ESG体系下的数据安全与风险管理，“数据”为何重要？

在ESG体系下，隐私和数据安全议题不仅是ESG信息披露的要求内容，也是主流ESG评级机构关注的重点议题，甚至成为左右企业ESG评分的关键。国际主流评级机构明晟（MSCI）、晨星（Morningstar）等将隐私和数据安全议题列为评级关键指标之一。

对于互联网、软件技术等行业来说，隐私和数据安全是企业面临的主要ESG风险之一，该议题也会严重影响企业的整体ESG评级结果。2022年，某行业头部互联网公司就因隐私与数据安全问题致使公司ESG评级被下调，据悉下调的主要原因就是该公司在隐私与数据安全议题上“反盗号”措施并未跟上节奏等。

统计数据显示，2022年，A股12家软件服务商被MSCI给予了评级，多数处于BB和BBB级的平均水平，其中，用友网络是唯一一家获得A级评价的企业，主要得益于公司在隐私和数据安全治理方面的提升。

数据来源：整理自MSCI官网

图片来源：MSCI官网

MSCI ESG评级结果显示，用友网络2022年ESG评级为“A”，其“数据隐私与安全”这一指标更是在行业领域内处于领先水平。2022年，用友网络全面升级安全组织架构，将信息安全管理委员会升级为信息安全与隐私保护委员会，并在制度与体系建设、安全能力建设、内部安全治理、安全意识深化等方面开展重点工作，确保各项安全策略与目标有效落地，提升公司整体的信息与隐私保护水平。此外，用友网络根据国家数据安全相关的法律法规，编制、修订数项涵盖账号密码、数据、隐私、内容、应急响应等的数据安全与隐私保护制度，并针对员工开展隐私和数据安全方面的培训，提升员工数据安全意识。

图片来源：用友网络可持续发展（ESG）报告2022

数据是战略高地，也是风险高地。互联网时代，企业的生产、运营和管理无法完全脱离网络和数据而存在，各行各业都有可能面临数据网络与信息安全的问题。从投资者角度来看，ESG数据管理能力的薄弱会影响信息披露和投资者的投资决策，投资者也以更为严格的视角考量企业数据隐私风险，这可能会导致资金流向被认为拥有更好的统一数据管理基础设施和防御网络风险的企业。

数据安全相关的重点行业包括金融业、信息传输、软件和信息技术服务业，电气机械和器材、计算机、通信和其他电子设备制造业等等。商道融绿《A股上市公司ESG评级分析报告2022》研究表明，卫生服务业、金融业和信息传输、软件和信息技术服务业的数据安全议题评分高于各行业均值，其他服务业（商务服务、科技推广等）该议题评分最低，需要全面提升行业整体的数据安全意识和管理水平。

数据来源：商道融绿

尽管国外相关研究者认为，大约 20%与网络安全相关的风险是公司无法自主管理的，因为部分风险与公司外部人员（例如黑客）采取的行动有关。因此，企业以合乎道德的方式使用数据就显得尤为重要。

商道建议各行业企业都应与时俱进，不断完善和提升数据安全防护体系建设，提升数据安全方面投入，加强员工数据安全意识和技术培训，提高员工的安全意识和应急响应能力。同时，重点行业重点企业也要加强数据治理，建立并完善应急措施，防范潜在风险，尽可能规避网络漏洞、数据泄露等问题的发生。

1. 界面新闻《数据安全风险严重影响企业ESG评级，信息风险如何管控？》2022.7.31

2. 网易《2023年Q1数据泄露事件近1000起，涉及1204家企业、38个行业！》2023.4.17

3. 财联社《<ESG Weekly>：蔚来数据泄露受关注 数据安全已成企业ESG目标首要任务之一》2022.12.21

4. 中国网科技《蚂蚁集团推行ESG战略新进展：已设立个人信息保护监督委员会》2023.3.23

5. 和讯网《12家科技企业ESG观察，谁领先，谁落后？》2023.5.9

免责声明：本公众号部分内容来源于合作媒体、企业机构、网友提供和互联网的公开资料等，仅供参考。本公众号对站内所有资讯的内容、观点保持中立，不对内容的准确性、可靠性或完整性提供任何明示或暗示的保证。如果有侵权等问题，请及时联系我们，我们将在收到通知后第一时间妥善处理该部分内容。