《中国信通院:互联网行业可持续信息披露发展报告(2023年)(72页).pdf》由会员分享,可在线阅读,更多相关《中国信通院:互联网行业可持续信息披露发展报告(2023年)(72页).pdf(72页珍藏版)》请在三个皮匠报告上搜索。
1、No.202310中国信息通信研究院中国互联网协会中国通信企业协会2023年11月互联网互联网行业可持续信息披露行业可持续信息披露发展报告发展报告(2022023 3 年年)版权声明版权声明本报告版权属于中国信息通信研究院、中国互联网协会和中国通信企业协会,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国信息通信研究院、中国互联网协会和中国通信企业协会”。违反上述声明者,编者将追究其相关法律责任。本报告版权属于中国信息通信研究院、中国互联网协会和中国通信企业协会,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:中国信息通信研究院、
2、中国互联网协会和中国通信企业协会”。违反上述声明者,编者将追究其相关法律责任。中国信息通中国信息通信研究院中国互联网协会中国通信企业协会信研究院中国互联网协会中国通信企业协会前言前言党的二十大报告擘画了全面建设社会主义现代化国家、以中国式现代化全面推进中华民族伟大复兴的宏伟蓝图,并明确指出加快建设网络强国的战略部署。当前,我国网民规模已超 10 亿人,互联网普及率达到 75%以上,互联网行业正在更广范围、更深程度上影响着国家社会发展和人民群众生产生活的方方面面。互联网行业深化践行可持续发展理念,持续加强社会责任及 ESG 管理,不仅是健全网络综合治理体系,推动形成良好网络生态的有效途径,也是接
3、轨国际规则、开展国际化竞争的实际需要,更是贯彻落实党的二十大精神,实现高质量发展的必然要求。本报告以可持续信息披露为切入点,以社会公众为观察视角,在国内外信息披露相关要求逐步明确、关注重点进一步聚焦、行业特性渐进发展的背景下,系统研究了互联网行业可持续信息披露的整体实践情况。当前行业已构建出可持续发展报告、官方网站和移动互联网应用程序为载体的“一体两翼”信息披露渠道,披露语言均以中文简体为主;随着资本市场对行业的推动影响越发显著,ESG专项报告强势增长;整体看行业信息披露数量和质量平稳发展,虽管理制度信息披露有待进一步提升,但行业特色主题信息披露明显增强,内容实质性提升显著,互联网行业正逐步从
4、实践中走出具备行业特色的可持续信息披露之路。本报告进一步聚焦个人信息及用户隐私保护、透明规则和碳信息三个备受社会关注、极具行业特色、体现产业实践的可持续发展核心主题的信息披露情况。在个人信息及用户隐私保护法规政策明确要求之下,互联网行业共识较高,但在组织管理、用户服务提升、责任链管理等方面仍有一定提升空间;在透明规则法律法规细化聚焦之下,互联网细分领域从时效性、可及性、自主性、参与性等多方面积极探索,彰显行业担当;在碳信息披露法规政策持续加严之下,互联网行业实践有序推进,定量数据披露向好。中国信息通信研究院于 2022 年发布首份 互联网行业社会责任及 ESG 信息披露观察报告,本年度在进一步
5、系统性深挖行业可持续信息披露情况的基础上,首次分析了官方网站及移动互联网应用程序等行业特色信息披露渠道,并首次纳入了部分核心主题的信息披露研究,希望该报告能为社会各界了解互联网行业及特色主题的可持续信息披露的发展及实践提供有价值的参考。目录目录一、可持续信息披露作用及意义.1(一)社会责任及 ESG 是推动可持续发展重要方式.1(二)信息披露对推动可持续发展具有重要意义.2二、可持续信息披露要求发展态势.3(一)多元驱动,生态系统提速构建.3(二)融合互通,关注重点逐步聚焦.4(三)实践为基,行业属性渐进发展.6三、可持续信息披露实践稳中有进.8(一)一体两翼基本形成,各司其职协同信披.8(二
6、)报告数质平稳发展,ESG 专项势头强劲.10(三)披露语言中文为主,管理信息有待提升.15(四)披露验证综合实力,资本市场传导明显.16(五)主题披露偏重特色,可持续趋向系统全面.20四、主题实践之个人信息保护信息披露逐步发展.25(一)主题报告法规明确,行业实践共识较高.25(二)信息点披露仍需提升,组织治理差异较大.26(三)管理欠缺制度数据,行业实践亟需转化.30(四)责任链支持优于监督,技术研发亮点涌现.37(五)展望披露融入业务,全面展现行业发展.40五、主题实践之规则信息披露行业特色细分先行.41(一)透明规则意义重大,法规聚焦细分领域.41(二)披露方式双管齐下,时效保障较为完
7、备.42(三)透明可及参差不齐,规则展示丰富多元.43(四)规范规则透明原则,畅通规则参与渠道.45(五)展望拓宽细分领域,着力提升相关方认知.48六、主题实践之碳信息披露重要性凸显发展迅速.49(一)政策加严趋势显著,披露意识全面提升.49(二)披露实践逐步提升,组织治理初具规模.50(三)组织管理取得突破,减碳实践有序推进.54(四)产业协同监督为主,减碳赋能步伐加快.57(五)展望夯实数据基础,强化价值传导能力.59七、可持续信息披露发展展望.60(一)着眼长远,加强企业信息披露能力建设.60(二)直面挑战,推动行业披露标准落地实施.62(三)群策群力,共建信息披露多元共治体系.62附件
8、:缩略语.64图 目 录图 目 录图 1 2010-2022年互联网企业可持续发展/社会责任/ESG 报告发布数量变化趋势.11图 2 2019-2022 年互联网企业可持续发展/社会责任/ESG 报告利益相关方沟通和实质性议题分析披露占比.13图 3 互联网企业可持续发展/社会责任/ESG 报告类别.14图 4 2010-2022 年互联网企业发布 ESG 报告数量及占比.14图 5 2010-2022 年互联网企业发布专项报告数量及占比.15图 6 2022 年中国互联网综合实力与报告数量分布.17图 7 互联网企业累计发布可持续发展/社会责任/ESG 报告(非专项)数量.18图 8 简单
9、罗列式信息披露参照依据及披露占比.19图 9 指标索引式信息披露参照依据及披露占比.20图 10 可持续发展核心主题披露率.21图 11 互联网行业环境议题各核心主题信息披露程度占比.22图 12 互联网行业治理议题各核心主题信息披露程度占比.23图 13 互联网行业社会议题各核心主题信息披露程度占比.24图 14 个人信息及用户隐私保护各信息点披露占比.27图 15 碳信息各信息点披露占比.51互联网行业可持续信息披露发展报告(2023 年)1一、可持续信息披露作用及意义(一)社会责任及(一)社会责任及 ESG 是推动可持续发展重要方式是推动可持续发展重要方式可持续发展,最早出现于 1980
10、 年国际自然保护同盟的世界自然资源保护大纲。1987 年世界环境与发展委员会出版我们共同的未来报告,首次将可持续发展定义为:“既能满足当代人的需要,又不对后代人满足其需要的能力构成危害的发展。”1994 年 3 月,我国政府编制中国 21 世纪人口、环境与发展白皮书首次把可持续发展战略纳入中国经济和社会发展的长远规划。社会责任(企业社会责任):是指企业通过透明和合乎道德的行为为其决策和活动对社会和环境的影响而担当的责任。ESG:环境(Environmental)、社会(Social)、治理(Governance)三个英文单词的首字母缩写,一是强调企业践行环境责任,在生产及运营过程中对环境所采取
11、的保护措施以及保护效果;二是强调企业的生产及运营过程遵循合规要求,重视与社会及各利益相关方的内在联系和互相影响;三是强调企业所有者在企业经营管理过程中,完善科学合理的企业管理制度体系,以实现公司的经济收益和社会效益最大化。社会责任与 ESG 在概念内涵、核心主题上具有明显相似之处,同时,也存在一些差异之处,如社会责任又更重“性质”体现,多用来体现企业发展理念或价值导向,更注重口碑建立及品牌推广,而 ESG 更重“量值”体现,多用来反互联网行业可持续信息披露发展报告(2023 年)2映企业在 ESG 方面所做的具体实效,也与金融、投融资等关系更为密切。践行社会责任和 ESG 理念是实现可持续发展
12、的重要维度。企业在生产经营过程中,关注自身影响,积极履行其对环境、社会、治理所承担的责任,尝试将经济效益、社会效益和环境效益有机结合,实现自身可持续发展。同时通过投资机构引导资本流向社会责任及 ESG 表现良好的企业、通过引导消费者及公众购买社会责任及 ESG 表现良好企业的产品及服务,从而推动整个行业及经济体系的可持续发展。(二)信息披露对推动可持续发展具有重要意义(二)信息披露对推动可持续发展具有重要意义信息披露作为实现可持续发展的重要着眼点,主要关注企业根据不同利益相关方的期望和诉求,披露其对可持续发展的理念认知、管理能力以及绩效表现等信息的情况。鉴于可持续发展与社会责任、ESG 概念之
13、间的关联,可持续信息包括社会责任信息、ESG 信息等,而可持续信息披露(以下简称:信息披露、信披)需要企业在内部构建完善相关信息披露管理机制,主动或被动开展披露工作,从而持续提升政府、投资机构、社会公众等各利益相关方满意度,促进企业业务发展。鉴于上述概念及意义,本报告以可持续信息披露为切入点,以互联网行业为研究对象,以社会公众为观察视角,从法律法规政策标准要求、行业整体实践情况、特色主题实践情况维度,系统研究互联网行业可持续信息披露的发展态势。互联网行业可持续信息披露发展报告(2023 年)3二、可持续信息披露要求发展态势(一)多元驱动,生态系统提速构建(一)多元驱动,生态系统提速构建2023
14、 年,政府监管、资本驱动、利益相关方1参与等作为可持续信息披露发展的重要推动力量,继续发挥着巨大作用,全球可持续信息披露生态系统正处于快速建设周期。国际层面,欧洲延续“政策法规先行”路线,进一步强化对企业可持续发展、社会责任及 ESG 信息披露相关要求。2023 年 1月 5 日欧盟企业可持续发展报告指令(Corporate SustainabilityReporting Directive,以下简称:CSRD)正式生效,CSRD 覆盖范围扩大至除微型企业以外的所有上市公司及在欧盟营业额超过1.5 亿欧元的非欧盟公司;7 月 31 日欧盟委员会通过 CSRD 配套准则欧洲可持续发展报告准则(E
15、uropean SustainabilityReporting Standards,以下简称:ESRS),表明欧盟范围内的可持续性信息披露工作细则正逐渐明确。美国虽然在联邦政府层面缺乏统一声音,但作为气候政策积极倡导者的加州,已于 2023 年 9月通过了一项具有里程碑意义的法案,要求在加州开展业务的年收入超过 10 亿美元的公司每年披露其全价值链温室气体排放量。国内层面,2023 年我国加快中国特色 ESG 生态体系建设,可持续信息披露方面发展迅猛。一方面,国央企作为“排头兵”,正在积极探索建立健全 ESG 体系。国务院国有资产监督管理委员1利益相关方指其利益可能会受到企业决策或活动影响的个
16、人或团体,包括但不限于:客户和消费者、企业员工、供应链或生态圈的上下游企业/合作伙伴及其他组织、同业者、行业商协会、政府部门、股东和投资者、非政府组织、社区、其他等互联网行业可持续信息披露发展报告(2023 年)4会(以下简称:国资委)在 2022 年 5 月发布提高央企控股上市公司质量工作方案的基础上,2023 年 7 月发布了关于转发的通知,为央企控股上市公司编制 ESG 报告提供了具体的指标和格式参考。另一方面,面向广大上市企业的信息披露要求也处于酝酿之中,2023 年9 月中国证券监督管理委员会(以下简称:证监会)相关领导表示,证监会正在指导沪深证券交易所研究起草上市公司可持续发展披露
17、指引,指引计划以自愿披露起步,但必须符合信息披露底线要求,符合资本市场相关规则要求。(二)融合互通,关注重点逐步聚焦(二)融合互通,关注重点逐步聚焦当前,越来越多的国际及国内利益相关方意识到,不统一的可持续信息披露标准,不仅增加企业披露成本,也会影响可持续发展的政策制定和投资决策。因此,建立具有一致性、可比性和可靠性的信息披露指标,已成为监管机构、投资者、专业机构共同努力的方向。国际层面,2023 年 6 月 26 日,国际可持续准则理事会(International Sustainability Standards Board,以下简称:ISSB)正式发布了两份国际财务报告可持续披露准则,作
18、为全球可持续披露基线准则建设中的重要里程碑文件,ISSB 两份准则的发布对于提升全球可持续发展信息披露的透明度、问责制和效率具有重要意义。ISSB 新准则在整合多个已有披露标准基础上,采纳了气候相关财务信息披露工作组(Task Force on Climate-Related互联网行业可持续信息披露发展报告(2023 年)5Financial Disclosure,以下简称:TCFD)建议,让气候变化信息披露成为推动企业可持续发展、社会责任及 ESG 信息披露融合发展的突破口。目前,包括澳大利亚、加拿大、日本、马来西亚、新西兰、尼日利亚、新加坡、英国等多个国家和地区的监管机构已经采取或将考虑采
19、取 ISSB 框架建立信息披露标准。国际层面另一份重要文件 ESRS 也在加强与 ISSB 新准则、全球报告倡议组织(Global Reporting Initiative,以下简称:GRI)标准的融合互通。一方面,GRI 与负责 ESRS 开发的欧洲财务报告咨询组(European Financial ReportingAdvisory Group,以下简称:EFRAG)于 2023 年 9 月 5 日发布联合声明,表示 ESRS 与 GRI标准已经实现了高度互通性。另一方面,ISSB 所属的国际财务报告 准 则 基 金 会(International Financial Reporting
20、 StandardsFoundation,以下简称:IFRS)表示,欧盟委员会、EFRAG 和ISSB 之间进行了深入且富有建设性的讨论,根据 EFRAG 声明以及随后的 ISSB 回应,将共同制定互操作性指南,为同时应用两套准则的主体提供帮助。国内层面,我国从实际国情出发,主张国内发展与国际趋势并行。一方面,我国证监会、国资委、行业协会、商业 ESG 评级机构等多方都在尝试探索富有中国特色的可持续发展、社会责任及 ESG 信息披露指引,以构建符合我国新发展理念和经济社会发展需要的信息披露生态体系;另一方面,我国也在密切关注着国际发展趋势,2022 年底,我国财政部与 IFRS 签署谅解备忘录
21、,互联网行业可持续信息披露发展报告(2023 年)6设立 IFRS 基金会北京办公室,助推 ISSB 国际准则在中国的落地实践。2023 年 4 月 14 日香港联合交易所有限公司(以下简称:联交所)发布文件,就优化 ESG 框架下的气候信息披露征询市场意见,联交所在公告中表示将引入以 ISSB 气候准则为基础的新气候相关披露。目前,国际及国内信息披露要求都不约而同地将环境(Environmental,以下简称:E)作为重点领域先行推动,尤其是气候变化议题。一是因为近几年气候变化为人类生存及大众生活带来了深刻影响。二是以巴黎协定及“3060”双碳目标等为代表,国际国内对该议题都给予了极大重视。
22、三是技术层面,E相较于社会(Social,以下简称:S)和治理(Governance,以下简称:G),量化难度更低、共识程度更高、实质性信息披露更易推动。(三)实践为基,行业属性渐进发展(三)实践为基,行业属性渐进发展随着可持续信息披露的发展和深入,行业间可持续发展核心主题绩效管理的差异性正逐渐显现,基于行业特性的可持续信息披露要求愈发受到关注。国际层面,多个可持续信息披露标准均在加速布局行业标准。一是可持续性会计准则委员会(SustainabilityAccounting StandardsBoard,以下简称:SASB)已整合至价值报告基金会(ValueReporting Foundati
23、on,以下简称:VRF),并于 2022 年并入 ISSB,而 SASB 标准正是以行业为基础的披露指标。二是 GRI 也在加速互联网行业可持续信息披露发展报告(2023 年)7行业指标布局,在公布石油和天然气、煤炭、以及农业、水产养殖和渔业三大行业标准之后,于 2023 年公布矿业(GRI 14)行业标准征求意见稿。三是 2023 年 9 月 18 日自然相关财务披露工作组(Taskforce for Nature-related Financial Disclosures,以下简称:TNFD)发布首个披露框架建议,为金融机构提供了行业披露指南,并计划进一步扩展至其他相关行业。国内层面,基于
24、行业特性的可持续信息披露趋势正在国内获得普遍响应。一是自 2022 年起,互联网行业、汽车行业、医药行业、融资租赁行业等多个行业协会、社会团体组织发布或升级了新的可持续信息披露团体标准,作为行业差异化内容的归纳总结,标准有利于进一步建立可持续信息披露的行业共识。二是我国ESG 评级市场蓬勃发展间接推动了行业指标的加速形成,促使企业在报告、网站等信息披露渠道对行业重点议题给出了产业实践经验和内容反馈。三是企业优秀实践逐步丰富行业议题发展,如近几年银行业持续推动绿色信贷、绿色债券、碳金融产品等行业实践的规范和发展,也为其更好适应愈加严格的信息披露要求(如其他间接(范围三)碳排放量)奠定了基础。互联
25、网行业作为推动国家经济转型升级、满足人民日益增长的美好生活需要、实现中华民族伟大复兴的重要领域,在社会责任及ESG理念认知的基础上正积极探索具有行业特色的可持续发展核心主题。一方面,法律法规政策多次强调互联网行业信息披露相关内容,在之前个人信息保护法关于推动平台经济规互联网行业可持续信息披露发展报告(2023 年)8范健康持续发展的若干意见等法规政策文件的基础上,2022-2023 年密集发布的 互联网信息服务算法推荐管理规定工业和信息化部 国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告互联网信息服务深度合成管理规定互联网跟帖评论服务管理规定(修订)生成式人工智能服务管理
26、暂行办法 等政策文件中均提到了“信息披露”“透明”“明示”“公开”等要求,鼓励企业自主对外公开披露,推动实现社会公众的有效监督。另一方面,行业协会、研究机构等专业组织正着力发挥技术专长和产业影响力,积极落实并细化政策法规要求。中国信息通信研究院与中国互联网协会联合牵头制定的行业标准互联网企业社会责任及 ESG 信息披露要求、中国互联网协会发布的 T/ISC 00032020互联网企业社会责任报告编写指南、电信终端产业协会发布的 T/TAF 1792023个人信息保护社会责任报告编写指南等标准,在行业标准和团体标准层面进一步完善了行业可持续信息披露标准体系。三、可持续信息披露实践稳中有进(一)一
27、体两翼基本形成,各司其职协同信披(一)一体两翼基本形成,各司其职协同信披信息披露作为我国互联网行业践行社会责任及 ESG 理念、实现可持续发展的重要着眼点,获得了国家、监管方、社会公众、舆论媒体等相关方广泛关注。互联网企业正将这种关注转化为发展动力,向内健全完善自身信息披露管理机制,向外不断探索具体披露方式及披露内容,逐步构建形成了“一体两翼”的多维度互联网行业可持续信息披露发展报告(2023 年)9信息披露渠道。一方面,可持续发展/社会责任/ESG 等报告以及相关议题报告(以下简称:可持续发展/社会责任/ESG 报告、报告)作为“集大成者”,已成为互联网企业向利益相关方展示自身履责能力“一体
28、”化的重要载体。另一方面,由于互联网行业的特殊性,官方网站(以下简称:官网)和移动互联网应用程序(以下简称:APP)不仅是企业重要的流量入口和业务载体,也作为信息披露“两翼”有效保障可持续信息的可及性和触达率。根据“一体两翼”式的信息披露渠道的不同特点,所披露内容既有关联,又不尽相同。首先,可持续发展/社会责任/ESG 报告具有“公开性、全面性、周期性”的特点,即报告面向社会公众均可触及、内容涉及较多议题、且多以年为单位周期发布。本报告以中国互联网协会所发布的中国互联网企业综合实力指数(2022)中综合实力前百家企业为研究范围,据不完全统计2,共收集到该范围内的以企业为单独发布主体、自 201
29、0 年以来公开发布且单独成册的 340份可持续发展/社会责任/ESG 报告3,涉及 54 家互联网企业。其次,企业官方网站具有“公开性、及时性、多重性”特点,即作为企业官方建立的具有公开性质的独立网站,更新频率更为及时,主要披露不仅限于企业可持续发展/社会责任/ESG 报告和实践案例,还有第三方发布的新闻报道、奖项评级等多重来源的2通过邮件定向征集、一对一沟通、遍历官方网站、公开征集等多种渠道进行了收集3收集截止日期为 2023 年 8 月 10 日,本报告并不保证研究范围内所有的可持续发展/社会责任/ESG报告均被覆盖到互联网行业可持续信息披露发展报告(2023 年)10信息。同样以中国互联
30、网协会所发布的中国互联网企业综合实力指数(2022)中综合实力前百家企业为主要研究范围,据不完全统计,共有 47 家4企业设置了可持续发展、社会责任、ESG等相关的一级/二级单独页面,且上述企业基本上也同时发布了可持续发展/社会责任/ESG 报告。最后,APP 具有“业务关联性、有限公开性”特点,与可持续发展/社会责任/ESG 报告以及官网差异较大。APP 作为互联网企业的商业服务平台和业务运营载体,极少设置“可持续发展、社会责任、ESG”单独模块,但与业务紧密相关的核心主题则多有涉及,比如:隐私政策、双清单、平台规则、公益入口等。其中,平台规则作为互联网企业所制定、由消费者及生态伙伴表示认可
31、的自治性条约,既属于可持续发展中“用户权益保障与体验提升”和“生态伙伴/供应商管理与合作”核心主题的具体实践,又极富行业特色,并已在一些互联网企业 APP 中通过单独页面进行信息披露,因此,本报告第五章将对其进行深入分析。另外,鉴于 APP 有些功能须登陆才可使用,相关可持续信息可能也并非直接面对社会公众,即不同利益相关方查阅到的可持续信息也有所不同。(二)报告数质平稳发展,(二)报告数质平稳发展,ESG 专项势头强劲专项势头强劲当前,可持续信息披露正逐步从“理念普及、良好示范”迈向“纵深推进、专项应用”阶段。4本报告并不保证研究范围内所有设置可持续发展、社会责任、ESG 等相关的一级/二级单
32、独页面的企业均被覆盖互联网行业可持续信息披露发展报告(2023 年)11报告数量方面,2022 年互联网企业可持续发展/社会责任/ESG报告整体数量保持平稳,考虑到部分企业发布或计划发布报告时间晚于本报告收集截止日期(2023 年 8 月 10 日),2022 年实际可持续发展/社会责任/ESG 报告数量应较 2021 年 69 份报告略有增长(见图 1)。来源:中国信息通信研究院整理图 1 2010-2022 年互联网企业可持续发展/社会责任/ESG 报告发布数量变化趋势报告质量方面,2022 年互联网企业可持续信息披露有一定提升。鉴于报告质量较难直接测定,本报告从定量化数据、第三方机构验证
33、、利益相关方沟通和实质性议题分析共四个维度的信息披露情况侧面分析互联网行业的可持续发展/社会责任/ESG 报告质量。其中,定量化数据是披露内容可比性的基础,也是内容实质性的重要体现;第三方所出具的独立证明可作为验证企业数据来源可靠、防止夸大自身在可持续发展方面影响的重要参考,是信息披露有效性的重要补充;加强与利益相关方沟通交流是企业互联网行业可持续信息披露发展报告(2023 年)12面向不同利益相关方所开设的不同沟通渠道的总结;实质性影响议题识别,即企业根据法律法规、利益相关方期望等,开展重要性评估并确定议题优先级排序等,不仅是 GB/T 36000社会责任指南及 ISO 26000社会责任指
34、南的重要内容,也是策划可持续发展/社会责任/ESG 报告信息披露内容的关键步骤,可一定程度上佐证披露质量。具体看,一是定量披露的系统性及可比性与上一年度基本持平,2022 年互联网企业报告中有“较为亮点的数据/绩效/信息点”定量化表现的报告占比仅略有上升(从 2021 年32.56%至 2022 年 34.69%);有较为系统的、有具体量值的“关键绩效表/绩效履责表”占比还略有下降(从 2021年39.53%至2022年 38.78%)。未作定量数据披露的原因多由于企业或缺乏计算口径、统计汇总等精细化信息披露管理能力,或已统计出数据但因多种原因而不愿披露。整体看,定量披露仍有较大提升空间。二是
35、 2022 年使用第三方专业机构验证报告数量(如:数据核查、信息鉴证、外部审验等)有了一定提升,共 6 份报告展示了第三方专业机构所出具的验证结果,比 2021 年 3 份报告增长一倍,但整体占比仍不足 10%。三是利益相关方沟通的披露情况平稳增长(见图 2),已由 2019 年 50%逐年微增至 2022 年 62.46%,说明企业逐步认识到利益相关方的期待及需求对自身可持续发展、社会责任及ESG实践的重要价值,并愈发重视与利益相关方的沟通交流。四是实质性议题分析的披露情况持续向好(见图 2),以每年近10%的增长速度,由 2019 年 32.35%大幅增至 2022 年 64.50%,该互
36、联网行业可持续信息披露发展报告(2023 年)13方面的长足进步体现了越来越多的互联网企业正着力提升可持续发展具体议题层面的信息披露策划能力。来源:中国信息通信研究院整理图 2 2019-2022 年互联网企业可持续发展/社会责任/ESG 报告利益相关方沟通和实质性议题分析披露占比报告组成方面,互联网企业所发布的报告可大致细分为:企业可持续发展报告(包括:可持续社会价值报告)、社会责任报告、ESG 报告、企业公民报告以及专项报告(见图 3)。2022 年除企业公民报告未有过多变化之外,其他报告的占比发生了较大变化。一是,互联网企业开始采用“可持续发展”“可持续社会价值”等概念,作为社会责任报告
37、和 ESG 报告之外第三种命名方式的探索,该类报告占比由 3.37%升至 10.59%(见图 3)。二是随着互联网行业对 ESG 概念的关注以及资本市场对 ESG 的认可,2022 年 ESG 报告数量大幅增长(见图 4),其占比已接近半数。三是,发布数量同样逐年递增的专项报告内容更为多元(见图 5),已涉及公益慈善、消费者保护、技术创新、绿色双碳、员工权益等十余个核心主题。鉴于 ESG 报告数量的大幅增长(增长率由 2021 年 30.77%增至 2022 年 88.24%),同时考虑基本未变的报告总数及略有增加互联网行业可持续信息披露发展报告(2023 年)14的可持续发展报告,说明部分互
38、联网企业将之前社会责任报告在2022 年调整为 ESG 报告(包括环境、社会、治理报告)。然而2022 年 ESG 报告中仅有 53.13%报告披露了“关键绩效表/绩效履责表”、46.88%报告披露了“较为亮点的数据/绩效/信息点”,远低于 2021 年 68%和 58%的 ESG 报告披露率,说明部分企业虽将报告命名为“环境、社会、治理报告”或“ESG 报告”,但并未真正重视ESG报告对定量化信息披露要求,仍有较大的提升空间。来源:中国信息通信研究院整理图 3 互联网企业可持续发展/社会责任/ESG 报告类别来源:中国信息通信研究院整理图 4 2010-2022 年互联网企业发布 ESG 报
39、告数量及占比互联网行业可持续信息披露发展报告(2023 年)15来源:中国信息通信研究院整理图 5 2010-2022 年互联网企业发布专项报告数量及占比(三)披露语言中文为主,管理信息有待提升(三)披露语言中文为主,管理信息有待提升可持续信息披露语言一定程度上反映了披露对象和披露驱动力。目前,互联网行业可持续信息披露仍由中文简体、中文繁体、英文三种语言组成。报告语言再次验证了可持续信息披露的多重驱动,中文简体多用于符合国内政策要求或为国内公众阅读使用的报告;中文繁体多用于符合联交所要求的报告;英文多用于符合国际交易所或国际政策要求的报告。据统计,17 份报告在同一份报告采用中文简体和英文撰写
40、文本;12 份报告在同一份报告采用中文繁体和英文撰写;16 份中文繁体报告翻译为英文后,又以英文报告的形式再次独立发布。2022 年,可持续发展/社会责任/ESG 报告中英文和中文繁体占比均略有提升,其中英文由2021年13.08%增至2022年17.62%,中文繁体由 2021 年 11.21%增至 2022 年 13.28%,但中文简体仍占据着最大信息披露份额(69.11%),说明国内利益相关方仍是披互联网行业可持续信息披露发展报告(2023 年)16露的主要对象。同时,在官网披露的企业可持续发展、社会责任及 ESG 政策及管理制度文件(以下简称:管理文件)也与报告相同,中文简体占比最高,
41、90.8%管理文件采用中文简体发布,8%采用英文发布。可持续发展、社会责任及 ESG 政策及管理制度文件作为企业管理体系一项重要输出,一定程度上反映了企业是否真正将可持续发展、社会责任及 ESG 落实日常经营管理、可持续发展核心主题是否在内部管理中持续改善。目前,管理文件的信息披露情况在数量及质量上仍有待进一步提升。信息披露数量上,仅有略高于 10%的企业在官网所设置的单独页面上披露了管理文件,与可持续发展/社会责任/ESG 报告发布企业数量(54%)、设置单独页面企业数量(47%)相比均差距较大。信息披露内容上,相关管理文件也仅限于个别主题,主要集中在行为准则(26.4%,其中廉政反腐败政策
42、 11.49%)、人力资源(16.09%)、个人信息保护(13.79%)、供应商管理(12.6%)、绿色双碳(11.50%)、公司治理(11.49%)等,远不及报告核心主题数量。披露程度上,企业多通过较为简单的文字撰写表明企业在该方面建立了管理制度,但具体内容可能顾虑其商业秘密而未做细节披露。(四)披露验证综合实力,资本市场传导明显(四)披露验证综合实力,资本市场传导明显互联网行业技术更迭快、市场化程度较高,企业所面临竞争压力较大,互联网综合实力前百家企业也常有变动。信息披露作为一项在国内目前仍以自愿为主的工作,其信息披露能力一定程互联网行业可持续信息披露发展报告(2023 年)17度上反映了
43、互联网企业综合实力。整体看,综合实力越强的企业感受到可持续信息披露压力更大、企业披露意识更足,同时披露表现也更好。横向来看,中国互联网企业综合实力指数(2021)前百家企业中共有 38 家企业发布过报告,累计发布 208 份报告5,中国互联网企业综合实力指数(2022)中共有 54 家企业发布过报告,累计发布 340 份报告6,累计报告数的大幅增加充分说明,2022年综合实力前百家企业的可持续信息披露能力与 2021 年综合实力前百家企业相比,有了明显提升(见图 6)。来源:中国信息通信研究院整理图 6 2022 年中国互联网综合实力与报告数量分布纵向来看,不论 2021 年还是 2022 年
44、,综合实力前百家企业中信息披露能力较强的企业综合实力也较强,排名前 25 名的互联网企业的发布报告数是排名最后25名企业发布报告数量的近7倍(见图 7)。累计发布报告超过 15 份的企业7有阿里巴巴(中国)有限公司、深圳市腾讯计算机系统有限公司、百度公司、北京快5该累计数量指自 2010 年至 2021 年报告数量之和6该累计数量指自 2010 年至 2022 年报告数量之和7以下企业名称均引用自中国互联网企业综合实力指数(2022 年)互联网行业可持续信息披露发展报告(2023 年)18手科技有限公司、中钢网科技集团、小米集团等,在官方网站上披露可持续发展、社会责任及 ESG 政策及管理制度
45、文件的企业8有阿里巴巴(中国)有限公司、深圳市腾讯计算机系统有限公司、百度公司、北京三快在线科技有限公司、蚂蚁科技集团股份有限公司、小米集团、三七文娱(广州)网络科技有限公司、同程旅行控股有限公司、唯品会(中国)有限公司、好未来教育科技集团等,基本上都是综合实力较强的互联网企业。来源:中国信息通信研究院图 7 互联网企业累计发布可持续发展/社会责任/ESG 报告(非专项)数量在政府监管、资本驱动、利益相关方参与关注等驱动力中,资本市场对于互联网行业的推动影响在近些年越发显著。互联网企业,尤其是密切关注股价在资本市场表现的上市企业,希望吸引尽可能多的存量或潜在市场资金的注入。随着证券交易所提出愈
46、发严格的可持续信息披露要求,以及更多投资机构将可持续发展、社会责任及 ESG 表现纳入投资决策,互联网企业对可持续信息披露越发重视,带动了整个行业信息披露水平的提升。8以下企业名称均引用自中国互联网企业综合实力指数(2022 年)互联网行业可持续信息披露发展报告(2023 年)19行业实践情况证实了来自资本市场的强大驱动力。首先,2022年可持续发展/社会责任/ESG报告发布主体中,上市公司占比80%,远高于综合实力前百家企业 43%平均披露率;其次,简单罗列式信息披露参照依据中来自证券方面的要求占比排名第一,包括42.86%报告使用了联交所 环境、社会及管治报告指引 及 18.37%报告使用
47、了上海证券交易所(以下简称:上交所)、深圳证券交易所(以下简称:深交所)出台的相关指引9(见图 8),指标索引式信息披露参照依据最高占比同样是联交所指引要求(见图9);最后,一些综合实力排名较为靠后的互联网企业报告虽未提供官方网站下载渠道,但可从深圳证券交易所法定信息披露平台的巨潮资讯网查询获得,侧面证明了资本市场是企业的重要披露对象。来源:中国信息通信研究院整理图 8 简单罗列式信息披露参照依据及披露占比9指引包括:深圳证券交易所上市公司自律监管指引第 1 号主板上市公司规范运作深圳证券交易所上市公司自律监管指引第 2 号创业板上市公司规范运作上海证券交易所上市公司自律监管指引第 1 号-规
48、范运作上海证券交易所上市公司环境信息披露指引及深圳证券交易所上市公司社会责任指引互联网行业可持续信息披露发展报告(2023 年)20来源:中国信息通信研究院整理图 9 指标索引式信息披露参照依据及披露占比(五)主题披露偏重特色,可持续趋向系统全面(五)主题披露偏重特色,可持续趋向系统全面2022 年互联网行业 18 个核心主题披露情况较 2021 年有了一定变化(见图 10),互联网行业通用主题的披露情况仍好于行业特色主题,但特色主题信息披露明显增强,充分体现了越来越多的企业逐渐加深对可持续发展、社会责任及 ESG 概念的理解,不断提升着披露内容的实质性。互联网行业正逐步从实践中走出具备行业特
49、色的可持续信息披露之路。具体而言,一是 2021 年高披露率主题在 2022 年有所回落,2021 年排名前四的核心主题披露率均有所下降,分别是员工权益与关爱由100%下降至95.83%、公益慈善由97.67%下降至91.67%、用户权益保障与体验提升由 88.37%下降至 85.42%、绿色运营由88.37%微降至 87.50%。二是通用可持续发展主题披露率下降明显,除上文提及的前四个核心主题之外,商业道德也大幅下降了 8%。三是行业特色主题披露率进步显著,其中网络安全披露率由互联网行业可持续信息披露发展报告(2023 年)2132.56%大幅增至 62.50%、内容真实健康披露率由 48.
50、84%大幅增至 72.92%,另外科技创新、技术伦理、数据安全、产业融合发展等特色议题披露率均有微增。通过研究上述主题的信息披露变化,结合 2022 年可持续发展/社会责任/ESG 报告超过 65%的“实质性议题分析结果”披露率(见图 2),充分说明越来越多互联网企业逐渐意识到,披露工作并非模式化符合强制性要求或简单的标准对标,而须立足自身可持续发展,切实响应利益相关方需求和期待,从“对利益相关方的重要性”“对本企业的重要性”“企业具体表现”等方面识别与自身实际工作相关的实质性主题,并持续开展信息披露。来源:中国信息通信研究院整理图 10 可持续发展核心主题披露率为进一步分析环境(E)、社会(
51、S)、治理(G)议题各主题的披露情况,本报告基于具体主题在可持续发展/社会责任/ESG报告里的披露位置,以“单独披露”“仅内容提及”两种方式进互联网行业可持续信息披露发展报告(2023 年)22行统计。其中,“仅内容提及”可能仅为一句话或一个案例,披露信息较为简单分散,“单独披露”通常以更多篇幅披露更为系统全面的信息。环境议题披露情况基本平稳(见图 10、图 11),2022 年环境议题两个主题平均披露率为 77.09%,环境产品及绿色理念传播披露率较 2021 年微增 1.55%,绿色运营披露率较 2021 年虽微降0.87%,但“单独披露”率小幅增长至近 70%,即越来越多的企业逐渐重视并
52、更加体系化披露企业业务运营中的气候变化、能源使用、污染废弃物管理、资源节约及循环利用等内容。绿色运营中碳信息是当前可持续发展的关注重点之一,一些国际信息披露框架正将其向强制性的方向推动,实践中 90.91%互联网企业披露或提及碳信息相关内容,因此,本报告将其作为重点主题,在第六章进行深入分析。来源:中国信息通信研究院整理图 11 互联网行业环境议题各核心主题信息披露程度占比治理议题信息披露全面发展提升显著(见图 10、图 12)。一是 4 个核心主题中治理体系、社会责任/ESG 管理、风险/合规/内控管理的披露率均有明显提升,尤其是风险/合规/内控管理主题大幅提升 17.49%(见图 10),
53、说明治理议题的披露愈发受到互联网互联网行业可持续信息披露发展报告(2023 年)23行业关注。二是 4 个核心主题“单独披露”率均有所提升,说明以可持续发展/社会责任/ESG 报告作为披露载体的互联网企业正逐渐构建体系化管理能力。来源:中国信息通信研究院整理图 12 互联网行业治理议题各核心主题信息披露程度占比社会议题含义广泛,各核心主题披露率呈现快速增长趋势,“单独披露”率虽有反复但整体向好发展(见图 10、图 12)。12个主题中共 8 个主题信息披露率增长(平均增长 11.4%),平均披露率 73.44%,披露率增长的主题数和平均披露率均创新高。其中,客户/用户沟通/交流/申投诉、科技创
54、新、网络安全主题在披露率和“单独披露”率均实现了较为强势的双增长(客户/用户沟通/交流/申投诉分别增长 16.38%和 34.11%,科技创新分别增长9.16%和 20.68%,网络安全分别增长 29.94%和 6.19%);用户隐私保护虽披露率微降 1.5%,但随着个人信息保护法明确提及“个人信息保护社会责任报告”这一信息披露方式,其“单独披露”率大幅提升 26.34%,说明行业披露系统性提升明显,因此,互联网行业可持续信息披露发展报告(2023 年)24本报告将其作为重点主题,在第四章进行深入分析;内容真实健康披露率大幅增长 24.08%,但“单独披露”率与 2021 年基本持平,说明企业
55、虽对该主题的披露意识显著提升,但内容有待进一步充实;科技伦理作为披露率最低的主题,虽由 11.63%增至16.67%,但“单独披露”率大幅下降 25%,说明科技伦理在信息披露层面仍未达成共识;其他议题,如公益慈善、员工权益与关爱、生态伙伴/供应商管理与合作、产业融合发展等主题的披露率和“单独披露”率均处于较为平稳发展阶段。来源:中国信息通信研究院整理图 13 互联网行业社会议题各核心主题信息披露程度占比互联网行业可持续信息披露发展报告(2023 年)25四、主题实践之个人信息保护信息披露逐步发展(一)主题报告法规明确,行业实践共识较高(一)主题报告法规明确,行业实践共识较高本报告基于主题定位,
56、从要求层面和实践层面考虑,将个人信息及用户隐私保护(简称:个保)作为本年度的重点主题,深入分析行业的信息披露实践情况。具体为:首先,个保是互联网行业可持续发展特色核心主题,ISO26000 社会责任指南、GB/T 36000 社会责任指南、GB/T 36001社会责任报告编写指南、YD/T 3836信息通信行业企业社会责任管理体系要求均明确提出消费者信息保护与隐私是可持续发展核心议题,同时明晟 ESG 评级、道琼斯可持续发展指数等也关注相关指标。其次,要求层面个保信息披露法律法规逐步明确,具体内容进一步规范。一是国内近两年出台多个法律法规文件明确了“个人信息保护社会责任报告”信息披露形式,个人
57、信息保护法作为我国个人信息保护领域的专门立法,第五十八条明确提出“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(四)定期发布个人信息保护社会责任报告,接受社会监督”;2023 年 8 月,国家互联网信息办公室发布的 个人信息保护合规审计管理办法(征求意见稿)第三十一条要求大型互联网平台运营者应当每年发布个人信息保护社会责任报告,并提出重点审查的披露内容。二是当前已陆续制定或发布标准规范了个保相关的可持续信息披露具体要求,互联网行业可持续信息披露发展报告(2023 年)262023 年发布了由中国信息通信研究院牵头编制的个人信息保护社会责任报告编写指南(
58、T/TAF 1792023),2022 年发布了由中国网络安全产业联盟数据安全工作委员会组织委员单位编制的联盟技术规范数据安全和个人信息保护社会责任指南(T/CCIA 0022022),2023 年 8 月 25 日,全国信息安全标准化技术委员会发布 关于 2023 年第一批网络安全国家标准项目立项的通知,国家标准数据安全和个人信息保护社会责任指南也正式立项。最后,实践层面行业共识较高,披露意识和全面性表现较好。一是个保主题整体披露率为 71.43%(见图 10),在行业特色主题中排名第二,“仅内容提及”披露率由 2021 年 40.63%大幅降至14.29%(见图 12),说明信息披露的系统
59、性也有了一定的进步;二是近三年行业内已发布该主题专项报告,个保披露意识提升显著。(二)信息点披露仍需提升,组织治理差异较大(二)信息点披露仍需提升,组织治理差异较大本报告参考个人信息保护社会责任报告编写指南(T/TAF1792023),从 5 个维度、共 22 个关键信息披露点(以下简称:信息点)详细分析了 2022 年综合实力前百家互联网企业的可持续发展/社会责任/ESG 报告中个人信息保护、用户隐私保护等相关内容(如图 14)。目前个保行业实践虽共识较高,但信息点披露情况仍有较大提升空间。22 个信息点的平均披露率仅为 39.67%,披露率高于互联网行业可持续信息披露发展报告(2023 年
60、)2760%的关键信息披露点仅为使命理念、内审/自评估及第三方评估/认证/审计,且消费者保护、生态圈及供应链发展两个维度的披露率均不足 25%,相关内容实质性和信息全面性较难保证。来源:中国信息通信研究院整理图 14 个人信息及用户隐私保护各信息点披露占比组织治理维度关注企业层面对个人信息及用户隐私保护重视程度,重点分析“使命理念”“履责承诺”“管理职责及组织架构”共 3 个信息点的披露情况。整体看,组织治理维度的信息披露情况良莠不齐,既有披露率最高的信息点,又有排名较为靠后的信息点。“使命理念”作为个人信息及用户隐私保护 22 个信息点中披露率最高的信息点(75%),行业实践中多以简单的、宏
61、观的、口号式的语言呈现企业所制定并发布的相关战略、规划、方针、愿景、使命、理念等。案例案例 1:组织治理:组织治理-使命理念使命理念1.认可重要作用:保护用户数据隐私是创造安全和优质用户体验互联网行业可持续信息披露发展报告(2023 年)28的首要前提;隐私保护是数字时代信任的基本前提,是用户、客户和其他利益相关者最关注的议题之一2.制定企业价值观:秉持公开透明、合法必要、用户可控、安全至上、持续保护隐私的保护价值观3.构建个保方针:严格遵守全球适用的法律法规,构建自身的数据安全和隐私保护治理体系“履责承诺”作为组织治理维度中披露率最低的信息点,仅有 20.45%企业在“管理层致辞”“高管声明
62、”中提及了“个人信息保护”“用户隐私”等内容。虽该信息点的披露难度较低,但披露情况较差,原因在于一是部分中小企业可持续发展/社会责任/ESG 报告缺乏整体“履责承诺”;二是可持续发展核心主题较多,最高管理层的承诺并未提及该主题,重视程度存在不足;三是报告周期内部分企业在该主题并未涌现较为亮眼的成果,从而缺失了对应的履责承诺。“管理职责及组织架构”作为组织治理维度中披露率居中的信息点,不同于“使命理念”和“履责承诺”,需要企业实际成立相关的组织架构,更能体现企业在个人信息及用户隐私保护方面的管理能力和实践积累。当前,50%报告披露了董事会(适用时)、管理层、执行层、独立监督机构等组织架构、管理职
63、责及岗位分工,披露情况表现较好。互联网行业可持续信息披露发展报告(2023 年)29案例案例 2:组织治理:组织治理-管理职责及组织架构管理职责及组织架构1.构建委员会/专班/工作组等组织架构,同时涉及最高决策层、业务层、执行层等多层次:设立安全与风控委员会,是信息安全与隐私保护的最高管理机构,由首席合规官(CCO)担任负责人,各业务技术副总裁担任委员;安全与风控委员会下设数据安全隐私合规工作组与安全执行工作小组2.设置岗位职责、绩效考核和汇报频次:安全与风控委员会定期向董事会和战略执行委员会汇报工作;信息安全部负责日常运营工作,每月召集委员召开例会审议重大事项,并定期向董事会和战略执行委员会
64、汇报;在各事业部/项目部指定数据安全员,负责本事业部/项目部数据安全及合规事宜3.设立由外部利益相关方组成的管理或研究机构履行监督建议职责:设立了由外部专家组成的个人信息保护监督委员会及ESG 可持续发展顾问委员会,作为独立机构对集团个人信息保护情况进行监督;成立数据算法及个人信息保护的研究组织,积极沟通交流互联网行业可持续信息披露发展报告(2023 年)30(三)管理欠缺制度数据,行业实践亟需转化(三)管理欠缺制度数据,行业实践亟需转化组织管理维度关注企业对个人信息及用户隐私保护的实质性管理水平,该部分内容需要一定的实践工作作为信息披露基础,重点分析“个人信息管理情况”“合规要求识别及落实”
65、“事件处置、应急响应及预警演练”“内审/自评估及第三方评估/认证/审计”和“内部意识提升及教育培训”5 个方面 10 个信息点的披露情况。整体看,组织管理维度的信息披露情况与其他维度相比,披露率表现较好,但具体制度、数据、案例层面仍有一定提升空间。“个人信息管理情况”作为个保主题中最集中、最核心的信息点集合,涉及到个人信息管理的全流程,包括收集、存储(存储、备份、恢复)、使用(访问控制、使用)、加工、传输、提供、公开和删除(删除、留存)等各阶段。目前,互联网行业在该部分的信息披露实践良莠不齐。一是多数中小型企业仅通过简单一段话阐明个人信息管理全部情况,如:企业建立了一套涵盖个人信息收集、存储、
66、使用、传输等全生命周期的隐私信息安全管理体系,为用户隐私信息保驾护航;二是各阶段披露情况并不平衡,通常更关注收集阶段(59.09%)、使用阶段(54.55%),而对加工阶段(34.09%)、删除阶段(43.18%)等披露较弱;三是企业多披露原则性内容,而较少披露管理制度、数据指标等更为实质性内容。互联网行业可持续信息披露发展报告(2023 年)31案例案例 3:组织管理:组织管理-个人信息管理情况个人信息管理情况1.收集阶段:最小必要原则、个人信息主体自主意愿、明示告知、获取个人信息主体授权同意等2.存储阶段:最小化存储时间原则、去标识化、敏感个人信息加密存储等3.使用阶段:个性化展示、自动化
67、决策等4.加工阶段:保证个人信息不被无关的利益相关方获知、如实告知个人信息主体对其个人信息的查询等5.传输、提供和公开阶段:个人信息影响评估、明示告知、传输前后对个人信息保护机制等6.删除阶段:个人信息留存时间、删除方式等“合规要求识别及落实”作为组织管理中披露率最低的信息点(36.36%),该部分关注重点不在于企业所宣称的严格遵守合规要求(通常纳入“使命理念”),而是在于企业对个人信息保护相关的合规及监管要求的持续跟进、有效落实等管理机制。目前产业实践多是简单提及合规路径,缺乏具体措施和相关管理要求,披露意识及披露内容均有待进一步加强。案例案例 4:组织治理:组织治理-合规要求识别及落实合规
68、要求识别及落实1.构建合规数据库:及时更新信息安全及隐私保护合规数据库;建立隐私合规基线要求;制定隐私成熟度检查表2.落实合规要求:定期将合规监管风险点落实到企业数据隐私管互联网行业可持续信息披露发展报告(2023 年)32理制度和运营标准,并嵌入到产品开发与数据处理各环节,贯穿决策、执行、监督全过程3.定期开展合规检查:每季度开展合规检查,将合规数据反馈至隐私工委会“事件处置、应急响应及预警演练”披露率处于中等水平,行业中 22.73%报告披露了报告周期内企业涉及的重大个人信息安全事件情况,43.18%报告披露了企业面对个人信息数据泄露(丢失)、滥用、被篡改、数据被损毁、数据违规使用等安全事
69、件的应急处置措施。案例案例 5:组织治理:组织治理-事件处置、应急响应及预警演练事件处置、应急响应及预警演练1.成立应急响应组织:设有 724 小时安全应急响应值班团队;设有安全应急响应中心平台,与全球各地的外部安全研究人员和合作伙伴开展合作;对于重大活动和特殊时期,建立应急工作领导小组和应急响应专班2.制定应急处理流程:完善修订XX 集团信息安全事件定级管理要求、XX 集团安全监控及响应规范,明确隐私保护事件的分类分级标准与应急响应流程;定期开展“数据误删恢复”“删除权限回收验证”等应急演练活动;发生个人信息安全事件时,将按照法律法规要求,及时向用户告知安全事件的基本情况和可能的影响,说明已
70、采取或将要采取的处置措施,在难以逐一告知个人信息主体时,采取合理、有效的方式发布互联网行业可持续信息披露发展报告(2023 年)33公告3.构建事件追责机制:对于违反隐私保护相关政策的员工,依据违规的严重程度,采取邮件提醒、警告、记过、辞退等纪律处分措施;对于违反国家法律的,将依法追究相关人员的法律责任;对于导致企业遭受经济损失的,将追究相关人员赔偿责任4.周期内违规事件:违规事件数 X 件、收到投诉举报数 X 件“内审/自评估及第三方评估/认证/审计”作为个人信息及用户隐私保护 22 个信息点中披露率排名第 2 的信息点(63.64%),主要关注企业个人信息保护相关内审、审计及第三方评估、认
71、证、审计等相关情况。当前,行业内该信息点信息披露情况较好,一是由于部分内容作为合规要求,互联网企业已日常开展相关工作,披露基础较好;二是第三方所出具的认证、测评、评估结果可作为企业个人信息和用户隐私保护方面的突出成果,企业具有较强的披露动力。案例案例 6:组织治理:组织治理-内审内审/自评估及第三方评估自评估及第三方评估/认证认证/审计审计1.构建内部评审机制:开展个人信息保护影响评估、数据安全内控审计、个人信息保护/隐私保护内审等工作的频次、牵头部门、评审对象、评审标准等2.第三方评估/认证/审计结果:外部审计、IT 审计、ISO/IEC27001、ISO/IEC 27017、ISO/IEC
72、 27018、ISO/IEC 27701、ISO/IEC 29151、TRUSTe、BS 10012、及各专业机构开展的认互联网行业可持续信息披露发展报告(2023 年)34证、评估、评测3.部署技术系统:建立数据库安全审计系统,在机房关键数据位置部署敏感数据监控系统,开展常规扫描和渗透测试,记录并定期审计敏感数据的流向和使用方、及时审计告警数据风险操作、丰富应用审计功能“内部意识提升及教育培训”作为个保 22 个信息点中披露率排名第 3 的信息点(59.09%),当前实践表现较好。面向全体员工、有权查看和处理个人信息的员工、相关业务人员、新入职员工等不同人员,互联网企业已日常开展诸多个保相关
73、的意识提升、教育培训、岗位考试、案例分享等活动,尤其该信息点还突出体现了一些定量化数据,如:培训覆盖率、学员参与数量、活动次数、满意度等。案例案例 7:组织治理:组织治理-内部意识提升及教育培训内部意识提升及教育培训1.构建培训体系:面向全体员工(包括正式员工、顾问、实习生)开展的全员合规课程、面向个人信息处理岗位人员开展的专项培训和考核、面向特定产品或业务开展的特定培训;鼓励员工考取国际国内相关领域权威专业证书;定期发布信息安全/数据安全/个人信息保护期刊、漫画、宣传页等2.建立绩效体系:与员工签署保密协议;规定员工泄露数据及用户隐私行为的惩罚;将信息安全合规管理与个人信息隐私保护纳入核心管
74、理层及关键岗位人员的业务考核指标;互联网行业可持续信息披露发展报告(2023 年)353.搭建政策查询平台:面向员工提供快捷方便查询本公司数据安全及个人隐私保护政策的渠道,以便员工及时确认自身行为是否符合公司安全政策要求4.设立沟通举报渠道:面向员工建立举报投诉渠道,鼓励员工及时反馈相关不合规事件消费者保护(以下简称:消保)维度关注企业面对消费者及公众层面的个保实践情况,重点分析“用户服务提升”“用户沟通交流管理”“信息披露及提升公众意识”3 个信息点的披露情况。整体看,消保维度的信息披露情况并未如实反映当前行业的实践工作,平均披露率不足 25%,有较大的提升空间。“用户服务提升”披露率为 3
75、4.09%,为与组织管理维度中的“个人信息管理情况”信息点有所区分,“用户服务提升”主要关注企业从用户视角所实施的友好功能设置,以及为特定群体制定的个保权益管理规定。当前行业信息披露重点集中在未成年人的个人信息保护,但对其他群体(如:老年用户、残障用户、处于不同语言环境用户等)则几近空白。案例案例 8:消费者服务:消费者服务-用户服务提升用户服务提升1.设置友好功能:隐私号码保护、个人信息收集及共享清单、简版隐私权政策、授权弹窗统一优化、透明运维日志2.保护特殊群体:在青少年模式下增加“青少年守护协议/未成年人个人信息保护政策”;赋予未成年人及其监护人查阅权、互联网行业可持续信息披露发展报告(
76、2023 年)36更正及补充权、撤回同意权、删除权、注销权、复制权和可携带权、获得解释权;企业不会保存用户的出生年份,仅会判断用户年龄是否达到年龄限制要求,若企业收集了年龄不满 13岁儿童的个人信息,将采取一切合理措施尽快删除信息“用户沟通交流管理”信息点虽涉及个人信息保护法第五十二条以及电信和互联网用户个人信息保护规定第十二条相关内容,但仅 25%报告提及了企业所建立的体验评价、申诉投诉、政策查询、意见征集等用户沟通交流渠道,仅约 7%报告详细描述了对所沟通交流事项的收集、统计、分析、处置等管理规定,鉴于合规要求,多数企业已开展相关实践工作,但缺乏将其转化为信息披露内容的意识及动力。案例案例
77、 9:消费者服务:消费者服务-用户沟通交流管理用户沟通交流管理1.提供多样渠道:隐私保护平台、个人信息保护和隐私问题反馈问卷、专用邮箱、产品客服、信件邮寄2.结合 APP 产品:提供前端权利响应便捷交互,用户在产品上直接行使权利,如:人工智能问答助手便捷响应用户查阅和复制个人信息需求3.构建处置措施:建立一体化个人信息主体权利响应流程和处理机制;要求专职人员处理个保投诉和举报;要求在 XX 个工作日内向用户反馈投诉结果;定期回访投诉举报用户“信息披露及提升公众意识”作为披露率最低的信息点,仅互联网行业可持续信息披露发展报告(2023 年)3711.36%报告提及企业通过官方网站、应用程序、行业
78、组织会议等渠道,面向公众所开展的信息披露、知识普及、意识宣传、警示案例教育等内容,仅有不足 4%报告披露了活动触达人数等定量化数据。充分说明当前企业多关注面向消费者的信息披露,而并未重视自身产品服务的强大社会影响力,面向提升公众意识的个保信息披露动力和实践均有较大提升空间。案例案例 10:消费者服务:消费者服务-信息披露及提升公众意识信息披露及提升公众意识1.搭建普及平台:搭建规则中心、教育专区等平台2.发布普及报告:制作隐私安全白皮书、老年人隐私保护知识手册系列漫画、数字安全专项竞答等,并在所搭建的平台、APP 产品等渠道发布(四)责任链支持优于监督,技术研发亮点涌现(四)责任链支持优于监督
79、,技术研发亮点涌现生态圈及供应链发展维度关注企业面向生态伙伴和供应商所开展的个保实践情况,重点分析“生态圈及供应链筛选”“向第三方提供用户个人信息的管理规定”“生态圈及供应商监督管理措施”“生态圈及供应商履责支持措施”4 个信息点的披露情况。整体看,生态圈及供应链发展维度平均披露率不足 25%,鉴于生态伙伴和供应商对于个人信息及用户隐私保护的重要意义,该维度的信息披露水平亟需提升。“生态圈及供应链筛选”主要关注企业筛选生态伙伴/供应商时,考虑个人信息保护相关基线要求。作为披露率排名倒数第二互联网行业可持续信息披露发展报告(2023 年)38的信息点(13.64%),当前行业具体实践方式也较为单
80、一,如要求生态伙伴/供应商签署协议并承诺、提供个人信息保护能力相关的评估/认证/审计结果、接受企业开展的个保合规尽职调查等。“向第三方提供用户个人信息的管理规定”是个人信息保护管理的另一关键节点,也是生态圈及供应链发展维度中披露率最高的信息点,34.09%报告披露了企业向第三方提供个人信息的管理规定,如通过合同、协议等形式约定个人信息及数据的使用目的、使用范围、保密约定、安全责任等内容。案例案例 11:生态圈及供应链发展:生态圈及供应链发展-向第三方提供用户个人信息的管理规定向第三方提供用户个人信息的管理规定1.确定提供原则:合规前提、最小必要、安全审慎、严格限制用途、获得用户授权、禁止高保密
81、级别个保数据等2.建立管理制度:建立并依据对外数据披露规范和API 数据管理规范、第三方个人信息保护能力评估表等第三方信息使用和留存方面的管理和要求“生态圈及供应商监督管理措施”信息披露实践同样较弱,仅 18.18%报告披露了企业在个人信息保护方面对生态伙伴/供应商所开展的监督管理措施,且几乎没有定量化数据披露(如监督措施实施的次数、对象、效果、典型案例等)。案例案例 12:生态圈及供应链发展:生态圈及供应链发展-生态圈及供应商监督管理措施生态圈及供应商监督管理措施1.建立管理制度:建立开发者安全能力标准、生态合作伙伴安全管理规范,对获取授权用户个人信息的商户、服务商、互联网行业可持续信息披露
82、发展报告(2023 年)39合作机构等明确能力标准2.开展监督措施:开展评估考核及全检抽检(确保持续达到管理制度要求的能力标准)、联合演练(发现个人信息处理、人员管理、安全运维等过程中的问题或缺陷)、处罚措施(确定个保相关问题的违规罚则)“生态圈及供应商履责支持措施”主要关注企业所制定并实施的履责支持及鼓励措施,目前 22.73%报告披露了该内容,具体支持措施包括:开展周期性或专项培训、典型案例发布及解读、提供支持性工具(如隐私合规自测工具、营销隐私计算解决方案等),但也几乎没有定量化数据披露(如支持鼓励措施的提供次数、措施覆盖率、生态伙伴/供应商参与情况、生态伙伴/供应商履责效果等)。与其他
83、主题该信息点的披露情况不同,个人信息保护相关的履责支持措施披露率略高于监督管理措施。其原因一是合作伙伴及供应商个人信息保护合规情况直接影响整个生态圈的合规表现,因此以应用分发平台为主的“链主”企业投入了丰富资源支持 APP、小程序等生态伙伴产品的合规识别和改进工作;二是当前“链主”企业同时向合作伙伴及供应商提供更优质的相关付费工具及咨询服务,基于商业化考虑,企业也会更有意愿信息披露而吸引潜在客户的关注。促进产业提升维度关注企业所投入个保相关的研发资源,以及促进个保产业发展方面的实践情况,重点分析“技术研发及应互联网行业可持续信息披露发展报告(2023 年)40用”和“共推产业发展”两个信息点的
84、披露情况。整体看,促进产业提升维度平均披露率为 38.68%,该维度并不像其他维度与企业业务和实际工作关联紧密,因此信息披露情况表现相对较好。个人信息及用户隐私保护的发展有赖于技术创新和资源投入,共有 41%报告披露了企业在支持鼓励前沿技术积累、研发创新、技术应用、知识产权保护、成果转化方面的相关管理办法、激励政策及实施效果。其原因一是该信息易出现亮点成果,如技术工具获得了相关测评、认证、奖项等;二是企业披露动力较充分,既体现了企业长期投入技术研发的态度,又可为所研发技术未来的商业化布局预热。与“技术研发及应用”基本相同,“共推产业发展”同样亮点成果较多且企业披露动力较足。目前共有 36.36
85、%报告披露了企业积极参与相关产业政策、标准编制、行业自律活动、技术生态建设、产业孵化基地等方面的工作及成果。(五)展望披露融入业务,全面展现行业发展(五)展望披露融入业务,全面展现行业发展随着社会公众的普遍关注,企业意识不断提升,产业实践不断发展。面对个保信息披露仍存在的内容实质化不足、披露方式单一、披露效果有待提升等现实挑战,互联网企业应以个人信息保护法等法律法规政策为披露基石,切实落实相关要求,如实披露全面、客观、清晰的个人信息保护相关的实践和数据,引导社会公众、消费者及客户、生态伙伴等相关方的合理期待。个保作为互联网行业的特色议题,与企业业务发展和商业运互联网行业可持续信息披露发展报告(
86、2023 年)41营联系紧密。互联网企业应摒除“为了合规”开展信息披露的简单逻辑,从业务需求视角推动该项工作,搭建完善个保信息披露全流程管理机制,循序渐进提升能力,推动企业直面利益相关方质疑,通过更为体系化、精细化、客观化、周期化的信息披露增进企业与利益相关方信任,全面展现行业常规实践工作,尝试在商业利益和社会价值之间寻求平衡。五、主题实践之规则信息披露行业特色细分先行(一)透明规则意义重大,法规聚焦细分领域(一)透明规则意义重大,法规聚焦细分领域本报告基于主题定位,同样从要求层面和实践层面考虑,将透明规则作为本年度的重点主题,深入分析行业的信息披露实践情况。具体为:首先,透明规则与传统可持续
87、发展主题不同,作为由互联网企业所制定、由生态体系内参与者表示同意的自治性条约,透明规则往往担负着保护消费者权益、规范生态伙伴、维持交易秩序、提升交易效率等责任,因此透明规则根据披露对象,分别属于“用户权益保障与体验提升”和“生态伙伴/供应商管理与合作”(见图 10),并作为互联网行业践行社会责任及 ESG 理念、实现可持续发展中极富特色的主题,对互联网企业内部生态系统、以及行业多元共治体系发挥着极其重要的作用。其次,要求层面规则透明被相关法律法规政策反复提及,重点进一步聚焦。一是披露主体基于业务属性而有所聚焦,尤其是通过电子商务法互联网信息服务算法推荐管理规定互互联网行业可持续信息披露发展报告
88、(2023 年)42联网信息服务深度合成管理规定等对电子商务平台经营者、算法推荐服务提供者、深度合成服务提供者提出了明确要求。二是披露内容愈发明确,尤其是平台服务协议、交易/管理/平台规则、直接涉及劳动者权益的算法规则、算法推荐服务相关规则/基本原理/目的意图/主要运行机制、信息安全义务、隐私规则、合规经营情况、以及对用户权益有重大影响规则等均提出了相应的披露要求。三是披露方式进一步规范,法律法规政策中多要求在企业官方网站、上海品茶显著位置等渠道进行告知/提示,确保利益相关方能够及时充分表达意见、接受社会监督。最后,实践层面细分行业在落实合规要求的基础上正开展了一系列的实践探索。一是对于隐私政策等
89、并不需区分细分领域的规则,作为个人信息处理者的互联网企业已基本全面落实了相关披露合规要求;二是电子商务平台经营者、生活服务平台等细分领域,也先行开展了规则透明度相关的实践探索。(二)披露方式双管齐下,时效保障较为完备(二)披露方式双管齐下,时效保障较为完备本报告为聚焦样本,以电子商务平台经营者10、生活服务平台11为主要研究范围,以面向社会公众,即不需要登陆或仅需消费者简单登陆即可查看的规则,即透明规则为研究样本,系统分析互联网行业规则透明度的当前信息披露实践情况。透明规则通常与互联网企业的业务逻辑和商业运营紧密相关。10本报告共涉及了括 8 家平台,分别是天猫、淘宝、京东、拼多多、苏宁、抖音
90、商城、小米商城、唯品会11本报告共涉及了 3 家平台,分别是:美团、滴滴、饿了么互联网行业可持续信息披露发展报告(2023 年)43因此,披露方式通常不会选取时效性较为滞后的可持续发展/社会责任/ESG 报告,绝大多数电子商务平台和生活服务平台在官方网站和 APP 均设置了规则入口(仅有一家企业仅提供 APP 入口),部分企业将现行有效的规则与业务交互界面提供了跳转链接,即利益相关方可通过“进一步了解 XX 规则”或“?”等方式跳转到具体规则,并获取相关内容。同样鉴于规则与企业业务具备强相关性,互联网行业实践通常通过多种形式体现规则对时效性的关注。一是几乎 100%电子商务平台和生活服务平台将
91、“失效规则”“历史规则”作为单独板块,并披露了失效规则的失效时间、失效原因、失效后现行有效版本等信息,既为利益相关方便利获取失效内容、追踪到现行有效规则提供渠道,又可在发生争议纠纷时,为争议双方提供历史规则的追溯证据。二是生效时间已成为具体规则的重要内容,共有 87.5%电子商务平台、66.7%生活服务平台规则将“生效时间”在具体规则的附则给予体现,以确保具体规则的时效性。三是部分企业提供了规则动态或公告公示,37.5%电子商务平台和 66.7%生活服务平台提供了“规则动态”“新规速递”等板块,逐月展示规则发布或变更情况;另有 62.5%电子商务平台提供了“规则公告公示”板块,将规则最新动态更
92、新至公告页面,较好体现了规则的时效性。(三)透明可及参差不齐,规则展示丰富多元(三)透明可及参差不齐,规则展示丰富多元可及性是互联网行业规则透明的另一重点,尤其对披露方式、互联网行业可持续信息披露发展报告(2023 年)44披露语言、披露内容、持续可查等方面给予关注,以确保利益相关方能够便利获取并准确理解规则。目前行业内涌现了一些良好案例的同时也存在提升空间。一是企业提供规则单独展示页面,目前电子商务平台和生活服务平台通常在官方网站、APP 中设置单独页面,并命名为“规则中心”“平台规则”“协议规则”(以下统称“规则中心”)等,方便用户查阅(仅极少部分规则提供了下载功能)。二是企业较为重视规则
93、及所涉及内容的易理解性,尤其对基于合规要求而制定、由专业法务人员起草的规则,更须考虑利益相关方的知识基础及理解需求,目前 50%电子商务平台和 30%生活服务平台提供了“规则解读”“规则学习中心”等单独板块。企业以“新手必读”“专题专项”等形式,通过较为丰富的解读方式帮助正确理解规则,如一图读懂、案例说明、短视频解读、问答回复等方式,许多企业还在规则解读后向相关方提供了“是否易于理解”点击界面,进一步提升了规则可及性。三是规则查询便利性仍有待改善,目前行业实践中存在较多对用户不友好的设置,如入口路径有歧义,相关方较难从官网上海品茶或 APP 首屏进入到规则中心(3 家企业网站端入口设置在“商家支持
94、”“业务合作”页面、1 家设置在“帮助”页面、1 家设置在“更多”页面,1 家 APP 端入口设置在“售后无忧”页面)、规则中心入口不明显极易被忽略(2 家企业网站端需下拉所有商品后通过最下方灰色小字访问,5 家 APP 端需从上海品茶侧面一个极小的、悬浮的、透明小方条访问)。互联网行业可持续信息披露发展报告(2023 年)45案例案例 1:规则透明度:规则透明度-解读方式解读方式1.一图读懂:2.说明案例:3.问答形式:4.视频形式:(四)规范规则透明原则,畅通规则参与渠道(四)规范规则透明原则,畅通规则参与渠道规则作为互联网企业形成的一系列自适用、自调整、自约束、自治理的内部规范,互联网企业对
95、自身规则负有主体责任,且规互联网行业可持续信息披露发展报告(2023 年)46则多涉及企业商业秘密和内部运营细节,如何确定规则透明程度是互联网企业需要面对的首要问题。行业实践中,互联网企业基于合规要求,在保障自身商业秘密、符合运营情况的前提下,自主实施透明规则的信息披露。当前企业多从“合规性”“影响相关方重大权益”“履行社会责任”三个维度考虑规则透明程度。其中“合规性”多为法律法规政策提出的明确透明度要求,“影响相关方重大权益”评判标准则相对较模糊,“履行社会责任”作为企业基于价值观和品牌影响力而自主驱动的信息披露行为。本报告归纳总结了当前电子商务平台和生活服务平台的透明规则实践情况,其中,与
96、客户及消费者相关的透明规则可分为如下类别,一是用户服务保障类规则,如退款退换货政策、品质安全保证、发货配送政策、匿名号码保护、售后服务保障、价格服务保障、订单处理规则;二是互联网企业相关服务通用协议模板;三是用户检索、排序、选择、推送、展示等相关的算法推荐服务的基本逻辑和考虑因素;四是用户与生态伙伴之间的相关规则,如用户评价相关规则;五是用户信用管理规则;六是用户与互联网企业、生态伙伴之间相关申诉、投诉、争议纠纷处置等相关规则及渠道。与生态伙伴相关的透明规则可分为如下类别,一是参与互联网企业交易活动相关规则,如入驻/上架/加盟/退出的申请材料/资质要求/受理条件等的具体要求及处理流程、参与企业
97、业务重大活动的资质要求/管理规范;二是互联网企业相关服务合作通用协议模板;三是业务运互联网行业可持续信息披露发展报告(2023 年)47营规则,如内容安全、商品质量、知识产权等;四是生态伙伴的订单分配、抽成比例、算法推荐服务等算法规则及交易规则的基本逻辑和考虑因素;五是生态伙伴信用管理规则;六是生态伙伴与互联网企业、与用户之间相关申诉、投诉、争议纠纷处置等相关规则及渠道。透明规则通常影响相关方重大权益,互联网企业多在规则中心设置意见征集窗口,并依托企业资源对提供意见反馈的相关方进行鼓励。62.5%电子商务平台、60%生活服务平台开辟了“规则议事厅”“规则众议院”“规则评审团”等单独板块,并进行
98、了详细的信息展示,一是分类展示规则“投票中/征集期”“已公示/已完成”等阶段;二是提供了具体规则的背景说明、核心变化、审议内容、意见征集期等信息;三是设置了投票入口和讨论区,从而协助相关方全面知晓规则内容,充分征求相关方意见。透明规则通常与法律法规要求密切相关,互联网企业常在规则中心设置普法专栏和违规违法行为公示,其中,普法专栏提供法规文件解读文章、权威媒体新闻转载等内容;违规违法公示则针对相关方所发生的违规违法行为,以及处置措施进行持续公示,滚动显示相关方名称、具体违规违法行为、处罚措施、处罚时间等信息。互联网企业充分利用行业平台属性,不断提升各利益相关方的合规意识和法律常识,鼓励社会公众、
99、消费者及客户、生态伙伴等相关方更好地知法、懂法、用法。互联网行业可持续信息披露发展报告(2023 年)48(五)展望拓宽细分领域,着力提升相关方认知(五)展望拓宽细分领域,着力提升相关方认知当前,电子商务平台、生活服务平台等细分领域已充分开展了规则透明度信息披露实践,并取得了一定成效。基于规则透明对企业内部生态系统的重要意义,互联网行业需进一步拓宽透明规则的适用范围,以合规性和自主性为前提,引导更多细分领域主动探索、积极开展具体实践,获取各利益相关方理解认同。鉴于规则对互联网企业内部生态系统运转的重要作用,大多数大中型企业已构建了体系化规则管理机制,但主要涉及企业内部的运营管理规则,多仅有企业
100、内具有一定权限的员工或某一特定相关方(多为生态伙伴)才可查阅下载。为更好提升规则透明度,互联网企业需进一步将透明规则补充完善至已有的内部规则管理机制,涵盖透明规则的需求提出、透明规则制修订、透明规则意见征集及发布、透明规则定期维护及失效管理等阶段,积极构建更为完善、流畅、严谨的透明规则全生命周期管理体系。当前,互联网行业规则透明度不断提升,但社会公众、消费者及客户、生态伙伴等相关方对透明规则的访问渠道、展现形式及具体内容仍缺乏了解。在促进互联网企业规则透明度实质提升的同时,应向利益相关方大力普及透明规则相关知识,积极引导其访问规则中心、查阅规则解读、检索具体规则、参与规则的意见征集及制修订过程
101、,让规则真正“查得到”“看得懂”“易参与”,有效提升互联网行业各利益相关方满意度,助力互联网行业社会共治体系的最终实现。互联网行业可持续信息披露发展报告(2023 年)49六、主题实践之碳信息披露重要性凸显发展迅速(一)政策加严趋势显著,披露意识全面提升(一)政策加严趋势显著,披露意识全面提升本报告基于主题定位,从要求层面和实践层面考虑,将碳信息披露作为本年度的重点主题,深入分析行业的信息披露实践情况。具体为:首先,碳信息披露成为可持续信息披露核心关注点之一。2023年 6 月 26 日,ISSB 正式发布首批两份国际可持续披露准则。其中,专门发布的气候信息披露准则充分纳入 TCFD 披露建议
102、,并在此基础上对披露内容、信息可比性、信息质量可靠性均提出更高要求。国家标准组织碳排放管理信息披露指南进入征求意见稿阶段,从碳排放管理、合规等多个方面规范披露要求。其次,法律法规政策加严趋势显著。一是在“双碳”目标引领下,我国各层次政策文件均多次强调碳信息披露的重要性。2021年 10 月,中共中央、国务院印发关于完整准确全面贯彻新发展理念做好碳达峰碳中和工作的意见、国务院印发2030 年前碳达峰行动方案,提出健全企业、金融机构等碳排放报告和信息披露制度,并要求相关上市公司和发债企业要按照环境信息依法披露要求,定期公布企业碳排放信息。同年 12 月,生态环境部印发企业环境信息依法披露管理办法,
103、要求重点排污单位披露企业环境管理信息、碳排放信息等八类信息。2023 年 4 月,联交所发布优化环境、社会及管治框架下的气候相关信息披露(咨询文件),率先提出对上市公司的强制性气候信息披露建议。互联网行业可持续信息披露发展报告(2023 年)50二是国际气候信息披露责任正由自愿性向强制性逐步转变。近年来,自愿性气候倡议蓬勃发展,TCFD、SASB、GRI 和 CDP(碳披露项目 Carbon Disclosure Project)等主流信息披露框架应用实践不断积累。为进一步规范披露统一性、提高披露全面性,欧盟、日本等国家和地区已逐步构建强制性气候信息披露体系,如欧盟CSRD 指令要求企业披露符
104、合 CSRD 要求的可持续性信息披露报告,并在与其配套的 ESRS 准则中对碳相关信息披露提出定量化要求。最后,碳信息披露意识逐步提升,定量数据披露良好。一是专项报告数量逐渐提升,近三年行业内已发布 6 份碳中和/低碳发展专项报告,充分体现行业企业对碳信息披露的高度重视。二是主题重要性得到广泛共识,共 90.91%企业披露或提及碳信息相关内容,其中 72.73%企业将应对气候变化/绿色低碳发展作为独立板块开展信息披露。三是定量化数据披露表现良好,21 个信息点中有 6 个信息点直接涉及定量披露,平均披露率为 32.58%,且两个信息点披露率达到 56.82%,表明大部分企业已开展碳数据的基础管
105、理工作。(二)披露实践逐步提升,组织治理初具规模(二)披露实践逐步提升,组织治理初具规模互联网行业积极响应我国“双碳”战略,探索开展绿色低碳实践并披露相关信息,行业披露实践成效初步显现。本报告基于 TCFD 框架建议,充分考虑互联网行业的平台属性与赋能特性,围绕组织治理、组织管理、产业协同、减碳赋能互联网行业可持续信息披露发展报告(2023 年)51四个维度,详细分析了 2022 年综合实力前百家互联网企业的可持续发展/社会责任/ESG 报告中绿色低碳发展、应对气候变化等相关内容,系统性开展碳信息披露行业现状研究(见图 15)。来源:中国信息通信研究院整理图 15 碳信息各信息点披露占比组织治
106、理维度关注企业宏观视角,重点分析“使命理念”“履责承诺”“管理职责与组织架构”3 个方面共 5 个信息点的披露情况。其中使命理念披露率较高,其他信息点整体披露率较为平均,基本在 20%左右。“使命理念”作为组织治理维度中披露率最高的信息点(72.73%),披露难度最低,形式上多以开篇独立呈现的方式描述相关战略、规划、方针、愿景、使命、理念等,具体内容呈现出企业正从关注自身减碳逐步向赋能全社会减碳的转变。互联网行业可持续信息披露发展报告(2023 年)52案例案例 1:组织治理:组织治理-使命理念使命理念1.认可主题重要作用:应对气候变化已成为全球共识、响应国家“双碳”目标、践行绿色低碳发展理念
107、2.倡导低碳发展愿景:关注自身减碳(如实现绿色运营)、关注价值链减碳(如推动产业链绿色发展、构建绿色低碳供应链体系)、关注科技赋能减碳(如打造一朵清洁的云、绿色智慧解决方案、数字技术是应对环境风险的关键手段)“履责承诺”重点关注企业对履责目标/声明的定量化披露,其中,自身运营减碳目标(27.27%)披露率略高于清洁能源使用目标(13.64%)和供应链减碳目标(18.18%)。该信息点披露呈现两个特点,一是披露企业高度重视履责承诺及减碳决心,具体方式多见于专题发布减碳目标及行动路线报告,或在可持续发展/社会责任/ESG 报告“管理层致辞”“高管声明”中披露目标及进程。二是中小企业较难设定量化目标
108、,鉴于碳核算基础薄弱、减碳路径尚不明确等限制,大部分中小企业仍未提及具体承诺。案例案例 2:组织治理:组织治理-履责承诺履责承诺1.清洁能源使用目标:企业层面绿色电力使用比例目标(如 XX年实现 N%绿色电力使用)、主营业务层面绿色电力使用比例目标(如 XX 年物流运输车实现 N%新能源、XX 年起云计算电力供给 N%采用清洁能源)2.自身运营减碳目标:预期碳中和目标(如 XX 年实现运营碳中互联网行业可持续信息披露发展报告(2023 年)53和)、基于基准年12的减碳目标(如不晚于 XX 年主营业务排放量降至基准年排放量的 N%)3.供应链减碳目标:基于基准年的供应链协同减碳目标(如不晚于X
109、X 年协同上下游价值链实现碳排放强度比基准年降低N%)“管理职责与组织架构”是履责承诺如期实现的重要保障。该信息点披露率(18.18%)与履责承诺整体披露率基本一致。披露内容体现三个层次,一是构建独立组织架构,披露其董事会(适用时)、管理层、执行层、独立项目组/专班职责及岗位分工。二是将相关职责与组织层面可持续发展/社会责任/ESG 管理职责合并,未单独设置相关管理职责及组织架构。三是大多数企业(约82%)未提及绿色低碳、应对气候变化岗位设置与管理职责,管理意识有待提升。案例案例 3:管理职责及组织架构:管理职责及组织架构1.构建项目组/专班/委员会等独立组织架构,同时涉及董事会、管理层、执行
110、层等多层次:董事会授权企业管制委员会监督气候相关事宜、董事会负责制定气候策略和监督相关议题管理;构建碳中和联合项目组、气候风险管理专班、节能减碳领导小组等;人力资源行政中心负责制定并执行节能减碳具体措施等2.将相关职责与组织层面可持续发展/社会责任/ESG管理职责合并:社会责任工作组负责企业碳盘查工作、董事会战略委员会下设的可持续发展管理工作组负责规划气候变化风险管理方案12基准年是指为比较企业碳排放量信息而确定的特定历史年份互联网行业可持续信息披露发展报告(2023 年)54(三)组织管理取得突破,减碳实践有序推进(三)组织管理取得突破,减碳实践有序推进组织管理维度关注企业减碳实践、碳信息管
111、理相关的实践探索与披露内容,重点分析“组织减碳行为”“合规及气候风险管理”“碳绩效管理”“资源支持”“第三方核查/认证/评估/审计”“内部意识提升”等 6 个方面共 12 个信息点的披露情况。整体看,该维度披露率在 15.91%至 77.27%之间浮动,平均披露率约为 40%,反应出行业有序推进各层次减碳实践工作。“组织减碳行为”涵盖绿色能源、绿色产品、绿色包装与绿色运营四个方面,是企业减碳实践的重要体现。该部分披露整体呈现差异化与多样化并存的特点,一是绿色运营是组织管理中披露率最高的信息点(77.27%),披露内容多为企业开展的各项绿色运营与绿色办公实践活动。二是绿色能源管理及使用(31.8
112、2%)、绿色产品设计研发(25%)和绿色包装设计使用(22.73%)披露率基本一致,且仅有头部企业率先开展相关实践(仅排名前 30%企业披露)。披露率呈现较大差异的原因在于上述信息点均与主营业务紧密结合,企业创新性开展了丰富多样的实践活动,但绿色运营有利于节省企业成本、提高运营效率,而其他信息点则需投入一些额外成本才可实现。案例案例 4:组织治理:组织治理-组织减碳行为组织减碳行为1.绿色能源管理及使用:自建分布式光伏、参与绿电绿证交易、新能源运输车辆替代、数据中心选址重点考虑绿色能源丰富的互联网行业可持续信息披露发展报告(2023 年)55区域等2.绿色产品设计研发:数据中心绿色低碳科技创新
113、、液冷服务器技术、高性能电源研发、共享单车设计生产、绿色建材研发等3.绿色包装设计使用:快递及外卖绿色包装设计研发与生产、开发基于行业特性的简约包装方案等4.绿色运营:节电节水、无纸化办公、智能化空调照明决策等合规及气候风险管理是行业核心关注要点之一,企业基于风险管理意识,长期关注并落实政策合规要求、主动识别并适应气候变化风险,以期对业务损害降到最低。其中,“合规要求识别及落实”信息点披露率达到 65.91%,重点在两个方面体现。一是目前仍以对标国际规则为主,披露企业中超半数参考 TCFD 等框架建议。二是国内规则初步受到重视,约三分之一企业参考联交所、上交所和深交所环境信息披露规则。“应对气
114、候变化风险识别及适应性”披露率为 45.45%,近半数企业关注气候变化带来的物理风险与转型风险,并开展应对措施制定和转型机遇分析。案例案例 5:组织治理:组织治理-应对气候变化风险识别及适应性应对气候变化风险识别及适应性1.气候风险识别:气候情景分析(如严格气候变化政策干预下的低排放情景、无气候变化政策干预下的高排放情景)、气候风险量化与排序(如开发影响量化工具、筛选重点气候风险)2.气候风险应对:应对措施制定(如建立管理制度、构建应急保障、开展雇员关怀)、转型机遇分析(如业务融合发展、预测互联网行业可持续信息披露发展报告(2023 年)56转型成效)碳绩效管理是企业开展定量化碳披露的最直观体
115、现。该部分整体呈现披露态势良好,披露分布较为均匀的特点。一是大中小型企业均开展了定量化信息披露探索,直接(范围一)碳排放量(56.82%)与能源间接(范围二)碳排放量(56.82%)披露率保持持平。二是头部企业逐步开展对供应链碳排放量的识别与管控,其他间接(范围三)碳排放量披露率达 22.73%,纳入类别由外购商品服务、商务旅行逐步扩展更多细分领域,如雇员通勤、上游与下游租赁资产等。“资源支持”作为组织管理中披露较差(18.18%)信息点,重点关注行业绿色低碳发展资金投入计划或支持情况。产业实践多体现为企业基于现有业务,通过探索绿色金融产品、提高清洁科技领域研发投入比例、发起绿色基金等方式开展
116、资源支持。案例案例 6:组织治理:组织治理-资源支持资源支持1.探索绿色金融产品:提供绿色信贷、投资绿色债券、参加金融机构绿色存款计划等2.提高清洁科技领域研发投入比例:设立绿色技术研发资金、支持清洁技术专利研发、参与孵化新能源技术等3.发起绿色基金:对绿色低碳环保科技示范项目进行资金资助、对绿色低碳环保优秀青年科学家给予奖励“第三方核查/认证/评估/审计”作为该主题中披露率最低互联网行业可持续信息披露发展报告(2023 年)57(15.91%)的信息点,主要关注企业开展碳绩效管理相关的第三方核查、认证、评估、审计工作。该信息点披露率较低的原因一方面是近半数企业仍未开展碳绩效管理,另一方面是企
117、业出于成本考虑,未将第三方核查、认证、评估、审计纳入碳管理体系中。“内部意识提升”作为组织管理中披露情况较好的信息点(43.18%),产业实践主要表现为企业将员工意识融入绿色运营与绿色办公,通过设置长效绿色低碳行为激励机制、举办周期性趣味宣传活动、开展常规视频标语宣传等方式充分激发员工活力,提高员工参与积极性。案例案例 7:组织治理:组织治理-内部意识提升内部意识提升1.设置长效绿色低碳行为激励机制:对随手关灯、关空调、双面打印、回收纸箱等行为设置积分奖励;对员工通勤及差旅场景进行低碳量化并建立相应积分激励体系2.举办周期性趣味宣传活动:垂直马拉松、环保月、捐步数植树造林活动3.开展常规视频标
118、语宣传:拍摄或推送环保宣传视频、张贴节能节水标语、制作节能宣传品(四)产业协同监督为主,减碳赋能步伐加快(四)产业协同监督为主,减碳赋能步伐加快产业协同维度关注企业对供应链上下游及生态圈的减碳意识传导及减碳协同作用,重点分析“生态圈及供应商监督管理措施”“生态圈及供应商履责支持措施”两个信息点的披露情况。整体互联网行业可持续信息披露发展报告(2023 年)58看,当前行业内产业协同减碳仍以监督管理为主,头部企业的履责支持措施有待加强。“生态圈及供应商监督管理措施”披露率为 25%,行业实践中企业较为重视供应商绿色低碳发展情况,在供应商入库、产品与服务招标采购、供应商周期性定级等多个节点制定相关
119、监督管理措施。案例案例 8:生态圈及供应链发展:生态圈及供应链发展-监督管理措施监督管理措施1.构建绿色采购管理制度:制定绿色采购管理规定、将环境保护能力和低碳发展列为供应商考核项2.开展供应商碳绩效管理:开展供应商碳盘查、减排潜力评估3.持续监测供应商能力:定期开展供应商考核与退出机制、对租赁数据中心能耗与碳排放持续监测分析“生态圈及供应商履责支持措施”披露率仅为 11.36%,不足监督管理措施的半数。披露多集中在行业前 15%企业,头部企业的供应链协同减碳责任意识初步显现。产业良好实践包括向供应商输出自有标准和技术、对供应商绿色低碳行为赋予绿色积分激励、联合产业链上下游协同开展绿色物流解决
120、方案设计、向合作伙伴提供节能减排培训等。减碳赋能维度关注互联网行业特色属性,基于面向消费者和面向产业两方面,重点分析“消费者/用户低碳价值倡导”“产业减碳赋能”两个信息点的披露情况。整体看,互联网行业充分利用数字技术优势,体现了对其他产业及消费者等相关方的良好赋互联网行业可持续信息披露发展报告(2023 年)59能效果。“消费者/用户低碳价值倡导”披露率较高(50%)且产业实践较好。一是行业企业充分利用互联网平台属性及信息传播特性,构建了低碳价值传导体系。二是企业依托细分领域的特色优势,开展了丰富多样的产业实践活动,形成了一批良好实践案例。案例案例 9:减碳赋能:减碳赋能-消费者消费者/用户低
121、碳价值倡导用户低碳价值倡导1.基于主营业务协同开展:通过游戏输出低碳理念、鼓励创作者生产绿色科普视频、培训课程教学、相关公益直播2.基于主营业务独立开展:设立碳账户、打造个人碳积分、设置创意大赛环保创作赛道、开发减排方法学并根据用户行为核算减碳量、开设公益项目“产业减碳赋能”披露率为 25%,互联网行业基于面向产业的平台属性及数字技术优势,主要通过主营业务带动和数字技术赋能两方面挖掘减碳赋能潜力,助力千行百业减碳实践。案例案例 10:减碳赋能:减碳赋能-产业减碳赋能产业减碳赋能1.主营业务带动:在线办公服务、云计算服务、小微企业绿色评级及绿色贷款服务、废旧电池回收体系建设2.数字技术赋能:能源
122、数字化平台、企业碳中和管理平台、低碳城市发展模型、数字化物流、低碳智慧工厂(五)展望夯实数据基础,强化价值传导能力(五)展望夯实数据基础,强化价值传导能力履责承诺与碳绩效管理是企业开展碳减排管理的重要数据基互联网行业可持续信息披露发展报告(2023 年)60础,也是企业主动承担环境责任的重要体现。互联网行业提升自主减排能力需要各企业深入夯实碳排放数据统计基础,科学合理制定碳减排/碳中和定量化目标,并持续关注供应链碳排放定量化数据准确性与完整性,构建供应链协同减碳数据基础,实现产业链供应链绿色低碳协同转型。互联网行业充分发挥平台属性与信息传播特性,将绿色低碳价值理念与主营业务深度融合,探索开展以
123、长效性、周期性、趣味性为基础的各类低碳价值传导活动。互联网企业面向消费者及客户、内部员工等相关方持续输出绿色低碳价值理念,通过“互联网+”赋能低碳办公、低碳交通、低碳生活,全面形成行业一体且独具特色的绿色低碳价值传导服务体系。同时,进一步推动以互联网行业为核心的绿色低碳生态圈建设,通过绿色低碳供应链管理、生态圈履责支持等多种方式协同产业链上下游,实现绿色低碳共建与良好实践共享。同时,互联网行业持续深化牵引作用,提升数字技术创新能力,促进能源结构转型与生产制造全流程绿色化改造,培育绿色低碳发展新动能,推动产业升级转型,全面赋能千行百业绿色低碳高质量发展。七、可持续信息披露发展展望(一)着眼长远,
124、加强企业信息披露能力建设(一)着眼长远,加强企业信息披露能力建设近年来,随着网络强国和数字中国战略深入实施,我国互联网行业正实现跨越式发展,在经济社会发展中作用日益凸显。可持续信息披露已成为行业价值成长、获取社会认同、保持核心竞互联网行业可持续信息披露发展报告(2023 年)61争力的新型发展逻辑及有效路径,受到了社会公众、行业监管方、消费者及客户、舆论媒体、生态伙伴等相关方的普遍关注。互联网企业作为可持续发展实践主体,近几年在多利益相关方的驱动之下,信息披露意识普遍提升、实践水平稳中有进、特色主题披露显著增强。可持续信息披露只是对外展示的结果,重点仍在于企业信息披露的策划和管理能力,如所披露
125、的内容是否与企业影响密切相关、所选择披露主题是否具备实质性、企业对核心主题是否具备风险管理措施、核心主题目标指标是否有定量化表现等。互联网企业要着眼长远,坚信只有做得好才能披得好,扎实提升可持续发展、社会责任及 ESG 企业内部管理。一是建立跨部门、跨体系、跨业务的可持续发展、社会责任及 ESG 信息披露管理架构,着力将可持续发展理念有效落实到企业相关部门的日常经营和业务发展之中。二是牢牢把握信息披露的合规性、可及性、实质性、全面性、可比性原则,以切实遵守国家法律法规要求为基础,以有效保障所披露的信息易于被利益相关方获取及理解为目标,以如实准确披露企业对经济、环境和社会产生本质影响、或对利益相
126、关方有实质性影响的信息为准绳,以尽可能完整披露正面和负面表现为方向,以持续增强量化数据的口径一致性及披露连贯性为思路,有效推动行业信息披露的持续深入发展。三是完善企业全生命周期信息披露管理流程,互联网企业基于自身实际发展阶段,选择更具适配性的可持续信息披露标准开展对标研究,结合合规要求、业务经营状况、利益相关方期待、披露互联网行业可持续信息披露发展报告(2023 年)62渠道等多方面因素,策划披露内容,开展信息采集/筛选/审核/批准,实施信息披露,跟踪披露效果,以企业管理促进披露质量提升,不断增强企业经营和决策的透明度,推动互联网行业的可持续发展。(二)直面挑战,推动行业披露标准落地实施(二)
127、直面挑战,推动行业披露标准落地实施随着行业实践情况的稳步提升,富有行业特色的可持续信息披露标准作为行业发展基石,对行业信息披露统一共识、规范发展具有重要意义。当前,互联网行业可持续信息披露标准体系仍面临多重挑战。一是国际标准与我国互联网行业的适用性仍需进一步探索,如何兼顾国际共识和我国国情文化、如何平衡通用主题和互联网行业特色、如何既要学习国际经验又要争取标准自主权,都是行业信息披露标准面临的必然之问。二是随着行业特色主题披露水平的显著提升,特色主题亟需开展标准体系顶层设计,以标准促共识,针对不同主题,逐步制定并完善特色信息披露标准已成为未来重要发展方向。三是当前企业可持续信息披露基础和管理能
128、力差异较大,标准制定应适用于不同规模和发展阶段的互联网企业,为其提供友好指引既是标准制定的初衷所在,也对行业信息披露规范发展具有重大意义。(三)群策群力,共建信息披露多元共治体系(三)群策群力,共建信息披露多元共治体系目前,互联网行业正朝着健康、规范、可持续的方向发展,更为关注治理主体的多样性和多元化,从而更好保障消费者及用互联网行业可持续信息披露发展报告(2023 年)63户等相关方的合法权益,促进技术向善,实现互联网生态正向价值引导。可持续信息披露可作为贯彻互联网行业共建共享共治路径的有效抓手。信息披露发展需要各利益相关方凝聚共识、发挥专长、积极推动,一是政策监管方进一步明确底线要求,督促
129、企业提升披露意识并加强相应管理能力。二是金融机构、评级机构继续加大关注力度,持续将企业 ESG 表现作为其投资决策的重要参考,为 ESG 表现较好的企业提供更好的融资渠道、更快的审批速度、更低的融资成本,以驱动互联网企业提升可持续信息披露水平。三是行业协会积极发挥平台作用,开展知识培训、宣传良好案例、组织行业活动等,为行业企业,尤其是中小型企业提供信息披露帮助。四是第三方服务机构发挥专业优势,响应行业需求,切实帮助有需求的互联网企业提升信息披露能力,有效降低企业与披露对象之间的信息不对称。五是企业持续挖掘内生动力,进一步完善可持续信息管理能力。通过各利益相关方的共同努力,多措并举、多管齐下,推
130、动互联网行业可持续信息披露生态体系建设,贡献行业高质量发展,打造行业多元共治新格局。互联网行业可持续信息披露发展报告(2023 年)64附件:缩略语1.ESG:环境(Environmental)、社会(Social)、治理(Governance)2.UNGC:联合国全球契约组织(United Nations Global Compact)3.CSRD:企业可持续发展报告指令(Corporate SustainabilityReporting Directive)4.ESRS:欧洲可持续发展报告准则(European SustainabilityReporting Standards)5.ISS
131、B:国际可持续准则理事会(International SustainabilityStandards Board)6.TCFD:气候相关财务信息披露工作组(Task Force onClimate-Related Financial Disclosure)7.GRI:全球报告倡议组织(Global Reporting Initiative)8.EFRAG:欧洲财务报告咨询组(European Financial ReportingAdvisory Group)9.IFRS:国际财务报告准则基金会(International FinancialReporting Standards Foundation)10.SASB:可持续性会计准则委员会(Sustainability AccountingStandards Board)11.VRF:价值报告基金会(Value Reporting Foundation)12.TNFD:自然相关财务披露工作组(Taskforce for Nature-relatedFinancial Disclosures)13.APP:移动互联网应用程序(Application)中国信息通信研究院地址:北京市海淀区花园北路 52 号邮编:100191电话:传真:网址: