B6.5 消费者隐私保护

指引原文

描述消费者资料保障及私隐政策,以及相关执行及监察方法。

指标释义

该指标为关键绩效指标,披露要求为“不遵守就解释”,于2020年7月1日或之后开始的财政年度生效。

消费者隐私权是指消费者购买或使用产品或服务时所享有的个人的且与公共利益无关的个人信息、私人活动和私有领域依法受到保护,不受他人非法侵扰,可以自由支配的一种人格权。

“消费者信息保障和隐私”是指对于消费者信息,组织通过限制所收集信息的类型及信息获取、使用和保护的方式,来保护消费者的隐私权

对标分析

联交所 ESG 指引、ISO 26000与 GRI Standards 均涵盖了保护消费者隐私方面的内容。ESG 指引侧重于披露保护消费者隐私的政策、执行及监察方法。ISO 26000 要求企业建立保护消费者隐私的管理体系,并为企业保护消费者隐私提供指引。GRI Standards 披露因泄露消费者隐私而遭到投诉的次数,投诉包括来自监管机构的投诉和来自外部且由企业证实的投诉。GRI Standards 鼓励,为了保护客户隐私,组织要限制对个人资料的收集,以合法途径收集资料,并对收集、使用和保护资料的方式保持透明。另外,除非经客户同意,组织不应透露客户个人信息或不将客户个人信息用于除协商之外的任何目的,并将资料保护政策或措施的任何变化直接传达给客户。按照 ESG 指引披露的内容,可以参考披露项 GRI 418-1议题专项披露内容。

表 B6-6 关键绩效指标 B6.5 与 ISO 26000、GRI Standards 对标分析

联交所ESG指引

ISO 26000

GRI Standards

B6.5

描述消费者资料保障及私隐政策,以及相关执行及监察方法

6.7.7

消费者问题 5:消费者信息保护与隐私

GRI 418-1

与侵犯客户隐私和丢失客户资料有关的经证实的投诉

管理要点

企业通过建立严格的获取、使用和保护消费者隐私的制度,在确保法律义务和道德义务得到履行的同时,保持企业的可信度,增强外部利益相关方对企业的信任。

● 企业应严格限制信息收集范围,即仅收集与提供产品或服务有关的必要信息,且在收集信息之前或之时明确说明收集目的,信息收集需在消费者知情同意与自愿提供的情况下进行。

● 企业应建立健全消费者隐私保护制度,采取严密的控制措施,确保在未征得消费者本人同意的情况下避免将消费者隐私用于营销目的。

● 企业应通过提升硬、软件质量,加强设备保护能力,加强网络信息安全建设,重点防范,主动保护,并对企业消费者信息保护情况进行检查,确保相关信息保护的政策或制度执行到位。

披露建议

企业应描述消费者隐私保护机制,披露报告期末因泄露消费者信息受到投诉的次数,除此以外企业可披露信息安全建设举措与成效,以及企业获取、使用和保护消费者隐私的制度体系。不同行业的企业需根据自身特色披露,如电子商务行业、公共服务行业企业应重点披露。

典型案例

2019 年,东航正式发布《中国东方航空股份有限公司旅客信息保护管理办法》,进一步明确旅客个人信息分类所适用的规则,细化旅客信息处理、旅客信息安全影响评估工作与安全事件应对机制的具体要求,厘清数据保护官、数据保护专员的职责。

东航成立旅客信息保护委员会;制定旅客个人信息保护的六大标准流程,涵盖数据存储限制、数据主体的权利、数据泄露报告、分包管理、数据保护影响评估、与监管机构的合作等主要的信息处理场景。

资料来源:《中国东方航空股份有限公司2019年企业社会责任报告》P66

《中国东方航空股份有限公司2019年企业社会责任报告》披露了中国东方航空股份有限公司保护旅客信息安全的政策与措施。该公司高度重视消费者信息安全,将其提升到公司层面进行治理,制定相关制度,并对合作伙伴提出信息保护的相关要求。

更多关于ESG指引解读、应用实操分享,您可以关注金蜜蜂微店,购买最新版《ESG指标管理与信息披露指南》以获取最新、最具参考性的专业解读和经验分享。