1月5日，爱尔兰数据保护委员会宣布，将对Meta处以两笔总额为4.11亿美元的罚款，因Meta违反了欧盟隐私法。

其中，第一笔罚款是因为Facebook违反了欧盟《通用数据保护条例》(GDPR)，而被罚款2.1亿欧元(2.225亿美元)，另一笔是因Instagram违反同一法律而被罚款1.8亿欧元。

该机构表示，Meta不能以其与Facebook和Instagram用户的合同为由，根据用户的在线活动向用户投放定向广告，Meta公司必须在三个月内使其数据处理业务符合规定。

【资料图】

Meta表示不同意这一裁决，并计划对这一裁决和罚款提出上诉。

互联网企业仍是数据泄露重灾区

2018年，媒体爆出英国咨询公司剑桥分析公司在未经Facebook用户同意的情况下，获取了数百万Facebook用户的个人数据，Facebook瞬间遭到大众舆论的强烈批评和抵制，股票市值两天内缩水500亿美金，并支付了天价赔偿。

这一系列的危机事件，导致标普500ESG指数于2019年4月30日起将Facebook剔除。在此之前，Facebook是该指数的第四大权重股，占比达到2.5%。

然而，这一事件过去4年之久，数据隐私漏洞仍然是海内外互联网巨头的一大心病。

就在当地时间1月4日，华尔街日报报道称，超过2.35亿个Twitter账户的数据被泄露并发布在一个在线黑客论坛上，任何人都可以免费下载。爱尔兰数据保护委员会同样已经开始调查这一侵入行为，并认为该行为可能违反欧盟的《通用数据保护条例》。

数据隐私涉及多个ESG因素

Facebook等互联网平台的商业模式，是“用户—数据—广告—营收”的闭环模式，依靠用户信息带来的广告收入常年占其总收入的50%以上。在2022年的前九个月里，“定向投放”业务为Meta带来了830亿美元的广告收入，其中近四分之一来自欧洲。晨星研究服务公司的分析师Ali Mogharabi表示，如果大量的用户选择退出使用这些行为数据的广告，在最坏的情况下，Meta公司的广告价格可能会下降10%至20%。受此影响，公司的估值会下降12%至25%。

层出不穷的数据泄露事件，反映出互联网企业在追求商业利益和保护用户权益之间犹豫不决，也因此折射出数据泄露在ESG评价体系中的复杂性。

首先，公司有社会义务保护其员工和客户的个人数据，因此，数据隐私与ESG目标中的社会(S)息息相关。MSCI将隐私和数据安全议题列为评级关键指标之一，归于社会因素之下，在互联网、金融等行业，隐私和数据安全议题的表现将影响企业整个MSCI之ESG评级结果。

MSCI披露指标

同时，由于贩卖数据能够带来可观利润，互联网企业的数据泄露时间，也说明了其在产品治理、公司管治和商业道德方面的存在的风险。在香港联交所的《环境、社会及管治报告指引》中，“描述消费者资料保障及私隐政策，以及相关执行及监察方法”属于强制披露内容，属于产品责任方面的指标。

联交所披露指引

来自哈佛法学院的一项研究甚至开始呼吁，网络安全应独立于现有的 ESG分类，将其目标扩充为 ESGC.网络风险可能对公司造成直接和间接损害，包括客户信心丧失、声誉损害、对股价的潜在影响，以及可能的监管行动或诉讼等，触及了 ESG 的方方面面。