查看原文
其他

ESG体系下的数据安全与风险管理,“数据”为何重要?

The following article is from 商道纵横 Author 商道咨询

数据常常被比作是数字经济时代的“黄金”,也被认为是一种“新型生产要素”。数字经济在推动经济效益和社会效益增长的同时,产生的数据安全问题也更加凸显。一家国内风险监测平台研究显示,2023年一季度发生近1000起数据泄露事件,涉及1204家企业、38个行业,包含物流、金融、电商、航空、招聘、教育、旅游等行业。


数据安全不仅关系到国家安全战略,也关系到很多行业的可持续发展和公众的隐私安全。对于广大企业而言,产生数据安全问题不仅会受到行政处罚,还有财务和名誉的损失。因此,有关数据安全及隐私保护等的实质性议题管理将是企业ESG管理的重点。

近年来,我国出台多部数字安全方面的法律法规和政策文件,包括《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《关于构建数据基础制度更好发挥数据要素作用的意见》(又称“数据二十条”)等,不断完善数据与网络安全的监管框架和细则。今年3月,国家数据局的组建,更是体现国家对于数据治理和利用的高度重视。

立法监管趋严

数据安全管理成为公司治理的必选项

随着政策监管的趋严和法律法规的不断完善,企业对于数据安全和管理的重视程度也有了提升和改善,越来越多的公司也在不断完善公司治理体系。数据安全建设的驱动力不再是单一的立法监管驱动,而是逐渐转变为“监管”与“内生”的双重驱动。在数据安全体系建设方面,许多公司通过设立数据审查委员会/数据伦理委员会,来评估企业数据风险、审查使用个人数据的产品和服务等,从而帮助公司改善数据保护相关的决策,强化合规管理。

以蚂蚁集团为例, 2021年,在董事会层面设立隐私保护及数据安全委员会;2022年6月,启动ESG可持续发展战略,数据安全及隐私保护是19项实质性议题之一;2022年下旬,设立个人信息保护监督委员会,由蚂蚁集团董事会、董事会隐私保护及数据安全委员会批准,作为独立机构对公司个人信息保护情况进行监督,进一步健全个人信息保护评价和监督机制。

商道咨询在年初发布的《2023年中国企业社会责任十大趋势》(相关阅读:重磅发布!2023中国企业社会责任十大趋势双刃挑战:技术伦理数据安全“中指出,数据作为新型生产要素,是数字化、网络化、智能化的基础,也是发展数字经济的关键。建议企业完善数据安全防护体系建设,提升数据安全方面投入,加强员工数据安全意识和技术培训,防范潜在风险。

近期,由中国产业互联网发展联盟等机构联合发布的《2023产业互联网安全十大趋势》报告也同样指出:2023年,安全相关的监管将聚焦于产业高质量发展、数据合规和隐私保护等方面,而供应链风险将成为企业数据安全的最大挑战,供应链管理者应更加重视数据的保护。

由此看出,数据安全管理已经成为公司治理的必选项,有关数据安全的常态化管理和巡检也是企业日常ESG管理和进行自我健康诊断的重要手段。

评级的关键指标之一

数据安全议题影响企业ESG评级得分

在ESG体系下,隐私和数据安全议题不仅是ESG信息披露的要求内容,也是主流ESG评级机构关注的重点议题,甚至成为左右企业ESG评分的关键。国际主流评级机构明晟(MSCI)、晨星(Morningstar)等将隐私和数据安全议题列为评级关键指标之一。

对于互联网、软件技术等行业来说,隐私和数据安全是企业面临的主要ESG风险之一,该议题也会严重影响企业的整体ESG评级结果。2022年,某行业头部互联网公司就因隐私与数据安全问题致使公司ESG评级被下调,据悉下调的主要原因就是该公司在隐私与数据安全议题上“反盗号”措施并未跟上节奏等。


统计数据显示,2022年,A股12家软件服务商被MSCI给予了评级,多数处于BB和BBB级的平均水平,其中,用友网络是唯一一家获得A级评价的企业,主要得益于公司在隐私和数据安全治理方面的提升。


数据来源:整理自MSCI官网


图片来源:MSCI官网


MSCI ESG评级结果显示,用友网络2022年ESG评级为“A”,其“数据隐私与安全”这一指标更是在行业领域内处于领先水平。2022年,用友网络全面升级安全组织架构,将信息安全管理委员会升级为信息安全与隐私保护委员会,并在制度与体系建设、安全能力建设、内部安全治理、安全意识深化等方面开展重点工作,确保各项安全策略与目标有效落地,提升公司整体的信息与隐私保护水平。此外,用友网络根据国家数据安全相关的法律法规,编制、修订数项涵盖账号密码、数据、隐私、内容、应急响应等的数据安全与隐私保护制度,并针对员工开展隐私和数据安全方面的培训,提升员工数据安全意识。


图片来源:用友网络可持续发展(ESG)报告2022


数据风险存在于各行各业

投资者也会考量企业数据隐私风险


数据是战略高地,也是风险高地。互联网时代,企业的生产、运营和管理无法完全脱离网络和数据而存在,各行各业都有可能面临数据网络与信息安全的问题。从投资者角度来看,ESG数据管理能力的薄弱会影响信息披露和投资者的投资决策,投资者也以更为严格的视角考量企业数据隐私风险,这可能会导致资金流向被认为拥有更好的统一数据管理基础设施和防御网络风险的企业。


数据安全相关的重点行业包括金融业、信息传输、软件和信息技术服务业,电气机械和器材、计算机、通信和其他电子设备制造业等等。商道融绿《A股上市公司ESG评级分析报告2022》研究表明,卫生服务业、金融业和信息传输、软件和信息技术服务业的数据安全议题评分高于各行业均值,其他服务业(商务服务、科技推广等)该议题评分最低,需要全面提升行业整体的数据安全意识和管理水平。


数据来源:商道融绿


尽管国外相关研究者认为,大约 20%与网络安全相关的风险是公司无法自主管理的,因为部分风险与公司外部人员(例如黑客)采取的行动有关。因此,企业以合乎道德的方式使用数据就显得尤为重要。


商道建议各行业企业都应与时俱进,不断完善和提升数据安全防护体系建设,提升数据安全方面投入,加强员工数据安全意识和技术培训,提高员工的安全意识和应急响应能力。同时,重点行业重点企业也要加强数据治理,建立并完善应急措施,防范潜在风险,尽可能规避网络漏洞、数据泄露等问题的发生。


参考文章:

1. 界面新闻《数据安全风险严重影响企业ESG评级,信息风险如何管控?》2022.7.31

2. 网易《2023年Q1数据泄露事件近1000起,涉及1204家企业、38个行业!》2023.4.17

3. 财联社《<ESG Weekly>:蔚来数据泄露受关注 数据安全已成企业ESG目标首要任务之一》2022.12.21

4. 中国网科技《蚂蚁集团推行ESG战略新进展:已设立个人信息保护监督委员会》2023.3.23

5. 和讯网《12家科技企业ESG观察,谁领先,谁落后?》2023.5.9



免责声明:本公众号部分内容来源于合作媒体、企业机构、网友提供和互联网的公开资料等,仅供参考。本公众号对站内所有资讯的内容、观点保持中立,不对内容的准确性、可靠性或完整性提供任何明示或暗示的保证。如果有侵权等问题,请及时联系我们,我们将在收到通知后第一时间妥善处理该部分内容。

往期话题精选


ESG与碳管理专业课程


新鲜出炉 | Gartner发布2023全球供应链TOP25及供应链领导者趋势洞察


全球最大的公司是如何依赖自然和生物多样性


如何零基础入门ESG?这里有几个建议


ISSB计划用五种方法来提高SASB标准的国际适用性,可行吗?



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存