【市場調研】ESOMAR / GRBN在線調研指導準則

2020-08-12 10:07:18 點擊：3179

世界社會、輿論和市場調研協會ESOMAR是鼓勵、推動和提高市場調研的重要組織。www.esomar.org

全球調研商業網絡GRBN連接五大洲38個調研協會和3500多個調研機構。www.grbn.org

本標準中文版由CMRA標準工作委員會IPSOS翻譯

1 引言和范圍

2 定義

3 與參與者的關系及其職責

3.1 將市場、社會和輿論調研與其他資料收集活動區分開來

3.2 通知、誠實、同意和調研的自愿性質

3.3 確保不會對參與者造成傷害

3.4 對參與者的隱私及資料保護

3.5 電子郵件及征求短信

3.6 激勵

4 與客戶的關系及其職責

4.1 分包

4.2 保護個人資料

4.3 透明度、錯誤陳述和糾錯

5 與公眾的關系及其職責

5.1 維持公眾信心

5.2 發布結果

6 調研方法的質量

6.1 樣本來源和管理

6.2 樣本的選擇和設計

6.3 資料收集

6.4 資料清理和加權

7 額外指導

7.1 從兒童那里收集資料

7.2 在線識別和跟蹤技術

7.3 移動調研

7.4 社交媒體調研

7.5 個人資料的新形式

7.6 企業對企業的調查

7.7 云儲存

7.8 匿名和假名

7.9 使用靜態和動態ID

7.10 使用和控制調研過程資料

7.11 不可接受的做法

8 參考

9 項目團隊

1 引言和范圍

2011年，ESOMAR與CASRO合作發布了一項“在線調研指導準則”。2015年，ESOMAR/GRBN 在線樣本質量指導準則發布。鼓勵調研人員在設計和進行在線調研時參考后一個文件以及本指導準則。

雖然在線調研中涉及的許多技術和方法問題已在過去十年中得到澄清，但技術以及可以在線收集的數字資料的類型和種類的持續發展需要持續審查和對相應的專業和道德準則進行更新。

ESOMAR / GRBN在線調研指導準則獲得了全球關注，它闡述了在全球當前法律框架和監管環境的背景下如何應用市場、社會和輿論調研的一些基本原則。因此，本文件是一份原則聲明，而不是一份現行法規的目錄。其目標是支持調研人員，特別是中小型調研機構的調研人員在網上利用新技術進行調研時處理法律、道德問題以及實際要考慮的問題。

本指導準則并非要取代對ICC/ESOMAR市場和社會調研國際準則的全面閱讀和理解，該國際準則已經由全球60多個地方性協會采用，或者取代構成 GRBN.38個協會的各個準則。相反，它旨在成為在線調研背景下這些準則的基本原則的解釋。

調研人員必須審查并遵守他們計劃在其中收集或處理資料的每個國家的國家和地方資料保護和市場調研自律要求，因為在特定國家內關于如何實施基本原則可能存在差異。本文件提供的指導準則是最低標準，可能需要在特定調研項目的背景下補充其他措施。調研人員可能會發現有必要與將作為調研開展地點的司法管轄區的當地法律顧問進行協商，以確保他們的調研工作完全合規。

調研人員必須對消費者的顧慮很敏感，并且要清楚這一點：市場調研取決于公眾對其獲得成功的信心。調研人員必須避免可能破壞公眾對市場調研的信心的活動和技術做法。這包括在調研設計方面運用合理的方法論原則和做法，尤其是在適當的問卷時長、設計和參與者負擔方面。他們也必須勤于維護調研與商業活動(如直銷或有針對性的廣告)之間的區別。當調研人員參與使用調研技術的活動，但不是專門用于調研目的時，他們不得將這些活動描述為市場、社會或輿論調研。

在整個文件中，“必須”一詞用于標識強制性要求。在描述調研人員必須遵循的原則或做法時，我們使用“必須”一詞。在描述實現時使用“應該”一詞。此用法意味著要認識到調研人員可能會根據他們的調研設計選擇以不同的方式實施原則或做法。

2 定義

活躍代理技術是指在后臺捕獲調研參與者行為的技術，通常與其他活動同時運行。它們包括：

? 跟蹤軟件，可以捕捉調研參與者的實際在線行為，如訪問的網頁;已完成的在線交易;已填寫的在線表格;廣告點擊率或展示次數;在線購物;以及具有互聯網連接的計算設備的GPS信息。此軟件還能夠從調研參與者的電子郵件和存儲在設備(如硬盤)上的其他文檔捕獲信息。其中一些技術被視為“間諜軟件”，尤其是在沒有參與者的充分知情和選擇同意的情況下進行下載、安裝或數據收集。

? 下載到用戶計算設備(計算機，平板電腦，智能手機等)的軟件，這些軟件僅用于向潛在調研參與者提醒有關調研機會的信息、下載調研內容或詢問調研問題。它不會在參與者瀏覽互聯網時跟蹤調研參與者，并且所收集的所有資料都是直接通過用戶輸入提供的。

主動調研意味著通過與調研參與者進行直接互動(如調研、焦點小組或其他方法)來收集數據，可以面對面，或通過電話、郵件或在線方式(包括電子郵件、短信或其他電子方式)或其他通信方式進行。

企業對企業調研(B2B)是指從企業、學校、非營利組織等法人實體收集資料。

企業對消費者調研(B2C)是指從個人或家庭收集資料。

云計算意味著部署遠程服務器和計算機網絡，這些服務器和網絡允許集中存儲數據和在線訪問計算機服務或資源。云計算包括三種通用部署模式：公有、私有或混合。

商業活動是指任何不以調研為目的的活動，包括直接營銷和有針對性的廣告。

同意是指個人對收集和處理他/她的個人資料的自由提供并且知情的許可。

Cookie是包含少量信息的文本文件，當用戶訪問網站時，這些信息會下載到用戶的設備中。在隨后的每次訪問中，cookie都會被讀取或發送回原始網站，或者發送到識別該cookie的其他網站。

Cookie非常有用，因為它們使得網站可以識別用戶的設備，從而個性化用戶體驗。例如記住用戶偏好以及通常使得網站導航更高效的能力。調研人員可以將Cookie用于多種目的，包括但不限于提供更好的調研體驗、質量控制、驗證、使調研參與成為可能，追蹤已完成的調研或其他已完成的行為，以及進行欺詐檢測和/或預防。可以通過瀏覽器設置來拒絕或刪除Cookies。

資料控制者是指負責確定如何處理個人資料的個人或組織。例如，調研客戶將是來自其客戶或客戶資料的控制者;調研小組提供者將成為從在線小組成員收集資料的資料控制者;調研公司將成為從總體調研參與者那里收集資料的資料控制者。

資料處理者是指代表資料控制器并在資料控制器的指導下獲取、記錄、保存或執行個人資料操作(包括分析)的一方。如上所述，對于綜合調研，調研公司既是資料控制者又是資料處理者。

設備ID(設備標識)是與智能手機或類似的手持設備相關聯的獨特編號。這類設備通常將具有多個設備ID，每個用于不同的目的。某些設備ID用于啟用Wi-Fi或藍牙等服務，或者用于唯一標識在移動運營商網絡上運行的特定設備。

其他設備ID(例如Apple的UDID或Android的Android ID)被應用程序、開發人員和其他公司用于在各種移動服務中識別、跟蹤和分析設備及其用戶。

數字指紋(也稱為設備指紋、機器指紋或瀏覽器指紋)是為了識別目的而收集的關于計算設備(計算機、平板電腦，智能手機等)的信息。數字指紋可用于全面或部分識別各個調研參與者或設備，即使在Cookie被禁用時也是如此。它們通常使用網頁瀏覽器配置信息以及可以獲得的其他計算設備參數。這些信息被同化為一個包含數字指紋的字符串。數字指紋還被用于非調研應用，并且已經證明在檢測在線身份盜竊預防和信用卡欺詐預防中的作用很大。

在某些司法管轄區，數字指紋可能被視為個人資料，必須作為個人資料處理，包括需要設備主人的同意。

值得注意的是，由于數字指紋的組成部分可能隨時間而變化，因此與設備相關聯的數字指紋也可能變化。

在市場調研中，術語設備ID有時被用來代替數字指紋。但是，設備ID具有不同的含義(請參閱設備ID)。

免費抽獎或抽彩是指其獎品是偶然分配的抽獎，參與者不需要支付或從事任何活動，只需參與即有機會獲獎。雖然這些獎券有時被稱為彩票，但在許多國家和地區，彩票是一個非常具體的法律術語，通常禁止私人實體，如調研機構發行。

地理定位是指識別物體，如計算設備(計算機、平板電腦、智能手機等)的實際地理位置。地理定位通常可以指評估地點或實際評估地點。

激勵是指為鼓勵參與調研而提供給參與者的任何好處。

保護隱私的法律是指國家和地方的法律或法規，其執行具有保護個人資料的效果，且符合本文件所述的原則。

本地共享對象(LSO)，通常稱為Flash Cookie(由于它們與HTTP Cookie的相似性)是使用Adobe Flash的網站可以存儲在用戶設備或計算機上的數據片段。

市場調研，包括社會和輿論調研，是指使用應用的社會和行為科學的統計與分析方法、技術來系統地收集和解釋個人或組織的信息，以獲得洞察力或支持決策。

在線調研意味著使用計算機網絡(主要是互聯網)來協助市場調研過程的任何階段，包括問題的發展、調研設計、資料收集或分析。

調研過程數據是指在調研過程中已收集的數據。例如包括調研完成的日期和時間;調研所用時間;以及調研中的參與者動向。

被動調研是指通過觀察、測量或記錄參與者的行為或行為來收集資料。

個人資料(有時被稱為個人身份資料或PII)是指任何與被識別或可識別的自然人有關的資料。可識別的人是可以直接或間接識別的人，特別是可以通過標識號或人的身體、生理、心理、經濟、文化或社會特征來識別的人。在某些類型的調研中，這些資料記錄可能包括個人可能因照片、錄像和錄音或調研期間收集的其他個人數據而成為可識別對象的情況。

PII是指個人身份信息(或個人可識別資料)。請參見個人資料。

私有云是指一個云計算安排，在此安排中，將特定數據中心的專用設備分配給調研人員的公司。

公共云是指云計算安排，在此安排中，服務提供者通過互聯網向公眾提供諸如應用程序和存儲這類資源。

調研參與者是指為了調研目的而被收集個人資料的任何人，無論是主動還是被動收集方式。

調研人員是指執行市場調研項目中或在市場調研項目中擔任顧問的任何個人或組織，包括在客戶組織和所使用的任何分包商那里工作的個人或組織。

敏感資料是指關于以下各項的任何信息：可識別個人的種族或族裔出身、健康或性生活、犯罪記錄、政治觀點、宗教或哲學信仰或工會成員身份。不同的司法管轄區所界定的敏感資料可能會存在差別。例如，在美國，與個人健康有關的信息、收入或其他財務信息、財務標識和政府頒發的身份證件或財務身份證件也被視為敏感資料。

社交媒體調研是指將社交媒體資料單獨使用或與來自其他來源的資料結合使用的調研。

間諜軟件是指此類軟件：可在用戶不知情的情況下對計算機進行控制或收集有關個人或組織的信息，并且可能會在未經用戶同意的情況下將此類信息發送給其他實體。

分包是指將執行部分調研項目的責任交給第三方機構或個人，包括普通外包和離岸外包。

跟蹤像素是嵌入在網頁或電子郵件中并且對用戶不顯眼(通常不可見)的對象。跟蹤像素使得網頁的操作者或電子郵件的發送者確定用戶是否查看了該頁面或電子郵件。常見的用途是電子郵件跟蹤和用于網頁分析的頁面標記。它的其他名稱包括網絡信標、追蹤錯誤、標簽、頁面標簽或網絡錯誤(web bug)。

與資料有關的轉移是指資料從一方轉到另一方的任何資料披露、通信，拷貝或移動，不管介質如何，包括但不限于網絡轉移、物理轉移，從一種介質或一臺設備轉移到另一種媒體或另一臺設備，或者遠程訪問資料。

個人資料跨境轉移是指以任何方式跨越國界移動個人資料，包括從收集個人資料的國家以外的地區訪問資料。這可能包括使用云技術進行資料收集和存儲。

3 與參與者的關系及其職責

3.1 將市場、社會和輿論調研與其他資料收集活動區分開來

調研人員必須確保將調研目的與其他非在線調研活動明確區分開來。此外，他們不得將所收集的任何個人資料用于市場調研以外的任何其他目的。為了清楚地將這種區別傳達給調研參與者，調研人員必須展示調研服務和組織或公司，使人們可以將它們與任何非調研活動明確區分開來。

這項規定并不妨礙調研人員參與非調研活動，只要收集任何個人資料的目的不被歪曲、任何個人資料不得用于其他目的(除非獲得每位參與者的特定知情同意)。它們也不以任何方式限制組織宣傳其進行市場調研和其他活動之權利，只要人們可以明確區分這些調研和活動，并且這些調研和活動是按照相關法律、法規和當地的專業規則單獨進行的。

3.2 通知、誠實、同意和調研的自愿性質

在收集和處理任何形式的個人資料之前，調研人員必須獲得調研參與者的知情同意，并且就以下幾點保持透明度：他們計劃收集的信息、收集信息的目的、如何保護信息，可能與誰共享信息并以什么形式提供信息。信息應清晰、簡明、突出。這包括但不限于在隱私政策中使用最佳做法，在問卷和小組站點中的顯著位置放置隱私政策鏈接，以及在整個資料收集和資料使用過程中進行溝通。不得誤導、欺騙或脅迫參與者。參與調研應始終自愿的，必須允許參與者隨時撤回并刪除他們的個人資料。

本指導準則還承認這一點：在某些情況下，可能無法獲得調研對象的同意。關于進一步討論，請參見3.2.1。

如果在調研過程中的任何時間調研計劃有重大變化(例如，額外的被動資料收集，如位置或與調研用戶客戶共享的可識別資料)，則必須通知參與者，以便他們能夠就是否繼續參與調研作出知情選擇。若訪問小組或調研機構涉及或者調研涉及多次資料收集或延續數月或更長時間，調研人員應定期更新同意，提醒參與者其收集的資料、收集資料的原因以及資料的預期用途。應當對同意進行更新的時間包括但不限于資料收集或資料使用慣例發生重大變化的時間;調研機構或資料所有權發生變化的時間;或適用的法律和法規發生變化的時間。

最后，調研人員必須遵守所有相關的法律、法規和當地的專業行為準則。

3.2.1 被動獲取的資料

各種新技術現在可以收集廣泛的個人資料，而無需與作為調研對象的個人直接互動。

示例包括但不限于網頁瀏覽數據、會員卡和商店掃描儀，來自連接設備的地理位置數據以及某些類型的社交媒體資料。隨著移動技術的不斷發展，很多這類資料來源也可以通過移動設備訪問。

在調研人員從小組成員或移動應用程序收集跨站點瀏覽資料時，必須向參與者提供有關正在收集的特定資料和收集方法的詳細說明，并且必須獲得參與者的明確同意方可收集這些資料。對于參與移動設備操作系統的地理定位、被動收聽和/或計量的那些移動應用而言，尤其需要。

在從網站或社交媒體網站等公共場所收集個人資料時，必須獲得平臺的使用條款(ToU)政策中直接或明確規定的同意。這一規定不適用于包括作者姓名在內的社交媒體上的發布，這意味著對隱私保護的期望降低了。

包括CASRO和ESOMAR在內的一些協會有針對社交媒體的指導準則，應該咨詢它們，以獲取詳細信息。ESOMAR/GRBN的社交媒體指導準則目前正在制定，預計將于2016年初發布。

在調研人員使用第三方完成資料收集服務時，調研人員有責任確保資料來源合法。

由于每個國家在如何實施法規上可能存在差異，調研人員必須查看并遵守計劃在其中收集或處理資料的每個國家1的國內和國際資料保護條例以及市場調研自律要求。

如果調研人員在未經同意的情況下將意見傳遞給第三方，他們必須使用諸如遮蓋意見之類的技術來確保僅報告非個人化的資料。

在開展所有的調研項目時，調研公司必須提供一個明確、可訪問的隱私政策，包括如何與調研公司聯系。

此外，調研人員有義務保護任何個人資料的隱私和安全，而無論是如何獲得這些資料的。這包括調研機構在將資料與第三方分享之前對資料進行匿名化處理，并與資料接收方簽訂合同，后者在合同中同意不嘗試重新識別個人或將資料用于非調研目的。

1許多司法管轄區要求同意收集、處理和分享個人資料。如果證明無法征得同意并且向客戶提供的分析采用無法識別身份的資料形式，則一些司法管轄區可能會允許破例。

3.2.2 敏感資料

盡管在線方法與其他方法相比是一種侵入性較低的資料收集模式，并且使得訪問員比面對面或電話訪問(采訪員在場)更容易提出敏感話題，但調研人員在就敏感主題聯系參與者時必須小心，因為存在相應的法律要求或者參與者可能受到傷害或感到困擾。

調研人員必須確保他們解釋調研敏感問題的目的、獲得參與者的明確同意，闡明資料處理是匿名和保密的、每個問題有一個“不愿意回答”的選項或其他選項，以便參與者可以不回答他們不想回答的敏感問題，并確保問題是必要、相關和明確的。如果由于調研設計而無法提供這些保護，則必須讓參與者了解這一點并提供他/她的明確同意。

在某些國家，可能需要有關國家主管部門授權方可收集敏感的個人資料。

3.3 確保不會對參與者造成傷害

調研人員必須采取一切合理的預防措施，確保在線調研參與者不受參與調研項目的傷害或不利影響。這包括任何類型的傷害，如財務、身體或情感傷害。為此，他們應該仔細考慮調研的具體要求，咨詢當地的法律要求/限制和規定，并考慮調研對參與者的實際影響。

在任何情況下，調研人員必須遵循公平處理原則。這包括：

? 避免作出對參與者有害或會給其帶來麻煩的誤導性陳述( 關于以下各項的不準確信息：調研內容、可能的訪問時間長度，或通過在線或其他訪談技術在稍后的場合被重訪的可能性);

? 避免誤導性或未經請求的資料收集和處理(例如使用未披露的自動化系統收集來自在線環境/移動設備的個人資料)，如果用戶期望隱私得到保護并被要求就特定行為給予許可);以及

? 回答參與者可能向市場調研機構/調研人員提出的任何問題。

調研人員必須確保不能利用交叉分析(推斷性披露)、小樣本或以任何其他方式通過調研結果來推斷個人資料。示例包括合并諸如地理區域數據的輔助信息或識別特定調研參與者的能力。

3.4 對參與者的資料及隱私保護

調研人員必須遵守關于個人資料的通用資料保護原則。這些原則規定，收集和保存的任何個人信息必須是：

? 為特定調研目的而收集，不得以任何不符合這些目的的方式使用;

? 就與收集和/或進一步處理的調研目的而言，是適當的、相關的，并且不會過多;

? 如果可能，與回復資料分開存儲;并且保存時間不得超過信息收集或進一步處理的目的所要求的時間。

調研人員還必須遵守所有適用的國家和地方的法律和法規。

3.4.1 隱私政策

隱私法律和法規通常都要求調研公司在其網站上發布隱私政策。這些隱私政策必須告知調研參與者將收集他們的哪些個人信息、如何使用、管理(存儲和訪問)和共享這些信息以及向第三方披露這些信息時必須滿足的條件。隱私政策還必須描述如何獲取更多信息或提出投訴。它們還必須在所有在線調研和相關網站以及電子通信中提供(通常作為鏈接)。

還必須告知參與者收集資料所依據的法律。如果在幾個國家收集資料，則調研人員必須遵守開展調研地點所屬國家的法律。如果可能了解參與者的居住國，調研人員必須遵守該國的法律要求，注意到不同司法管轄區會有相當大的差異。

3.4.2 資料安全

調研人員必須確保安全協議能夠防范諸如丟失、未經授權的訪問、破壞、使用、修改和披露等風險。因此，調研人員必須采取嚴格的資料安全措施。

調研人員在制定必要的資料安全標準和策略時有各種標準和框架可以使用。欲了解更多信息，調研人員可以查閱ISO 27001：信息技術 – 安全技術 – 信息安全管理系統 - 要求或 ESOMAR資料保護備忘錄。

3.4.3 違約通知

調研人員必須遵守關于違約通知的所有相關法律、法規和協議要求。若沒有此等適用法律和法規，則調研人員必須向受影響的所有各方報告安全或資料違規問題，包括客戶、調研參與者和分包商，不得無理由延誤。通知應包括對違規行為涉及的資料類型的描述，以及個人為保護自身免受因違約可能造成的傷害而應采取的任何步驟。

3.4.4 跨境轉移

在將個人資料從收集國轉移到另一個國家之前，調研人員必須確保資料轉移是合法的，并且采取一切合理步驟來確保這些資料的隱私和安全。這適用于資料收集服務器位于其他國家/地區的情況。如果使用云技術，并且云服務器位于其他國家，則該原則也適用(請參閱第7.7節)。

3.5 電子郵件及征求短信

對于電子郵件和短信的處理，各個地方和國家的法律可能會有所不同。在有些國家，禁止使用自動化系統來發送短消息，除非獲得明確許可2。調研人員不得使用任何欺騙手段來獲取潛在參與者的電子郵件或手機號碼。這包括公共領域的使用、在沒有通知個人的情況下使用各種技術，或者打著調研的幌子為其他目的而收集資料。

調研人員不得使用未經征求的電子郵件或短信招募調研參與者或從事暗中收集資料的活動。這里的“未經征求”是指參與者沒有同意或沒有合理預期他們能夠收到這樣的電子郵件或短信。

通過電子郵件或短信獲取參與調研通知的人員必須有合理的期望，即他們可能因參與調研而收到電子郵件或短信聯系。當存在以下所有條件時，可以假定存在這種協議，并且不受當地法律和/或規定的限制或禁止：

? 調研人員與被聯系人、提供電子郵件地址或手機號碼的客戶，或者提供電子郵件地址或手機號碼的樣本提供者之間有實質性的預先存在關系(被聯系人是通過電子郵件邀請或短信來識別或鏈接的)。

? 如果電子郵件或短信受邀者特別選擇與調研人員或樣本提供者進行在線或移動調研，或者客戶方提供了未選擇退出電子郵件或短信通知并可以為調研而與之聯系的客戶名單。

? 發給潛在的調研參與者的電子郵件或短信邀請應清楚傳達樣本提供者、調研人員或客戶的名稱或者相應鏈接，以及他們與參與者的關系，并明確提供從未來的電子郵件或短信聯系名單中刪除調研參與者的選擇。電子郵件樣本或手機號碼列表會以適當、及時的方式排除所有以前曾要求免除未來進行電子郵件或短信聯系的個人。

? 電子郵件或手機樣本中的參與者不是通過未經請求的電子郵件或短信邀請招募的。

調研人員還必須注意到：

? 調研人員在收到來自客戶或樣本提供者的電子郵件列表或手機號碼列表時，必須與客戶或樣本提供者確認所列出的個人有合理的預期 — 他們將收到電子郵件聯系或短信。

? 調研人員在招募參與者時不得使用虛假或有誤導性的電子郵件地址或信息。調研人員必須為參與者提供從任何調研項目退出的機會。如果參與者要求從不知情調研(即在電子郵件征集或短信中沒有提供發起人的名字或相應的鏈接，但在采訪期間或采訪后披露發起人的名字或提供相應鏈接)的樣本來源清單中刪除自己的名字。

? 調研人員在使用其他消息發送技術，如移動應用程序(移動app)，提供具有類似于短信的特征和功能的通知時，必須遵守本節的任何適用要求。

調研人員保留從調研參與者那里收到的電子郵件和其他文件的副本或記錄(表明同意或限制訪問和使用他們的個人信息)是一個好做法3。

3.6 激勵

應結合以下激勵規則閱讀抽彩和免費抽獎規則。

如果提供激勵機制以鼓勵人們參與在線調研項目，則調研人員必須確保已經向參與者清楚傳達以下信息：

? 誰來管理這些激勵措施;

? 將是怎樣的激勵;

? 參與者將在何時獲得激勵;以及

? 是否附帶條件，如完成特定任務或通過質量控制檢查(例如在線小組調研)。

調研人員還必須確保激勵機制是相稱的，不構成或不會被認為構成賄賂。激勵必須適合受眾和調研的性質。例如，如果在線調研集中在駕駛習慣上，那么提供酒精飲料作為激勵顯然不合適。

調研人員必須確保為了管理激勵而收集的資料不被用于任何其他目的，例如數據庫建設。未經參與者明確許可，不得將可識別的參與者細節(作為激勵過程的一部分收集)交給客戶(包括內部客戶，如果是在客戶方調研部門內部進行調研)和/或任何其他第三方。

調研人員必須了解有關激勵措施的當地法律和規定，例如在一些國家：

? 使用客戶提供的激勵措施和/或提供折扣，在在線調研項目中禁止要求參與者消費以從激勵中受益(例如，對商品和服務價格打折，這將要求參與者支付余額方可享受好處)，因為這些活動屬于直接營銷范圍(因為客戶提供的激勵和折扣被認為是客戶推廣的一種形式)。

? 激勵必須具有特定的性質(例如非貨幣)。

在開展跨境多國在線調研項目時，提供激勵措施的過程必須遵守所有涉及國家的相關法律。

3.6.1 抽彩和免費抽獎

抽彩和免費抽獎是在線調研中一種特別受歡迎的激勵形式。在使用這些方法時，調研人員必須了解各國的適用當地法律和規定有所差別，以及在沒有必要的詳細知識的情況下使用此方法的重大風險，例如在某些國家/地區：

? 除了同意參加在線調研項目以外，不得要求參與者做任何事情來獲得參加免費抽彩或抽獎活動的資格。這包括無需提供對調研問題、完整調研的回復 — 這可能是調研項目的一部分，尤其是在個人提供不成比例的資料的情況下，因為這可能被認為是參與者“轉移金錢的價值”。在這種情況下，將以同樣的方式來看待付費參與并成為受法定控制的付費抽彩主體這一要求。

? 參加免費抽彩/抽獎活動可能需要某種形式的技巧，以便將它們歸類，例如在允許參加活動之前詢問需要某些知識的問題，雖然比較容易(如美國總統是誰?)。

? 未完成調研活動或項目不會取消參與者參加免費抽彩或抽獎的資格。

調研人員不得扣留免費抽彩/抽獎獎品，除非參與者明顯不符合免費抽彩/抽獎規則中規定的標準(例如限制為免費抽彩或抽獎活動負責的員工的家屬參與此類活動。)

調研人員必須確保所有有關免費抽彩/抽獎活動的相關信息在征得同意后都清楚地傳達給參與者。各國的具體要求各不相同，但包括以下信息：

? 參與截止日期;

? 獎勵的性質;

? 現金替代品是否可以代替任何獎項;

? 如何以及何時通知獲獎者結果;

? 如何以及何時宣布獲獎者和結果;

? 資格和取消資格的標準;以及

? 參加抽獎活動的其他方式。

所有規則必須清楚明確，以使得參與者容易理解，不會對其產生誤導。這包括獲獎幾率、提供的獎品的價值，等等。此外：

? 此等規則不應該是不合理和/或不適當的限制。

? 調研人員必須對提供給所有或大部分免費抽彩/抽獎參與者的禮物，以及向獲獎者提供的獎品加以明確區分。

? 調研人員必須確保為所有免費抽彩/抽獎提供免費的參與方法，并且所有參與形式的獲勝幾率是相同。

? 調研人員必須保證以可以確保幾率法則公平適用的方式選中免費抽彩/抽獎的獲獎者。獲獎者的選擇過程必須由清晰的審計線索提供支持，并且任何抽獎必須是獨立的。

? 在一些國家，可能需要獨立的觀察員，以確保所有參與者在抽獎時有相同的獲勝幾率。

? 最后，調研人員必須確保，對于他們進行的免費獎品/抽獎/抽彩活動，客戶了解自己的責任和潛在責任。調研人員應與客戶討論減輕此等責任的方法(例如包括第三方和賠償責任條款)。

在開展此類活動之前，調研人員必須始終查看國家協會的指導準則。

4 與客戶的關系及其職責

4.1 分包

調研人員必須在開始工作之前告知客戶何時將部分工作分包給調研人員自身組織之外。在客戶要求后，調研這必須告訴任何此等分包商的身份。

如果可以將用于樣本采購的分包商的身份合法視為專有信息，則樣本提供者必須提供：

? 要使用的樣本源的類型的說明;以及

對來源于小組和非小組的樣本百分比的估計。調研人員還必須確保與分包商共享的任何個人資料僅限于執行分包任務所需的資料;分包商具備必要的資料安全程序來保護資料;且分包商對資料保護的責任已經清楚地記錄在案并得到同意。

4.2 保護個人資料

調研人員必須確保調研參與者的個人身份不會披露給客戶。除非適用的隱私法律和/或法規規定了更高的要求，否則調研人員只能在以下條件下將調研參與者的可識別個人信息傳達給客戶：

? 調研參與者已經明確同意;

? 目的只是為了調研;以及

? 不會由于參與者提供了這些信息而導致針對他們的任何營銷或銷售活動。

? 此外，調研人員必須從客戶那里獲得書面保證，除非滿足上述條件，否則客戶不得試圖確定參與者。

4.3 透明度、錯誤陳述和糾錯

必須準確、透明、客觀地報告和記錄所有調研項目。如果在交付后發現錯誤，必須立即通知客戶并及時更正。

有關報告要求的更多詳細信息，請參閱本文件后面的第6部分 - 調研方法的質量。

5 與公眾的關系及其職責

5.1 維持公眾信心

調研人員需要驗證由樣本供應商或客戶提供的樣本僅包含具有合理期望的個人：他們知道自己將收到請求他們參與調研的電子郵件或短信。其他消息發送技術(如移動應用程序(移動app)通知)可能具有與短信類似的特征和功能。關于進一步的討論，請參見第3.5節。

5.2 發布結果

在客戶計劃公布調研項目的結果時，客戶和調研人員都有責任確保公布的結果不會產生誤導。為此，強烈建議客戶就調研結果發表的形式和內容向調研人員進行咨詢。

調研人員還必須做好準備，根據要求提供足夠的技術信息，以評估公布的結果的有效性。這包括有關以下各項的相關信息：調研背景、樣本來源，資料收集的方法，使用的任何問題的措詞，使用的任何加權以及出版物中報告的任何表格或其他分析輸出。

除非這些結論得到數據的充分支持，否則調研人員不得將其名字與市場研究項目的結論傳播聯系起來。

6 調研方法的質量

如果在線調研的用戶要確信所得到的資料適合于目的，則調研人員必須向這些用戶提供關于如何進行調研的適當信息，包括可能導致結論不受數據支持的方法所存在的任何限制。這些信息應該包括：

? 樣本量、來源和管理;

? 樣本的設計和選擇;

? 資料收集的方法;

? 任何可能已經應用的數據清理、權重或現場調整;以及

? 當在互聯網普及率低的國家進行在線調研時，采取一些措施來確保調研結果代表調研的目標人群。

下面是一組最低要求。關于進一步信息，請參見ESOMAR/GRBN在線樣品質量指導準則。

6.1 樣本來源和管理

在線樣本采購的主要類別包括：

? 在線小組：在線小組：樣本提供者已經開發了一個或多個小組并從中生成樣本;

? 流動或動態生成的樣本：來自互聯網上的流量源;

? 名單樣品：如客戶名單、專業協會的成員，某一學校的學生等。

在每種情況下，樣本提供者都必須做好準備，向調研人員提供如何招募樣本的細節、樣本框架的描述以及樣本如何覆蓋目標人群。(例如，如果樣本是“NatRep”，則必須提供用于樣本的“NatRep”的準確定義，以及樣本中哪些人口統計，地理位置或其他群體可能代表性不足)。此外，調研人員應報告完成率和退出率，以及回復率(例如對于名單樣本)，以使評估潛在的非響應偏差成為可能。

樣本提供者還必須準備好提供有關用于確保所給答案的質量和所收集資料質量的程序的信息。這包括：

? 為驗證樣本來源而采取的步驟;

? 用于將潛在參與者“登上”小組、社區或名單的程序;

? 清潔和更新程序;

? 對個人調研表現或質量控制的任何監測，以最大程度的減少滿意或欺詐行為，以及如果發現此類行為所采取的措施;

? 參與者支持程序;

? 如何管理獎勵;

? 是否以及如何將新的資料來源納入抽樣框架;

? 以及為追蹤項目而最大化樣本一致性的任何程序。

6.2 樣本的選擇和設計

為了確保完成的訪談代表了目標人群和調研設計的目標，調研人員必須記錄樣本選擇中使用的任何配額或目標選擇，包括樣本來源混合、樣本路由技術的使用以及向參與者提供的激勵。

6.3 資料收集

調研人員還必須與調研用戶分享關于如何收集數據的適當信息。如果使用調研問卷，這些信息應該包括：

? 回答問卷所需的中位數時長或平均時長;

? 所有問題的措詞和任何篩選條件或答復指示;

? 資料收集的起止日期;

? 調研問卷的設計是否適用于使用智能手機或平板電腦的參與者，如果不是，這些人是否被排除在樣本之外，或者這些人參與的調研沒有針對其設備進行優化;以及

? 任何需要執行的特殊任務，如下載軟件或共享敏感信息或個人資料。

6.4 資料清理和加權

調研人員必須記錄如何清理資料;是否從資料中刪除完成的訪談、刪除原因，以及有關加權或其他調整的信息。如果使用插補法，則需要明確哪些變量已被推算，推算到何種程度以及所使用的插補方法。

7 額外指導

7.1 從兒童那里收集資料

從兒童那里收集資料需要兒童父母或法定監護人的許可。關于設定獲得此等許可的年齡，各個國家規則的差別很大。如果需要父母許可或文化敏感性需要特定處理，調研人員必須查閱收集資料所在地的司法管轄區的國家法律和自律守則。

當第一次與潛在參與者聯系時，調研人員必須在獲取任何其他個人資料之前詢問該人的年齡。如果所提供的年齡低于國家商定的兒童定義，則在獲得適當許可之前，不得要求兒童提供進一步的個人資料。調研人員可能會要求兒童提供父母或法定監護人的聯系方式，以便獲得許可。

調研人員在尋求許可時，必須提供有關調研項目性質的足夠信息，以便兒童的父母或法定監護人對兒童是否參與作出明智的決定。這包括：

? 進行調研的調研人員/組織的名稱和聯系方式;

? 從兒童那里收集的資料的性質;

? 關于資料將如何使用的解釋;

? 解釋兒童被要求參與調研的原因以及由此帶來的可能好處或潛在影響;

? 關于提供和核實同意的程序的說明;以及

? 要求提供父母或負責任的成人的聯系地址或電話號碼，以核實同意。

調研人員還應該記錄責任成人的身份和他/她與兒童的關系。

在兒童家長同意參加調研之后，應該建議他/她在兒童參與調研期間對其兒童身份保密，如果需要，準備協助和幫助兒童完成調研。

必須特別注意調研課題(包括可能會給年輕參與者或家長帶來困擾的敏感話題等重要因素)和調研問卷設計(針對兒童的具體特征 - 年齡、理解水平進行改編;通知父母/負責任的成年人和兒童，不會強制要求回答某些問題等)。

無需為以下事情獲得父母或負責任的成年人的事先許可：

? 僅為資料收集和請求許可而收集兒童或兒童父母的電子郵件地址;或者

? 為進行篩查和排除的目的而收集兒童的年齡。如果這種篩選導致作出兒童有資格參加訪談的決定，則必須從兒童父母或負責任的成年人獲得許可方可讓兒童參加訪談。

7.2 在線識別和跟蹤技術

為在線營銷活動使用的很多技術(如在線跟蹤)在調研中的效果不錯。將這些技術用于調研是被動資料收集的一種形式，被動資料收集通常包括：

? 提高在線樣本的完整性;

? 預防詐騙;或者

? 調研應用包括但不限于在線受眾衡量、內容衡量和廣告測試。在這些以及類似案例中需要參與者的同意。

7.2.1 用于調研的具體技術和要求

這些技術包括：

? Cookies;

? 本地共享對象(也稱為Flash Cookie);跟蹤像素;以及

? 數字指紋識別和設備ID。

由于其中一些技術也被用于在線行為定位等營銷活動，因此這些技術的使用導致了立法者、監管者和隱私團體的關注，他們擔心在不知情的情況下對個人在線活動進行監控的可能性。

只要有可能，就必須獲得有關如何收集、使用和報告個人資料的同意。當調研人員要求調研參與者下載軟件到他或她的設備時，這一點尤其重要。只有在參與者的明確同意下才能使用活動代理。

除非直接同意或存在其他現有協議(例如使用條款)允許采用其他方式：

? 只能以匯總形式報告或共享資料，并且必須與資料接收方簽訂合同，后者同意不嘗試重新識別個人(見4.2);

? 不得與任何第三方(包括客戶)共享個人資料;以及

? 當不再需要資料時，資料必須是匿名的，如果無法做到匿名，則必須使用公認的最佳做法來保證資料的安全性。

當將在線跟蹤和識別技術用于調研時，它們必須只能用于調研目的，必須采用市場調研的首要原則(見第3.1節的進一步討論)。此外，調研人員必須遵守所有相關的法律、法規和當地的專業行為準則。

7.3 移動調研

一般來說，移動市場調研被認為是一種與本指南所述的在線調研截然不同的方法。ESOMAR和GRBN都發布了針對移動調研的指導準則。

不過，被聯系參與在線調研的大部分參與者選擇使用智能手機或平板電腦等移動設備來回復。因此，調研人員在設計在線調研時應考慮智能手機的限制(如屏幕尺寸和下載速度)。

7.4 社交媒體調研

近年來社交媒體的發展已經改變了世界各地數以億計的人分享的信息的方式。消費者在互聯網上產生自身內容這一概念已經變得無處不在。這為調研人員觀察、交互和收集信息創造了新的機會。人們已經開發出許多技術來利用社區媒體，如社區小組、市場調研在線社區、眾包、共同創作、網絡志、博客挖掘和網絡抓取。而且，隨著互聯網的不斷發展，未來這方面很可能會有更多的技術發展。

調研人員必須遵守用于管理面對面、郵件和電話調研的基本道德和專業原則。

社交媒體資料通常包含個人身份信息。這個領域的許多法規都是在一個人可以在公眾可訪問的在線平臺上與很多人進行交流之前制定的。隱私和資料保護法律的更新仍在制定之中，而且經常會滯后于普遍接受的做法所發生的變化。

盡管如此，調研人員還是應該查閱制定調研計劃的地區可能存在的地方法規或行業準則。有關更多信息，請參閱第3.2.1節。

7.5 個人資料的新形式

調研人員必須認識到，照片、音頻和錄像屬于個人資料，必須作為個人資料來處理。如果數字圖像包含清晰可見的個人臉部以至于可以識別個人，則應將該圖像視為個人資料。因此，作為調研項目的一部分收集、處理和儲存的所有照片、錄像和錄音必須作為個人數據資料處理并予以保護。只有在參與者同意的情況下才能與客戶或調研用戶分享這些資料，并且只可為調研目的而使用這些資料。

對于已經被適當匿名(例如通過像素化或語音修改技術來實現)因而無法用于個人識別的信息，可以與客戶或調研用戶共享。

有關更多信息，請查閱ESOMAR資料保護備忘錄。

7.6 企業對企業的調查

大量的調研項目涉及收集企業、學校、非盈利機構等法律實體的資料。這類調研往往涉及收集有關實體的各種信息，如收入、員工人數、部門、地點，等等。

在所有這些情況下，參與組織都有權獲得與報告中的身份披露相同程度的保護，例如為其他形式調研中的個人提供的保護。

值得注意的是，許多國家的資料保護法都將個人的職稱和工作場所聯系信息視為個人資料。一些資料保護法走得更遠：它們將自己的要求應用于自然人和法人(例如個人和法人實體)。不過，法律實體對其資料沒有合法的訪問權限，例如調研參與者。

7.7 云儲存

應該仔細考慮將個人資料存儲在云中的決定。調研人員必須評估云存儲服務提供者的安全控制及其標準條款和條件，并為提供者的控制措施不充分的情況下實施補償控制做好準備。

例如，調研人員應該在資料移動(從云轉移到云中)和靜止(存儲在云提供者的服務器上)時加密個人資料。

調研人員還必須考慮存儲個人資料的物理位置，以確定使用云存儲是否屬于跨境轉移。如果將個人資料從一個司法管轄區轉移到另一個司法管轄區，則必須以符合原始和目的地司法管轄區的資料保護要求的方式提供保護。因此，調研人員必須查閱和理解所有適用的國家和地方法律法規，以決定適當的安排。

調研人員應該認真考慮是否在私有云而不是公共云中放置個人資料。在使用私有云時，將專門設備被分配給調研人員的公司，調研人員始終知道個人資料的位置。

相比之下，公共云可能導致資料位于兩個或更多數據中心或者兩個或更多的國家或大陸，從而引發可能的合規性問題：既有資料保護法下的適用要求，也有與資料控制者簽訂的合同中所規定的個人資料必須位于何處的要求(有關更多詳細信息，請參閱eESOMAR資料保護備忘錄)。

最后，調研人員也可能要考慮購買網絡責任保險。許多云存儲服務提供者在發生安全漏洞和個人數據泄漏的情況下提供的賠償額較低。這意味著調研人員的公司將面臨相當嚴重的隱私泄密導致的財務損失和損失風險，從而對受影響的個人造成損害。

7.8 匿名和假名

調研人員的資料保護責任的一個關鍵部分是在將資料發給客戶甚至公眾之前去除數據的身份特征。匿名化是一種保護措施，它涉及刪除或修改個人標識符以將資料轉換為無法用于識別個人的形式。示例包括模糊圖像以掩飾面孔或報告作為匯總統計數據的結果，使得無法識別某個特定的個體。

假名化涉及修改個人資料，使得仍然可以區分數據集中的個體，例如通過使用諸如ID號這樣的唯一標識符，或者使用散列算法，同時單獨保存個人資料，以用于檢查目的。

在采用這類技術時，調研人員應該查閱當地的國家法律和自律法規，以確定哪些元素必須刪除，以符合針對這些資料的匿名/假名法定標準。

7.9 使用靜態和動態ID

過去，調研客戶和樣本提供者已經使用靜態調研參與者標識符(靜態ID)，以協助縱向和臨時的特定調研中的調研參與者的控制和分配。這項技術有助于合并每個參與者的信息，并成為一個有用的方法，可以確保獨立的參與者位于一個縱向調研之中和遵循調研排除期限。除了提高質量控制 - 監督排除期限和樣本選擇，并且能夠為調研準確確定個人調研參與者之外，有些調研人員還需要使用靜態ID為自己的資料調研提供方便。

一些樣本供應商已經推廣使用動態ID(針對每種用途的變量ID)作為幫助保護其個體成員身份的手段，這樣做可以防止或減少此類事情的可能性：不道德客戶利用調研參與者資料和收集的其他資料在參與者接受訪談期間進一步了解或試圖揭示參與者的真實身份。

調研人員應該仔細考慮每種類型的身份證明的使用情況以及隱私與調研質量問題之間的平衡。在各方(調研參與者、樣本提供者、調研人員、最終客戶)之間的協議所規定的合同范圍內，應采用法律和合同條款來控制調研所產生的信息的收集和使用。

7.10 使用和控制調研過程資料

建議調研過程資料的使用遵循樣本供應商和客戶之間簽訂的法律協議，以引導、限制和保護這些資料在后續調研過程中的收集、使用和轉移。

7.11 不可接受的做法

以下列出了調研人員必須嚴格禁止或防止的不可接受的做法。如果調研人員使用以下任何一種做法，則認為調研人員在使用間諜軟件：

? 未獲得參與者的同意即將軟件下載到參與者的設備中;

? 下載軟件時不提供關于將被收集的信息的類型以及如何使用這些信息的全面、清晰、簡明和明顯的通知和披露。

? 使用按鍵記錄器，但沒有獲得參與者的選擇同意;

? 安裝的軟件以超出進行調研所必需的程度來修改參與者的計算機設置;

? 安裝關閉反間諜軟件、反病毒軟件或反垃圾軟件的軟件，或者奪取或劫持參與者計算機或設備的控制權;

? 未盡一切合理努力確保軟件不與主要操作系統發生沖突、不會導致其他已安裝的軟件的不正常或預料之外的行為;

? 安裝隱藏在可能被下載或難以卸載的其他軟件內的軟件;或者提供廣告內容的軟件，但用于廣告測試的軟件除外;

? 在沒有通知用戶并給予參與者退出機會的情況下安裝軟件的升級程序;

? 在不通知用戶的情況下更改識別和跟蹤技術的性質;

? 未能通知用戶有關軟件升級的隱私做法變更;

? 跟蹤參與者的電子郵件的內容;

? 如果參與者的瀏覽器被設置為隱私模式，在沒有參與者選擇同意的情況下跟蹤參與者的瀏覽行為;以及

? 當參與者位于被設置為安全鏈接的站點(即SSL站點)上，在未經其選擇同意的情況下收集個人資料。

8 參考

? ESOMAR資料保護備忘錄

? ESOMAR/GRBN在線樣本質量指導準則

? 全球調研商業網絡

? ICC/ESOMAR市場和社會調研國際準則

? ISO 20252:2012 – 市場、輿論和社會調研

? ISO 26362:2009 – 市場、輿論和社會調研中的訪問小組

? ISO 27001 – 信息技術 – 安全技術 – 信息安全管理系統

9 項目團隊

? Reg Baker，聯合主席，MarketingResearch Institute International,ESOMAR專業標準委員會顧問

? Peter Milla，聯合主席，Peter Milla Consulting,CASRO技術顧問

? Mario Callegaro，Google高級調研科學家

? Melanie Courtright，Research Now全球客戶服務部高級副總裁

? Brian Fine，質量在線調研主席

? Phillipe Guilbert，Toluna總經理

? Debrah Harding，市場調研協會總經理

? Kathy Joe，ESOMAR國際標準與政府事務總監

? Jackie Lorch，SSI全球知識管理副總裁

? Bruno Paro，Netquest總經理

? Efrain Ribeiro，Lightspeed Research首席調研官

? Alina Serbanica，Ipsos互動服務部高級副總裁