随着信息技术和生产生活紧密融合,各行各业的数据量迅猛增长并汇聚融合,对经济、社会和人民生活都产生了深远的影响。数据安全以及个人信息安全已成为事关国家安全与经济发展的重要课题。基于此,第十三届全国人民代表大会常务委员会第二十九次、第三十次会议先后审议通过了《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,均于2021年下半年开始施行。
为保障市场研究行业个人信息安全保护和满足行业发展需求,CMRA于2020年着手编撰制定《市场研究 个人信息安全保护要求》团体标准,经过一年的筹划、研究、制定、意见征求和修改,《市场研究 个人信息安全保护要求》团体标准于2021年4月1日对社会正式发布(标准编号:T/CAB 0101-2021)。
本次出台的《市场研究 个人信息安全保护要求》是市场研究行业的首个团体标准,“要求”分13个章节,涵盖了市场研究服务提供者对于个人信息处理活动的全流程。该标准有效契合当下个人隐私保护的要求,对于规范行业从业行为、净化市场环境、提升行业价值具有重要意义。
行业标准是协会发展规范和自律的彰显,体现了协会会员的价值主张,是推动行业进步,是协会会员市场水平与竞争力的体现。为更好的推广和使用本标准,让更多的市场从业企业和客户了解市场研究行业在个人信息安全保护方面的规则和标准,CMRA针对行业会员企业严格遵守标准要求、切实履行个人信息保护义务的市场研究服务提供者,制定了“标准一致性证书”申请以及审核流程,并向满足《市场研究 个人信息安全保护要求》的申请单位颁发“标准一致性证书”。
一、关于“标准一致性证书”分级
“标准一致性证书”分为两个级别,分别是基本一致和高级一致,根据企业实际履行的具体情况与标准要求的一致程度判定,一致程度越高,则认定级别越高。
二、“标准一致性证书”的证书周期
“标准一致性证书”是一年有效期,临近到期前3个月内需要安排下一周期的换证审核。
三、“标准一致性证书”的审核形式
通过线上标准管理系统,“标准一致性证书”实现在线申请、在线上传、在线审核一体化全流程,同时在线上书面审核的基础上,辅以关键节点的线下把控。
四、“标准一致性证书”的申请条件
市场研究行业从业单位,CMRA会员及非会员均可申请。
五、“标准一致性证书”的审核准则
六、“标准一致性证书”的课程设置
七、“标准一致性证书”的申领流程
1.登录CMRA标准一致性证书申请平台http://bz.cmra.org.cn;
2.首次登录用户请先进行注册,注册完成后,公司统一社会信用代码作为用户名,注册后将不可更改;
3.登录后进入会员中心,点击“证书申请”进入申请证书页面;
4.在正式提交申请材料之前,需要先通过团体标准知识点考试,只有通过全部考试,才能进入材料提交阶段。申请者可通过首页上的培训录像,下载专区的培训文档等资料进行学习;
5.考试通过后,进入材料提交环节。所有提交材料需加盖公司章并扫描制成PDF文档,再进行上传,涉及第三方提供的文件,如供应商数据安全承诺函等,需要有第三方的公司章。付款凭证需要同期上传。申请材料和付款凭证全部上传后,才会开始进行审核。审核意见将在收到所有材料后两周内发出。如通过审核,标准一致性证书将于两周内寄出;如申请材料不合格,会邮件通知申请者,申请者可以在会员中心查看到状态,并进一步完善申请。
八、证书申请费用:
目前仅开通基本一致性证书的申请。
费用标准为:CMRA会员5000元,非会员8000元。
汇款信息:
缴纳方式:银行转账
收款银行:北京市工商银行会城门支行
收款单位:中国信息协会
收款账号:0200041409014417836
九、“基本一致性证书”申请材料清单
1. 企业承诺书:承诺作为标准一致性证书的申请人,提供所有资料均真实,准确,有效。已提供模板,将模板文件下载,打印并盖章即可。
2. 个人信息保护制度(企业内部制度):重点检查企业在现行的内部管理制度中,是否有完善的针对个人信息保护的相关制度。
制度内容需包含:
① 个人信息保护原则内容(合法性、权责一致、目的明确、最小必要、公开透明、准确性等)
② 数据来源合法性内容(最核心:直接收集个人信息类型下,是否规定需或者个人信息主体的同意)
③ 数据保留与使用内容(核心:是否规定分类分级存储、储存时间最小化、设置访问权限、使用审批、使用限制等内容)
④ 对外提供内容(核心:是否要求经个人信息主体同意再对外提供)
⑤ 儿童和弱势人群保护内容(核心:是否包含对儿童和弱势人群的保护)
⑥ 主体权利的内容(选择权、知情权、更正权、删除权、投诉权等内容)
⑦ 数据安全与保护(核心:是够规定技术措施和安全措施、例如加密)
⑧ 数据境外提供(是否对需境外提供的数据做出规定)
⑨ 数据泄露(是否规定了安全事件的应急预案和应急处置)
已提供模板文件供参考。申请企业可根据自己的实际情况提供等同效果的文件。
3. 隐私政策以及公开发布证明:重点检查公司是否有完善的隐私政策及是否在正确的时间和位置进行了发布。
隐私政策内容:
① 企业如何收集个人信息
② 企业如何使用个人信息
③ 企业如何存储个人信息
④ 企业如何保护您的个人信息
⑤ 企业如何保护个人信息安全
⑥ 企业如何共享、转让、公开披露个人信息
⑦ 个人信息主体的权利
…
隐私政策应公开发布并易于访问,例如网站主页、移动互联网应用程序安装页、交互界面显著位置设置链接等。(提供截图或者网址即可)
已提供隐私政策的模板文件供参考。申请企业可根据自己的实际情况提供等同效果的文件。
4. 问卷授权告知书:重点检查自行收集个人信息的合法性。检查核心点:告知了企业名称、项目名称、会收集什么信息用于什么使用;怎么保护个人信息;如果信息提供客户,还应披露客户名称。可选择一个具体项目,提供该项目的授权告知书。
已提供模板文件供参考。申请企业可根据自己的实际情况提供等同效果的文件。
5. 数据接收告知书:重点检查客户提供个人信息的合法性。针对由客户提供数据的项目,可选择一个具体项目,提供该项目的数据接收告知书。如果未有该类型项目,申请企业亦应完善未来遇到该类项目时的处理方式,可提供未来处理时会用到的文件。
已提供模板文件供参考。申请企业可根据自己的实际情况提供等同效果的文件。
6.数据供应商入库审查单:重点检查企业在进行数据供应商选择和管理时是否有相应完善的管理制度。
已提供模板文件供参考。申请企业可根据自己的实际情况提供等同效果的文件,如供应商管理制度等
7. 供应商数据安全承诺书:重点检查企业是否以合同,数据安全承诺书或其他形式要求数据供应商对其提供的个人信息来源合法性进行确认。
已提供模板文件供参考。申请企业可根据自己的实际情况提供等同效果的文件,如具体的合同条款等。
十、咨询电话:
联系人:俞飞
联系电话:010-64087451-805,18811706513
邮箱:bzrz@cmra.org.cn
CMRA
2021年11月1日
标准文档下载:市场研究 个人信息保护要求
|