大家上午好！我们今天从强化业务风险管控的角度进行分享和交流。实际上是从两个维度来分享，我所讲的主要方向是站在CMRA权益保障工作委员会角度，看过去几年的数据采集过程当中的风险管控。这个问题也是大多数CMRA会员给协会提的诸多的需求点之中的一个要求。

我们所谈到的数据合作，一个层面是我们作为研究机构受客户委托进行数据采集并进行研究分析的业务，还有一个层面是研究机构委托各地的合作伙伴进行的数据采集业务。这两层的数据合作过程当中都有很多的风险。加强行业权益保障，为会员维权，是CMRA最开始成立权益保障工作委员会的初衷。

我们把数据合作中的风险管控分为前期、中期、后期来分析。协会经常会接到一些会员的投诉，被欠款、找不到分包公司以及赖帐的事件等等，但这些投诉都是到了后期，这个风险到了后期再想管控很难。所以我们首先建议大家要把精力多放在前期，前期风险控制可以从哪些方面着手呢？第一是看委托方的资质，包括它是不是我们CMRA的会员，如果他不是CMRA的会员，在发生纠纷的时候，我们会员再投诉到协会相关机构这里，其实我们是无能为力的，毕竟协会只能协调自己的会员。第二就是委托方的口碑，大家都有各个业务合作群，当你第一次跟委托方合作的时候可以了解一下对方的口碑怎么样，我们知道现在业内有一些不断更换名字或换马甲的发包公司，其实你了解一下就会发现是换汤不换药。第三就是项目的可行性评估，有一些发包公司发出一个根本不可能实现的目标，这种难度过高的项目大概率是收不到全部回款的。第四个就是项目合同。很多业内公司老板大家都很熟，所以我们很多的数据采集业务都是先做项目，然后补合同再开发票，但是，如果你跟委托方第一次合作要避免这种方式。前一段时间，CMRA权益保障工作委员会和标准委员会协同拟定了一些标准合同，大家可以参考。这些合同已经发布在协会的官方网站上。有很多案例，签了分包合同最后发生纠纷，协会协调无果，最后通过打官司或者其他方式都可以把钱要回来。合同是商业合作控制风险的关键。

在业务合作的中期控制风险的要点是项目首付款、需求变动记录以及成果提交记录，还有合同中要标准成果无异议声明周期。

在业务合作的后期控制风险的要点，一是成果提交后一个月开出发票，发票后三个月帐期，逾期款项目追缴流程等。现在有很多风险权益不对称的协议，委托方要收到第三方的钱再给下面的分包商，这是非常不合理的，除非是签署三方合同。这里我们的标准合同都有给大家建议，包括逾期帐款的追缴，只要纠纷双方都是协会会员，出了事情完全是可以投诉到协会的，协会会出面做协调。

在防止欠款方面，权益保障委员会会同秘书处在近两年准备了投诉流程和调解工作办法，这是我们基于过去几年的经验教训所制定的工作规则。这里有很多协会协调的成功案例。

最后是法务途径，18年底根据会长办公会的决议，协会秘书处与北京中闻律师事务所达成了战略协议，这个律师事务所会帮助大家进行法务对接，遇到法律问题可以直接咨询律师事务所。这些是数据项目合作过程当中的风险管控。总之，大家还是要关注前期风险管控，不要把风险都压在后期。

今天我要分享的第二个主题是数据合规风险。调研行业无论上下游，我们做的生意都基于数据。我们所说的数据合规，既然是合规，就有国家的法律法规规定，有哪些基本的法律或者标准规范，跟我们这个行业相关的条条框框都有什么呢？

一是《民间统计调查管理条例》，这个条例还在征求意见阶段，征求意见稿发在国家统计局的官方网站，我们根据中国法律进程一般的经验来看，未来发布的正式条例和征求意见稿通常不会有太大的差别。根据条例规定，只要营业执照里面有统计或者是调查的法人机构都会受到这个条例的管理。

这个条例里面有几点，在这里强调一下，更多的细节大家可以自己看。“第四条  国家鼓励各级人民政府及其有关部门委托民间统计调查机构开展统计调查活动，或者向民间统计调查机构购买统计调查服务。”“第十一条  组织实施民间统计调查，应当采用国家统计标准。没有国家统计标准的，鼓励采用行业标准”这里面的行业标准，CMRA已经出台了一些，目前还在继续完善，我们也正在与国家相关的部门联合制定GB标准。CMRA作为行业组织，会越来越重视提供标准和规范服务。第十八条是我们要特别注意的，“民间统计调查机构或者其他单位对外提供能够识别或者推断单个调查对象身份的资料的，应当确保获取资料者遵守本条例的有关规定；在征求调查对象书面同意时，应当告知调查对象获取资料者的身份、目的。”这里的要点一是提供被访者信息需要其书面同意，二是拿到被访者个人资料的甲方，哪怕是国家机构，要对这些资料的保存承担责任，如果这个资料泄露就要承当相应的责任。在民间统计调查条例里面对于侵犯受访者隐私有非常严重的处罚条例。权益保障工作委员会正在草拟基于条例要求的合同补充条款。确保我们在跟甲方合作的时候，如果甲方要求拿到受访者的资料，他们要承担相应的责任。

二是个人信息保护。这个是特别热门的议题，也是跟我们每个人紧密相关的。这方面大家都知道过去几年出了很多热点事件，也是公众舆情的敏感点。这方面中国特色是刑法先行，大家知道刑法是最严的法，通常是民事法在前面，一类一类违反了然后再违反刑法。中国是反过来，因为个人信息保护在过去几年中实在是问题太大了，导致国家相关部门认为，在短时间内民法这个管理规则供给不足的情况下，例如目前个人信息保护法还没有出来，只有草案，所以先通过刑法修正案去矫枉过正，原来刑法中泄露个人信息是针对国家公务人员借职务便利，现在不是，现在是所有机构，只要你非法获取、持有相关的个人信息，那你都是违法，而且是违反刑法，入刑几年都有明确规定。我们在座的很多从事数据采集的公司都要注意，例如经常碰到客户需要找到特定用户来访问，受访者名单怎么找？从哪里找？用什么手段找？找到以后通过什么手段保管这些名单？在座各位一定要看看刑法修正案，大家一定不要为了生意铤而走险。

关于《个人信息保护法》，在2017年有一个草案，草案里面有几个提法跟大家分享一下，明确了9个个人信息主体享有的基本权利，包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘、依法对自己个人信息所享有的支配、控制并排除他人侵害的权利。其实，受访者身份证信息以及定量问卷那些背景题目都是个人信息保护法当中界定受到法律保护的内容，我们一旦拿到了这些内容，未来这些受访者有什么权利呢？他有权利在他不同意的时候要求研究机构把他的个人信息从提交给客户的报告中删除掉，包括给到客户的数据库里都应该脱敏，不能有个人相关信息。大家可能觉得不可理解，但个人信息的权利确实是属于个人的，受访者签字同意的时候不代表把这个权利永远让渡给研究机构，在他反悔的时候你要把他信息删掉。

三是GDPR，这是欧盟已经推出的《通用数据保护条例》，通用数据保护条例提到，企业在收集、存储、使用个人信息上要取得用户的同意，用户对自己的个人数据有绝对的掌控权。包括查阅权、被遗忘权以及限制处理权、数据移植权。当个人要求把其个人数据从你的数据库中删除时，你不但要删除还要确保你的最终客户那里也同步删除。我们以前都称调研对象为样本，似乎是独立于个体权利之外的一种客观存在，今天进入数字化时代，我们在座每天都收到大量骚扰信息，我们更不希望我们的孩子被骚扰，所以我们要做好自己的数据管理和数据保护工作。欧盟的工作很前沿，它的执法也非常严格，严格到行为轻微的违法是罚款一千万欧元或者是全年营收的2%，这两者取最高值，严重违法行为最高的是罚款两千万或者是全额的4%，这个条例已经使得很多在这方面不过关的企业从欧盟市场退出。在中国关于个人信息保护既然已经刑法先行，未来这块也会是很重要的立法，会向更严的角度去走。

最后分享下这些风险以及相关控制工作对于数据上下游机构的启示。从风险角度看，我们的数据采集业务，一是陌生拦截会越来越困难，一方面陌生环境下人和人的信任程度很低，另一方面也很难保护好受访者的信息权利，例如反悔权。二是特定型号的用户邀约也越来越困难，这种超低渗透率用户是无法通过随机甄选接触到的，传统上很多获取特定型号用户名单的方式都有很大风险。今天我想强调的是，对于甲方来说，你提出特定型号用户这个条件，就意味着你的数据采集过程存在违法的风险，不要认为这个风险被隔离在了调研公司或者代理公司。这个风险我们协会也会正式出面提醒甲方注意，大家都是想把本职工作做好，有什么必要承担不必要的法律风险呢？

三是CATI中的RDD访问，就是电话随机拨号，大家知道中国移动中国联通近期禁止了所有的营销电话，这种禁止是源头上封锁你的电话号码，例如CATI中心的几十条线只要被几个用户投诉，那你就很有可能被封锁，而且是从服务器端封掉，或许短期可以换一批电话号码，但是长期呢？所以CATI电话随机拨号越来越困难。我们尽量不要向客户推荐CATI的随机拨号，事实上，目前千分之几的成功率也低到根本不能称之为随机了。

四是提供受访者背景资料越来越敏感，你首先要让受访者签字同意你把他的个人资料交给某某第三方或者客户。

五是我们知道有一些大的甲方自建受访者黑名单或者受访者资料库，方便后期过库或者自己联系做访问，作为CMRA我们想强调的是，一旦你拥有了受访者信息，你就对这些受访者信息的保护承担责任。那么你是否做好了承担责任的心理和资源上的准备呢？绝大部分甲方是没有做好这个准备的。这种情况下，你向乙方索取这些个人信息其实就是引火烧身。

当然这些风险背后也有机会。机会是什么呢？首先，流量巨头会在这个过程当中发挥更大的作用。所谓流量巨头在欧美就是谷歌、亚马逊，在中国大家知道京东调研、腾讯问卷等。这种流量巨头在数据采集过程当中会占领越来越多的优势，他们会做好用户数据的系统化管理。其次是行业垂直门户，汽车之家、宝宝树等，他们能够凝聚到海量的特定类型用户，而且粘性很高，这种能力是这些垂直网站的核心竞争力，是无法复制的；第三是线下panel，我们线下邀约其实就是我们给到礼金来换取他的信息保有权，线上panel也是机会，过去1年我们看到越来越多线上Panel的并购，另外客户自己的CRM会发挥越来越大的作用，通过这些Panel，CRM接触到的特定用户，在数据采集过程中基本是合规的。

未来的数据业务，我相信会越来越重视两点，一是受访者权利；二是受访者的体验放到非常重要的位置上，我们不能再期待拿一份问卷占用他半个小时只是给受访者3元钱的毛巾，这个体验肯定是不好的。这么多的风险管理，也意味着从现在开始，数据采集工作会变得越来越挑战，越来越需要专业的人和工具和技术，当然，成本也会越来越高。换言之，对于我们调研公司来说，数据采集业务的壁垒也会越来越高，只要我们提高自身的风险认知，然后提高对风险的管控，我们做好数据采集生意的机会就越大。

我的发言到此结束，谢谢大家！

张弛                                            

品创方略创始人                           

CMRA权益保障工作委员会副会长