随着信息技术和生产生活紧密融合,各行各业的数据量迅猛增长并汇聚融合,对经济、社会和人民生活都产生了深远的影响。数据安全以及个人信息安全已成为事关国家安全与经济发展的重要课题。基于此,第十三届全国人民代表大会常务委员会第二十九次、第三十次会议先后审议通过了《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,均于2021年下半年开始施行。
为保障市场研究行业个人信息安全保护和满足行业发展需求,CMRA于2020年着手编撰制定《市场研究 个人信息安全保护要求》团体标准,经过一年的筹划、研究、制定、意见征求和修改,《市场研究 个人信息安全保护要求》团体标准于2021年4月1日对社会正式发布(标准编号:T/CAB 0101-2021)。
本次出台的《市场研究 个人信息安全保护要求》是市场研究行业的首个团体标准,“要求”分13个章节,涵盖了市场研究服务提供者对于个人信息处理活动的全流程。该标准有效契合当下个人隐私保护的要求,对于规范行业从业行为、净化市场环境、提升行业价值具有重要意义。
行业标准是协会发展规范和自律的彰显,体现了协会会员的价值主张,是推动行业进步,是协会会员市场水平与竞争力的体现。为更好的推广和使用本标准,让更多的市场从业企业和客户了解市场研究行业在个人信息安全保护方面的规则和标准,CMRA针对行业会员企业严格遵守标准要求、切实履行个人信息保护义务的市场研究服务提供者,制定了“标准一致性证书”申请以及审核流程,并向满足《市场研究 个人信息安全保护要求》的申请单位颁发“标准一致性证书”。
一、关于“标准一致性证书”分级
“标准一致性证书”分为两个级别,分别是基本一致和高级一致,根据企业实际履行的具体情况与标准要求的一致程度判定,一致程度越高,则认定级别越高。
二、“标准一致性证书”的证书周期
“标准一致性证书”是一年有效期,临近到期前3个月内需要安排下一周期的换证审核。
三、“标准一致性证书”的审核形式
通过线上标准管理系统,“标准一致性证书”实现在线申请、在线上传、在线审核一体化全流程,同时在线上书面审核的基础上,辅以关键节点的线下把控。
四、“标准一致性证书”的申请条件
市场研究行业从业单位,CMRA会员及非会员均可申请。
五、“标准一致性证书”的审核准则
六、“标准一致性证书”的课程设置
七、“标准一致性证书”的申领流程
1.登录CMRA标准一致性证书申请平台http://bz.cmra.org.cn;
2.首次登录用户请先进行注册,注册完成后,公司统一社会信用代码作为用户名,注册后将不可更改;
3.登录后进入会员中心,点击“证书申请”进入申请证书页面;
4.在正式提交申请材料之前,需要先通过团体标准知识点考试,只有通过全部考试,才能进入材料提交阶段。申请者可通过首页上的培训录像,下载专区的培训文档等资料进行学习;
5.考试通过后,进入材料提交环节。所有提交材料需加盖公司章并扫描制成PDF文档,再进行上传,涉及第三方提供的文件,如供应商数据安全承诺函等,需要有第三方的公司章。审核结果会在收到申请材料后一周内给出。如申请材料不合格,系统会邮件通知申请者,申请者可以在会员中心查看到状态,并进一步完善申请。材料审核通过后,申请者安排付款并在系统中上传付款凭证,填写发票信息等。财务审核通过即表示申请完全通过,将颁发标准一致性证书,证书电子版将即时上传至系统,纸质证书将于两周内寄出。
八、证书费用:
目前仅开通基本一致性证书的申请。
费用标准为:首次申请CMRA会员5000元,非会员8000元;后续换证CMRA会员3000元,非会员6000元。
汇款信息:
缴纳方式:银行转账
收款银行:中国工商银行北京会城门支行
收款单位:中国信息协会
收款账号:0200041409014417836
汇款(备注、摘要)只能注明:信息服务费
九、“基本一致性证书”申请材料清单
每项材料如果涉及多个文档,请将多个文档整合至一个PDF文件后再上传,所有文件均需加盖公司章。
1. 企业承诺书:承诺作为标准一致性证书的申请人,已详细了解标准的具体内容和证书的各项审核准则及要求,承诺提供的所有资料均真实,准确,有效。请将模板文件下载,打印并盖章即可。
2. 责任人确认书:请完成责任人确认书模板文件中的相关内容,包括公司名称,总经理姓名及电话。如果该项工作由公司主管运营的副总负责,模板文件中的第三段请选用括号中的内容,并填入主管副总的姓名及电话。文件完成后请打印,签字盖章并上传。
3. 个人信息保护制度(企业内部制度):重点检查企业在现行的内部管理制度中,是否有完善的针对个人信息保护的相关制度。
制度内容需包含:
①
个人信息保护原则内容(合法性、权责一致、目的明确、最小必要、公开透明、准确性等)
②
数据来源合法性内容(最核心:直接收集个人信息类型下,是否规定需或者个人信息主体的同意)
③
数据保留与使用内容(核心:是否规定分类分级存储、储存时间最小化、设置访问权限、使用审批、使用限制等内容)
④
对外提供内容(核心:是否要求经个人信息主体同意再对外提供)
⑤
儿童和弱势人群保护内容(核心:是否包含对儿童和弱势人群的保护)
⑥
主体权利的内容(选择权、知情权、更正权、删除权、投诉权等内容)
⑦
数据安全与保护(核心:是够规定技术措施和安全措施、例如加密)
⑧
数据境外提供(是否对需境外提供的数据做出规定)
⑨
数据泄露(是否规定了安全事件的应急预案和应急处置)
已根据《市场研究 个人信息安全保护要求》团体标准制定了相应的模板文件,企业可直接使用。如企业现行的内部制度已包含个人信息保护制度所要求的各项内容,直接上传企业现行的内部制度即可。如需要对现行制度进行修改完善,请于修改完善后再进行上传。
4. 隐私政策以及公开发布证明:重点检查公司是否有完善的隐私政策及是否在正确的时间和位置进行了发布。
隐私政策内容:
①
企业如何收集个人信息
②
企业如何使用个人信息
③
企业如何存储个人信息
④
企业如何保护您的个人信息
⑤
企业如何保护个人信息安全
⑥
企业如何共享、转让、公开披露个人信息
⑦
个人信息主体的权利
…
隐私政策应公开发布并易于访问,例如网站主页、移动互联网应用程序安装页、交互界面显著位置设置链接等。
需要上传的材料包括公司隐私政策,隐私政策发布的位置说明等(可提供截图或者网址)。所提供的隐私政策模板文件仅供参考,如公司现行的隐私政策已包含上述要求的隐私政策内容,可直接上传公司现行的隐私政策及相关发布位置证明。如公司现行隐私政策不完善,需要进行修改,请上传修改后的隐私政策及相关发布位置证明。
5. 问卷授权告知书:重点检查申请企业实施项目时,以问卷形式自行向受访者收集数据的情况下,是否有向受访者履行告知义务并获得受访者同意的流程和规范。检查核心点:告知了企业名称、项目名称、会收集什么信息用于什么使用;怎么保护个人信息;如果信息需要提供给客户,还应披露客户名称。
需要上传的材料为企业在具体项目实践中向受访者履行告知义务并获得受访者同意的文档样本。可选择一个或多个已完成的有代表性的具体项目,提供该项目的相关文档,如果所需材料为文档中的部分内容,请将相关内容进行标识。如企业准备完善现行文档,以确保更加明确的流程和规范,请于完善后再上传相关文档。
所附授权告知书模板文件仅供参考。申请企业可根据自己的实际情况提供等同效果的文件。
6. 数据接收告知书:重点检查申请企业实施项目时,数据来源在由甲方客户直接提供的情况下,和甲方客户之间是否存在关于数据来源合法性及数据安全承诺的相关流程和规范。
需要上传的材料为申请企业在具体项目实践中和甲方客户就申请企业所接收数据给予的告知书,或双方签署的合同,协议等文档样本,无论何种文档形式,文档中应能体现出关于数据来源合法性及相关的数据安全承诺。可选择一个或多个已完成的有代表性的具体项目,提供该项目的相关文档,如果所需材料为文档中的部分内容,请将相关内容进行标识。如企业准备完善现行文档,以确保更加明确的流程和规范,请于完善后再上传相关文档。
所附数据接收告知书模板文件仅供参考。申请企业可根据自己的实际情况提供等同效果的文件。
7.数据供应商入库审查单:重点检查申请企业如果存在从第三方数据供应商获取数据的情况,在数据供应商的选择上是否有相应完善的管理制度。
需要上传的材料要能体现出申请企业在选择供应商时对供应商的基本情况,资质,信用及数据安全等方面有相应的要求及审核。形式上可以是审核表,合同或制度文件等。可选择一个或多个有长期合作的数据供应商,提供相关的文档样本。如果所需材料为文档中的部分内容,请将相关内容进行标识。如企业准备完善现行文档,以确保更加明确的流程和规范,请于完善后再上传相关文档。
所附模板数据供应商入库审查单仅供参考。申请企业可根据自己的实际情况提供等同效果的文件,如供应商管理制度或者具体合同条款等。
8. 供应商数据安全承诺书:重点检查申请企业如果存在从第三方数据供应商获取数据的情况,企业是否有相应的流程和规范要求数据供应商对其提供的个人信息数据来源的合法性进行确认。
需要上传的材料要能体现出数据供应商对其提供数据的合法性承诺,形式上可以是承诺书,或者具体的合同等。可选择一个或多个有长期合作的数据供应商,提供相关的文档样本。如果所需材料为文档中的部分内容,请将相关内容进行标识。如企业准备完善现行文档,以确保更加明确的流程和规范,请于完善后再上传相关文档。
所附模板供应商数据安全承诺书仅供参考。申请企业可根据自己的实际情况提供等同效果的文件,如合同,协议等。
十、咨询电话:
联系人:俞飞
联系电话:010-64087451-805,18811706513
邮箱:bzrz@cmra.org.cn
CMRA
2021年11月29日
|
服务指南