从滴滴事件看ESG中的隐私与数据安全治理

7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款。经有关部门查明，滴滴违法收集用户人脸识别信息、精准位置信息、身份证号等多类敏感个人信息，共存在16项违法事实。

早在去年，滴滴就因违法收集用户信息而被下架应用。时隔一年，“滴滴事件”终于落下帷幕，这个处罚已经是现行数据安全法律框架内的顶格处罚。对于互联网平台及其它相关公司也是警示和有力威慑，监管层面的合规尺度和惩罚尺度更加清晰。

事件脉络回顾

2022.7.21        国家网信办对滴滴处人民币80.26亿元罚款

2021.12.3        滴滴启动在纽交所退市工作

2021.7.16        部门进驻滴滴开展网络安全审查

2021.7.9        “滴滴企业版”等25款App下架

2021.7.7         滴滴微信、支付宝小程序被下架

2021.7.4        滴滴出行回应被下架：将严格按照要求下架整改

2021.7.4         国家网信办：下架滴滴出行App

2021.7.2        滴滴回应被网络安全审查：将积极配合，排查风险

2021.7.2        网络安全审查办公室对“滴滴出行”启动网络安全审查

事件背后的ESG风险点：隐私和数据安全

大数据时代，我们一方面享受着科技带来的便利，一方面也冒着被“窥视“的风险。个人信息可能被不法商家利用，例如房产推销、贷款理财等，给我们的生活带来困扰，更甚者还会使我们的人身财产受到威胁。而隐私泄露对公司和国家造成的危害更是巨大，隐私保护和数据安全不容忽视！

个人隐私信息保护和数据安全一直是ESG中“S”社会责任领域的重要议题，在ISO26000、GRI Standards、SASB可持续会计准则中以及香港《环境、社会及管治报告指引》中都包括了保护客户隐私和数据安全相关的内容。而在由新华网和国家市场监督管理总局发展研究中心牵头、评安国蕴主要参与编写的《企业ESG评价通则》团标中，“客户隐私和数据安全保护机制”也被列为“S”领域的必选指标，并引用参考ISO27001 信息安全管理体系认证情况进行评分。

而互联网公司的数据隐私和安全性是投资者做投资决策时需考虑的最重要的因素之一，也是不同公司在ESG评级结果中差距较大的一项。毫无疑问，此次事件将拉低滴滴自身的ESG评分，尤其是在“S”社会领域的评级。另外值得注意的是，从滴滴的第二大股东美国Uber公司的MSCI ESG评级可以看到，其在“隐私和数据安全”这一指标的评级也处于落后水平。

借鉴与启示：隐私和数据安全治理

目前网络安全和数据安全监管已成为世界各国共同关注的重大议题，也是“十四五”时期，我国进入高质量发展新阶段的重要议题，是国家建设网络强国和数字中国战略的重要组成部分。2022年政府工作报告中，再次强调要“强化网络安全、数据安全和个人信息保护”。

在法律法规层面，《网络安全法》《数据安全法》《个人信息保护法》已共同形成我国数据治理法律领域的“三驾马车”。同时我们也看到，法律法规也在加深数据分类分级的要求，《汽车数据安全管理若干规定》《数据出境安全评估办法（征求意见稿）》等对特定行业做了针对性限制保障。但各行业的数据特点、数据量存在较大差异，分类分级标准的优化还需要不断完善，数据安全评估工作也起着至关重要的作用。

从滴滴事件我们也可以看到，各行业各企业（尤其是掌握着大量真实数据的互联网企业）都要接受国家更加严格的监管，在数据安全问题上越界将绝不会被允许。对于企业来说，必须要积极响应监管变化，从短期阵痛，到长期合规健康发展。

而实现良好的ESG风险管理，并将其纳入企业战略及目标制定的考量，或将帮助企业更好应对复杂多变的外部形势，并成为企业实现长期可持续发展的关键。企业的ESG表现已成为发达国家对其社会责任等维度可持续发展绩效的重要评判标准，但根据评安国蕴的“中国ESG数据库”统计，目前我国进行该指标披露的企业还不足30%，数据的匮乏难以支撑ESG治理向更深层次发展。

因此，我们建议，在相关法律法规的基础上，可深化ESG理念，建立和完善ESG信息披露标准，搭建从规则制定到可量化的评价体系，进一步落实隐私和数据安全的治理和防范工作，护航我国数据安全。

原创：清华五道口不动产金融研究中心研究专员 何晓琳，评安国蕴实习生 姚文灿

指导：评安国蕴ESG首席研究员 王晓蒙