链百科：ESG风险

链百科：ESG风险

CryptoSlam
2023-06-25
栏目：密码学
--
APP下载

数据安全风险严重影响企业ESG评级，信息风险如何管控？

信息时代下，企业由于数据隐私泄露而受到处罚的信息屡见不鲜。

2018年，Uber也曾收到英国信息专员办公室（ICO）的罚单，宣布对其处以38.5万英镑罚款，理由是Uber在2016年数据泄露中未能保护客户数据。

今年7月，国际酒店管理公司万豪国际集团面临重大数据泄露事件，黑客进入了美国马里兰州一家万豪酒店的服务器，窃取了约20GB的数据，包括客人的信用卡信息、客人及员工的机密信息。

中国对企业信息安全的重视程度日益增加。据新华社7月29日报道，国家计算机病毒应急处理中心近期通过互联网监测发现17款移动App存在隐私不合规行为，违反网络安全法、个人信息保护法相关规定，涉嫌超范围采集个人隐私信息。

对于数据隐私的保护是企业ESG表现中的一部分。

在香港联交所的《环境、社会及管治报告指引》中，“描述消费者资料保障及私隐政策，以及相关执行及监察方法”属于强制披露内容。

ESG风险提醒大家！币圈和链圈也存在诈骗的情况：现在区块链方面的项目太火了，国内外各类传销、资金盘都打着“金融创新”“区块链”的旗号，通过发行所谓“虚拟货币”“虚拟资产”“数字资产”等方式吸收资金，侵害公众合法权益。此类活动并非真正基于区块链技术，而是炒作区块链概念行非法集资、传销、诈骗之实。请大家务必要警惕！还要警惕各类交易所小平台，必须选择全球知名的品牌。

联交所披露指引；来源：香港联交所

ESG信披中的隐私和数据安全

北京金诚同达（上海）律师事务所合伙人戴善音对界面新闻表示，隐私和数据安全议题不仅是联交所的ESG披露要求，也是主流国际ESG评级机构关注议题。例如MSCI将隐私和数据安全议题列为评级关键指标之一，在互联网、金融等行业隐私和数据安全议题的表现将影响企业整个MSCI之ESG评级结果。

MSCI披露指标；来源：MSCI官网
以同样为交通运输行业企业的Uber和Grab为例，根据MSCI评级，Uber的ESG评级为A，在同类行业中处于平均水平。在具体评级指标中，Uber的ESG落后指标包括劳工管理、隐私及数据安全。

Uber MSCI ESG评级；来源：MSCI

Uber MSCI ESG具体评级指标；来源：MSCI
总部位于新加坡的Grab企业ESG评级为AA，在同类行业位于领先水平，其数据隐私及安全指标位于同业平均水平。

Grab MSCI ESG评级；来源：MSCI

Grab MSCI ESG具体评级指标；来源：MSCI
根据MSCI，滴滴的ESG评级为BB，在同类企业中处于平均水平，滴滴的隐私及数据安全指标排名则处于落后水平。

滴滴MSCI ESG具体评级指标；来源：MSCI
德勤中国可持续发展与气候变化主管合伙人谢安对界面新闻表示，上海证券交易所、深圳证券交易所也要求企业披露产品安全、客户和消费者权益保护方面的信息，对于涉及大量数据的企业而言，消费者隐私保护是关键的披露维度，预计未来相关要求会更严格。

盟浪可持续数字科技（深圳）有限责任公司首席ESG官孙喜对界面新闻表示，截止目前，全球有超过600家的机构在做ESG评级。评级机构在评级的过程中，首先是选定ESG三方面下的子议题，然后再细化各个议题下面的指标。

“这里面存在一些通用性指标，基本上会用来评价所有的行业，如公司治理板块中的审计透明度、董事会女性比例等。但同时存在一些行业特征性指标，例如数据隐私与安全就与ICT企业密切相关。”孙喜提到。

ICT企业，即信息与通信技术企业（ICT, information and communications technology）。数据隐私与安全一直是这类企业面临的最大ESG风险之一。孙喜表示在一些评级机构中，数据隐私与安全在其评级中权重可能高达30%。

戴善音则认为，用户信息保护涉及各行各业，并不只是互联网+行业或者金融+行业所独有问题。其他与用户日常生活越密切的行业，获取用户敏感隐私的可能性越大，越要注意用户信息保护。

“例如物业服务行业，与用户日常生活密切相关，近年来爆发了不少关于用户隐私的诉讼纠纷；又如医药行业，目前上市药企中有不少在MSCI之ESG评级中，就隐私与数据安全议题属于待提升议题。”戴善音对界面新闻表示。

德勤中国网络安全服务主管合伙人冯晔在接受界面新闻采访时表示，企业对数据隐私的保护程度，会在非常大程度地影响企业的ESG评级，如果万一出现个人数据泄露负面事件或者被监管警告，那么将严重导致失分。

例如，戴善音介绍道，Meta platforms（Facebook 母公司）因屡次泄露隐私数据被罚款，2020年MSCI就调低了对该公司ESG评级。而基于网易在隐私和数据安全等方面领先行业的高分表现，2021年12月 MSCI就将该公司的ESG评级从BBB级上调至A级。

ESG体系下，企业数据隐私保护表现如何衡量？
在衡量企业是否做好了用户数据隐私与保护工作时，孙喜提到盟浪在进行评级时，首先会看该公司有没有设置内部如何处理数据隐私保护问题相关的规章制度；其次，查看关于该问题相关的管理体系，有没有获得相关认证、有没有设置专门部门和专职人员；第三，公司有没有推动数据隐私与保护的具体活动；第四，即公司数据隐私与保护方面的数据，投入的金钱、培训员工数量、被消费者投诉的隐私事件数量等具体指标；最后就是判断公司在该议题方面有没有出现重大负面舆情。

孙喜提到，前四步主要是前置性和预防性的判断，如果公司在前四步都表现良好，那么该公司在数据隐私和保护方面出现负面舆情的风险就会大大降低。

企业在进行用户隐私保护工作时，有时也会出现一些疏漏。

“从ESG信息披露来看，在隐私保护议题落后的大部分企业并未真正建立适用于该企业的系统化信息保护制度。或者虽有制度，但没有专门部门来监督制度执行和落实。其次，从ESG报告看，企业在用户信息保护问题上更重视信息使用和分享的合规性，但容易忽略用户隐私收集环节的合规性，这个问题也逐步成为近年来司法纠纷风险敞口。”戴善音对界面新闻表示。

冯晔表示，对于日常经营中不可避免接触或使用消费者或者客户个人信息的企业，特别是采集或者处理信息数量达到一百万人以上的企业，尤其需要作好隐私保护的合规工作。往往是其系统应用平台对消费者个人的信息主体权益保障方面，不能遵循法律要求，造成合规盲区。

“国际上目前虽然少数国家如美国有消费者隐私的立法，但是其他国家对消费者的隐私保护已经被包含在了个人信息保护的立法中，绝大多数发达国家或经济体都颁布了个人信息保护法或隐私保护法。”冯晔对界面新闻介绍道。

惠誉评级可持续金融ESG研究组联席董事贾菁薇对界面新闻表示，欧盟在2018年已经制定实行GDPR（General Data Protection Regulation，《通用数据保护条例》），是目前最严格与最全面的有关数据安全的相关立法。全球范围内对数据安全与隐私保护的监管和立法在近年都有增强的趋势，如澳大利亚、美国、印度、加拿大、日本、巴西等。

目前，我国信息安全方面的相关法律法规包括《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等，以及最新的2022年2月15日开始施行的《网络安全审查办法》。

此外，我国也陆续出台有关数据跨境传输的法律法规，例如《数据出境安全评估办法》将于本年9月1日起实施。

企业须加强数据安全审计，数据风险也成投资者考虑因素
对于国内企业，特别是需要处理大量个人信息或处理可能涉及国家安全数据的企业，孙喜提到需要建立完善的数据合规体系，定期进行全面的隐私保护、数据合规的相关审计，重视审计结果，及时分析、处理并采取行动。

戴善音对界面新闻表示，为了防止个人信息保护风险、网络安全保护风险的积聚爆发，更多企业可能会考虑引入信息安全审计特别是第三方主导的信息安全审计。

随着数据安全越来越获得公众和立法关注、未来对企业监管趋严，谢安认为各类涉及数据的企业都应当未雨绸缪，建立相关政策、机制，优化网络管理与数据管控的硬件，也充分公开披露这些工作，识别风险点、充分合规、提升ESG绩效。

“数字化转型的到来将迫使公司更好地了解数据和数据法规如何长期影响其业务战略，特别是随着消费者越来越意识到个人数据的使用和共享，采取积极措施的企业会扩大对符合法规的数据隐私计划的新的投资，以确保正确地处理客户数据。”贾菁薇对界面新闻表示。

贾菁薇认为，投资者也可能在投资决策中考虑数据隐私风险，这可能会导致资金流向被认为拥有更好的统一数据管理基础设施和防御网络风险的企业。

企业如何应对海外ESG风险？｜ESG洞察

在经济全球化的背景和中国一系列对外开放政策的推动下，越来越多中国企业“走出去”寻求商业机会，积极参与国际投资与合作。但与此同时，随着“走出去”步伐的加速，中国企业海外投资面临的风险愈加多元化、复杂化。

而除了政治、经济、外交等传统型风险外，也需要加强对气候变化、劳工问题等ESG风险的关注。然而，仍有部分企业在海外投资时，重视短期效益和经济风险，忽略长期效益和环境、社会风险，出现环保意识缺失、安全生产意识淡薄等问题；或是只重视与当地政府搞好关系，不注重与东道国公众、非政府组织NGOs的关系管理与透明沟通。

金蜜蜂一项面向秘鲁公众对中国企业形象认知的调研报告显示，64.34％的秘鲁公众认为中国企业在当地的沟通透明度一般，18.33％认为沟通透明度不足。

从长远来看，海外投资企业将从技术、产品的竞争转变为商业道德、绿色低碳等“软实力”的竞争。通过践行ESG理念，有助于改善“走出去”企业与当地政府、员工、消费者和社区之间的关系，促进企业在当地的长远可持续发展。

无论从降低海外投资风险，还是从提升竞争力的角度来说，强化海外投资的ESG管理正成为中国企业“走出去”必须认真面对的问题。

1、强化海外投资ESG风险管理刻不容缓

海外投资因地区、行业、文化习俗等因素的差异，企业面临的ESG风险具备较高的不确定性和复杂性。

“走出去”企业可以与第三方专业机构合作，运用利益相关方调研、专家建议、情景分析等方法，对ESG相关风险进行识别，并对风险严重程度进行评估，科学决定ESG风险管理的重点。

同时，与当地政府、NGOs等利益相关方展开合作，积极创新手段应对和降低风险，或将风险转化为发展机遇，同时建立危机管理计划，为难以预计的ESG风险做好应对准备。

合规是底线要求

中国企业，特别是国有企业海外投资的合规问题容易被放大审视，致使遭受更严重的合规风险。

海外投资合规既应该包括中国、投资所在国法律法规、国际条约、监管规定、企业内部制度规范等“硬规则”，还应该包括商业惯例、行业准则、道德规范等“软规则”。

近年来，中国政府部门陆续出台《企业境外经营合规管理指引》等文件，对企业境外合规管理提出更高、更清晰的要求，而且已经延伸至环境保护、质量安全、劳工权益保护、反腐败等ESG合规要求，引导“走出去”企业规避ESG合规风险。

企业如何应对海外ESG风险？｜ESG洞察

《企业境外经营合规管理指引》合规管理体系及合规管理要求

融入“当地元素”

由于风俗文化、宗教信仰等的差异，中国海外投资企业在进入东道国社会通常遇到一些阻碍。

海外投资企业在项目启动之前，就应该注意“入乡随俗”。站在当地利益相关方的视角审视项目可能存在的社会风险和问题，理解并接纳不同文化、习俗的差异，融入“当地元素”，加强合作伙伴属地化，人员属地化，设计、材料和设备属地化等管理。

气候变化等风险是关键

在全球变暖趋势加剧、自然灾害频发的背景下，忽视环境风险的海外投资将举步维艰。

世界经济论坛《2021年全球风险报告》表明，在未来10年中，最可能发生的风险包括极端天气、气候行动失败和人为导致的环境破坏等风险。

以气候变化风险为例，当前减少碳排放已经成为全球大趋势，“走出去”企业需要防范东道国为实现“碳中和”目标，改变能源投资政策，对前期高耗能项目造成的风险，可以通过发行“绿色过渡债券”等方式，以弥补高耗能项目转型改造带来的损失。

此外，企业也应该调整对外投资能源结构，加大可再生能源发电、智能电网、电源储存、氢能利用、碳捕获和封存、海洋负排放技术等清洁能源领域投资力度，降低海外投资气候变化风险的同时，与东道国共同推进低碳转型发展。

2、海外投资管理需要涵盖ESG要素

“走出去”企业不仅要针对不同的ESG风险采取不同的应对措施，也要让ESG成为海外投资管理机制的重要组成部分，推动海外ESG管理常态化、系统化开展。

ESG战略应兼顾各方利益

“走出去”企业开展海外投资时，需要对东道国的文化习俗、生态环境、劳工标准等进行尽职调查、影响评估，结合自身实际以及东道国的经济社会发展情况，因地制宜制定ESG战略。

同时，既要关注东道国政府的利益需求，也要重视当地社区、员工、当地供应商、居民、媒体等利益相关方的需求，鼓励利益相关方参与企业经营管理过程，实施兼顾各方利益的ESG战略，助力企业实现从“走出去”到“走进去”的转变。

ESG制度工具为实践提供指导

“走出去”企业可以通过编制海外投资ESG工作标准、指南、手册等文件，指导企业及海外分支机构有效管理自身决策和活动对东道国社会、环境和利益相关方的影响，改善海外投资活动的ESG表现。

中国对外承包工程商会发布《中国对外承包工程行业社会责任指引》，为中国对外承包工程企业树立社会责任建设的标尺，指导企业以更加负责任的方式开展对外承包工程业务。

ESG组织架构要深耕当地市场

中国企业“走出去”，可以成立由集团领导、集团各部门负责人、海外分支机构负责人共同组成的ESG工作委员会，并在海外分支机构层面，进一步明确ESG事项的负责部门、负责人和联络人，还可以根据面临的重大ESG风险，在东道国分设节能减排委员会、社区关系管理委员会等专门机构，为海外投资ESG管理夯实组织保障。

同时，应该加强海外投资ESG能力建设，通过组织ESG培训交流等活动，提升海外履责能力。

3、增进利益相关方沟通，做得好更要表达好

中国企业在海外投资时践行ESG理念，“做得好”是“说得好”的重要基础，“说得好”是“做得更好”的助推器。

利益相关方沟通要覆盖整个生命周期

由于东道国经济、文化、宗教信仰等差异，使得良好的利益相关方沟通至关重要。与当地政府、NGOs、居民等建立良好的联系需要时间的积累，企业应当尽可能在早期，如在可行性研究阶段就与当地社区进行沟通互动，及早识别、评估、化解可能产生社区冲突的风险。

在投资运营全生命周期各个阶段，都应该重视围绕当地社区的核心诉求，进行针对性回应和反馈，增进与当地公众的理解和互信。企业可以聘用具有海外社区沟通背景的专业人士。

加强海外ESG信息披露

中国企业“走出去”应该改变以往遇到争议不回答、不出面澄清、不接受采访的做法，主动利用媒体优势，通过政府网站、东道国语言网站、社交媒体平台，采用软文、图片、视频等人性化的方式，生动讲述海外投资ESG故事，并主动引导社会舆论方向，回应利益相关方的关切问题。

发布海外社会责任报告

金蜜蜂一项研究表明，在2008-2020年期间，中国企业发布的海外社会责任报告数量呈现增长状态，2020年发布的海外社会责任报告达到14份，报告围绕劳工实践、消费者问题、环境等ESG事宜与利益相关方进行沟通。

然而，目前很少企业连续发布海外社会责任报告，不利于企业负责任形象在利益相关方心中的积累，通过连续的信息披露和广泛、深入的宣传，有利于彰显企业为当地创造的经济、社会、环境综合价值，助力企业打造负责任的国际品牌形象。

当前，中国企业“走出去”的时间尚不算长，在践行ESG方面仍然面临着诸多困难与挑战。“走出去”企业有必要重视ESG问题，主动识别、管理重大ESG风险，加强海外运营ESG管理与透明沟通，为加快国际化步伐奠定坚实的基础，促进东道国经济、环境、社会协调发展，助力构建人类命运共同体。

金融结算由传统现金结算升级为现代金融信息结算技术，伴随着风险控制和支付风险的补充，金融结算的风险也发生了巨大的变化。从客户来看，ESG风险(Environmental, Social, and Governance Risk，环境，社会和治理风险)是最直接和明显的风险。

ESG风险可以从三个方面来考虑：

一是环境风险。由于发动机的燃烧产生的废气和废物，以及燃料使用、能源浪费和污染，ESG风险会导致环境的损害。同时，随着社会对环境污染严重后果的认识日益深入，ESG风险也会造成公司声誉的损害，并有可能影响财务状况。

二是社会风险。ESG风险通常指的是社会文化和社会利益，如政治因素、就业、安全、文化以及客户投诉等的风险。随着当前社会变革的深刻影响，ESG风险也会给公司带来很大的不确定性。

三是治理风险。ESG风险是与企业内部管理和外部保护有关的风险。如实际控制方资格、董事归属、内部平衡与外部独立性、内部监督和监管机构监管等。其中，从业务活动和治理角度，治理风险是涉及到企业利益保护和风险管理机制的重要组成部分。

总而言之，ESG风险可能会带来各种影响与潜在损失，由于这些风险难以精确测定，所以投资者必须加强对企业ESG风险管理能力的认知，坚持企业财务和社会价值双重投资，以确保长期投资回报。

ESG

本文来源： CryptoSlam

本文由入驻区块链网的作者撰写，观点仅代表作者本人，绝不代表区块链网赞同其观点或证实其描述。