2024年12月11日下午，上海律协ESG专业委员会在上海律协20楼小报告厅举办“数据治理的最新发展趋势——ESG视角分析”专题讲座。本次讲座邀请到同济大学法学院副教授陈吉栋主讲。ESG专业委员会副主任、上海澜亭律师事务所合伙人吕鑫玲律师主持。多名ESG专业委员会委员线下参会。线下和线上直播平台同步进行，吸引超500多名从业者共同参加。

一、数据合规与企业责任：从被动到主动的转变

在当前的数据时代，数据和人工智能带来根本性挑战，但我们离形成完善的数据时代规则尚远，尤其像 ESG 规则，虽在律师界和学术研究有探索，但主要依赖产业主体自身发展及相关评估公司，且需承担信息披露义务。

以企业合规为例，传统企业合规是管理学问题，在法学领域需将企业合规风险转化为法律风险，如数据合规。数据合规已成为企业不可忽视的责任。陈教授强调，企业作为主要的数据处理者，在数据处理活动中掌握了基础设施和能力，要求企业不仅需要承担更多关于数据安全、个人信息保护等方面的合规义务，还必须发挥主动性，通过自我监管来建立信息时代的秩序，已经超越了传统的公司合规理念。

陈教授指出，传统的企业合规属于管理学范畴，而如今则需要将企业的风险转化为法律上的风险。数据安全法对数据安全界定发生变化，由基于业务逻辑转变为国家安全层面界定，企业董事会决策核心指标时也需类似成本效益分析。这种从被动遵循法规到主动参与数据治理的转变，体现了企业在新时代中的新角色。

ESG 评估及相关法律业务更多是产品输出问题，而非传统诉讼业务，需要大量特定行业数据积累，形成标准化产品供给。为了实现这一点，法律专业人士必须扩展他们的视角，学习新的领域知识，与会计师事务所等合作，形成跨专业团队，以更好地服务于企业的需求，帮助企业主动参与到诸如ESG产品的挂牌交易等新兴业务中，为企业提供全面的服务。

陈教授通过上海钢联案引出数据和信息的区分必要性，二者解决的问题不同。信息天然需流动，在商业中，如钢联案中原告对价格是否享有数据权利存在争议，一审、二审法院间观点不同，同时涉及市场价格与钢铁公司关系等复杂问题。且数据与信息是内容与载体关系，先收集信息再记录、治理，最后形成产品输出，如 ESG 评估报告。

治理、策略、风险管理和指标的四大支柱框架成为理解 ESG 财务实质性标准的通用框架，被多国监管体采用。量化可比可信数据是 ESG 报告重点方向，相关监管地区对信息验证提出明确要求和时间线。

二、 ESG信息披露框架的发展及其中国特色

ESG 评估指标范围不特定，涉及自然人（包括特殊自然人如公司高管等）、企业经营行为（用水用电、建筑材质、公益活动等），因国家、地域、法律环境而异。如我国与欧盟、港交所的 ESG 评估指标不同，且随着替代数据增多，需收集更多外围数据反映企业情况。但目前 ESG 报告被部分人认为存在问题，法律人应明确法律硬性指标范围，企业在披露信息时需进行成本效益分析。

ESG评级包括信息归纳、评级规则、指数化形成产品。目前缺乏统一界定，多为软法规定或倡议。评估报告质量取决于数据真实性，需要专业行业数据库。我国在这方面发展相对滞后，与欧洲早期重视价值创造者在环境、社会和治理方面作用的理念相关。

我国 ESG 监管自上而下推动，监管者主要为证监会和各地交易所，政策兼具强制性与自愿性，监管对象包括投资者、企业及评级机构，目的是促使企业披露信息、降低风险，实现可持续发展公益目标。目前 ESG 评估以软法监管为主，监管对象主要为金融市场主体及部分非上市主体，披露规则以规范性文件为主。上市公司披露情况存在诸多问题，如信息披露资源不足、内容不全、量化少定性多、规范不足、时效差等，且数据治理中常涉及企业员工和用户个人信息数据问题，影响企业业绩评价。未来需在立法上明确信息质量要求、利益相关方需求及评估法律效果。

中国证监会指导下的三大证券交易所发布的上市公司可持续发展指引为ESG信息披露提供了具体的框架要求。这些指引不仅设定了关键议题，还对不同指标设置了差异化的信息披露要求，并融入了具有中国特色的元素，如乡村振兴等。相较于之前的指引文件，最新的指南对于双重重要性的概念进行了更详细的解释，并详细介绍了如何构建管理体系以及实施ESG信息的收集和披露。这一系列变化反映了国家层面在推动更加完善且符合国情的ESG评估规则方面所做的努力。在这其中，数据权属争议可能对企业造成的实际影响，同时也凸显了数据作为新型资产的重要性。

随着类似案例的增多，中国证监会指导的相关指引对报告披露框架、关键议题提出具体要求，设置差异化信息披露要求，后续指南进一步明确双重重要性概念，介绍管理体系构建与实施及信息收集披露规定，反映我国 ESG 评估规则逐渐完善。同时，这也促使更多的企业和机构重视自身数据资产的价值，并采取措施加以保护。

三、 数据来源与质量的重要性：构建可靠的数据基础

陈教授讨论了目前ESG报告与评估中的数据质量问题。国外 ESG 数据主要来源包括公司主动披露（经筛选，披露虚假有法律后果）、宏观或区域数据（第三方收集，如环保局、世界银行提供）、媒体数据（新闻报道）。如钢联通过大量人力收集钢材价格基础数据形成指数，其数据被广泛需求。国内评估多形式化，数据来源除公司披露和宏观数据外，还会参考媒体数据及裁判文书网数据，但缺乏深入反映事物本质的数据。数据收集受知识影响，不同评估者对相同数据可能给出不同评级。

在ESG评估过程中，数据的质量直接关系到最终报告的真实性和可靠性。但目前存在着数据的可靠性与可追溯性差问题。如环境信息数据来源缺乏规范统一，难以核实查证。如企业披露环境数据常无数据基础，多凭主观编写，导致真实性存疑，且信息可比性差，缺乏参照标准。另外还存在数据更新不及时，影响信息时效性，不符合数据映射现实的规律等。

陈教授指出，主流ESG产品大多以强大的数据分析能力为核心竞争力，如妙盈等公司通过收集、治理数据，利用强大模型计算得出评级判断，而这些产品的数据来源主要包括爬取公开信息和购买高质量数据两种方式，数据质量和来源是关键问题。

数据治理是针对特定范围数据，由数据管理者行使权力控制的活动集合，目标是实现数据价值最大化，同时保护数据合理性安全性，支持企业长期发展。数据生命周期包括采集、传输、存储、处理、交换（流通）、销毁等环节，数据合规 3.0 强调企业在数据处理中因掌握资源应承担更多合规义务，在 ESG 评估中体现为企业发挥持续供给力量。

获取并维护一个可靠的数据库需要具备良好的数据治理能力，尤其是当涉及到个人隐私保护时，必须确保所有操作都在法律法规允许范围内进行。专业 ESG 服务和数据服务商有发展前途，公共数据利用有开放（包括有条件开放）和授权运营两种途径，政府数据授权运营有严格规定，如实施主体、运营机构职责等，未来可能影响 ESG 评估格局。

同时，模型算法的设计同样至关重要，因为它决定了从原始数据到评级结果转换的有效性。不同评估机构数据来源、规则不同，导致结果差异。且存在信息更新不及时、评估形式化等问题，影响 ESG 评估的相关性和可信度，数据治理仍面临诸多挑战，如数据分类、爬取标准等。

同时，陈教授也表达了担忧，目前的合作模式正变得越来越形式化，缺乏实质性的创新和技术进步，这对未来的行业发展提出了挑战。因此，加强跨部门合作，整合多方资源，共同探索更加科学合理的数据采集和处理方法，是提升整个行业服务水平的关键。

四、数据安全与信任机制建设：保障数据流动的安全性

陈教授还强调了数据安全问题的重要性，指出关键在于拥有足够的防守能力，而不是单纯限制数据流动。在跨境数据传输的情况下，信任成为了一个核心要素。只有建立了稳固的信任基础，才能真正促进国际贸易和合作的发展，使数据成为连接全球市场的桥梁。

在全球化的背景下，跨国公司经常面临数据跨境流动带来的复杂挑战。一方面，各国对于数据保护的法律规定不尽相同，导致企业在遵守当地法规的同时还需满足总部所在地的要求；另一方面，网络攻击事件频发，给企业的信息安全带来了巨大威胁。针对这些问题，许多国家和地区纷纷出台了相关的法律法规，如欧盟的《通用数据保护条例》(GDPR)、中国的《网络安全法》等，旨在加强对个人隐私和个人数据的保护力度。与此同时，行业自律组织也发挥了积极作用，制定了一系列最佳实践指南，帮助企业建立健全内部控制系统，防范可能出现的风险。

最后，陈教授梳理了ESG 数据合规要点：

1. 在数据采集阶段，数据来源包括爬取（涉及企业自身披露及媒体报道数据，爬取竞争者网站可能有问题）和购买（涉及个人信息保护问题，需遵循个保法相关规定）。数据交易本质多为许可使用关系，与传统买卖不同。采集时还需考虑分类分级，依据数据资产重要性、脆弱性及外来威胁等因素判断，不同场景分级标准不同。

2. 在数据处理阶段，包括脱敏（涉及个人信息和重要数据有相关规定）、分析安全（企业内部数字身份赋予和权限分发较难）等。数据交换和销毁在 ESG 报告中虽不太涉及，但整体数据治理流程中不可或缺。ESG 披露准则中有商业敏感信息披露豁免权，需满足尚未为公众知悉、披露可能产生危害且损害确定等标准。

3. 在质量管理方面：数据质量主要指减少不稳定性。上海数交所要求数商提供数据质量评估报告（自评或他评）和数据合规报告（多为他评），市场上也有多种质量评估模型。陈教授从数据来源、企业内部流程到数据治理各环节，充分表明在当前数据与人工智能时代，企业在 ESG 评估等活动中，数据的全生命周期合规至关重要。企业需要深刻理解并积极应对这些要求，才能在数据驱动的时代更好地履行社会责任，实现经济与环境、社会的协调发展，同时也为监管者、从业者和研究者在该领域的进一步探索和实践提供了全面而深入的思考方向。

本次讲座中，ESG专业委员会委员、上海汉盛律师事务所合伙人金震华律师参与互动交流。金律师结合其在数据合规领域多年的实践经验，就当前数据治理的规范体系、相关利益主体、未来动态趋势等内容与在场人员进行交流分享。金律师表示面对快速发展的数据治理领域，法律服务业迎来了前所未有的机遇和挑战。一方面，律师事务所需要适应数字化转型的趋势，开发标准化的产品和服务，满足客户日益增长的需求；另一方面，律师们也需要不断更新专业知识，加强与其他专业领域的协作，形成跨学科团队，共同应对复杂的法律问题。金律师认为，未来的法律服务应该更加注重预防而非事后补救，提前介入客户的业务流程，帮助企业规避潜在的风险。同时，他还鼓励年轻一代的法律从业者积极拥抱新技术，探索更多可能性，为行业的长远发展贡献力量。

数字化转型使得法律服务不再局限于传统的诉讼代理，而是涵盖了广泛的非诉业务领域。例如，在企业并购重组过程中，律师可以通过参与前期尽职调查、合同起草等工作，协助客户顺利完成交易；而在知识产权保护方面，则可以为企业提供专利申请、商标注册等一站式服务。

随着大数据、人工智能等新兴技术的应用，法律服务的内容正在不断拓展，如智能合约审查、自动化法律文书生成等新型服务逐渐涌现。这些变化不仅提高了工作效率，也为客户创造了更大的价值。然而，随之而来的是对律师技能的新要求。律师们不仅要掌握扎实的法学理论知识，还要具备一定的编程能力和数据分析技巧，以更好地适应市场需求的变化。

(注: 以上嘉宾观点，根据录音整理，未经本人审阅)