①随着新能源汽车越来越智能,汽车不再只是简单的代步工具,而成为数字生活的重要场景,“数据安全”这个漂浮在大数据时代的阴云,也蔓延到了汽车领域。②与大面积交白卷的特斯拉和比亚迪相比,理想、蔚来两家企业在ESG报告中对数据安全的披露,或许更值得新能源汽车行业借鉴参考。
特斯拉又惹上大麻烦,这一次是让所有科技企业都提心吊胆的数据隐私问题。
近日,有网友爆料称,湖南岳阳三荷机场停车场禁止特斯拉汽车入内,机场方面表示,特斯拉车辆配备了哨兵模式,存在泄密风险。
随后,特斯拉做出回应,表示特斯拉车辆的数据只以离线方式存储在车内的USB设备中,车主和特斯拉都无法进行远程在线查看车辆周围环境的功能。事件发酵后,目前该机场已取消特斯拉禁令。
这不是新能源汽车第一次在数据安全方面“惹上事”。就在去年底,蔚来汽车数据被窃,并被勒索225万美元。蔚来在声明中表示,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
随着新能源汽车越来越智能,汽车不再只是简单的代步工具,而成为数字生活的重要场景,“数据安全”这个漂浮在大数据时代的阴云,也蔓延到了汽车领域。
对新能源车企而言,数据安全等于信息安全 客户隐私安全,无论是客户数据、行车数据,还是与车企自身运营相关的数据一旦泄露,不仅会直接带来经济收入损失、生产力下降、客户信任危机,还有可能面临法律风险,并在ESG评级上被投不信任票。
那么,在至关重要的数据安全领域,国内外新能源汽车巨头们各自表现如何?《ESG Weekly》联合景赋,推出“新能源汽车ESG观察”专题第二站,带你一文看懂新能源汽车新势力信息隐私红黑榜。
特斯拉、比亚迪上黑榜!数据安全意识仍为“喊口号”?
经过对特斯拉、比亚迪、蔚来、理想四家公司ESG报告中数据安全相关内容进行分析整理,我们发现,国内外新能源车企对数据安全的重视性差异巨大。
首先,从数据安全相关内容在ESG报告中的占比程度来看,特斯拉、比亚迪披露内容不足。在特斯拉224页的ESG报告中,与数据安全相关的部分仅有3页,而比亚迪更为简略,仅用了1段话、1/5页的篇幅提及了客户隐私保护。数据安全风险识别与管理、数据安全应急管理、数据安全培训等关键内容,二者均有内容缺失或未有提及,实为ESG实践中的一大漏洞。
由于特斯拉并未清晰划分界定自身ESG重大议题,数据安全在ESG实践中的重要性自然未有体现。而比亚迪虽然将信息安全与隐私保护的议题,列为顺位第一的“最高重要等级”,但从其简单的信息披露中无法看出企业对该议题的重视程度,让人不禁质疑是否仍停留在“喊口号”阶段。
具体的数据安全管理措施上,特斯拉从多维度进行了阐述,但多为“一句话披露”,缺少细化的数据、案例等“真材实料”。例如,数据安全治理构架方面,特斯拉表示“有一支庞大且多元化的隐私和安全专家团队”;在隐私保护政策方面,特斯拉称“采取隐私优先政策”。不过,上述安全管理措施流程如何、成效如何、目标为何,特斯拉均无详细论述。
而另一位“后进生”比亚迪,则完全没有披露具体管理措施与细则。
更为重要的是,特斯拉、比亚迪均未公开其信息安全应急管理的披露管理体系。在出现紧急信息安全事件时,这些公司有极大可能性无法对数据安全类紧急事件进行合理的应急管理和处置,无法将负面事件的影响最小化。
同时,二者亦未披露数据安全培训项目。如果缺乏培训教育,员工的数据安全意识薄弱,企业对于数据安全风险的识别及管理较弱,极有可能增大数据安全风险事件的发生概率,进而影响客户安全、行车安全、企业安全、乃至国家地区安全等,导致企业核心竞争力降低,发生负面舆论事件,甚至影响其市场销售。
最后,二者同样未披露任何与数据安全相关的绩效指标。
理想、蔚来登红黄榜,ESG报告如何彰显网安诚意?
与大面积交白卷的特斯拉和比亚迪相比,理想、蔚来两家企业在ESG报告中对数据安全的披露,或许更值得新能源汽车行业借鉴参考。
具体来看,两家企业在内容丰富度、架构清晰度上,完胜“黑榜”车企。
理想在ESG报告中,将数据安全相关议题分为信息安全和隐私保护两部分,在“网络安全”板块分别进行披露。披露的信息涵盖治理架构、信息安全和隐私保护两部分的政策制度、风险评估和管理、绩效指标、数据安全应急管理、数据安全培训等,几乎涵盖了主流披露体系中的所有项目。同时,在每个披露项目中,理想也详细阐述了具体内容、量化数据、绩效指标、并辅以具体事例说明。
针对数据安全议题具体的管治架构,理想披露了三层治理架构及职责内容和管理流程。涉及网络信息安全方面的重大事宜,将由信息数据安全小组上报至董事会进行监督和决策。同时,信息安全相关职能部门负责贯彻信息数据安全小组的决议,领导并协调各部门开展相关工作。各职能部门设有安全官,负责落实各部门信息安全工作。
针对用户格外关注的隐私保护方面,理想制定了《理想汽车个人信息保护管理制度》,有一定的投诉响应机制和处理流程,并披露了过往投诉数量及处理率。
另外,理想还特别提到,将严格按照法律法规规定处理用户信息,对用户注销 App或主动要求删除的个人信息等情况,及时进行删除或匿名化处理。
从信息密度和细化程度来看,理想在数据安全的披露上可谓诚意满满、干货十足,可以作为行业内“满分答卷”。仍需注意的是,总体上看,无论表现较好的理想,还是较有提升空间的蔚来、比亚迪等企业,国内新能源车企总体在数据安全方面的“策略和目标”两部分,均未见披露,存在不明晰情况。希望各大车企能够对此予以重视,在未来的ESG报告中做进一步提升。
与“红榜”的理想相比,蔚来在数据安全方面做得不错,但仍有提升空间,因此属于“黄榜”行列。
从披露内容来看,蔚来涵盖披露项目较为全面,但未对隐私保护和信息安全分成两类进行披露,内容结构上稍显混乱。在具体披露项目中,蔚来仍多为概括性描述,缺乏详细内容、指标、案例支撑。
值得一提的是,蔚来在ESG报告中披露了完整的安全漏洞管理机制和流程,表示将实现从漏洞发现、确认、定级、修复的漏洞全命周期管理。为提突发事件的处置应变能,蔚来还制定了《信息安全事件处理流程》及相关机制,落实了事前预防、事中处置、事后追溯的全流程管理。
不过,由于蔚来尚未发布2022年ESG报告,上述内容参考至其2021年ESG报告。在遭遇数据勒索之后,蔚来将如何反思、整改,并加强自身数据安全防护能力,期待在其新一期ESG报告中看到更多呈现。
(文章来源:财联社)