数字化转型与ESG合规(下):数据合规与ESG
数字化转型与ESG合规(下):数据合规与ESG
一、数据合规与ESG
(一)数据合规与环境
数据合规、保护有关的技术使用与自然环境有着千丝万缕的联系。比如,数据中心收集、储存、处理数据等都需要大量能源,甚至电子设备的处理也会对环境有所影响。数据中心是算力的物理承载,是数字化发展的关键基础设施。
根据中国能源报2023年10月的文章[1],数据中心成新耗能大户。2022年全年,全国数据中心耗电量达到2700亿千瓦时,占全社会用电量约3%。2021年,全国数据中心耗电量为2166亿千瓦时,为同期三峡电站累计发电量1036.49亿千瓦时的两倍。随着互联网数字化进程加速推进,预计到2025年,全国数据中心用电量占全社会用电量的比重将提升至5%,到2030年全国数据中心耗电量将接近4000亿千瓦时。随着“十四五”以来,从国家到重点省市节能减排政策频出,数据中心成为我国的重要议题,建设低碳、绿色数据中心可谓势在必行。2017年工信部发布的《关于加强“十三五”信息通信业节能减排工作的指导意见》中指出:“十二五”期间新建大型数据中心的PUE(Power Usage Effectiveness,电能利用效率[2])要普遍低于1.5;到2020年,新建大型、超大型数据中心的PUE值必须达到1.4以下。2020年习近平总书记提出“双碳”战略目标后,国家发改委等五部门发布《关于严格能效约束推动重点领域节能降碳的若干意见》,首次在国家层面将数据中心与传统八大“两高”行业并列入重点推进节能降碳领域,对数据中心节能减排要求进一步升级。2021年北京市发改委发布《关于进一步加强数据中心项目节能审查的若干规定》,同年北京市经信局发布《北京市数据中心统筹实施方案(2021-2023年)》,广东省能源局、上海市经信委、江苏省工信厅以及内蒙古自治区政府分别发布了数据中心节能统筹规划的相关通知、意见,要求对数据中心接入能耗监测平台、鼓励使用绿色能源、可再生能源等,促进资源循环利用。
在各涉及数据中心和云计算处理的提供商的ESG报告中,数据中心的减碳量是其报告一个重要的组成部分,作为全球领先的云计算服务提供商,阿里云力争成为绿色低碳数据中心的领跑者,在其《环境、社会和治理报告(2023)》提及:2023财年,阿里云自身运营实现(范围1和范围2[3])减碳110.5万吨,自建数据中心清洁电力使用在总用电中占比从2022财年的21.6%增至53.9%,处于同业领先位置,数据中心PUE从2022财年1.247下降至1.215,持续保持亚洲领先水平。对于各数据中心来说,做好数据中心减排已经成为各大企业ESG管理中的重要组成部分。
(二)数据合规与社会
1、员工个人数据信息
在大数据时代,隐私保护面临着前所未有的影响和挑战,发生在网络空间的个人隐私侵权现象层出不穷;在企业的劳动关系中,用人单位基于生产安全、产品质量、财产安全和商业秘密等理由,利用人力资源管理的优势,收集和处理员工的个人信息,一直是用工管理中的普遍做法,指纹、面部打卡、地理位置、工作场所中的监控、服务器,甚至配发并监控办公用电脑手机也十分普及。用人单位出于安全生产和质量,提高生产效率,或者保障用人单位商业秘密不被泄漏的考虑而实施劳动管理,从而在日常的用工管理中,采集员工的生物识别信息、活动影像信息、地理位置、通讯信息等,在通常的情况下会被认为属于隐私信息的个人信息,以上信息依据《个人信息保护法》被视为是个人敏感信息,并且要求信息处理者需要取得“单独同意”方可处理。我国《劳动合同法》第八条中规定了招聘阶段用人单位有权了解收集与工作直接相关的基本信息,不过其未对劳动者基本信息的具体内涵作出界定,也未列举出具体类型。
2、公共安全数据及公众个人信息
在数据密集的现代社会中,数据不仅是信息的载体,更是影响公共安全和利益的关键因素。如果数据涉及公共通信、交通、金融等重要领域,一旦数据被泄漏将会危及公共安全,那么这些数据就涉及数据公共利益问题。关于数据运行的公共安全方面,于2015年颁布的《国家安全法》第25条规定了,应当对信息网络核心技术、关键基础设施、重要领域的信息系统进行保护以确保安全。
对于收集大数据信息的企业来说,会面临是否合规收集生物识别信息的拷问。在人脸识别、语音及语义识别应用场景下,通常需要以用户面部识别数据、声纹数据等生物识别信息作为基础的数据源。目前对于生物识别信息的监管日趋严格,以国内为例,《信息安全技术-个人信息安全规范》中对于生物识别信息的收集及后续的存储管理均有明确要求,在明确告知用户且获取其明示同意的前提下,建议仅在前端收集并使用数据,后端存储尽量仅保留数据概要或者经匿名化处理的数据;2024年即将生效的《未成年人信息保护法》中对收集未成年人生物识别信息的要求更为严格,对未成年人采取专门个人信息处理的规则,并要求网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。
从社会角度来说,数据泄漏会影响公司的社会声誉和整体的消费者信任。2023年5月美国电信运营商T- mobile遭受了数据泄露,导致800多名客户的PIN、全名和电话号码泄漏,该数据安全事件直接导致T- mobile由于安全性差而损失了数亿美元。因此,公司保护客户及公众安全数据也是保护公司自己的声誉和未来发展。
(三)数据合规与治理
一旦发生数据泄漏等数据安全事故,监管机构在调查和决定处罚结果时会非常关注公司是否配备有关隐私和数据资产安全的问责制度,问责制也是GDPR的原则之一,要求数据控制者必须采用合适的技术手段和组织方式落实个人数据保护。
针对数据安全保护的情况,在许多科技类公司的ESG报告中均列为重要实质性议题,例如在字节跳动2023年的ESG报告中,信息安全方面,报告强调字节跳动高度重视信息安全与隐私保护,在管理架构上成立了信息安全委员会和隐私保护工作组,在管理制度上制定了《个人信息保护安全规范》并公开发布“隐私保护五大原则”及各产品隐私保护政策。同时,2022年,字节跳动安全中心与行业专家、法律专家共同完成《隐私保护计算法律合规指引报告》,并举办隐私保护计算法律论坛,为数据要素市场的发展奠定法律基础。
二、企业如何构建符合ESG要求的数据合规体系
(一)建立相应的数据合规制度
企业应依照法律、法规,结合自身业务,建立健全覆盖数据安全生命周期的数据合规管理制度体系,建立数据收集和使用合规制度、数据存储合规制度、数据传输和提供合规制度、数据交易合规制度以及数据删除和销毁合规制度。企业应明确企业内部数据合规管理的相关标准、规范和操作规程,坚持安全和发展并重,确保数据合规管理制度与生产运营、业务发展同步规划、同步建设、同步运行。
(二)建立企业数据合规专门机构
企业应根据其实际情况设立数据合规专门机构,建立健全数据合规管理组织体系和常态化沟通协作机制,明确数据合规责任主体。通常来说有以下两种设立方式,一是内置于法务部,二是单独设立独立的数据合规部门。对于一些日常工作会涉及收集大量数据信息的互联网等公司来说,设立独立的数据合规部门会更符合企业的需求;而对于一些中小型企业来说,将数据合规部门内置于法务部内,也基本可以满足其需求。为了保障企业数据合规的执行,建议在数据收集、使用等相关部门设置合规专员,监督整个部门的合规情况。
(三)建立预防和监控风险体系
在建立了相应的数据合规制度的前提下,企业应将相关合规制度作为企业数据合规的基本依据和指引文件。为了预防数据违规事件发生,企业应定期开展合规培训,在培训中增强员工的数据合规意识;最后企业还应该监控并定期评估所制定实施的数据安全合规政策和程序的成效,并根据最终的效果以及数据合规风险的变化予以适时调整。
(四)建立企业数据违规事件应对体系
企业应针对发生数据违规事件之后的处理方式建立数据合规管理的应对机制。相关应对机制应该包括:1.对违规事件的调查,查明违规事实的发生以及具体责任主体;2.及时处理违规人员,对于直接负责人员应采取调离岗位或者其他合适的处理方式;3.及时针对此次事件中暴露出的企业数据合规漏洞进行补救并做出改进;4.积极配合监管机关的调查,主动披露存在的违规事实,接受监管机关的整改要求。
(五)注重企业的社会责任,完善公司ESG体系
对涉及数据处理的企业来说,保护数据信息的安全性对企业来说十分关键,数据安全也是企业ESG合规问题的重要社会问题,企业应该建立完善的数据合规制度,防范数据违规事件的发生;对于已经发生的数据泄漏事故,应该尽力使事故的影响程度降到最低,避免对数据被泄漏者造成二次伤害。同时企业应该完善ESG体系的建设,将数据合规、数据保护作为企业ESG实质性议题并纳入企业各部门的日常经营管理目标中,提高企业的可持续发展能力及面对、处理未来风险的能力。
[注]
[1] http://paper.people.com.cn/zgnyb/html/2023-10/16/content_26022894.htm
[2] 2007年由美国绿色网格组织(The Green Grid, TGG)提出的用以评价数据中心能源利用效率的一种指标,目前被国内外数据中心行业广泛使用。
[3] 世界资源研究所(WRI)和世界可持续发展工商理事会(WBCSD)制定的企业温室气体排放核算标准,其标准中针对温室气体核算与报告设定了三个“范围”。范围1包括自有或受控资源的直接排放——例如,本地数据中心,范围2涵盖采购的电力、蒸汽、供暖和制冷等生产过程带来的间接排放,而范围3包括价值链中的所有其他间接排放,例如云计算资源。