、发展利益放在首位，加强安全能力建设，重

视企业、员工、股东及合作方数据安全及个人信息保护，以发展促安全、

以安全保发展。

B.推进落实。零售企业要坚持将数据安全合规要求逐步覆盖各业务领域，各

部门，各级全资、控股或实际控制的子企业、分支机构及其员工。数据应

当全面包括电子或其他方式对信息的记录。数据安全合规管控措施及技术

应用覆盖所有数据资产及数据处理全流程。

C.强化责任。零售企业要切实加强对数据安全合规管理的组织领导，明确职

责，建立健全分工负责、协作配合的工作机制，明确管理人员和各岗位员

工的数据合规责任并督促有效落实。

D.协同融合。零售企业认真贯彻落实数据安全合规的相关要求，将数据安全

合规工作纳入企业数字化转型整体布局中，将数据安全合规管理通过企业

数字化技术的应用及升级进行有效落地。

1.6零售企业的数据安全合规管理建设应达到以下目标：

A.满足合规要求。及时发现合规差距，全面履行数据安全责任义务，为业务

的稳定运行和规范化开展筑牢根基。

B.有效管理数据安全风险。不断产出的海量数据在动态实时流转过程中，面

临着较大的风险暴露面，数据安全威胁及带来的影响与日俱增。叠加数据

安全边界较为模糊、数据安全基础不够强韧等问题，零售企业数据安全风

险的有效管理必然是数据安全合规管理的重要使命。

C.逐步实现数据资产化。数字经济的高速发展离不开数据价值的充分释放，

数据安全是保障数据价值释放的重要基石。数据安全合规管理通过体系化

的建设，完善组织的合规管理和风险管理工作机制，提升数据安全保护水

平，促进数据的开发利用，进而实现数据资产化。

7

2.数据安