GB T36000-2015《社会责任指南》国家标准解读

国有企业CSR信息披露应然性检验与动因分析作者：纪元李玉平来源：《会计之友》2019年第08期【摘要】通过对国有资本逻辑进行理论分析后认为，在国有资本逻辑下，国有企业具有全面、充分披露其社会责任（CSR）信息的应然性。

通过对采矿行业国有企业（上市企业和非上市企业）社会责任信息披露应然性进行实证检验发现，国有企业在披露社会责任信息时存在披露偏好、披露强度不高以及粉饰披露信息等问题，这与国有企业社会责任信息披露应然状态存在一定差距。

基于当前的披露状况，运用实证方法对国有企业社会责任信息披露的影响因素进行分析时发现，国有企业在披露社会责任信息时，受到制度引导、监管等因素的影响较大。

基于得出的结论，提出了加强企业信息披露的制度引导和监管、建立社会责任负面信息强制披露制度以及委托社会审计组织对社会责任信息进行鉴证的建议。

【关键词】社会责任; 信息披露; 国有企业【中图分类号】 F276.1;F239.4; 【文献标识码】 A; 【文章编号】 1004-5937（2019）08-0102-06一、基于国有资本逻辑的国有企业CSR信息披露的应然性资本逻辑表现为作为表现形态的资本本性的逻辑展开，作为本质形态的资本主义私有制的逻辑发展和作为发展形态的资本主义基本矛盾的逻辑运动[1]。

从资本理论发展的历史和现实来看，对资本本性的认识应该从物质载体和社会关系两个方面入手。

单从物质载体方面而言，任何社会形态下的资本都是能够增值的价值或者是能够带来收益的价值，这是人们在对资本了解过程中最易于把握的资本逻辑。

但是从社会关系方面来说，资本本性取决于资本所有权属性以及相对应的社会关系，不同社会形态或所有制关系下的资本存在着差别化的资本逻辑。

增值性是资本的原始动机和基本逻辑，在这一点上，国有资本和私有资本是一致的。

社会性方面，国有资本和私有资本是存在本质区别的，原因在于国有资本的公有性和共享性资本特征。

公有性指的是国有资本的所有权属性，即国有资本不论是原始资本还是资本增值都归国家所有，终极所有者为全体公民。

厘清共识——如何理解社会责任的国家标准殷格非【期刊名称】《《WTO经济导刊》》【年(卷),期】2015(000)008【总页数】5页(P20-24)【作者】殷格非【作者单位】【正文语种】中文概括来讲，社会责任国家标准有六大作用：统一概念、彰显共识、共同准则、共性主题、普遍方法、有机运用。

在参与制定ISO 26000社会责任国际标准的制定过程中，我和许多CSR同仁一样有一个疑问：最终能否真的制定出来一个适用全球各种组织的社会责任标准？经过全球几百位专家5年多的努力，国际标准化组织第一个社会领域的全球标准ISO 26000于2010年11月发布了。

但是四年多下来，由于各种原因，在推动社会责任过程中，ISO 26000似乎并没有得到广泛的重视和运用。

据金蜜蜂统计，即使在作为企业社会责任编制依据使用方面，也是排在第三位，用ISO 26000指导企业、组织社会责任实践，恐怕在中国应该是为数极少。

在参考ISO 26000制定社会责任国家标准时，大家都知道社会责任国家标准制定出来是没有疑问的事情。

但是大家的关心却变成：社会责任国家标准会不会像ISO 26000一样，也不会得到那么多组织的重视和普遍使用，或者说其究竟会有什么作用呢？概括来讲，社会责任国家标准有六大作用：统一概念、彰显共识、共同准则、共性主题、普遍方法、有机运用。

标准是对重复性概念的统一规定。

最近十年来，社会责任成了一个热门词汇。

如果输入社会责任作为关键词，百度347多万条，但是如果输入企业社会责任作为关键词，会有1340万条信息，但是我们很清楚的是，这些信息中关于社会责任或者企业社会责任还没有一个统一的规定，而标准正是起到对大量重复使用概念的统一规定的作用。

如果缺乏对社会责任基本概念和内涵的共同认识，一则影响大家的交流，二则影响效率，更重要的是影响社会责任实践的发展，也会进一步影响到全社会的发展。

无论是社会责任国际标准ISO 26000还是社会责任中国国家标准GB/T 36000系列，其第一大价值就是形成统一的社会责任概念。

互联网行业个人信息保护社会责任报告的实践与挑战常琳1,2　李俊宏1,2　杨洋唯一3(1.中国信息通信研究院泰尔认证研究所,北京100191;2.泰尔认证中心有限公司,北京100088;3.北京城市学院信息学部,北京100083)摘要:聚焦个人信息及用户隐私保护,针对互联网行业社会责任报告的实践情况开展研究,全面总结了个人信息保护组织治理披露差异较大且参差不齐㊁管理披露欠缺制度数据支撑㊁消费者及公众信息披露行业实践亟需转化㊁生态圈及供应链披露支持优于监督㊁技术研发披露凸显产业发展促进作用等现状,并提出了相关推进建议,以期为互联网企业编制个人信息保护社会责报告提供思路㊂关键词:互联网行业;个人信息保护;社会责任;ESG;信息披露中图分类号:F270;F49㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀文献标志码:A引用格式:常琳,李俊宏,杨洋唯一.互联网行业个人信息保护社会责任报告的实践与挑战[J].信息通信技术与政策,2024,50(1):73-82.DOI:10.12267/j.issn.2096-5931.2024.01.0110㊀引言企业社会责任(Croporate Social Responsibility, CSR)理念[1-2]是指企业通过透明和合乎道德的行为为其决策和活动对社会和环境造成的影响而承担的责任㊂个人信息及用户隐私保护(简称 个人信息保护 )是互联网企业履行社会责任的特色议题,在ISO 26000‘社会责任指南“㊁GB/T36000 2015‘社会责任指南“㊁GB/T36001 2015‘社会责任报告编写指南“㊁YD/T3836 2020‘信息通信行业企业社会责任管理体系要求“等标准中均被明确指出为核心议题,同时明晟环境㊁社会及管治(Environmental,Social and Governance,ESG)评级[3]㊁道琼斯可持续发展指数[4]等也关注此类指标㊂信息披露作为履行社会责任的重要方面[5],备受利益相关方关注,对推动行业可持续㊁负责任发展具有重要意义㊂当今,我国网民规模已超10亿人,互联网普及率达到75%以上[6],互联网行业正在更广范围㊁更深程度上影响着国家社会发展和人民群众生产生活的方方面面㊂互联网行业的个人信息保护,涉及到绝大多数面向消费者的互联网企业㊁数以百万移动互联网应用和数以亿计个人的隐私信息,通过信息披露展现行业负责任态度,是移动互联网应用服务水平的重要体现,也是移动互联网产业健康可持续发展的具体表征㊂本文聚焦个人信息保护议题,以社会责任报告的信息披露为分析实例,对互联网行业个人信息保护社会责任信息披露实践情况进行全景式梳理,为该议题的进一步发展提供参考㊂1㊀个人信息保护社会责任报告信息披露政策㊁法规㊁标准㊀㊀我国近两年出台的多个法律法规文件中明确了 个人信息保护社会责任报告 信息披露形式,‘中华人民共和国个人信息保护法“(简称‘个人信息保护法“)作为我国个人信息保护领域的专门立法,第五十八条明确提出 提供重要互联网平台服务㊁用户数量巨大㊁业务类型复杂的个人信息处理者,应当履行下列义务: (四)定期发布个人信息保护社会责任报告,接受社会监督 ;2023年8月,国家互联网信息办公室发布的‘个人信息保护合规审计管理办法(征求意见稿)“[7]第三十一条要求大型互联网平台运营者应当每年发布个人信息保护社会责任报告,并提出重点审查的披露内容㊂为进一步落实法律法规要求,行业标准化组织及社会团体正陆续制定或发布相关标准,进一步规范个人信息保护相关信息披露具体要求㊂2023年电信终端产业协会发布了由中国信息通信研究院牵头编制的T/TAF179 2023‘个人信息保护社会责任报告编写指南“[8];2022年中国网络安全产业联盟数据安全工作委员会发布了联盟技术规范T/CCIA002 2022‘数据安全和个人信息保护社会责任指南“[9];2023年8月25日,全国信息安全标准化技术委员会发布关于2023年第一批网络安全国家标准项目立项的通知,标志着国家标准‘数据安全和个人信息保护社会责任指南“正式立项㊂2㊀个人信息保护社会责任报告信息披露实践现状㊀㊀本文通过多种渠道(例如企业官方网站㊁邮件征集确认㊁一对一沟通等),收集到中国互联网协会所发布的‘中国互联网企业综合实力指数(2022)“[10]中综合实力前100家企业中,以企业为单独发布主体㊁公开发布且单独成册的社会责任报告(包括社会责任报告㊁环境社会治理报告㊁可持续发展报告㊁企业公民报告等,统称 互联网企业社会责任报告 )共涉及44家企业㊂据本文统计,互联网企业社会责任报告中提及个人信息保护议题的占比为71.43%,且 仅内容提及 披露率由2021年的40.63%大幅降至2022年的14.29%,说明个人信息保护信息披露的系统性有一定进步㊂但参考T/TAF179 2023‘个人信息保护社会责任报告编写指南“,从5个维度㊁共22个关键信息披露点(简称 信息点 )详细分析上述报告中个人信息保护的相关内容后发现,信息点披露情况仍有较大提升空间㊂22个信息点的平均披露率仅为39.67%,披露率高于60%的信息点仅为使命理念㊁内审/自评估及第三方评估/认证/审计,且消费者保护(简称 消保 )㊁生态圈及供应链发展两个维度的披露率均不足25%,相关内容实质性和信息全面性较难保证(如图1)㊂2.1㊀组织治理披露差异较大且参差不齐在互联网企业社会责任报告中,组织治理维度关注企业层面对个人信息保护的重视程度,重点分析 使命理念 履责承诺 管理职责及组织架构 共3个信息点的披露情况㊂从整体看,组织治理维度的信息披露情况参差不齐,既有披露率最高的信息点,又有排名较为靠后的信息点㊂使命理念 作为个人信息保护22个信息点中披露率最高的信息点(75%),行业实践中多以简单的㊁宏观的㊁口号式的语言呈现企业所制定并发布的相关战略㊁规划㊁方针㊁愿景㊁使命㊁理念等,如表1所示㊂履责承诺 作为组织治理维度中披露率最低的信息点,仅有20.45%的企业在 管理层致辞 高管声明 中提及了 个人信息保护 用户隐私 等内容㊂虽该信息点的披露难度较低,但披露情况较差,原因在于3点:一是部分中小企业社会责任报告缺乏整体 履责承诺 ;二是社会责任核心议题较多,最高管理层的承诺未提及该议题,重视程度存在不足;三是报告周期内部分企业在该议题未涌现较为亮眼的成果,从而缺失对应的 履责承诺 ㊂管理职责及组织架构 作为组织治理维度中披露率居中的信息点,不同于 使命理念 和 履责承诺 ,需要企业实际成立相关的组织架构,更能体现企业在个人信息保护方面的管理能力和实践积累(见表2)㊂当前,50%的报告披露了董事会(适用时)㊁管理层㊁执行层㊁独立监督机构等组织架构㊁管理职责及岗位分工,披露情况表现较好㊂2.2㊀管理披露欠缺制度㊁数据支撑组织管理维度关注企业对个人信息保护的实质性管理水平,该部分内容需要一定的实践工作作为信息㊀㊀图1㊀个人信息保护社会责任报告各信息点披露占比表1㊀个人信息保护社会责任报告之 组织治理 披露实践案例1:组织治理 使命理念实践情况具体内容认可重要作用㊀㊀保护用户数据隐私是创造安全和优质用户体验的首要前提㊀㊀隐私保护是数字时代信任的基本前提,是用户㊁客户和其他利益相关者最关注的议题之一制定企业价值观㊀㊀秉持公开透明㊁合法必要㊁用户可控㊁安全至上㊁持续保护隐私的保护价值观构建个人信息保护方针㊀㊀严格遵守全球适用的法律法规,构建自身数据安全和隐私保护治理体系披露基础,重点分析 个人信息管理情况 合规要求识别及落实 事件处置㊁应急响应及预警演练 内审/自评估及第三方评估/认证/审计 和 内部意识提升及教育培训 5个方面㊁10个信息点的披露情况㊂整体来看,组织管理维度的信息披露情况与其他维度相比,披露率表现较好,但具体制度㊁数据㊁案例层面仍有一定提升空间㊂个人信息管理情况 作为个人信息保护议题中最集中㊁最核心的信息点集合,涉及到个人信息管理的全流程,包括收集㊁存储(存储㊁备份㊁恢复)㊁使用(访问控制㊁使用)㊁加工㊁传输(提供㊁公开)和删除(删除㊁留存)等阶段㊂目前,互联网行业在该部分的信息披露实践良莠不齐㊂一是多数中小型企业仅通过简单一段话阐明个人信息管理全部情况㊂例如,企业建立了一套涵盖个人信息收集㊁存储㊁使用㊁传输等全生命周期的隐私信息安全管理体系,为用户隐私信息保驾护航㊂二是各阶段披露情况并不平衡㊂据本文统计,报告通常更聚焦收集阶段(59.09%)㊁使用阶段(54.55%)的信息披露,而对加工阶段(34.09%)㊁删除阶段(43.18%)等披露较少㊂三是企业多披露原则性内容,而较少披露管理制度㊁数据指标等更为实质性内容,如表3所示㊂ 合规要求识别及落实 作为组织管理中披露率最低的信息点(36.36%),该部分关注重点不在于企业㊀㊀表2㊀个人信息保护社会责任报告之 管理职责及组织架构 披露实践案例2:组织治理 管理职责及组织架构实践情况具体内容构建委员会/专班/工作组等组织架构,同时涉及最高决策层㊁业务层㊁执行层等多层次设立安全与风控委员会,作为信息安全与隐私保护的最高管理机构,由首席合规官担任负责人,各业务技术副总裁担任委员安全与风控委员会下设数据安全隐私合规工作组与安全执行工作小组设置岗位职责㊁绩效考核和汇报频次安全与风控委员会定期向董事会和战略执行委员会汇报工作信息安全部负责日常运营工作,每月召集委员召开例会审议重大事项,并定期向董事会和战略执行委员会汇报在各事业部/项目部指定数据安全员,负责本事业部/项目部数据安全及合规事宜设立由外部利益相关方组成的管理或研究机构来履行监督建议职责设立由外部专家组成的个人信息保护监督委员会及ESG可持续发展顾问委员会,作为独立机构对集团个人信息保护情况进行监督成立数据算法及个人信息保护的研究组织,积极沟通交流表3㊀个人信息保护社会责任报告之 组织管理 披露实践案例3:组织管理 个人信息管理情况实践情况具体内容收集阶段最小必要原则㊁个人信息主体自主意愿㊁明示告知㊁获取个人信息主体授权同意等存储阶段最小化存储时间原则㊁去标识化㊁敏感个人信息加密存储等使用阶段个性化展示㊁自动化决策等加工阶段保证个人信息不被无关的利益相关方获知㊁如实告知个人信息主体对其个人信息的查询等传输㊁提供和公开阶段个人信息影响评估㊁明示告知㊁传输前后对个人信息的保护机制等删除阶段个人信息留存时间㊁删除方式等所宣称的严格遵守合规要求(通常纳入 使命理念 ),而是在于企业对个人信息保护相关的合规及监管要求的持续跟进㊁有效落实等管理机制,如表4所示㊂目前产业实践多是简单提及合规路径,缺乏具体措施和相关管理要求,披露意识及披露内容均有待进一步加强㊂ 事件处置㊁应急响应及预警演练 披露率处于中等水平,行业中22.73%的报告披露了报告周期内企业涉及的重大个人信息安全事件情况,43.18%报告披露了企业面对个人信息数据泄露(丢失)㊁滥用㊁被篡改㊁数据被损毁㊁数据违规使用等安全事件的应急处置措施,具体实践如表5所示㊂内审/自评估及第三方评估/认证/审计 作为披露率排名第2的信息点(63.64%),主要关注企业个人信息保护相关内审㊁第三方评估㊁认证㊁审计等相关情况㊂当前,行业内该信息点信息披露情况较好,一是由于部分内容作为合规要求,互联网企业已日常开展相关工作,披露基础较好;二是第三方所出具的认证㊁测评㊁评估结果可作为企业个人信息和用户隐私保护方面的突出成果,企业具有较强的披露动力,具体如表6所示㊂ 内部意识提升及教育培训 作为披露率排名第3的信息点(59.09%),当前实践表现同样较好㊂面向全体员工㊁有权查看和处理个人信息的员工㊁相关业务人㊀㊀表4㊀个人信息保护社会责任报告之 合规要求识别及落实 披露实践案例4:组织治理 合规要求识别及落实实践情况具体内容构建合规数据库及时更新信息安全及隐私保护合规数据库建立隐私合规基线要求制定隐私合规成熟度检查表落实合规要求定期将合规监管风险点落实到企业数据隐私管理制度和运营标准,并嵌入到产品开发与数据处理各环节,贯穿决策㊁执行㊁监督全过程定期开展合规检查每季度开展合规检查,将合规数据反馈至隐私工委会表5㊀个人信息保护社会责任报告之 事件处置㊁应急响应及预警演练 披露实践案例5:组织治理 事件处置㊁应急响应及预警演练实践情况具体内容成立应急响应组织设有7ˑ24h安全应急响应值班团队设有安全应急响应中心平台,与全球各地的外部安全研究人员和合作伙伴开展合作;对于重大活动和特殊时期,建立应急工作领导小组和应急响应专班制定应急处理流程完善修订集团‘信息安全事件定级管理要求“‘安全监控及响应规范“,明确隐私保护事件的分类分级标准与应急响应流程定期开展 数据误删恢复 删除权限回收验证 等应急演练活动发生个人信息安全事件时,将按照法律法规要求,及时向用户告知安全事件的基本情况和可能的影响,说明已采取或将要采取的处置措施,在难以逐一告知个人信息主体时,采取合理㊁有效的方式发布公告构建事件追责机制对于违反隐私保护相关政策的员工,依据违规的严重程度,采取邮件提醒㊁警告㊁记过㊁辞退等纪律处分措施对于违反国家法律的,将依法追究相关人员的法律责任对于导致企业遭受经济损失的,将追究相关人员赔偿责任周期内违规事件违规事件数X件㊁收到投诉举报数X件表6㊀个人信息保护社会责任报告之 内审/自评估及第三方评估/认证/审计 披露实践案例6:组织治理 内审/自评估及第三方评估/认证/审计实践情况具体内容构建内部评审机制开展个人信息保护影响评估㊁数据安全内控审计㊁个人信息保护/隐私保护内审等工作的频次㊁牵头部门㊁评审对象㊁评审标准等第三方评估/认证/审计结果外部审计㊁IT审计㊁ISO/IEC27001㊁ISO/IEC27017㊁ISO/IEC27018㊁ISO/IEC29151㊁TRUSTe㊁BS 10012,及各专业机构开展的认证㊁评估㊁评测部署技术系统建立数据库安全审计系统,在机房关键数据位置部署敏感数据监控系统,开展常规扫描和渗透测试,记录并定期审计敏感数据的流向和使用方,及时审计告警数据风险操作,丰富应用审计功能员㊁新入职员工等不同人员,互联网企业已日常开展诸多个人信息保护相关的意识提升㊁教育培训㊁岗位考试㊁案例分享等活动,具体活动如表7所示㊂尤其该信息点还突出体现了一些定量化数据,如培训覆盖率㊁学员参与数量㊁活动次数㊁满意度等㊂2.3㊀消费者及公众信息披露行业实践亟需转化消保维度关注企业面对消费者及公众层面的个人信息保护实践情况,重点分析 用户服务提升 用户沟通交流管理 信息披露及提升公众意识 3个信息点的披露情况㊂整体看,消保维度的信息披露情况并未如实反映当前行业的实践工作,平均披露率不足25%,有较大的提升空间㊂用户服务提升 披露率为34.09%,为与组织管理维度中的 个人信息管理情况 信息点有所区分, 用户服务提升 主要关注企业从用户视角所实施的友好功能设置,以及为特定群体制定的个人信息保护权益管理规定,具体实践如表8所示㊂当前行业信息披露重点集中在未成年人的个人信息保护,对其他群体(如老年用户㊁残障用户㊁处于不同语言环境用户等)则几近空白㊂用户沟通交流管理 信息点虽涉及‘个人信息保护法“第五十二条以及‘电信和互联网用户个人信息保护规定“第十二条相关内容,但仅25%的报告提及了企业所建立的体验评价㊁申诉投诉㊁政策查询㊁意见征集等用户沟通交流渠道,仅约7%的报告详细描述了对所沟通交流事项的收集㊁统计㊁分析㊁处置等管理规定㊂鉴于该合规要求,多数企业已开展相关实践工作,但缺乏将其转化为信息披露内容的意识表7㊀个人信息保护社会责任报告之 内部意识提升及教育培训 披露实践案例7:组织治理 内部意识提升及教育培训实践情况具体内容构建培训体系面向全体员工(包括正式员工㊁顾问㊁实习生)开设的全员合规课程㊁面向个人信息处理岗位人员开展的专项培训和考核㊁面向特定产品或业务开展的特定培训鼓励员工考取国际国内相关领域权威专业证书定期发布信息安全/数据安全/个人信息保护期刊㊁漫画㊁宣传页等建立绩效体系与员工签署保密协议规定员工泄露数据及用户隐私行为的惩罚将信息安全合规管理与个人信息隐私保护纳入核心管理层及关键岗位人员的业务考核指标搭建政策查询平台面向员工提供快捷方便查询本公司数据安全及个人隐私保护政策的渠道,以便员工及时确认自身行为是否符合公司安全政策要求设立沟通举报渠道面向员工建立举报投诉渠道,鼓励员工及时反馈不合规事件表8㊀个人信息保护社会责任报告之 用户服务提升 披露实践案例8:消费者服务 用户服务提升实践情况具体内容设置友好功能隐私号码保护㊁个人信息收集及共享清单㊁简版隐私权政策㊁授权弹窗统一优化㊁透明运维日志保护特殊群体在青少年模式下增加 青少年守护协议/未成年人个人信息保护政策赋予未成年人及其监护人查阅权㊁更正及补充权㊁撤回同意权㊁删除权㊁注销权㊁复制权和可携带权㊁获得解释权企业不会保存用户的出生年份,仅会判断用户年龄是否达到年龄限制要求,若企业收集了年龄不满13岁儿童的个人信息,将采取一切合理措施尽快删除信息及动力,当前行业所披露的实践如表9所示㊂信息披露及提升公众意识 作为披露率最低的信息点,仅11.36%的报告提及企业通过官方网站㊁应用程序㊁行业会议等渠道,面向公众所开展的信息披露㊁知识普及㊁意识宣传㊁警示案例教育等内容,具体如表10所示,仅有不足4%的报告披露了活动触达人数等定量化数据㊂充分说明当前企业多关注面向消费者的信息披露,而并未重视自身产品服务的强大社会影响力,面向提升公众意识的个人信息保护信息披露动力和实践均有较大提升空间㊂2.4㊀生态圈及供应链披露支持优于监督生态圈及供应链发展维度关注企业面向生态伙伴和供应商所开展的个人信息保护实践情况,重点分析 生态圈及供应链筛选 向第三方提供用户个人信息的管理规定 生态圈及供应商监督管理措施 生态圈及供应商履责支持措施 4个信息点的披露情况㊂整体看,生态圈及供应链发展维度平均披露率不足25%,鉴于生态伙伴和供应商对于个人信息保护的重要意义,该维度的信息披露水平亟需提升㊂生态圈及供应链筛选 主要关注企业筛选生态伙伴/供应商时,考虑个人信息保护相关基线要求㊂作为披露率排名倒数第2的信息点,当前行业具体实践方式较为单一,如要求生态伙伴/供应商签署协议并承诺㊁提供个人信息保护能力相关的评估/认证/审计结果㊁接受企业开展的个人信息保护合规尽职调查等㊂向第三方提供用户个人信息的管理规定 是个人信息保护管理的另一关键节点,也是生态圈及供应链发展维度中披露率最高的信息点,具体实践如表11所示㊂34.09%的报告披露了企业向第三方提供个人信息的管理规定,如通过合同㊁协议等形式约定个人信息及数据的使用目的㊁使用范围㊁保密约定㊁安全责任等内容㊂表9㊀个人信息保护社会责任报告之 用户沟通交流管理 披露实践案例9:消费者服务 用户沟通交流管理实践情况具体内容提供多样渠道隐私保护平台㊁个人信息保护和隐私问题反馈问卷㊁专用邮箱㊁产品客服㊁信件邮寄结合APP产品提供前端权利响应便捷交互,用户在产品上直接行使权利,如人工智能问答助手便捷响应用户查阅和复制个人信息需求构建处置措施建立一体化个人信息主体权利响应流程和处理机制;要求专职人员处理个人信息保护投诉和举报;要求一定时间内向用户反馈投诉结果;定期回访投诉举报用户表10㊀个人信息保护社会责任报告之 信息披露及提升公众意识 披露实践案例10:消费者服务 信息披露及提升公众意识实践情况具体内容搭建普及平台搭建规则中心㊁教育专区等平台发布普及报告制作‘隐私安全白皮书“㊁‘老年人隐私保护知识手册“系列漫画㊁‘数字安全专项竞答“等,并在所搭建的平台㊁APP产品等渠道发布表11㊀个人信息保护社会责任报告之 向第三方提供用户个人信息的管理规定 披露实践案例11:生态圈及供应链发展 向第三方提供用户个人信息的管理规定实践情况具体内容确定提供原则以合规为前提,严格限制用途,要求获得用户授权,禁止高保密级别个人信息保护数据建立管理制度制定‘对外数据披露规范“‘API数据管理规范“‘第三方个人信息保护能力评估表“等,并依据相应文件开展第三方信息使用和留存㊀㊀ 生态圈及供应商监督管理措施 信息披露实践同样较弱,具体如表12所示㊂当前仅18.18%的报告披露了企业在个人信息保护方面对生态伙伴/供应商所开展的监督管理措施,且几乎没有定量化数据披露(如监督措施实施的次数㊁对象㊁效果㊁典型案例等)㊂生态圈及供应商履责支持措施 主要关注企业所制定并实施的履责支持及鼓励措施,目前22.73%的报告披露了该内容,具体支持措施包括开展周期性或专项培训㊁典型案例发布及解读㊁提供支持性工具(如隐私合规自测工具㊁营销隐私计算解决方案等),但也几乎没有定量化数据披露(如支持鼓励措施的提供次数㊁措施覆盖率㊁生态伙伴/供应商参与情况㊁生态伙伴/供应商履责效果等)㊂与其他议题该信息点的披露情况不同,个人信息保护相关的履责支持措施披露率略高于监督管理措施㊂原因一是合作伙伴及供应商个人信息保护合规情况直接影响整个生态圈的合规表现,因此以应用分发平台为主的 链主 企业投入了丰富资源支持APP㊁小程序等生态伙伴产品的合规识别和改进工作;二是当前 链主 企业同时向合作伙伴及供应商提供更优质的相关付费工具及咨询服务,基于商业化考虑,企业也会更有意愿披露信息而吸引潜在客户的关注㊂2.5㊀技术研发披露凸显产业发展促进作用促进产业提升维度关注企业所投入个人信息保护相关的研发资源,以及促进个人信息保护产业发展方面的实践情况,重点分析 技术研发及应用 和 共推产业发展 两个信息点的披露情况㊂整体看,促进产业提升维度平均披露率为38.68%,该维度并不像其他维度与企业业务和实际工作关联紧密,因此信息披露情况表现相对较好㊂个人信息保护的发展有赖于技术创新和资源投入,共有41%的报告披露了企业在支持鼓励前沿技术积累㊁研发创新㊁技术应用㊁知识产权保护㊁成果转化等方面的相关管理办法㊁激励政策及实施效果㊂其原因一是该信息点易出现亮点成果,如技术工具获得了相关测评㊁认证㊁奖项等;二是企业披露动力较充分,既体现了企业长期投入技术研发的态度,又可为所研发技术未来的商业化布局预热㊂与 技术研发及应用 基本相同, 共推产业发展 同样亮点成果较多且企业披露动力较足㊂目前共有36.36%的报告披露了企业积极参与相关产业政策㊁标准编制㊁行业自律活动㊁技术生态建设㊁产业孵化基地等方面的工作及成果㊂3㊀互联网行业个人信息保护社会责任报告推进挑战及建议㊀㊀当前,仅有极少企业发布了个人信息保护社会责任专项报告,绝大多数企业是以社会责任报告㊁ESG报告㊁可持续发展报告的一部分内容进行发布㊂个人信息保护作为互联网行业的特色议题,与企业业务发展和商业运营联系紧密,但具体信息点的披露仍存在着内容实质化不足㊁披露方式单一㊁披露效果有待提升等挑战㊂个人信息保护社会责任报告的发展需要各利益相关方凝聚共识㊁发挥专长㊁积极推动㊂一是政策监管方进一步明确底线要求,督促企业提升社会责任报告的披露意识并加强相应管理能力㊂二是金融机构㊁评级机构继续加大关注力度,持续将企业个人信息保护等ESG表现作为其投资决策的重要参考,为表现较好的企业提供更好的融资渠道㊁更快的审批速度㊁更低的融表12㊀个人信息保护社会责任报告之 生态圈及供应商监督管理措施 披露实践案例12:生态圈及供应链发展 生态圈及供应商监督管理措施实践情况具体内容建立管理制度建立‘开发者安全能力标准“‘生态合作伙伴安全管理规范“,对获取授权用户个人信息的商户㊁服务商㊁合作机构等明确能力标准开展监督措施开展评估考核及全检抽检(确保持续达到管理制度要求的能力标准)㊁联合演练(发现个人信息处理㊁人员管理㊁安全运维等过程中的问题或缺陷)㊁制定处罚措施(确定个人信息保护相关问题的违规罚则)。

判断题1：[3分]从ISO的角度看，ISO26000的制定促进了社会责任领域共识的形成，包括对社会责任定义、理解、原则、核心主题等的理解和认识，并开创了ISO标准制定史上新的篇章，将标准从技术领域扩展到人权、劳动标准等社会领域，为统一全球社会责任的定义及其理解搭建平台，并扩大其在社会责任领域标准制定的影响力。

我的答案：√2：[3分]各国和地区均合理安排财政资金投入，以支持标准化工作。

我的答案：X3：[3分]经济层面的标准化，简言之是对效率的关注。

社会层面的标准化，简言之就是对公平的关注。

我的答案：√4：[3分]政府—市场—社会是标准化管理体系和运行机制的主线，各国有不同的做法，但总的趋势是政府引导、监督与市场为主和社会参与。

我的答案：√5：[3分]团体标准是由团体按照团体确立的标准制定程序自主制定并由权威机构批准发布，由社会自愿采用的标准。

我的答案：X6：[3分]2016年9月9日到14日，第39届国际标准化组织（ISO）大会在北京召开，这个世界最大的综合性国际标准化机构的全体大会时隔15年再次走进中国。

我的答案：X7：[3分]“标准”作为一种“产品和服务”需要遵从市场规律，在如何处理政府—市场—社会三者的关系上，各国政府开始意识到，“标准化”是一个具有需要政府引导，社会力量参与和尊重市场配置资源的决定性作用的有机系统，任何违背其中基本规律的“标准化”都难于取得实效。

我的答案：√8：[3分]为提高ISO标准的全球适应性，积极推动‘一个标准，一次检验，全球有效’。

IEC也提出使IEC标准进一步反映市场需求，使其合格评定与认证能实现‘一个IEC标准，一种测试方法，全球接受一种标志（如IEC标志）’。

在各有关方面的共同努力下标准国际趋同步伐必将进一步加快”。

我的答案：√9：[3分]“人”的标准，首先是“人”作为标准化对象的界定。

他（她）可以是自然人，也可以是具有“职业属性”的人。

标准化的目标不同，标准的制定也就不同。

浅谈食品企业的社会责任入世10年后的今天，国际标准ISO26000《社会责任指南》已向我们走来。

ISO26000是国际标准化组织（ISO）为组织社会责任活动提供相关指南的一项国际标准，内容涉及组织治理、人权、劳工实践、环境、公平运营实践、消费者问题、社区参与和发展等问题。

该标准已于2010年11月1日由ISO正式发布实施，并提倡各国自愿采用。

目的和作用制定ISO26000《社会责任指南》的目的是：明确社会责任的定义和内涵，统一社会各界对社会责任的理解，为组织履行社会责任提供可参考的指南。

在ISO26000《社会责任指南》中，社会责任被定义为：“通过透明和道德行为，组织为其决策和活动给社会和环境带来的影响承担的责任。

这些透明和道德行为有助于可持续发展，包括健康和社会福祉，考虑到利益相关方的期望，符合适用法律并与国际行为规范一致，融入到整个组织并践行于其各种关系之中”。

ISO26000《社会责任指南》的发布对ISO来说是一个大的跨越，是一个从工程技术领域到社会和道德领域里的跨越。

ISO26000是第一个真正关于社会责任领域里的全球标准。

它将社会责任 (CSR) 推广到任何形式的组织，在全球统一了社会责任的定义，明确了社会责任的原则，确定了践行社会责任的核心主题，并且描述了以可持续发展为目标，将社会责任融入组织战略和日常活动的方法。

食品企业存在的问题“民以食为天，食以安为先”，随着我国市场经济的日趋成熟，人民生活水平不断提高，我国对涉及人类安全和健康的食品安全问题越来越重视，它成为我们食品质量安全监管的重要内容，为了保障公众健康及维护经济秩序和食品卫生安全，国家以法律、法规的形式对食品的安全生产进行了严格的规范。

食品安全所涉及的国家法律、法规、规章多达几十项，如：《食品安全法》、《标准化法》、《产品质量法》、《消费者权益保护法》、《产品标识标注管理规定》、《食品添加剂管理办法》、《查处食品标签违法规定》、《食品生产加工企业质量安全监督管理办法》及各类食品生产许可证审查实施细则等。

企业社会责任：影响的性质与责任的层次作者：殷格非来源：《WTO经济导刊》2016年第10期2016年1月1日，社会责任三项国家标准1正式实施。

该三项国家标准使用重新起草法修改采用ISO 26000：2010《社会责任指南》国际标准。

根据ISO 26000 PPO组织统计，自从2010年11月1日颁布以来，包括中国在内，已有76个国家采用相应形式转化各自的社会责任国家标准，其中45个国家是等同采用2。

ISO 26000关于社会责任的理念将会在全球愈来愈普及，特别是对社会责任概念中“影响”就是“责任”的认识和把握显得越来越重要和关键。

影响的性质GB/T 36000国家社会责任标准完全采用了ISO 26000社会责任国际标准中社会责任的定义。

该标准指出，社会责任是“通过透明和道德的行为，组织为其决策和活动给社会和环境带来的影响承担责任”。

“影响”就是“责任”，是这个定义的最大特点，也是对社会责任认知的最大共识之一。

即一个组织（该定义适于包括企业在内的各种机构和组织）应承担的社会责任就是其决策和活动所带来的影响。

第一，一个组织所尽社会责任如何，就是其对利益相关方的社会和环境影响如何，这种影响所带来的影响是正面的，还是负面的。

履行社会责任就是尽可能地增加对社会和环境所带来的正面影响，减少负面影响。

第二，这种影响通常涉及到七个方面的内容。

也就是社会责任国家标准中所讲的七大主题：组织治理、人权、劳工实践、环境、公平运营、消费者和社会参与和发展。

在每个主题下，进一步列出了相关的责任议题，在每个议题之下，还清晰地指出了行动和期望。

这些行动和期望就是对组织行为所带来影响的要求和期待。

第三，这种影响具体体现在不同的利益相关方对象上。

这七个责任主题涉及的利益相关方也是有不同的侧重点的，比如劳工实践可能重点考虑组织的决策和活动对组织员工的影响，公平运营更多侧重对竞争对手的影响，消费者主题更多地侧重对顾客和客户的影响，社会参与和发展更多地侧重对社区的影响，而组织治理、人权和环境则涉及对更加广泛的相关方的影响。

《专业技术人员标准化的理论、方法与实践》试题及答案多选1.质量标准技术要素包括:()()()。

A:计划 B:规划 C:控制 D:改进答案是"ACD"2.标准的标准就是标准制定的依据和制定标准要达到的目标。

以服务标准为例,服务标准的编写要符合()、()、()和(),还要符合行业管理的法律法规要求。

A:GB/T1.1标准化工作导则 B:GB/T24620服务标准制定导则考虑消费者需求 C:GB/T28222-2011服务标准编写通则 D:GB/T15624-2011服务标准化指南的要求答案是"ABCD"3.按标准的强制性分类,标准可以分为()()。

A:强制性标准 B:国际标准 C:推荐性标准 D:国家标准答案是"AC"4.按标准化的对象分类,标准可以分为()()()。

A:技术标准 B:管理标准 C:工作标准 D:基础标准答案是"ABC"5.按标准的适用范围分类,标准可以分为()()()()。

A:国家标准 B:地方标准 C:行业标准 D:企业标准、团体标准答案是"ABCD"6.标准化的方法原理有()()()。

A:简化原理 B:统一化原理 C:通用化原理 D:结构化原理答案是"ABC"7.标准化的管理原理有()()()。

A:制定规划 B:结构优化 C:反馈控制 D:系统效应答案是"BCD"8.标准化基本方法包括:()()()()。

A:简化、统一化 B:通用化 C:系列化 D:组合化、模块化答案是"ABCD"9.采标的方法有:()()。

A:翻译法 B:按国际标准实施 C:重新起草法 D:按国际先进标准实施答案是"AC"10.国家标准与国际标准的一致性程度分为:()()()。

A:等同 B:修改 C:部分等同 D:非等效答案是"ABD"11.标准参数的制定方法主要有:()()()。

社会责任国家标准解读(1-8合集)国家标准起草人郝琴2015年6月2日，国家质检总局和国家标准委联合发布了社会责任系列国家标准。

系列标准包括《社会责任指南》《社会责任报告编写指南》《社会责任绩效分类指引》。

系列标准是我国社会责任领域第一份国家层面的标准性文件。

系列标准的发布具有重大意义，将统一各类组织对社会责任的认识和理解，改变现在国内依据不同标准履行社会责任的混乱局面，给组织履行社会责任提供系统、全面的指导，将对提升国内社会责任水平起到重要作用。

我是三个标准主要起草人，并且是第三个标准的第一起草人，全程经历了标准起草的过程，深感国家标准内容繁杂、专业性强，普通读者理解起来会比较困难，所以决定写这份国家标准的说明。

一、制定背景国外很早就开始了社会责任的探索和实践。

早在20世纪二十年代就有学者提出了社会责任的思想，到20世纪末履行社会责任已成为各类组织的广泛共识。

全球各类商贸协会、多边组织、国际机构制定的社会责任相关的标准、准则、规范等多达400多个，如联合国“全球契约”、《可持续发展报告指南》等。

2010年，国际标准化组织(ISO)发布了ISO 26000:2010《社会责任指南》(以下简称ISO 26000)，统一了对社会责任的理解，确定了社会责任的核心主题和议题，在全球得到了广泛应用，成为社会责任标准化的集大成者。

近几十年来，社会责任理念进入中国并得到广泛认同。

越来越多的学者开始研究社会责任，相关专著和论述层出不穷。

各类组织也越来越重视社会责任，很多组织建立了专门的社会责任部门，培养社会责任专业人才，有的还制定了社会责任战略规划，并建立了管理体系。

各类组织定期发布社会责任报告，加强与利益相关方的沟通。

据不完全统计，截至2013年8月31日，国内共发布社会责任报告1026份。

国家也很早就开始重视社会责任了。

国家领导人多次强调企业要承担社会责任。

早在ISO 26000制定之初，国家就组建专家组全程参加标准制定，使我国利益诉求体现在最终文本中。