数据安全风险严重影响企业ESG评级，信息风险如何管控？

记者 | 刘益
编辑 | 郑萃颖

信息时代下，企业由于数据隐私泄露而受到处罚的信息屡见不鲜。

2018年，Uber也曾收到英国信息专员办公室（ICO）的罚单，宣布对其处以38.5万英镑罚款，理由是Uber在2016年数据泄露中未能保护客户数据。

今年7月，国际酒店管理公司万豪国际集团面临重大数据泄露事件，黑客进入了美国马里兰州一家万豪酒店的服务器，窃取了约20GB的数据，包括客人的信用卡信息、客人及员工的机密信息。

中国对企业信息安全的重视程度日益增加。据新华社7月29日报道，国家计算机病毒应急处理中心近期通过互联网监测发现17款移动App存在隐私不合规行为，违反网络安全法、个人信息保护法相关规定，涉嫌超范围采集个人隐私信息。

对于数据隐私的保护是企业ESG表现中的一部分。

在香港联交所的《环境、社会及管治报告指引》中，“描述消费者资料保障及私隐政策，以及相关执行及监察方法”属于强制披露内容。

北京金诚同达（上海）律师事务所合伙人戴善音对界面新闻表示，隐私和数据安全议题不仅是联交所的ESG披露要求，也是主流国际ESG评级机构关注议题。例如MSCI将隐私和数据安全议题列为评级关键指标之一，在互联网、金融等行业隐私和数据安全议题的表现将影响企业整个MSCI之ESG评级结果。

以同样为交通运输行业企业的Uber和Grab为例，根据MSCI评级，Uber的ESG评级为A，在同类行业中处于平均水平。在具体评级指标中，Uber的ESG落后指标包括劳工管理、隐私及数据安全。

总部位于新加坡的Grab企业ESG评级为AA，在同类行业位于领先水平，其数据隐私及安全指标位于同业平均水平。

根据MSCI，滴滴的ESG评级为BB，在同类企业中处于平均水平，滴滴的隐私及数据安全指标排名则处于落后水平。

德勤中国可持续发展与气候变化主管合伙人谢安对界面新闻表示，上海证券交易所、深圳证券交易所也要求企业披露产品安全、客户和消费者权益保护方面的信息，对于涉及大量数据的企业而言，消费者隐私保护是关键的披露维度，预计未来相关要求会更严格。

盟浪可持续数字科技（深圳）有限责任公司首席ESG官孙喜对界面新闻表示，截止目前，全球有超过600家的机构在做ESG评级。评级机构在评级的过程中，首先是选定ESG三方面下的子议题，然后再细化各个议题下面的指标。

“这里面存在一些通用性指标，基本上会用来评价所有的行业，如公司治理板块中的审计透明度、董事会女性比例等。但同时存在一些行业特征性指标，例如数据隐私与安全就与ICT企业密切相关。”孙喜提到。

ICT企业，即信息与通信技术企业（ICT, information and communications technology）。数据隐私与安全一直是这类企业面临的最大ESG风险之一。孙喜表示在一些评级机构中，数据隐私与安全在其评级中权重可能高达30%。

戴善音则认为，用户信息保护涉及各行各业，并不只是互联网+行业或者金融+行业所独有问题。其他与用户日常生活越密切的行业，获取用户敏感隐私的可能性越大，越要注意用户信息保护。

“例如物业服务行业，与用户日常生活密切相关，近年来爆发了不少关于用户隐私的诉讼纠纷；又如医药行业，目前上市药企中有不少在MSCI之ESG评级中，就隐私与数据安全议题属于待提升议题。”戴善音对界面新闻表示。

德勤中国网络安全服务主管合伙人冯晔在接受界面新闻采访时表示，企业对数据隐私的保护程度，会在非常大程度大影响企业的ESG评级，如果万一出现个人数据泄露负面事件或者被监管警告，那么将严重导致失分。

例如，戴善音介绍道，Meta platforms（Facebook 母公司）因屡次泄露隐私数据被罚款，2020年MSCI就调低了对该公司ESG评级。而基于网易在隐私和数据安全等方面领先行业的高分表现，2021年12月 MSCI就将该公司的ESG评级从BBB级上调至A级。

ESG体系下，企业数据隐私保护表现如何衡量？

在衡量企业是否做好了用户数据隐私与保护工作时，孙喜提到盟浪在进行评级时，首先会看该公司有没有设置内部如何处理数据隐私保护问题相关的规章制度；其次，查看关于该问题相关的管理体系，有没有获得相关认证、有没有设置专门部门和专职人员；第三，公司有没有推动数据隐私与保护的具体活动；第四，即公司数据隐私与保护方面的数据，投入的金钱、培训员工数量、被消费者投诉的隐私事件数量等具体指标；最后就是判断公司在该议题方面有没有出现重大负面舆情。

孙喜提到，前四步主要是前置性和预防性的判断，如果公司在前四步都表现良好，那么该公司在数据隐私和保护方面出现负面舆情的风险就会大大降低。

企业在进行用户隐私保护工作时，有时也会出现一些疏漏。

“从ESG信息披露来看，在隐私保护议题落后的大部分企业并未真正建立适用于该企业的系统化信息保护制度。或者虽有制度，但没有专门部门来监督制度执行和落实。其次，从ESG报告看，企业在用户信息保护问题上更重视信息使用和分享的合规性，但容易忽略用户隐私收集环节的合规性，这个问题也逐步成为近年来司法纠纷风险敞口。”戴善音对界面新闻表示。

冯晔表示， 对于日常经营中不可避免接触或使用消费者或者客户个人信息的企业，特别是采集或者处理信息数量达到一百万人以上的企业，尤其需要作好隐私保护的合规工作。 往往是其系统应用平台对消费者个人的信息主体权益保障方面，不能遵循法律要求，造成合规盲区。

“国际上目前虽然少数国家如美国有消费者隐私的立法，但是其他国家对消费者的隐私保护已经被包含在了个人信息保护的立法中，绝大多数发达国家或经济体都颁布了个人信息保护法或隐私保护法。”冯晔对界面新闻介绍道。

惠誉评级可持续金融ESG研究组联席董事贾菁薇对界面新闻表示，欧盟在2018年已经制定实行GDPR（General Data Protection Regulation，《通用数据保护条例》），是目前最严格与最全面的有关数据安全的相关立法。全球范围内对数据安全与隐私保护的监管和立法在近年都有增强的趋势，如澳大利亚、美国、印度、加拿大、日本、巴西等。

目前，我国信息安全方面的相关法律法规包括《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等，以及最新的2022年2月15日开始施行的《网络安全审查办法》。

此外，我国也陆续出台有关数据跨境传输的法律法规，例如《数据出境安全评估办法》将于本年9月1日起实施。

企业须加强数据安全审计，数据风险也成投资者考虑因素

对于国内企业，特别是需要处理大量个人信息或处理可能涉及国家安全数据的企业，孙喜提到需要建立完善的数据合规体系，定期进行全面的隐私保护、数据合规的相关审计，重视审计结果，及时分析、处理并采取行动。

戴善音对界面新闻表示，为了防止个人信息保护风险、网络安全保护风险的积聚爆发，更多企业可能会考虑引入信息安全审计特别是第三方主导的信息安全审计。

随着数据安全越来越获得公众和立法关注、未来对企业监管趋严，谢安认为各类涉及数据的企业都应当未雨绸缪，建立相关政策、机制，优化网络管理与数据管控的硬件，也充分公开披露这些工作，识别风险点、充分合规、提升ESG绩效。

“数字化转型的到来将迫使公司更好地了解数据和数据法规如何长期影响其业务战略，特别是随着消费者越来越意识到个人数据的使用和共享，采取积极措施的企业会扩大对符合法规的数据隐私计划的新的投资，以确保正确地处理客户数据。”贾菁薇对界面新闻表示。

贾菁薇认为，投资者也可能在投资决策中考虑数据隐私风险，这可能会导致资金流向被认为拥有更好的统一数据管理基础设施和防御网络风险的企业。