全球調(diào)研準(zhǔn)則和指導(dǎo)原則
ESOMAR資料保護(hù)備忘錄
ESOMAR是資料分析�、調(diào)研和社區(qū)洞察力的全球代言人�����,代表4900多名個人專業(yè)人員和500多家公司在130多個國家提供或委托進(jìn)行數(shù)據(jù)分析和調(diào)研,這些國家全部同意維護(hù)ICC/ESOMAR國際準(zhǔn)則����。
© 2017 ESOMAR。2017年9月發(fā)布����。
本指南以英文撰寫,英文版本(www.esomar.org)為最終版本���。在適當(dāng)歸屬并且包含以下通知“© 2017 ESOMAR”的情況下��,可以復(fù)制�����、分發(fā)和傳輸文本���。
本標(biāo)準(zhǔn)中文版由CMRA標(biāo)準(zhǔn)工作委員會IPSOS翻譯
目錄
1 引言
2 范圍
3 “必須”和“應(yīng)該”的用法
4 定義
5 資料保護(hù)政策和程序的自助備忘錄
5.1 影響最小
5.2 通知和同意
5.3 誠信/安全
5.4 資料傳輸
5.5 跨境個人資料轉(zhuǎn)移
5.6 外包和分包
5.7 隱私聲明
6 特別問題
6.1 收集來自兒童、年輕人和其他弱勢群體的資料
6.2 企業(yè)對企業(yè)調(diào)研
6.3 照片����、音頻和錄像
6.4 云儲存
6.5 匿名和假名
7 來源和參考
8 項目團(tuán)隊
1 引言
在全球范圍內(nèi)工作的調(diào)研人員越來越多地面臨著旨在確保尊重個人隱私和保護(hù)個人資料的一系列國家法律����。在全球化這一大背景下工作的調(diào)研人員越來越多地要面對各國為確保尊重個人隱私和保護(hù)個人資料而制定的一系列法律�����。
與此同時��,新技術(shù)難以阻擋地擴(kuò)展到我們生活的方方面面����,這不僅增加了調(diào)研人員可能獲取到的個人資料量�,更引入了必須給與保護(hù)的新類型的個人資料。
有一點(diǎn)沒有改變�,就是調(diào)研人員需要通過維護(hù)資料主體權(quán)利的實(shí)踐來維護(hù)市場、民意調(diào)查�����、社會研究和數(shù)據(jù)分析的聲譽(yù)���,并保持對調(diào)研成果的信心���。
2 范圍
本文檔的目的在于向調(diào)研人員(尤其是在資料保護(hù)要求方面可能不具備廣泛資源或經(jīng)驗的小型機(jī)構(gòu)任職的人士)提供關(guān)于其在全球資料保護(hù)框架內(nèi)職責(zé)的總體指導(dǎo)準(zhǔn)則��,從而確保資料主體保持其對個人資料的掌控�����。所使用的具體框架是由經(jīng)濟(jì)合作與發(fā)展組織(OECD)制定的����。該框架包括一套用于設(shè)計程序以確保隱私和保護(hù)個人資料的八項原則:
? 收集限制
? 資料質(zhì)量
? 目的規(guī)范
? 使用限制
? 安全保障
? 開放性
? 個人參與
? 問責(zé)制
這些廣泛的原則在全球大部分現(xiàn)有和新制定的隱私及資料保護(hù)法律中得以體現(xiàn)�。
不過,調(diào)研人員應(yīng)注意到����,OECD與歐盟的資料保護(hù)要求關(guān)系最為緊密,因而在其他區(qū)域工作的調(diào)研人員被要求查閱可能適用的其他框架�。這些框架包括:《亞太經(jīng)合組織隱私框架》、《歐盟-美國隱私保護(hù)框架》���、《瑞士-美國隱私保護(hù)框架》����、美國注冊會計師學(xué)會(AICPA)和加拿大特許會計師學(xué)會(CICA)制定的《廣泛接受的隱私原則》��。盡管這些框架總體上不具有法律效力,卻仍表述了調(diào)研人員在相應(yīng)區(qū)域工作時必須采納的原則���。
此外�,調(diào)研人員在計劃進(jìn)行現(xiàn)場工作或處理資料時�����,必須審視并遵循每個國家的資料保護(hù)和市場調(diào)研自律要求�,這是因為上述基本原則在特定國家的實(shí)施可能會有差異。本文檔中的指導(dǎo)準(zhǔn)則僅為最低標(biāo)準(zhǔn)���,對于特定的調(diào)研項目,可能需要附加措施作為補(bǔ)充�����。調(diào)研人員可能發(fā)現(xiàn)有必要咨詢位于將要進(jìn)行調(diào)研的國家所在轄區(qū)的法律顧問���,以便確保完全合規(guī)����。查閱The Data Protection Laws of the World,(全球資料保護(hù)法律)可能對他們有所幫助�����,這是由DLA Piper提供的在線資源,每年都會更新��。
最后�����,針對特定領(lǐng)域(例如:醫(yī)療保?����。┻M(jìn)行調(diào)研工作的調(diào)研人員可能希望查詢特定的指導(dǎo)準(zhǔn)則以獲取更多指導(dǎo)����,例如EphMRA Adverse Event Reporting Guidelines 2014 (《EphMRA 負(fù)面事件報導(dǎo)指導(dǎo)準(zhǔn)則 2014》)。
3 “必須”和“應(yīng)該”的用法
在整個文件中�,“必須”一詞用于確定強(qiáng)制性要求。在描述調(diào)研人員必須遵循的原則或?qū)嵺`時�,我們使用“必須”一詞?!皯?yīng)當(dāng)”一詞用于表述實(shí)施。此用法意在認(rèn)可調(diào)研人員可根據(jù)其調(diào)研的設(shè)計方案而選擇以不同的方法實(shí)施某項原則或做法�����。
4 定義
企業(yè)對企業(yè)調(diào)研(B2B)是指從企業(yè)、學(xué)校��、非營利組織等法人實(shí)體收集資料���。
企業(yè)對消費(fèi)者調(diào)研(B2C)是指從個人或家庭收集資料���。
同意是指由個人自由地給予和明確表示同意收集和處理他/她的個人資料。
資料分析 是指檢查資料集以發(fā)現(xiàn)隱藏的模式�����、未知的相關(guān)性��、趨勢����、偏好和其他用于調(diào)研目的的有用信息����。
資料控制者是指負(fù)責(zé)確定如何處理個人資料的個人或組織。例如�����,調(diào)研客戶將是有關(guān)其客戶或主顧的資料控制者;政府福利機(jī)構(gòu)是其福利受益人資料的資料控制者����。
資料員是指代表資料控制者并按其指示對個人資料進(jìn)行獲取、記錄��、留存或操作(包括分析)的一方����。正如上文指出的那樣,調(diào)研公司將同時是某項綜合性調(diào)研的數(shù)據(jù)控制者和處理者��。
資料主體是指其個人資料被用于調(diào)研的任何個人���。
傷害 是指有形傷害或物質(zhì)損害(如身體傷害或財產(chǎn)損失)���、無形或精神傷害(如聲譽(yù)或商譽(yù)損害)或過度侵入私人生活,包括未經(jīng)請求的針對個人的營銷信息����。
隱私保護(hù)法律是指與本文件中的原則相一致的國家法律或法規(guī),這些法律或法規(guī)的執(zhí)行具有保護(hù)個人資料的效果�����。
非調(diào)研活動是指出于改變他人態(tài)度、觀點(diǎn)或行動之意圖��,而對被收集或被分析的個人資料直接采取行動的����。
被動資料收集 是指通過觀察、衡量或記錄個人的行為或行為來收集個人資料����。
個人資料(有時稱為個人身份資料或PII)是指任何與自然人有關(guān)、可用于識別個人身份的資料��,例如對直接標(biāo)識信息的提及(如姓名��、特定地理位置�、電話號碼、照片����、聲音或錄像)���,或?qū)€人的身體����、生理、心理���、經(jīng)濟(jì)���、文化或社會特征的間接提及。
主要資料是指調(diào)研人員為調(diào)研目的從個人那里收集的資料或收集的關(guān)于個人的資料����。
隱私聲明(有時稱為隱私政策)是指一家組織的隱私做法的已發(fā)布摘要,其中描述了該組織收集���、使用���、披露和管理資料主體的個人資料的方式。
個人資料處理包括但不限于收集�����、記錄��、組織���、存儲��、改編或修改�、檢索、查詢�、使用、通過傳輸��、傳播來披露或提供�����、整合或合并����、阻止、擦除或銷毀�����,不論是以自動的或是其他方式��。
調(diào)研包括所有形式的市場�����、輿論和社會研究以及數(shù)據(jù)分析��,是對有關(guān)個人和組織信息的系統(tǒng)性收集和解釋�����。它利用應(yīng)用社會學(xué)�、行為學(xué)和數(shù)據(jù)科學(xué)的統(tǒng)計和分析方法和技術(shù),為商品和服務(wù)提供者�����、政府��、非營利組織和公眾提供洞見并支持其作出決策��。
調(diào)研人員是指從事或擔(dān)任調(diào)研顧問的任何個人或組織��,包括在客戶組織和所使用的任何分包商中工作的個人或組織�。
調(diào)研客戶或資料使用者是指請求、委托����、資助或訂閱調(diào)研項目的全部或任何部分的任何個人或組織。
二手資料是指為了其他目的和之后用于調(diào)研而收集的資料����。
敏感資料是指當(dāng)?shù)胤梢蟊M可能按最高標(biāo)準(zhǔn)給予保護(hù)使之免受未經(jīng)授權(quán)訪問的特定類型的個人信息�,以便保護(hù)個人或組織的安全或隱私���,此類信息的處理需得到資料主體額外的明確許可���。敏感資料的界定因管轄范圍而異,可包括資料主體的種族或族裔出身����、健康記錄、性取向或性習(xí)慣�、犯罪記錄、政治觀點(diǎn)�����、貿(mào)易協(xié)會成員資格�、宗教或哲學(xué)信仰、位置�����、財務(wù)信息和諸如服用管制藥品或酒精等違法行為�����。
資料的傳輸是指資料的任何披露、通訊���、拷貝或從一方到另一方的移動(不論采用何種介質(zhì)),包括但不限于跨網(wǎng)絡(luò)移動���、物理意義上的傳輸��、從一個介質(zhì)或設(shè)備到另一介質(zhì)或設(shè)備的傳輸�,或遠(yuǎn)程訪問資料���。
個人資料跨境轉(zhuǎn)移是指以任何方式跨境移動個人資料��,包括從資料收集國以外的國家訪問資料以及針對資料使用云技術(shù)���。
弱勢群體是指作出自主知情決策能力有限的個人,包括那些有認(rèn)知障礙或交際障礙的個人�。
5 資料保護(hù)政策和程序的自助備忘錄
以下備忘錄的使用者可能意識到標(biāo)題和項目次序與OECD所采用的有所不同。此處的意圖在于采用調(diào)研人員更為熟悉的語言和次序來表述原則����。讀者也可能認(rèn)識到各個條目互相關(guān)聯(lián),有時出現(xiàn)重疊。然而�,將此備忘錄視作一個整體這很重要,各個條目應(yīng)看作是相互補(bǔ)充而非排斥的����,特別注意那些取決于組織是作為資料控制者還是處理者的差異。任何答案不是“是”的問題意味著隱私保護(hù)計劃的潛在差距�,因而存在違反一項或多項資料保護(hù)法律的潛在風(fēng)險。
5.1 影響最小
1. 在設(shè)計調(diào)研項目時�,您是否將個人資料的收集限定為僅對調(diào)研目的有必要的那些項目,并確保不會以與這些目的不相符的方式使用資料�����?
調(diào)研人員必須只收集����、獲取和/或持有從質(zhì)量控制、抽樣和/或分析角度來看確有必要的個人資料���。如果是B2B調(diào)研�,這包括關(guān)于資料主體在組織中的職位或級別的個人資料�����,因為這對達(dá)成調(diào)研目的確有必要。
同樣的原則適用于被動資料收集方法以及在處理二級資料源時��。因而�����,調(diào)研人員有責(zé)任確保只有調(diào)研中使用的資料對于調(diào)研目的確有必要���。如收到其他個人資料,必須將其過濾并刪除���。
2. 您是否實(shí)施了相關(guān)流程�,以確保資料主體不因其個人資料用于市場調(diào)研項目而導(dǎo)致遭受損害或負(fù)面影響����?
調(diào)研人員必須確保個人資料無法被跟蹤,且無法通過調(diào)研結(jié)果借助交叉分析(推論披露)����、小型取樣或其他任何方法推斷個人資料主體的身份。例如����,合并諸如地理區(qū)位資料等輔助信息�,或能夠在客戶滿意度調(diào)研中識別出特定的雇員�。
3. 如您打算聘用分包商或其他第三方供應(yīng)商代表您履行服務(wù),您是否披露履行雙方同意的服務(wù)所必須的最少量的個人資料��?您是否訂立了合同可確保對方也提供類似的保護(hù)級別����?
在聘用分包商期間,僅向其提供履行雙方同意的服務(wù)所必須的最少量的個人資料�,通過合同和說明使分包商時刻明確其在擁有這些資料期間應(yīng)承擔(dān)的責(zé)任。所有分包商必須遵循與調(diào)研機(jī)構(gòu)同樣的規(guī)則和法規(guī)����。此外,只在事先獲得同意或得到調(diào)研機(jī)構(gòu)的客戶授權(quán)后����,方可向分包商或其他第三方供應(yīng)商傳輸個人資料。
以上規(guī)定假定調(diào)研中使用的所有資料將保持機(jī)密��,且僅會在合并層面上進(jìn)行分析和報告�����。如資料主體同意將其回答與其個人資料關(guān)聯(lián)�,則必須向其告知信息將如何共享和使用��。
5.2 通知和同意
4. 在進(jìn)行主要資料收集時��,您是否征得個人資料將被收集的每一位資料主體的同意����?
根據(jù)OECD隱私原則��,任何個人資料均應(yīng)當(dāng)以合法正當(dāng)?shù)耐緩将@取�,并且如果適用,應(yīng)得到資料主體的知情或同意���。總體而言��,各國法律提供了諸多合法公平的基礎(chǔ)��,但在大多數(shù)情況下����,調(diào)研人員將被要求征得資料主體的同意。
同意必須是:
? 自由的(自愿且能夠隨時取消)����;
? 具體的(與一個或多個可識別的目的相關(guān))�����;且
? 知情的(完全知道給予同意的所有相關(guān)后果)���。
在已向資料主體提供下文中規(guī)定的信息后,還必須通過聲明或行動明確地表示同意�。簡而言之,應(yīng)向資料主體告知(1)其個人資料將用于何種目的�����;(2)具體要收集哪些資料����;(3)收集資料的企業(yè)或機(jī)構(gòu)的名稱、地址和聯(lián)系信息���,如不是同一家單位�,則應(yīng)告知資料控制者的相關(guān)信息�����;(4)是否會將信息披露給第三方����。
調(diào)研人員應(yīng)慎重考慮采用何種方式征得同意��,通常表述為自愿退出����、自愿參與����、暗指或明示。所選擇的具體方法應(yīng)記錄在案�����。
總體而言�,資料收集越是敏感����、侵入性越強(qiáng)或不夠明顯,所需的同意的標(biāo)準(zhǔn)越高���。在某些轄區(qū)���,定義了在資料收集前需征得有關(guān)個人明確同意的“敏感個人資料”的級別���。
調(diào)研人員有可能無意中或從尚未被定義為資料主體的人員處收集到或接收到個人資料。例如主動提供的信息���;客戶提供的含有超出開展調(diào)研所需的更多信息�;以及從照片或視頻上捕獲的無關(guān)人員���。調(diào)研人員在處理此類信息時應(yīng)采用與針對其他個人資料時的同樣方式����。應(yīng)立即使此類資料無法識別或?qū)⑵滗N毀���,尤其是在無法向資料被收集人告知資料下落�����、存儲或用途時�。在某些法律轄區(qū)�����,強(qiáng)制要求刪除此類資料或采用針對有意獲取的其他信息完全相同的方式處置此類信息。
5. 您是否清楚收集和維護(hù)資料的目的����?
調(diào)研行業(yè)長久以來一直將調(diào)研與為了其他目的而收集資料(例如廣告、促銷����、名單開發(fā)、直接營銷�、直銷)區(qū)分開來。這一差別對于區(qū)分目的和在監(jiān)管機(jī)構(gòu)及公眾中創(chuàng)造良好印象非常重要���。近年來�����,新技術(shù)的出現(xiàn)為通過在線追蹤和可下載移動應(yīng)用等技術(shù)來收集個人資料提供了便利�����。任何情況下���,在收集任何資料前�,都必須告知潛在的資料主體其資料將用于何種目的、可能產(chǎn)生何種潛在后果,包括出于質(zhì)量目的而跟進(jìn)聯(lián)系�����。
當(dāng)調(diào)研人員出于市場調(diào)研目的而從資料主體收集個人資料��,務(wù)必注意要對資料主體保持信息透明����。關(guān)于收集的個人資料將用于何種目的以及與第三方的任何分享等信息必須充分傳達(dá)給資料主體。例如���,如果計劃將個人資料用于把調(diào)研答復(fù)與客戶簡介相關(guān)聯(lián)�����,在收集資料時就應(yīng)告知資料主體�����。
必須定期審核隱私政策�����,以確保所收集的資料類型和計劃中的用途未發(fā)生改變���。調(diào)研人員必須確保在調(diào)研機(jī)構(gòu)中實(shí)際所采用的業(yè)務(wù)做法和技術(shù)與向資料主體做出的承諾相一致�,并符合不斷演化的監(jiān)管要求���。必須對每一項提議的個人資料用途進(jìn)行分析��,以確保遵從地方隱私法律��、ICC/ESOMAR關(guān)于市場�、輿論�����、社會研究和數(shù)據(jù)分析的準(zhǔn)則以及ESOMAR/GRBN指導(dǎo)準(zhǔn)則��,并與向資料主體做出的隱私承諾相一致�����。
6. 您是否清楚具體要收集哪些資料��?
鑒于在特定管轄權(quán)對個人資料的寬泛定義�,在制定隱私政策時應(yīng)考慮到可能要收集的所有可能的個人資料要素。個人資料可能包括姓名�、地址、電郵地址����、電話號碼、手機(jī)號碼���、出生日期�����、移動設(shè)備標(biāo)識符���、IP地址、照片����、音視頻記錄、身份證號(駕照�����、社保��、國家保險)��、機(jī)構(gòu)指派的用戶識別號、社交媒體用戶名�、cookie或追蹤像素/標(biāo)簽中存儲的資料。還應(yīng)謹(jǐn)記:單個資料項本身可能不被地方法律視作可識別身份的資料���,但與其他資料結(jié)合(例如郵編�����、性別��、工作地點(diǎn)或?qū)W校����、職務(wù)��、薪金)����,則可能致使個人身份被披露。
此外����,應(yīng)考慮到個人資料所有可能的接收者。調(diào)研人員����、調(diào)研機(jī)構(gòu)��、第三方服務(wù)提供者和/或最終客戶在調(diào)研項目過程中都可能有能力收集和/或使用個人資料。
7. 您是否明確說明資料將如何收集����,包括資料主體可能不知情的任何被動資料收集?
以往����,調(diào)研主要依賴面談作為首要的個人資料收集方法。如上文第5點(diǎn)所述���,新技術(shù)使在個人不知情的情況下收集更廣泛的個人資料成為可能��。必須將搜集的具體資料及用到的收集方法告知各個資料主體����,不論是通過主動方式(例如訪談)或是被動方式(例如移動應(yīng)用或通過在線cookie追蹤)�����。
調(diào)研人員應(yīng)考慮到所收集的資料中的哪些要素和/或資料收集方法可能是資料主體意想不到的��,并針對這些收集方法重點(diǎn)給予說明。請考慮在更詳盡的隱私政策上部放置“簡易形式”的隱私政策�����,用以描述可能意想不到的或是唐突的資料收集或使用行為�。移動應(yīng)用,尤其是涉及到地理位置�、“被動監(jiān)聽”和/或移動設(shè)備操作系統(tǒng)測量的那些應(yīng)用,都需要詳細(xì)說明��,并從這些活動的資料主體那里征得明確的同意���。
8. 在將所收集的個人資料用于調(diào)研以外的某些目的(例如客戶資料���、社交媒體資料等),您是否確保用途合法并且確保資料主體的權(quán)益得到保護(hù)��?
調(diào)研人員及類似的非調(diào)研人員越來越多地尋求獲取和使用二級資料��,用以補(bǔ)充或替代主要資料收集���。在訪問和處理此類資料前�����,調(diào)研人員必須確保其既定用途資料收集的初始目的相一致���。他們必須驗證原始收集是合法的�,得到了資料主體明確或暗示的同意����。此外�����,他們必須通過確保僅用于調(diào)研目的來維護(hù)正當(dāng)利益�����。
調(diào)研人員還必須規(guī)劃其調(diào)研工作�����,確保后續(xù)資料處理不對資料主體產(chǎn)生損害風(fēng)險�。調(diào)研人員必須將防護(hù)措施落實(shí)到位,以規(guī)避此類損害的風(fēng)險���,例如未經(jīng)事先同意���,個人資料主體的身份不會泄露或披露�����,采取措施降低資料粒度��,降低個人身份被辨識的幾率����,確保不會由于其資料用于調(diào)研目的而導(dǎo)致對資料主體進(jìn)行任何非調(diào)研活動�����。
5.3 誠信/安全
9. 是否為了確保所有個人資料的準(zhǔn)確����、完整和最新而制定了流程?
在調(diào)研過程的每一個階段都應(yīng)進(jìn)行質(zhì)量檢查�。在制定調(diào)研問卷或調(diào)研應(yīng)用時,在開始現(xiàn)場工作之前應(yīng)進(jìn)行測試���,以便將資料收集出錯的風(fēng)險降到最低�。在現(xiàn)場工作階段,應(yīng)按照適用的調(diào)研質(zhì)量標(biāo)準(zhǔn)開展訪談的監(jiān)控和驗證�����。在資料處理和報告階段�����,應(yīng)進(jìn)行額外的質(zhì)量檢查���,從而確保資料正確�,且分析����、結(jié)論��、建議與資料一致�����。
調(diào)研運(yùn)作小組應(yīng)確保小組成員能夠隨時審核和更新其概況資料���,應(yīng)定期提醒他們這樣做�����。從小組提取的樣本應(yīng)標(biāo)注最新的人員信息��。這方面的一個很好的標(biāo)準(zhǔn)做法來源是ISO 26362:2009 – – 市場��、輿論��、社會研究中的訪問小組����。
使用二級資料時,調(diào)研人員應(yīng)審核資料收集時部署的質(zhì)量檢查舉措����,確保資料準(zhǔn)確。
10. 您是否確保個人資料留存時間不超過信息收集�����、獲取或后續(xù)處理所需的時間��?您是否制定了流程����,在不再需要資料時可以單獨(dú)存儲標(biāo)識符或從資料記錄中刪除標(biāo)識符���?
調(diào)研人員應(yīng)將資料留存時間設(shè)置得盡量短暫,但在任何情況下都應(yīng)遵照適用的法律����、所收集的個人資料的來源、其是作為數(shù)據(jù)控制者還是處理者來工作��。如果是后者�����,客戶可通過合同強(qiáng)制規(guī)定存留時間�����。
關(guān)于個人資料的來源����,來自于縱向調(diào)研的信息或關(guān)于成員的簡介信息通常在其作為活躍成員的整個階段期間使用和留存�����。相反��,參與對于臨時性調(diào)研的非成員資料主體的個人資料,應(yīng)采用更短的留存時間���。顯然�,請勿過快地銷毀其個人資料�����,因為要在資料處理階段進(jìn)行質(zhì)檢���,以確保準(zhǔn)確性并滿足資料完整性隱私原則的要求��。
當(dāng)使用個人資料時�����,調(diào)研人員最好應(yīng)使用匿名標(biāo)識符����。對于將資料主體的名稱�����、地址���、電話號碼與相應(yīng)的內(nèi)部ID號相關(guān)聯(lián)的主文件�����,必須安全保管�����,僅限有限幾個人獲取�����,例如抽樣或小組管理人員�。如此一來,因工作需要而要分析個人層級資料的調(diào)研人員���、資料處理或編碼人員可在不看到資料主體的姓名���、地址或電話號碼的情況下進(jìn)行數(shù)據(jù)分析。
當(dāng)調(diào)研回復(fù)已處理并以合并方式報告���,應(yīng)刪除統(tǒng)計資料、資料主體的個人資料以及相應(yīng)的匿名標(biāo)識符���,使得調(diào)研機(jī)構(gòu)不再持有個人資料���。
11. 是否制定了程序���,用以回應(yīng)資料主體關(guān)于從其獲取的個人資料的請求?您的處理來自資料主體訪問請求的程序是否包含鑒定資料主體身份�����、在合理時間內(nèi)回應(yīng)請求����、允許其糾正不準(zhǔn)確信息或徹底刪除資料?
應(yīng)制定����、溝通并遵循正規(guī)的程序,以便回應(yīng)個人資料被機(jī)構(gòu)所持有的資料主體想要訪問個人資料的請求��。應(yīng)對提出訪問請求的資料主體的身份進(jìn)行鑒定�,這對于預(yù)防以不當(dāng)方式將個人資料披露給他人至關(guān)重要。
一旦提出訪問請求的資料主體的身份得以鑒定(此人為自稱是資料主體的人��,有權(quán)訪問所述個人資料)���,調(diào)研人員應(yīng)盡快全力滿足其訪問請求���,例如:在10到30天內(nèi)�����,具體時間取決于適用的法律����。如調(diào)研機(jī)構(gòu)需要額外時間滿足其要求�,則可延長法律中規(guī)定的期限,前提是通知此人并且延期的理由合理����。更多的時間可能是有必要的,例如:進(jìn)行查詢或從多個數(shù)據(jù)庫和數(shù)據(jù)源收集所要的信息�。
不過,資料保護(hù)法律可能含有要求機(jī)構(gòu)在特定情況下拒絕資料主體個人信息訪問權(quán)的免責(zé)條款�,但這些免責(zé)條款對于用于調(diào)研目的而正在收集的資料很可能并不適用。例如��,如果信息屬于律師-客戶豁免權(quán)�,適用的法律可能允許機(jī)構(gòu)拒絕訪問請求。另一個例子,如果機(jī)構(gòu)因執(zhí)法或國家安全原因而將信息披露給政府機(jī)構(gòu)���,該政府機(jī)構(gòu)可能要求調(diào)研機(jī)構(gòu)拒絕個人訪問信息或不得透露信息已被披露之事。
12. 是否針對每個資料集制定了安全協(xié)議���,以防止遺失���、未經(jīng)授權(quán)訪問、銷毀���、修改或披露���?
履行這些職責(zé)首先要制定并實(shí)施安全政策�,以保護(hù)個人信息和其他類型的機(jī)密信息����。可依據(jù)ISO 27001這一廣為認(rèn)可的信息安全標(biāo)準(zhǔn)制定完整的安全政策�。
采用適當(dāng)?shù)陌踩e措以提供必要的安全保護(hù),這些舉措包括:
? 物理性措施(文件柜上鎖����、限制進(jìn)入辦公室���、報警系統(tǒng)����、安全攝像頭)
? 技術(shù)性工具(密碼、加密���、防火墻)
? 組織性控制(背景核查��、關(guān)于攜帶電腦離開的規(guī)定����、基于“需要知道”來限制訪問�、人員培訓(xùn)、與客戶和分包商訂立協(xié)議)
安全政策還應(yīng)包括處理導(dǎo)致個人資料泄露的潛在資料違規(guī)的程序�。如果是其他方收集的二級資料,例如客戶數(shù)據(jù)庫��,則必須立即通知該方���。如果資料披露會給資料主體帶來某些風(fēng)險(例如身份被竊)�,則必須通知資料主體,并采取適當(dāng)步驟防止風(fēng)險發(fā)生��。
13. 是否有關(guān)于個人資料留存時間的明確聲明�����?
個人資料留存時間的長度可能因調(diào)研項目而異��,取決于多種情形����,在對問題9的回答中曾提及�����。
盡管隱私政策中應(yīng)含有通常的留存做法���,但對于不同種類的調(diào)研�����,并不一定總是能夠精確地說明留存時間���。因而,調(diào)研人員還應(yīng)考慮到在招募材料、問卷說明或特定調(diào)研的同意書中闡明資料留存時間����。他們應(yīng)準(zhǔn)備好按要求針對給定項目闡明資料留存時間期限。
5.4 資料傳輸
14. 您是否有明確的規(guī)則和流程以管制個人資料的使用和披露���?
這些規(guī)則和流程在存在于您的國家的當(dāng)?shù)仉[私和資料保護(hù)法律中有明確規(guī)定�����。對其含義的解釋應(yīng)和流程及書面文檔一起清晰記錄�����,以確保人員能夠?qū)嵤┻@些關(guān)于個人資料管理的流程����,并熟知這些規(guī)則和流程����。例如,這將包含這樣的原則:這些資料在得以披露前需要征得資料主體的同意����,即便是透露給客戶或客戶機(jī)構(gòu)內(nèi)部的調(diào)研人員��,不論資料是否是由調(diào)研人員還是其他各方收集的�����。
15. 是否清晰明確地闡述了在何種情況下可以披露個人資料���?
資料主體必須知悉其個人資料出現(xiàn)了何種情況,必須以資料主體同意的口頭或某些書面形式或文檔做出說明���,例如:通過記錄在案作為已同意的證據(jù)的同意書。
16. 您的員工是否知悉這些規(guī)則并接受了實(shí)施流程培訓(xùn)����?
您的隱私政策闡述了貴公司的資料收集和管理做法。制定內(nèi)部標(biāo)準(zhǔn)作業(yè)流程對于確保兌現(xiàn)對資料主體的承諾也同樣重要����。
關(guān)于隱私的員工培訓(xùn)應(yīng)包括適用法律概述、行業(yè)行為準(zhǔn)則�����、貴公司消費(fèi)者隱私政策以及SOP�����。應(yīng)至少每年都舉行隱私培訓(xùn),應(yīng)妥善保管參訓(xùn)者記錄��。
所有與資料主體互動的一線員工應(yīng)能夠高屋建瓴地闡釋公司的政策和流程���。他們應(yīng)清楚如無法回答客戶質(zhì)詢時應(yīng)求助于哪些內(nèi)部人士��。
應(yīng)制定清晰的監(jiān)管和責(zé)任����,包括針對正在執(zhí)行的流程進(jìn)行某些形式的監(jiān)控��。
5.5 跨境個人資料轉(zhuǎn)移
17. 如個人資料將要從一個管轄區(qū)傳輸至另一管轄區(qū)���,是否同時滿足起源地和目的地的資料保護(hù)要求�����?
這常稱作“跨境個人資料轉(zhuǎn)移”����。當(dāng)跨境收集資料和/或資料處理是離岸進(jìn)行的或被外包給另一國家(例如:當(dāng)客戶采用另一國家的調(diào)研人員開展調(diào)研����,調(diào)研過程中采用客戶提供的顧客或服務(wù)使用者資料)�。每個國家針對此類資料如何處理和保護(hù)都制定了自己的規(guī)則��,調(diào)研人員必須遵守��。盡管這看起來很復(fù)雜��,但如果將調(diào)研人員面臨的合規(guī)問題劃分為三大類就可化繁為簡:
? 確保個人資料的跨境轉(zhuǎn)移符合適用的國際和國家法律��、法規(guī)和框架��。確?��?缇侈D(zhuǎn)移得以充分保護(hù)的最常見手段是征得資料主體同意或采用恰當(dāng)?shù)暮贤瑮l款,以及如果適用的國家法律有要求���,從該國資料保護(hù)機(jī)構(gòu)或其他適用的隱私管制機(jī)構(gòu)獲得提前授權(quán)���,以使用這些合同。作為額外的安全舉措并且為了進(jìn)一步在資料離岸處理地降低風(fēng)險���,應(yīng)刪除可識別身份的個人資料(如果適用)�,從而只是匿名ID用于將資料主體的身份關(guān)聯(lián)至個人層面的資料。
? 調(diào)研人員在作為資料處理者時�,例如在利用客戶提供的樣本開展調(diào)研時,可進(jìn)行跨境轉(zhuǎn)移的范圍�����。即便調(diào)研人員以謹(jǐn)慎地確?�?缇侈D(zhuǎn)移遵守傳輸管制規(guī)則�����,仍應(yīng)牢記:在作為資料處理者代表資料控制者(例如調(diào)研客戶)處理個人資料時��,其作為資料控制者也許不能允許其掌控的個人資料被跨境轉(zhuǎn)移�����,這可能影響到他們?nèi)绾伍_展項目��。上述雙方之間應(yīng)為此簽訂書面協(xié)議�。
? 涉及到其他國家主體的個人資料(例如:以居住在不同國家的資料主體為對象的在線調(diào)研)跨境轉(zhuǎn)移至調(diào)研人員正在控制此項調(diào)研之處�。通常���,適用的隱私法律為調(diào)研人員所在國的法律。然而�,調(diào)研人員還需確保此項調(diào)研或小組遵從資料收集地所在國的其他任何適用的國家法律。推薦的做法包括確保:(1)在所有的招募材料中明確表述出調(diào)研人員的法律細(xì)節(jié)(公司名稱、郵寄地址等)�,包括國家名稱��;(2)所采用的在線隱私政策包括簡單明了的聲明���,闡明通過參與此項調(diào)研或小組而進(jìn)行的跨境轉(zhuǎn)移�����;以及(3)在小組招募同意書問題中提及跨境轉(zhuǎn)移����。
5.6 外包和分包
18. 是否有關(guān)于對任何外部資料處理者或其他分包商進(jìn)行監(jiān)督的明確要求�?
當(dāng)有任何形式的資料傳輸時,必須要有明確的要求向所有外部資料處理者或其他分包商闡明�,使之遵循所需的與個人資料有關(guān)的資料保護(hù)規(guī)則。任何資料的傳輸都應(yīng)有額外的保護(hù)�����,不論是個人層面或時合并的資料��,要采用專用的IT流程(例如傳輸時對資料加密)或采用安全的FTP傳輸平臺��。如果分包商或外部資料處理者要對任何資料制作拷貝作為備份����,那么必須要求清晰的流程以在存儲期間保護(hù)資料,并在不再需要資料時將其刪除��。
19. 是否與所采用的所有分包商訂立了協(xié)議(合同)�����?
必須與任何參與調(diào)研的分包商訂立協(xié)議�。合同應(yīng)解決參與調(diào)研的業(yè)務(wù)條款(包括工作聲明、術(shù)語、保險等)以及:
? 資料保護(hù)要求���;以及
? 信息安全要求�。
5.7 隱私聲明
20. 關(guān)于您的隱私和個人信息保護(hù)計劃的信息是否可以隨時獲得����,并且以參與者容易理解的形式提供?
許多司法管轄區(qū)要求在資料主體容易獲得的隱私聲明中提供信息�����。盡管所要求的內(nèi)容和細(xì)節(jié)因國家而異����,但調(diào)研人員必須時刻向資料主體明確地表明身份,并確保闡明調(diào)研的目的���,個人資料如何收集�����,將如何管理(收集��、存儲、使用�、訪問和披露)�,以及如何獲取更多信息或發(fā)起投訴����。
調(diào)研人員必須確保政策通俗易懂、與讀者密切相關(guān)��、便于定位�����、盡可能準(zhǔn)確���、根據(jù)機(jī)構(gòu)的運(yùn)作量身定制���。這包括以盡可能多的語種提供隱私政策,定期審閱���,酌情更新��。
21. 資料控制者的身份和責(zé)任是否明晰�����?
調(diào)研人員必須確保其自身角色和管理個人資料的職責(zé)對于資料主體是明晰的����。這包括明確資料控制者身份,以及是否使用了外部資料處理者��。資料主體必須要清楚哪家機(jī)構(gòu)最終會對資料的管理承擔(dān)責(zé)任��。
某些管轄區(qū)還要求要有專人對公司的資料保護(hù)做法負(fù)責(zé)�。
如果是采用客戶提供樣本的不知情調(diào)研,應(yīng)在訪談一開始便告知參與者在調(diào)研結(jié)束前將不會透露客戶名稱��,因為過早透露此信息可能導(dǎo)致回答有偏見����。由于許多國家的資料保護(hù)法律給予了資料主體法律權(quán)利,允許其知道調(diào)研人員是從何處獲取的個人信息,調(diào)研人員必須做好準(zhǔn)備隨時按要求表明客戶名稱���。
22. 是否明確說明了無論資料位于何地�,資料控制者都應(yīng)對其控制的個人資料負(fù)責(zé)?
如果調(diào)研人員可能要外包資料處理工作的任何部分或在管轄區(qū)之外傳輸資料����,那么應(yīng)準(zhǔn)備好向資料控制者提供分包商的詳細(xì)信息和資料處理的地點(diǎn)。如有必要,還應(yīng)事先以書面方式從資料控制者征得同意���。如果調(diào)研機(jī)構(gòu)是資料控制者��,他們應(yīng)包括資料處理者的使用參考����,如果有關(guān),還應(yīng)在其隱私政策中列出國家或?qū)挿旱膮^(qū)域���。調(diào)研人員應(yīng)該警惕一些司法管轄區(qū)禁止調(diào)研人員將個人資料傳送到?jīng)]有同等資料保護(hù)法律的國家或地區(qū)�����。在遵守有關(guān)地方國家法律規(guī)定的跨境轉(zhuǎn)移規(guī)則的情況下,大多數(shù)司法管轄區(qū)允許跨越國界組傳送個人信息���,盡管有些人仍然需要向資料主體通知資料可能駐留的地點(diǎn)���。
6 特別問題
6.1 收集來自兒童、年輕人和其他弱勢群體的資料
調(diào)研人員在收集任何已經(jīng)為其指定法定監(jiān)護(hù)人的資料主體的個人資料之前�,必須征得父母或責(zé)任成人的同意。在征得同意時�����,調(diào)研人員必須提供有關(guān)調(diào)研項目性質(zhì)的充分信息��,以便父母或負(fù)責(zé)任的成年人對資料主體的參與作出明智的決定��。這包括:
? 進(jìn)行調(diào)研的調(diào)研人員/組織的名稱和聯(lián)系方式��;
? 從資料主體收集的資料的性質(zhì)��;
? 解釋資料如何被保護(hù)和使用��;
? 解釋要求兒童參與的原因以及可能的好處或潛在的影響��;
? 說明給予和核實(shí)同意的程序;以及
? 要求父母或負(fù)責(zé)任的成人的聯(lián)系地址或電話號碼��,以核實(shí)同意�����。
調(diào)研人員還應(yīng)該記錄責(zé)任成人的身份和他/她與資料主體的關(guān)系��。
目前國際上對兒童或年輕人沒有一個統(tǒng)一的定義���。即使在一個國家內(nèi),定義也可能有所不同�����?;谔卣鳎ɡ缯J(rèn)知能力)而非年齡的其他定義來進(jìn)行劃分并在調(diào)研中采用此定義即便不是不可能也是很困難的。因此���,調(diào)研人員必須依賴適用的當(dāng)?shù)胤?,行為?zhǔn)則和文化規(guī)范中所表達(dá)的任何相關(guān)定義����。在沒有明確指導(dǎo)的情況下����,ESOMAR和GRBN建議將兒童定義為12歲以下�����,年齡在13歲至17歲之間�。如需更多詳細(xì)信息,請查詢ESOMAR指導(dǎo)準(zhǔn)則兒童和青少年訪談���。
6.2 企業(yè)對企業(yè)調(diào)研
大量的調(diào)研項目涉及收集企業(yè)��,學(xué)校����,非營利組織和類似組織的法律實(shí)體的資料����。這種調(diào)研往往涉及收集有關(guān)實(shí)體的信息,如收入��、員工人數(shù)��、部門、地點(diǎn)等等���。
在所有這些情況下�����,參與組織都有權(quán)獲得與報告中的身份披露相同水平的保護(hù)�����,例如提供給其他形式調(diào)研的個人。
值得注意的是�,許多國家資料保護(hù)法律將個人的職務(wù)和單位聯(lián)系信息視作個人資料。某些資料保護(hù)法律更將其要求應(yīng)用到自然人和法人(例如個人和法人實(shí)體)�����。
6.3 照片��、音頻和錄像
作為調(diào)研過程的一部分���,許多新的調(diào)研技術(shù)創(chuàng)建��、存儲和傳輸照片�����、音頻和視頻記錄�。兩個突出的例子是民族志和神秘購物。
調(diào)研人員必須認(rèn)識到���,對于照片��,音頻和錄像屬于個人資料����,必須這樣處理�����。如果調(diào)研人員要求資料主體以這些形式提供信息�,他們還應(yīng)該就如何減少非請求資料的收集,特別是從非參與者收集資料提供指導(dǎo)�����。
最后����,某些類型的觀察性調(diào)研可能涉及在公共場合拍攝�、錄像或錄制涉及未被招募為資料主體的人�。在這種情況下,調(diào)研人員必須獲得許可�,才能分享來自資料主體的這些臉部清晰可見并可識別的圖像。如未獲得許可�����,資料主體的圖像應(yīng)打上馬賽克或給予匿名��。此外��,應(yīng)放置清晰易見的標(biāo)示����,以便指明觀察區(qū)��,并給出責(zé)任人或機(jī)構(gòu)的聯(lián)系信息����。攝像機(jī)的位置應(yīng)該只監(jiān)視觀察區(qū)域。
6.4 云儲存
應(yīng)該仔細(xì)考慮將個人資料存儲在云中的決定��。調(diào)研人員必須評估云存儲服務(wù)提供商的安全控制及其標(biāo)準(zhǔn)條款和條件。許多云存儲服務(wù)提供商在發(fā)生安全漏洞和個人資料泄漏的情況下提供較低的賠償�。這意味著調(diào)研人員的公司將面臨相當(dāng)嚴(yán)重的隱私泄密導(dǎo)致的財務(wù)損失和損失風(fēng)險�����,從而對受影響的資料主體造成損害��。
因此調(diào)研人員應(yīng)該實(shí)施補(bǔ)償性的控制措施來防范這種風(fēng)險。例如���,他們應(yīng)該在移動(從云轉(zhuǎn)移到云中)和靜止(存儲在云提供商的服務(wù)器上)時加密個人資料���。調(diào)研人員還應(yīng)該考慮購買網(wǎng)絡(luò)責(zé)任保險。
調(diào)研人員還必須考慮存儲個人資料的物理位置���,以確定云存儲的使用是否是跨境轉(zhuǎn)移�。請參閱本文檔的第5.5節(jié)進(jìn)一步討論����。一些云服務(wù)提供商在某些情況下提供適合特定國家的存儲位置�����。
最后,調(diào)研人員應(yīng)該將個人資料放在私有云上�����,而不是公共云上�。私有云是將特定數(shù)據(jù)中心的專用設(shè)備分配給調(diào)研人員的公司����。私有云的主要好處是調(diào)研人員總是知道個人資料的位置��。相比之下����,公共云可能會導(dǎo)致資料位于兩個或更多數(shù)據(jù)中心和兩個或更多的大陸��,從而提高了可能的合規(guī)性問題���,既有資料保護(hù)法的適用要求�,也有與資料控制者簽訂的合同指定個人資料必須位于何處�。
6.5 匿名和假名
調(diào)研人員的資料保護(hù)責(zé)任的一個關(guān)鍵部分是在發(fā)布之前將資料解除識別給客戶甚至公眾���。匿名化是一種保護(hù)措施����,涉及刪除或修改個人標(biāo)識符以將資料轉(zhuǎn)換為不能識別個人身份的形式。例子包括模糊的圖像掩飾面孔或報告結(jié)果作為匯總的統(tǒng)計資料����,以確保他們不會確定一個具體的個人。
假名化涉及修改個人資料����,使得仍然可以通過使用諸如ID號的獨(dú)特標(biāo)識符或散列算法來區(qū)分資料集中的個人,同時分別保存其個人資料用于檢查目的(參見Q9)��。
當(dāng)采用這種技術(shù)時��,調(diào)研人員應(yīng)該咨詢當(dāng)?shù)氐膰曳珊妥月煞ㄒ?guī)�����,以確定哪些要素必須被刪除�����,以符合這些資料的匿名/假名法定標(biāo)準(zhǔn)���。
7 來源和參考
DLA Piper, Data Protection Laws of the World EphMRA Adverse Event Reporting Guidelines 2014
ICC/ESOMAR International Code on Market and Social Research ESOMAR Interviewing Children and Young People Guideline
ISO 26362:2009 – Access panels in market, opinion, and social research Privacy Shield Framework
OECD 隱私原則
8 項目團(tuán)隊
聯(lián)席主席:
? Reg Baker�����,ESOMAR專業(yè)標(biāo)準(zhǔn)委員會和國際營銷調(diào)研所顧問
? GfK完整性��、合規(guī)性及隱私保護(hù)副總裁David Stark
項目組成員:
? 市場調(diào)研學(xué)會首席運(yùn)營官Debrah Harding
? Stephen Jenke����,顧問
? ESOMAR國際標(biāo)準(zhǔn)和公共事務(wù)部主任凱西·喬(Kathy Joe)
? Wander Meijer�����,全球首席運(yùn)營官�,MRops
? SSI總法律顧問Ashlin Quirk
? 全球隱私保護(hù)經(jīng)理 - 美國運(yùn)通項目,政策和治理經(jīng)理Barry Ryan
? 瓦利斯咨詢公司負(fù)責(zé)人Jayne Van Souwe
文檔下載:ESOMAR-Data-Protection-Checklist_September-2017(1)
|
當(dāng)前位置:
友情鏈接
