目录
摘要
聚焦个人信息及用户隐私保护,针对互联网行业社会责任报告的实践情况开展研究,全面总结了个人信息保护组织治理披露差异较大且参差不齐、管理披露欠缺制度数据支撑、消费者及公众信息披露行业实践亟需转化、生态圈及供应链披露支持优于监督、技术研发披露凸显产业发展促进作用等现状,并提出了相关推进建议,以期为互联网企业编制个人信息保护社会责报告提供思路。
关键词: 互联网行业; 个人信息保护; 社会责任; ESG; 信息披露
0 引言
企业社会责任(Croporate Social Responsibility,CSR)理念[1-2]是指企业通过透明和合乎道德的行为为其决策和活动对社会和环境造成的影响而承担的责任。个人信息及用户隐私保护(简称“个人信息保护”)是互联网企业履行社会责任的特色议题,在ISO 26000《社会责任指南》、GB/T 36000—2015《社会责任指南》、GB/T 36001—2015《社会责任报告编写指南》、YD/T 3836—2020《信息通信行业企业社会责任管理体系 要求》等标准中均被明确指出为核心议题,同时明晟环境、社会及管治(Environmental, Social and Governance,ESG)评级[3]、道琼斯可持续发展指数[4]等也关注此类指标。信息披露作为履行社会责任的重要方面[5],备受利益相关方关注,对推动行业可持续、负责任发展具有重要意义。
当今,我国网民规模已超10亿人,互联网普及率达到75%以上[6],互联网行业正在更广范围、更深程度上影响着国家社会发展和人民群众生产生活的方方面面。互联网行业的个人信息保护,涉及到绝大多数面向消费者的互联网企业、数以百万移动互联网应用和数以亿计个人的隐私信息,通过信息披露展现行业负责任态度,是移动互联网应用服务水平的重要体现,也是移动互联网产业健康可持续发展的具体表征。
本文聚焦个人信息保护议题,以社会责任报告的信息披露为分析实例,对互联网行业个人信息保护社会责任信息披露实践情况进行全景式梳理,为该议题的进一步发展提供参考。
1 个人信息保护社会责任报告信息披露政策、法规、标准
我国近两年出台的多个法律法规文件中明确了“个人信息保护社会责任报告”信息披露形式,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)作为我国个人信息保护领域的专门立法,第五十八条明确提出“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:……(四)定期发布个人信息保护社会责任报告,接受社会监督”;2023年8月,国家互联网信息办公室发布的《个人信息保护合规审计管理办法(征求意见稿)》[7]第三十一条要求大型互联网平台运营者应当每年发布个人信息保护社会责任报告,并提出重点审查的披露内容。
为进一步落实法律法规要求,行业标准化组织及社会团体正陆续制定或发布相关标准,进一步规范个人信息保护相关信息披露具体要求。2023年电信终端产业协会发布了由中国信息通信研究院牵头编制的T/TAF 179—2023《个人信息保护社会责任报告编写指南》[8];2022年中国网络安全产业联盟数据安全工作委员会发布了联盟技术规范T/CCIA 002—2022《数据安全和个人信息保护社会责任指南》[9];2023年8月25日,全国信息安全标准化技术委员会发布关于2023年第一批网络安全国家标准项目立项的通知,标志着国家标准《数据安全和个人信息保护社会责任指南》正式立项。
2 个人信息保护社会责任报告信息披露实践现状
本文通过多种渠道(例如企业官方网站、邮件征集确认、一对一沟通等),收集到中国互联网协会所发布的《中国互联网企业综合实力指数(2022)》[10]中综合实力前100 家企业中,以企业为单独发布主体、公开发布且单独成册的社会责任报告(包括社会责任报告、环境社会治理报告、可持续发展报告、企业公民报告等,统称“互联网企业社会责任报告”)共涉及44家企业。
据本文统计,互联网企业社会责任报告中提及个人信息保护议题的占比为71.43%,且“仅内容提及”披露率由2021年的40.63%大幅降至2022年的14.29%,说明个人信息保护信息披露的系统性有一定进步。但参考T/TAF 179—2023《个人信息保护社会责任报告编写指南》,从5个维度、共22个关键信息披露点(简称“信息点”)详细分析上述报告中个人信息保护的相关内容后发现,信息点披露情况仍有较大提升空间。22个信息点的平均披露率仅为39.67%,披露率高于60%的信息点仅为使命理念、内审/自评估及第三方评估/认证/审计,且消费者保护(简称“消保”)、生态圈及供应链发展两个维度的披露率均不足25%,相关内容实质性和信息全面性较难保证(如图1)。
图1
图1 个人信息保护社会责任报告各信息点披露占比
2.1 组织治理披露差异较大且参差不齐
在互联网企业社会责任报告中,组织治理维度关注企业层面对个人信息保护的重视程度,重点分析“使命理念”“履责承诺”“管理职责及组织架构”共3个信息点的披露情况。从整体看,组织治理维度的信息披露情况参差不齐,既有披露率最高的信息点,又有排名较为靠后的信息点。
“使命理念”作为个人信息保护22个信息点中披露率最高的信息点(75%),行业实践中多以简单的、宏观的、口号式的语言呈现企业所制定并发布的相关战略、规划、方针、愿景、使命、理念等,如表1所示。
表1 个人信息保护社会责任报告之“组织治理”披露实践
案例1:组织治理—使命理念 |
|
实践情况 |
具体内容 |
认可重要作用 |
保护用户数据隐私是创造安全和优质用户体验的首要前提 |
制定企业价值观 |
秉持公开透明、合法必要、用户可控、安全至上、持续保护隐私的保护价值观 |
构建个人信息保护方针 |
严格遵守全球适用的法律法规,构建自身数据安全和隐私保护治理体系 |
新窗口打开| 下载CSV
“履责承诺”作为组织治理维度中披露率最低的信息点,仅有20.45%的企业在