Защита персональных данных как один из компонентов ESG-повестки
В работе рассмотрен вопрос о возможности включения защиты данных в ESG-повестку. Показано, что повышенное внимание к ответственному управлению данными положило начало тенденции включения информации о способах их защиты в отчеты об устойчивом развитии и ESG-политику компаний.
Ключевые слова: персональные данные, защита персональных данных, устойчивое развитие, ESG-принципы, Общий регламент по защите данных (GDPR).
The article considers important issue of the possibility of including data protection in the ESG-agenda. It is shown, that increased attention to responsible data management has started the trend of including information about methods of data protection in sustainability reports and ESG policies of companies.
Key words: personal data, data protection, sustainable development, ESG-principles, GDPR.
Введение.
Одним из ключевых вопросов, стоящих на повестке дня в XXI в., является переход к концепции устойчивого развития (англ. sustainable development) и ESG-принципам, предполагающим снижение негативного влияния человека на окружающую среду, учет социальных и управленческих проблем, существующих в обществе <1>, и вовлеченность компаний в их решение.
--------------------------------
<1> Мажорина М.В. ESG-принципы в международном бизнесе и "устойчивые контракты" // Актуальные проблемы российского права. 2021. Т. 16. N 12 (133). Декабрь. С. 187; Жукова Е.В. Основные тенденции развития ESG-повестки: обзор в России и в мире // Вестник РЭУ им. Г.В. Плеханова. 2021. Т. 18. N 6 (120). С. 68 - 82; ESG-повестка как новый тренд российского бизнеса.; ESG-трансформация как вектор устойчивого развития: В 3 т. Т. 2 / Под общ. ред. проф. К.Е. Турбиной, проф. И.Ю. Юргенса. М., 2022; Право устойчивого развития и ESG-стандарты: Учебник / Под общ. ред. М.В. Мажориной, Б.А. Шахназарова. М., 2023; Соколова Н.А., Теймуров Э.С. Соотношение целей устойчивого развития и ESG-принципов // Вестник Университета имени О.Е. Кутафина (МГЮА). 2021. N 12. С. 171 - 183.
Традиционно дискуссии вокруг устойчивого развития и ESG фокусируются на таких факторах, как минимизация выбросов парниковых газов, достижение углеродной нейтральности, обеспечение гендерного разнообразия членов правления, улучшение качества корпоративного управления компанией и т.д. Вопросы же защиты данных, как правило, выносились за рамки ESG-повестки, будучи включенными в число "технических" вопросов, которым компании уделяли незначительное внимание.
Однако в условиях стремительного развития информационных технологий и масштабной цифровизации персональные данные стали ценным активом, генерирующим новые возможности для создания экономической и социальной ценности <2>, что привело к включению данного вопроса во все элементы ESG-повестки и привлечению внимания к нему как со стороны клиентов компаний, так и со стороны инвесторов, акционеров и иных заинтересованных лиц.
--------------------------------
<2> World Economic Forum. Personal Data: The Emergence of a New Asset Class.
1. Защита данных в контексте экологии и ответственного отношения к окружающей среде. В контексте ESG экологический компонент - E, как правило, означает борьбу с изменением климата, реализацию зеленых проектов и снижение воздействия хозяйственной деятельности человека на окружающую среду. Однако не меньшее влияние на экологию оказывают сбор, хранение и обработка огромных массивов данных, которые требуют использования значительных объемов энергии и приводят к 3,9% всех мировых выбросов парниковых газов <3>.
--------------------------------
<3> The climate impact of ICT: A review of estimates, trends and regulations.
В целях решения данной проблемы компании, следующие ESG-стандартам, придерживаются принципа минимизации, то есть собирают лишь те данные, которые необходимы для достижения заявленной цели, и ограничивают сроки их хранения, что позволяет снизить негативное влияние на окружающую среду. Не менее важную роль в защите окружающей среды играет использование энергосберегающих способов строительства и эксплуатации центров обработки данных и серверных центров.
2. Защита данных в контексте социальной ответственности компаний. В контексте ESG социальный компонент - S, означает обеспечение социальной защиты сотрудников и реализацию планов по улучшению социально значимых показателей деятельности компании <4>. Наряду с этим речь идет о защите прав человека, к числу которых относится право на неприкосновенность частной жизни и защиту данных <5>, предусмотренных международными документами (Всеобщей декларацией прав человека 1948 г., Европейской конвенцией о защите прав человека, Европейской хартией основных прав, Конвенцией о защите физических лиц при автоматизированной обработке персональных данных 1981 г. и ее модернизированной версией (Конвенцией 108+)) и законодательством большинства государств (РФ, Канады, США, Китая, Японии и др.). Применительно к ESG это означает необходимость осознания компаниями своей социальной ответственности за защиту данных сотрудников, клиентов и инвесторов, что требует принятия мер по противодействию утечкам данных, эффективность которых во многом предопределяет репутацию компании и доверие ее клиентов, которые, в свою очередь, требуют усиления контроля над сбором, обработкой и использованием их персональных данных и ограничения их объема лишь тем минимумом, который необходим для достижения обозначенной компанией цели.
--------------------------------
<4> Data Protection as a Corporate Social Responsibility. From Compliance to Sustainability to Generate Both Social and Financial Value.
<5> Why is Cybersecurity Important to ESG Frameworks?
Соответствующие требования закреплены в большинстве законодательных актов, посвященных персональным данным. Особое место среди них занимает действующий на территории Европейского союза Общий регламент N 2016/679 от 27 апреля 2016 г. о защите данных (далее - GDPR), который закрепляет требование минимизации объема собираемых данных и устанавливает подотчетность и ответственность за обеспечение надлежащего мониторинга и контроля за соблюдением обязательства конфиденциальности <6>.
--------------------------------
<6> The EU General Data Protection Regulation. Questions and Answers.
Аналогичные требования закреплены в Федеральном законе от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <7>, согласно которому оператор персональных данных обязан принимать все необходимые меры по их защите, препятствующие уничтожению, изменению, блокированию, распространению и совершению иных неправомерных действий в отношении таких данных со стороны третьих лиц <8>. Не менее важным является соблюдение требования о прозрачности при сборе и обработке данных, что предполагает предоставление субъектам полной информации о том, какие типы данных обрабатываются, каковы цели такой обработки, и информирование их о праве на доступ, удаление и исправление данных (ст. 14 Федерального закона "О персональных данных"). Схожим образом данный вопрос решается в законодательстве и других стран (Китая, Японии, США и др.).
--------------------------------
<7>
<8> Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (ред. от 24.04.2020) // СЗ РФ. 2006. N 31 (ч. 1). Ст. 3451.
Важную роль в стимулировании компаний к соблюдению обязательств по защите данных в контексте социального компонента ESG играют также документы рекомендательного характера, разрабатываемые участниками рынка. Так, 1 февраля 2023 г. вступило в силу разработанное Китайским альянсом индустрии кибербезопасности (CCIA) Руководство по социальной ответственности в области безопасности данных и защиты личной информации <9>, направленное на оказание содействия компаниям в выполнении возложенных на них обязательств по защите данных (в том числе при подготовке отчета о социальной ответственности) и стимулирование их к следованию концепции устойчивого развития и ESG-принципам. Согласно данному документу, соблюдение компаниями обязательств по защите данных предполагает: принятие стратегии защиты данных; прозрачность правил их обработки; обмен знаниями и техническими достижениями в данной области; обеспечение цифровой интеграции и дополнительной защиты данных с учетом потребностей отдельных групп потребителей цифровых продуктов <10>. В настоящее время Руководство применяется всеми членами CCIA, включая Baidu, Tencent, Alibaba, 360 и др. Однако в будущем его планируется распространить и на иные компании, которые могут использовать его для достижения своих целей в сфере ESG.
--------------------------------
<9> T/CCIA 002-2022.
<10> China releases guidance on ESG commitments to data security and personal information protection.
Особую актуальность вопрос обработки и использования данных приобретает в компаниях, использующих технологию искусственного интеллекта, анализ больших данных или иную автоматизированную систему принятия решений, которые оказывают воздействие на людей. В таком случае политика компании должна быть (помимо защиты данных) направлена на обнаружение и предотвращение возможных уязвимостей и предвзятостей, которые могут оказать влияние на получаемый в результате использования соответствующей системы результат.
3. Защита данных в контексте корпоративного управления. В контексте ESG-повестки компонент корпоративного управления - G, обозначает обеспечение транспарентности (прозрачности) информации и борьбу с коррупцией. Наряду с этим компании должны обеспечить соблюдение применимого законодательства, регулирующего сбор и обработку данных <11>, и установить разумные стандарты их защиты. Так, согласно ст. 5 GDPR и ст. 7 Федерального закона "О персональных данных" компания должна обеспечить конфиденциальность полученных ею данных, не раскрывать их третьим лицам и не распространять без согласия соответствующего лица, а в случае передачи данных за пределы соответствующей территории (Европейского союза и Российской Федерации соответственно) - обеспечить гарантии прав их субъектов.
--------------------------------
<11> Your ESGuide in 5: Finding the P for Privacy in ESG.; ESG and Privacy - a Foundation for Better Compliance?
О важности вопроса защиты данных для инвесторов и акционеров компании свидетельствуют: данные опроса, проведенного в 2021 г. RBS Global Asset Management, согласно которому защита данных - второй по значимости аспект ESG (после борьбы с коррупцией), интересующий инвесторов <12>; а также положения проекта Директивы ЕС N 2019/1937 об устойчивом корпоративном управлении (CSDD) <13> и Регламента ЕС о таксономии от 18 июня 2020 г. N 2020/852 <14>, предполагающие оценку компаниями нарушений конфиденциальности и принятие мер по защите данных в соответствии с Руководством ОЭСР по должной осмотрительности для ответственного ведения бизнеса. Аналогичные требования установлены в стандартах, разработанных Глобальной инициативой по отчетности (GRI), согласно которым при составлении ESG-отчетности компаниям рекомендуется представлять информацию о своем влиянии на конфиденциальность данных их клиентов, инвесторов и акционеров.
--------------------------------
<12> Global Asset Management. Our latest independent research.
<13> Proposal for a Directive of the European Parliament and of the Council on Corporate Sustainability Due Diligence and amending Directive (EU) 2019/1937.
<14> Regulation (EU) 2020/852 of the European Parliament and of the Council of 18 June 2020 on the establishment of a framework to facilitate sustainable investment, and amending Regulation (EU) 2019/2088.
Несоблюдение указанных требований не только сигнализирует инвесторам, заботящимся о соблюдении ESG-принципов, о небрежном отношении руководства компании к выполнению возложенных на нее обязательств и может привести к снижению цен на акции публичных компаний в среднем на 7,5%, но и влечет возникновение репутационных рисков и создает угрозу привлечения компании к ответственности.
Так, нарушение положений GDPR может привести к различного рода штрафам (размер которых достигает 4% от мирового оборота компании или 20 млн евро в зависимости от того, какая сумма больше) и привлечению к уголовной ответственности за несоблюдение требований о защите данных или их несанкционированное раскрытие. Как правило, соответствующие меры ответственности сочетаются с требованием о незамедлительном устранении нарушений, что может повлечь за собой значительные операционные расходы и лишить компанию возможности использования собранных данных. Указанные обстоятельства нанесут ущерб и репутации компании, приведут к потере ее инвестиционной привлекательности и, соответственно, снижению прибыли.
4. Тенденция включения вопросов обеспечения защиты данных в отчеты об устойчивом развитии и ESG-политику. Учитывая важную роль вопроса защиты данных в контексте ESG, многие рейтинговые агентства (такие как SustainAnalytics, MSCI <15> и другие) включили его в число критериев, оцениваемых при присуждении компании соответствующего рейтинга <16>.
--------------------------------
<15> MSCI. ESG Ratings Key Issue Framework.
<16> Connect privacy with ESG to drive broader business success.; Why Data Privacy Is an ESG Issue.
Повышенное внимание к ответственному управлению данными положило начало тенденции включения информации о способах их защиты в ESG-политику и отчеты об устойчивом развитии, публикуемые многими компаниями. Так, компания Blackstone относит вопрос защиты данных к числу проблем устойчивого развития, включив его в раздел "Корпоративное управление" своей ESG-политики <17>. Аналогичным образом данный вопрос решается компанией Mastercard Inc. <18> и инвестиционным холдингом SFI <19>.
--------------------------------
<17> Blackstone. An Integrated Approach to ESG.
<18> ESG Data Privacy and Protection.
<19> SFI. Устойчивое развитие.
Как видно из приведенных примеров, компании, придерживающиеся ESG-принципов и стандартов ответственного ведения бизнеса, должны предпринимать меры по обеспечению конфиденциальности собираемой ими информации и защите ее от несанкционированного доступа и разглашения.
Одним из наиболее эффективных способов достижения указанной цели является включение вопроса защиты данных во все внутренние процессы компании на всех уровнях, что может достигаться путем внедрения данных аспектов в ESG-политику компании. При этом рекомендуется предпринять следующие основные действия:
1) принять политику (стратегию) защиты данных и разработать показатели конфиденциальности и управления данными, что позволит выявить существующие и потенциальные риски и уязвимости, связанные со сбором, обработкой, управлением данными, и оценить предпринятые компанией меры на предмет их эффективности и соответствия требованиям применимого законодательства и отраслевых стандартов и принципов (например, GDPR, NIST privacy framework, ISO 27701). Указанные меры должны предприниматься на всех стадиях жизненного цикла данных (начиная от сбора и заканчивая их хранением и уничтожением);
2) в соответствии с требованиями применимого законодательства (например, GDPR, Федерального закона "О персональных данных") принять меры по минимизации собираемых данных, ограничив их лишь теми сведениями, которые необходимы для достижения соответствующей цели, что, в свою очередь, будет способствовать снижению негативного влияния деятельности компании на окружающую среду за счет сокращения энергии, используемой серверами для обработки и хранения данных, и снижения отходов, образующихся при утилизации электронного оборудования;
3) осуществлять мониторинг практики управления данными, что позволит своевременно выявлять и устранять возникающие угрозы и нарушения. Для этих целей многие компании назначают специального сотрудника, отвечающего за защиту данных;
4) проводить регулярные проверки систем кибербезопасности как внутри компании, так и совместно с ее контрагентами;
5) осуществлять раскрытие информации в отношении мер по защите данных, что продемонстрирует клиентам, инвесторам и другим заинтересованным лицам, что при сборе, хранении, обработке и использовании данных компания соблюдает этические нормы, требования применимого законодательства и принимает все необходимые меры для их защиты.
Заключение.
Подводя итог всему вышеизложенному, отметим следующее:
1. В настоящее время компании, следующие ESG-принципам и стандартам ответственного ведения бизнеса, должны принимать меры по обеспечению конфиденциальности собираемой ими информации и защите ее от несанкционированного доступа, что позволит не только повысить их рейтинг, но и укрепит доверие инвесторов и клиентов, сделав компании более привлекательными на рынке.
2. Повышенное внимание к ответственному управлению данными положило начало тенденции включения информации о способах их защиты и обеспечения конфиденциальности в отчеты об устойчивом развитии и ESG-политику, публикуемые многими компаниями.
3. Эффективная политика конфиденциальности и управления данными позволит улучшить репутацию компании, защитить ее от финансовых рисков, которые могут возникнуть в случае утечки данных, а также повысить ее инвестиционную привлекательность.
