常琳 李俊宏 杨洋唯一

(1.中国信息通信研究院泰尔认证研究所,北京 100191;2.泰尔认证中心有限公司,北京 100088;3.北京城市学院信息学部,北京 100083)

0 引言

企业社会责任(Croporate Social Responsibility,CSR)理念[1-2]是指企业通过透明和合乎道德的行为为其决策和活动对社会和环境造成的影响而承担的责任。个人信息及用户隐私保护(简称“个人信息保护”)是互联网企业履行社会责任的特色议题,在ISO 26000《社会责任指南》、GB/T 36000—2015《社会责任指南》、GB/T 36001—2015《社会责任报告编写指南》、YD/T 3836—2020《信息通信行业企业社会责任管理体系 要求》等标准中均被明确指出为核心议题,同时明晟环境、社会及管治(Environmental,Social and Governance,ESG)评级[3]、道琼斯可持续发展指数[4]等也关注此类指标。信息披露作为履行社会责任的重要方面[5],备受利益相关方关注,对推动行业可持续、负责任发展具有重要意义。

当今,我国网民规模已超10亿人,互联网普及率达到75%以上[6],互联网行业正在更广范围、更深程度上影响着国家社会发展和人民群众生产生活的方方面面。互联网行业的个人信息保护,涉及到绝大多数面向消费者的互联网企业、数以百万移动互联网应用和数以亿计个人的隐私信息,通过信息披露展现行业负责任态度,是移动互联网应用服务水平的重要体现,也是移动互联网产业健康可持续发展的具体表征。

本文聚焦个人信息保护议题,以社会责任报告的信息披露为分析实例,对互联网行业个人信息保护社会责任信息披露实践情况进行全景式梳理,为该议题的进一步发展提供参考。

1 个人信息保护社会责任报告信息披露政策、法规、标准

我国近两年出台的多个法律法规文件中明确了“个人信息保护社会责任报告”信息披露形式,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)作为我国个人信息保护领域的专门立法,第五十八条明确提出“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:……(四)定期发布个人信息保护社会责任报告,接受社会监督”;2023年8月,国家互联网信息办公室发布的《个人信息保护合规审计管理办法(征求意见稿)》[7]第三十一条要求大型互联网平台运营者应当每年发布个人信息保护社会责任报告,并提出重点审查的披露内容。

为进一步落实法律法规要求,行业标准化组织及社会团体正陆续制定或发布相关标准,进一步规范个人信息保护相关信息披露具体要求。2023年电信终端产业协会发布了由中国信息通信研究院牵头编制的T/TAF 179—2023《个人信息保护社会责任报告编写指南》[8];2022年中国网络安全产业联盟数据安全工作委员会发布了联盟技术规范T/CCIA 002—2022《数据安全和个人信息保护社会责任指南》[9];2023年8月25日,全国信息安全标准化技术委员会发布关于2023年第一批网络安全国家标准项目立项的通知,标志着国家标准《数据安全和个人信息保护社会责任指南》正式立项。

2 个人信息保护社会责任报告信息披露实践现状

本文通过多种渠道(例如企业官方网站、邮件征集确认、一对一沟通等),收集到中国互联网协会所发布的《中国互联网企业综合实力指数(2022)》[10]中综合实力前100 家企业中,以企业为单独发布主体、公开发布且单独成册的社会责任报告(包括社会责任报告、环境社会治理报告、可持续发展报告、企业公民报告等,统称“互联网企业社会责任报告”)共涉及44家企业。

据本文统计,互联网企业社会责任报告中提及个人信息保护议题的占比为71.43%,且“仅内容提及”披露率由2021年的40.63%大幅降至2022年的14.29%,说明个人信息保护信息披露的系统性有一定进步。但参考T/TAF 179—2023《个人信息保护社会责任报告编写指南》,从5个维度、共22个关键信息披露点(简称“信息点”)详细分析上述报告中个人信息保护的相关内容后发现,信息点披露情况仍有较大提升空间。22个信息点的平均披露率仅为39.67%,披露率高于60%的信息点仅为使命理念、内审/自评估及第三方评估/认证/审计,且消费者保护(简称“消保”)、生态圈及供应链发展两个维度的披露率均不足25%,相关内容实质性和信息全面性较难保证(如图1)。

图1 个人信息保护社会责任报告各信息点披露占比

2.1 组织治理披露差异较大且参差不齐

在互联网企业社会责任报告中,组织治理维度关注企业层面对个人信息保护的重视程度,重点分析“使命理念”“履责承诺”“管理职责及组织架构”共3个信息点的披露情况。从整体看,组织治理维度的信息披露情况参差不齐,既有披露率最高的信息点,又有排名较为靠后的信息点。

“使命理念”作为个人信息保护22个信息点中披露率最高的信息点(75%),行业实践中多以简单的、宏观的、口号式的语言呈现企业所制定并发布的相关战略、规划、方针、愿景、使命、理念等,如表1所示。

表1 个人信息保护社会责任报告之“组织治理”披露实践

“履责承诺”作为组织治理维度中披露率最低的信息点,仅有20.45%的企业在“管理层致辞”“高管声明”中提及了“个人信息保护”“用户隐私”等内容。虽该信息点的披露难度较低,但披露情况较差,原因在于3点:一是部分中小企业社会责任报告缺乏整体“履责承诺”;二是社会责任核心议题较多,最高管理层的承诺未提及该议题,重视程度存在不足;三是报告周期内部分企业在该议题未涌现较为亮眼的成果,从而缺失对应的“履责承诺”。

“管理职责及组织架构”作为组织治理维度中披露率居中的信息点,不同于“使命理念”和“履责承诺”,需要企业实际成立相关的组织架构,更能体现企业在个人信息保护方面的管理能力和实践积累(见表2)。当前,50%的报告披露了董事会(适用时)、管理层、执行层、独立监督机构等组织架构、管理职责及岗位分工,披露情况表现较好。

2.2 管理披露欠缺制度、数据支撑

组织管理维度关注企业对个人信息保护的实质性管理水平,该部分内容需要一定的实践工作作为信息披露基础,重点分析“个人信息管理情况”“合规要求识别及落实”“事件处置、应急响应及预警演练”“内审/自评估及第三方评估/认证/审计”和“内部意识提升及教育培训”5个方面、10个信息点的披露情况。整体来看,组织管理维度的信息披露情况与其他维度相比,披露率表现较好,但具体制度、数据、案例层面仍有一定提升空间。

“个人信息管理情况”作为个人信息保护议题中最集中、最核心的信息点集合,涉及到个人信息管理的全流程,包括收集、存储(存储、备份、恢复)、使用(访问控制、使用)、加工、传输(提供、公开)和删除(删除、留存)等阶段。

目前,互联网行业在该部分的信息披露实践良莠不齐。一是多数中小型企业仅通过简单一段话阐明个人信息管理全部情况。例如,企业建立了一套涵盖个人信息收集、存储、使用、传输等全生命周期的隐私信息安全管理体系,为用户隐私信息保驾护航。二是各阶段披露情况并不平衡。据本文统计,报告通常更聚焦收集阶段(59.09%)、使用阶段(54.55%)的信息披露,而对加工阶段(34.09%)、删除阶段(43.18%)等披露较少。三是企业多披露原则性内容,而较少披露管理制度、数据指标等更为实质性内容,如表3所示。

表3 个人信息保护社会责任报告之“组织管理”披露实践

“合规要求识别及落实”作为组织管理中披露率最低的信息点(36.36%),该部分关注重点不在于企业所宣称的严格遵守合规要求(通常纳入“使命理念”),而是在于企业对个人信息保护相关的合规及监管要求的持续跟进、有效落实等管理机制,如表4所示。目前产业实践多是简单提及合规路径,缺乏具体措施和相关管理要求,披露意识及披露内容均有待进一步加强。

表4 个人信息保护社会责任报告之“合规要求识别及落实”披露实践

“事件处置、应急响应及预警演练”披露率处于中等水平,行业中22.73%的报告披露了报告周期内企业涉及的重大个人信息安全事件情况,43.18%报告披露了企业面对个人信息数据泄露(丢失)、滥用、被篡改、数据被损毁、数据违规使用等安全事件的应急处置措施,具体实践如表5所示。

表5 个人信息保护社会责任报告之“事件处置、应急响应及预警演练”披露实践

“内审/自评估及第三方评估/认证/审计”作为披露率排名第2的信息点(63.64%),主要关注企业个人信息保护相关内审、第三方评估、认证、审计等相关情况。当前,行业内该信息点信息披露情况较好,一是由于部分内容作为合规要求,互联网企业已日常开展相关工作,披露基础较好;二是第三方所出具的认证、测评、评估结果可作为企业个人信息和用户隐私保护方面的突出成果,企业具有较强的披露动力,具体如表6所示。

表6 个人信息保护社会责任报告之“内审/自评估及第三方评估/认证/审计”披露实践

“内部意识提升及教育培训”作为披露率排名第3的信息点(59.09%),当前实践表现同样较好。面向全体员工、有权查看和处理个人信息的员工、相关业务人员、新入职员工等不同人员,互联网企业已日常开展诸多个人信息保护相关的意识提升、教育培训、岗位考试、案例分享等活动,具体活动如表7所示。尤其该信息点还突出体现了一些定量化数据,如培训覆盖率、学员参与数量、活动次数、满意度等。

表7 个人信息保护社会责任报告之“内部意识提升及教育培训”披露实践

2.3 消费者及公众信息披露行业实践亟需转化

消保维度关注企业面对消费者及公众层面的个人信息保护实践情况,重点分析“用户服务提升”“用户沟通交流管理”“信息披露及提升公众意识”3个信息点的披露情况。整体看,消保维度的信息披露情况并未如实反映当前行业的实践工作,平均披露率不足25%,有较大的提升空间。

“用户服务提升”披露率为34.09%,为与组织管理维度中的“个人信息管理情况”信息点有所区分,“用户服务提升”主要关注企业从用户视角所实施的友好功能设置,以及为特定群体制定的个人信息保护权益管理规定,具体实践如表8所示。当前行业信息披露重点集中在未成年人的个人信息保护,对其他群体(如老年用户、残障用户、处于不同语言环境用户等)则几近空白。

表8 个人信息保护社会责任报告之“用户服务提升”披露实践

“用户沟通交流管理”信息点虽涉及《个人信息保护法》第五十二条以及《电信和互联网用户个人信息保护规定》第十二条相关内容,但仅25%的报告提及了企业所建立的体验评价、申诉投诉、政策查询、意见征集等用户沟通交流渠道,仅约7%的报告详细描述了对所沟通交流事项的收集、统计、分析、处置等管理规定。鉴于该合规要求,多数企业已开展相关实践工作,但缺乏将其转化为信息披露内容的意识及动力,当前行业所披露的实践如表9所示。

表9 个人信息保护社会责任报告之“用户沟通交流管理”披露实践

“信息披露及提升公众意识”作为披露率最低的信息点,仅11.36%的报告提及企业通过官方网站、应用程序、行业会议等渠道,面向公众所开展的信息披露、知识普及、意识宣传、警示案例教育等内容,具体如表10所示,仅有不足4%的报告披露了活动触达人数等定量化数据。充分说明当前企业多关注面向消费者的信息披露,而并未重视自身产品服务的强大社会影响力,面向提升公众意识的个人信息保护信息披露动力和实践均有较大提升空间。

表10 个人信息保护社会责任报告之“信息披露及提升公众意识”披露实践

2.4 生态圈及供应链披露支持优于监督

生态圈及供应链发展维度关注企业面向生态伙伴和供应商所开展的个人信息保护实践情况,重点分析“生态圈及供应链筛选”“向第三方提供用户个人信息的管理规定”“生态圈及供应商监督管理措施”“生态圈及供应商履责支持措施”4个信息点的披露情况。整体看,生态圈及供应链发展维度平均披露率不足25%,鉴于生态伙伴和供应商对于个人信息保护的重要意义,该维度的信息披露水平亟需提升。

“生态圈及供应链筛选”主要关注企业筛选生态伙伴/供应商时,考虑个人信息保护相关基线要求。作为披露率排名倒数第2的信息点,当前行业具体实践方式较为单一,如要求生态伙伴/供应商签署协议并承诺、提供个人信息保护能力相关的评估/认证/审计结果、接受企业开展的个人信息保护合规尽职调查等。

“向第三方提供用户个人信息的管理规定”是个人信息保护管理的另一关键节点,也是生态圈及供应链发展维度中披露率最高的信息点,具体实践如表11所示。34.09%的报告披露了企业向第三方提供个人信息的管理规定,如通过合同、协议等形式约定个人信息及数据的使用目的、使用范围、保密约定、安全责任等内容。

表11 个人信息保护社会责任报告之“向第三方提供用户个人信息的管理规定”披露实践

“生态圈及供应商监督管理措施” 信息披露实践同样较弱,具体如表12所示。当前仅18.18%的报告披露了企业在个人信息保护方面对生态伙伴/供应商所开展的监督管理措施,且几乎没有定量化数据披露(如监督措施实施的次数、对象、效果、典型案例等)。

表12 个人信息保护社会责任报告之“生态圈及供应商监督管理措施”披露实践

“生态圈及供应商履责支持措施”主要关注企业所制定并实施的履责支持及鼓励措施,目前22.73%的报告披露了该内容,具体支持措施包括开展周期性或专项培训、典型案例发布及解读、提供支持性工具(如隐私合规自测工具、营销隐私计算解决方案等),但也几乎没有定量化数据披露(如支持鼓励措施的提供次数、措施覆盖率、生态伙伴/供应商参与情况、生态伙伴/供应商履责效果等)。

与其他议题该信息点的披露情况不同,个人信息保护相关的履责支持措施披露率略高于监督管理措施。原因一是合作伙伴及供应商个人信息保护合规情况直接影响整个生态圈的合规表现,因此以应用分发平台为主的“链主”企业投入了丰富资源支持APP、小程序等生态伙伴产品的合规识别和改进工作;二是当前“链主”企业同时向合作伙伴及供应商提供更优质的相关付费工具及咨询服务,基于商业化考虑,企业也会更有意愿披露信息而吸引潜在客户的关注。

2.5 技术研发披露凸显产业发展促进作用

促进产业提升维度关注企业所投入个人信息保护相关的研发资源,以及促进个人信息保护产业发展方面的实践情况,重点分析“技术研发及应用”和“共推产业发展”两个信息点的披露情况。整体看,促进产业提升维度平均披露率为38.68%,该维度并不像其他维度与企业业务和实际工作关联紧密,因此信息披露情况表现相对较好。

个人信息保护的发展有赖于技术创新和资源投入,共有41%的报告披露了企业在支持鼓励前沿技术积累、研发创新、技术应用、知识产权保护、成果转化等方面的相关管理办法、激励政策及实施效果。其原因一是该信息点易出现亮点成果,如技术工具获得了相关测评、认证、奖项等;二是企业披露动力较充分,既体现了企业长期投入技术研发的态度,又可为所研发技术未来的商业化布局预热。

与“技术研发及应用”基本相同,“共推产业发展”同样亮点成果较多且企业披露动力较足。目前共有36.36%的报告披露了企业积极参与相关产业政策、标准编制、行业自律活动、技术生态建设、产业孵化基地等方面的工作及成果。

3 互联网行业个人信息保护社会责任报告推进挑战及建议

当前,仅有极少企业发布了个人信息保护社会责任专项报告,绝大多数企业是以社会责任报告、ESG报告、可持续发展报告的一部分内容进行发布。个人信息保护作为互联网行业的特色议题,与企业业务发展和商业运营联系紧密,但具体信息点的披露仍存在着内容实质化不足、披露方式单一、披露效果有待提升等挑战。

个人信息保护社会责任报告的发展需要各利益相关方凝聚共识、发挥专长、积极推动。一是政策监管方进一步明确底线要求,督促企业提升社会责任报告的披露意识并加强相应管理能力。二是金融机构、评级机构继续加大关注力度,持续将企业个人信息保护等ESG表现作为其投资决策的重要参考,为表现较好的企业提供更好的融资渠道、更快的审批速度、更低的融资成本,以驱动互联网企业提升个人信息保护信息披露水平。三是行业协会积极发挥平台作用,开展知识培训、宣传良好案例、组织行业活动等,为行业企业,尤其是中小型企业提供编撰个人信息保护社会责任报告的实质帮助。四是第三方服务机构发挥专业优势,响应行业需求,切实帮助互联网企业提升个人信息保护信息披露能力,有效解决企业与披露对象之间的信息不对称问题。五是企业应摒除“为了合规”开展信息披露的简单逻辑,从业务需求视角推动该项工作,搭建完善个人信息保护信息披露全流程管理机制,循序渐进提升能力,推动企业直面利益相关方质疑,通过更为体系化、精细化、客观化、周期化的信息披露增进企业与利益相关方信任,在沟通渠道、交流频次、互动方式、披露信息等个人信息保护具体方面获得有效提升。通过各利益相关方的共同努力,多措并举、多管齐下,共同培育透明、负责任、可持续的互联网行业个人信息保护发展生态。

4 结束语

个人信息保护作为互联网行业的特色议题,与企业业务发展和商业运营联系紧密。当前,互联网行业以《个人信息保护法》等法律法规为基石,正切实落实相关要求,虽个人信息保护社会责任报告仍存在内容实质化不足、披露信息点薄弱、披露效果有待提升等现实挑战,但也在积极开展实践探索。互联网行业正通过准确、如实、全面披露个人信息保护相关的实践和数据,引导社会公众、消费者及客户、生态伙伴等相关方的合理期待,增进与相关方的信任,全面展现行业常规实践工作,尝试在商业利益和社会价值之间寻求平衡。