記者 | 劉益
編輯 | 鄭萃穎
信息時代下,企業由于數據隱私泄露而受到處罰的信息屢見不鮮。
2018年,Uber也曾收到英國信息專員辦公室(ICO)的罰單,宣布對其處以38.5萬英鎊罰款,理由是Uber在2016年數據泄露中未能保護客戶數據。
今年7月,國際酒店管理公司萬豪國際集團面臨重大數據泄露事件,黑客進入了美國馬裏蘭州一家萬豪酒店的服務器,竊取了約20GB的數據,包括客人的信用卡信息、客人及員工的機密信息。
中國對企業信息安全的重視程度日益增加。據新華社7月29日報道,國家計算機病毒應急處理中心近期通過互聯網監測發現17款移動App存在隱私不合規行爲,違反網絡安全法、個人信息保護法相關規定,涉嫌超範圍采集個人隱私信息。
對于數據隱私的保護是企業ESG表現中的一部分。
在香港聯交所的《環境、社會及管治報告指引》中,“描述消費者資料保障及私隱政策,以及相關執行及監察方法”屬于強制披露內容。
ESG信披中的隱私和數據安全
北京金誠同達(上海)律師事務所合夥人戴善音對界面新聞表示,隱私和數據安全議題不僅是聯交所的ESG披露要求,也是主流國際ESG評級機構關注議題。例如MSCI將隱私和數據安全議題列爲評級關鍵指標之一,在互聯網、金融等行業隱私和數據安全議題的表現將影響企業整個MSCI之ESG評級結果。
以同樣爲交通運輸行業企業的Uber和Grab爲例,根據MSCI評級,Uber的ESG評級爲A,在同類行業中處于平均水平。在具體評級指標中,Uber的ESG落後指標包括勞工管理、隱私及數據安全。
總部位于新加坡的Grab企業ESG評級爲AA,在同類行業位于領先水平,其數據隱私及安全指標位于同業平均水平。
根據MSCI,滴滴的ESG評級爲BB,在同類企業中處于平均水平,滴滴的隱私及數據安全指標排名則處于落後水平。
德勤中國可持續發展與氣候變化主管合夥人謝安對界面新聞表示,上海證券交易所、深圳證券交易所也要求企業披露産品安全、客戶和消費者權益保護方面的信息,對于涉及大量數據的企業而言,消費者隱私保護是關鍵的披露維度,預計未來相關要求會更嚴格。
盟浪可持續數字科技(深圳)有限責任公司首席ESG官孫喜對界面新聞表示,截止目前,全球有超過600家的機構在做ESG評級。評級機構在評級的過程中,首先是選定ESG三方面下的子議題,然後再細化各個議題下面的指標。
“這裏面存在一些通用性指標,基本上會用來評價所有的行業,如公司治理板塊中的審計透明度、董事會女性比例等。但同時存在一些行業特征性指標,例如數據隱私與安全就與ICT企業密切相關。”孫喜提到。
ICT企業,即信息與通信技術企業(ICT, information and communications technology)。數據隱私與安全一直是這類企業面臨的最大ESG風險之一。孫喜表示在一些評級機構中,數據隱私與安全在其評級中權重可能高達30%。
戴善音則認爲,用戶信息保護涉及各行各業,並不只是互聯網+行業或者金融+行業所獨有問題。其他與用戶日常生活越密切的行業,獲取用戶敏感隱私的可能性越大,越要注意用戶信息保護。
“例如物業服務行業,與用戶日常生活密切相關,近年來爆發了不少關于用戶隱私的訴訟糾紛;又如醫藥行業,目前上市藥企中有不少在MSCI之ESG評級中,就隱私與數據安全議題屬于待提升議題。”戴善音對界面新聞表示。
德勤中國網絡安全服務主管合夥人馮晔在接受界面新聞采訪時表示,企業對數據隱私的保護程度,會在非常大程度地影響企業的ESG評級,如果萬一出現個人數據泄露負面事件或者被監管警告,那麽將嚴重導致失分。
例如,戴善音介紹道,Meta platforms(Facebook 母公司)因屢次泄露隱私數據被罰款,2020年MSCI就調低了對該公司ESG評級。而基于網易在隱私和數據安全等方面領先行業的高分表現,2021年12月 MSCI就將該公司的ESG評級從BBB級上調至A級。
ESG體系下,企業數據隱私保護表現如何衡量?
在衡量企業是否做好了用戶數據隱私與保護工作時,孫喜提到盟浪在進行評級時,首先會看該公司有沒有設置內部如何處理數據隱私保護問題相關的規章制度;其次,查看關于該問題相關的管理體系,有沒有獲得相關認證、有沒有設置專門部門和專職人員;第三,公司有沒有推動數據隱私與保護的具體活動;第四,即公司數據隱私與保護方面的數據,投入的金錢、培訓員工數量、被消費者投訴的隱私事件數量等具體指標;最後就是判斷公司在該議題方面有沒有出現重大負面輿情。
孫喜提到,前四步主要是前置性和預防性的判斷,如果公司在前四步都表現良好,那麽該公司在數據隱私和保護方面出現負面輿情的風險就會大大降低。
企業在進行用戶隱私保護工作時,有時也會出現一些疏漏。
“從ESG信息披露來看,在隱私保護議題落後的大部分企業並未真正建立適用于該企業的系統化信息保護制度。或者雖有制度,但沒有專門部門來監督制度執行和落實。其次,從ESG報告看,企業在用戶信息保護問題上更重視信息使用和分享的合規性,但容易忽略用戶隱私收集環節的合規性,這個問題也逐步成爲近年來司法糾紛風險敞口。”戴善音對界面新聞表示。
馮晔表示, 對于日常經營中不可避免接觸或使用消費者或者客戶個人信息的企業,特別是采集或者處理信息數量達到一百萬人以上的企業,尤其需要作好隱私保護的合規工作。 往往是其系統應用平台對消費者個人的信息主體權益保障方面,不能遵循法律要求,造成合規盲區。
“國際上目前雖然少數國家如美國有消費者隱私的立法,但是其他國家對消費者的隱私保護已經被包含在了個人信息保護的立法中,絕大多數發達國家或經濟體都頒布了個人信息保護法或隱私保護法。”馮晔對界面新聞介紹道。
惠譽評級可持續金融ESG研究組聯席董事賈菁薇對界面新聞表示,歐盟在2018年已經制定實行GDPR(General Data Protection Regulation,《通用數據保護條例》),是目前最嚴格與最全面的有關數據安全的相關立法。全球範圍內對數據安全與隱私保護的監管和立法在近年都有增強的趨勢,如澳大利亞、美國、印度、加拿大、日本、巴西等。
目前,我國信息安全方面的相關法律法規包括《網絡安全法》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》等,以及最新的2022年2月15日開始施行的《網絡安全審查辦法》。
此外,我國也陸續出台有關數據跨境傳輸的法律法規,例如《數據出境安全評估辦法》將于本年9月1日起實施。
企業須加強數據安全審計,數據風險也成投資者考慮因素
對于國內企業,特別是需要處理大量個人信息或處理可能涉及國家安全數據的企業,孫喜提到需要建立完善的數據合規體系,定期進行全面的隱私保護、數據合規的相關審計,重視審計結果,及時分析、處理並采取行動。
戴善音對界面新聞表示,爲了防止個人信息保護風險、網絡安全保護風險的積聚爆發,更多企業可能會考慮引入信息安全審計特別是第三方主導的信息安全審計。
隨著數據安全越來越獲得公衆和立法關注、未來對企業監管趨嚴,謝安認爲各類涉及數據的企業都應當未雨綢缪,建立相關政策、機制,優化網絡管理與數據管控的硬件,也充分公開披露這些工作,識別風險點、充分合規、提升ESG績效。
“數字化轉型的到來將迫使公司更好地了解數據和數據法規如何長期影響其業務戰略,特別是隨著消費者越來越意識到個人數據的使用和共享,采取積極措施的企業會擴大對符合法規的數據隱私計劃的新的投資,以確保正確地處理客戶數據。”賈菁薇對界面新聞表示。
賈菁薇認爲,投資者也可能在投資決策中考慮數據隱私風險,這可能會導致資金流向被認爲擁有更好的統一數據管理基礎設施和防禦網絡風險的企業。