近日，奇富科技、度小满等金融科技企业发布ESG报告，平安银行、北京银行等金融机构也就ESG及可持续发展出具年度报告，科技创新和数据保护的协同愈发得到重视。记者采访多位业内人士发现，随着AI和大模型技术应用的日益普及，数据安全和消费者隐私保护在ESG评级中的权重占比将越来越高，防范智能体等AI技术滥用，成为科技企业ESG建设必答题。
　　日前，中国软件行业协会正式发布《移动互联网服务可访问性安全要求》团体标准，针对当前利用智能体等AI技术访问移动互联网服务引发的安全风险、用户权益保护等问题作出规范。
　　中国管理科学学会可持续发展管理专委会副主任吕建中接受上海证券报记者采访时表示，未来国际和国内交易所对于科技企业ESG报告中披露数据安全和消费者隐私保护方面的信息的颗粒度和维度要求的严格程度呈上升趋势，很可能会颗粒度更细，严格程度更高。这是因为投资者对企业的ESG表现关注度越来越高，其中数据安全和消费者隐私保护是投资者关注的重要方面。
　　“对于金融科技企业而言，数据安全与隐私保护是他们最关注的实质性议题，一些评级体系中对此项给出15%至30%的权重；如MSCI早已将隐私和数据安全议题列为评级关键指标之一，这对互联网、科技、金融等行业来说，产生直接影响；又比如，《消费金融公司监管评级办法》（2024年12月修订）新增”消费者权益保护“作为独立评级要素，赋予15%的权重。”吕建中强调。
　　新的评级趋势也对企业ESG建设提出了新的要求。如何防范智能体等AI技术对于数据安全的威胁？专家建议，应从“人”和“制度”两个维度加以推进。
　　首先，防范AI体制下的数据安全，必须先把牢“人”的出口。2025年以来，“内鬼”把用户数据隐私打包出售给黑产团伙并从中牟利的事件屡见不鲜。AI时代的员工安全培训，已经成为科技企业ESG建设的必修课。
　　腾讯在2024年ESG报告中披露，公司为各业务团队提供人工智能安全专项评估和培训，提升其安全合规意识和能力，以确保AI模型和技术符合所适用的法规和标准。其中特别强调，要求所有正式员工入职后必须学习信息安全培训课程，顾问、实习生和外包员工也需要学习工作规范须知及信息。
　　据奇安信相关负责人介绍，在AI智能体之前，核心重要数据只能被特定权限的少数人员访问，属于较为私密的数据。但大模型在训练和应用过程中，会引入多种新的人员角色，例如数据管理员，数据标注员，算法工程师，模型运维工程师等。大模型的应用让更多人的数据权限突然变大，数据泄露的风险也会激增。
　　因此他建议，对数据的访问、标注和清洗等过程，要严格做好访问控制、人员权限管控和行为审计，尤其要关注外包人员，并利用终端可信数据空间能力，确保数据不落地，防范内鬼盗取数据。
　　其次，AI安全防治还需构建完整的体制机制框架。世纪华通董事长助理胡昕告诉上海证券报记者，在人工智能技术快速发展的背景下，数据隐私保护已成为科技企业ESG建设的重要议题。
　　近日，世纪华通旗下的盛趣游戏各产品项目组以及客服等部门等分别接入AI技术工具后，在针对智能体或者AI技术工具时，通过用户权益救济（举报机制）、责任界定（用户自审与第三方隔离）、知情同意（规则明示）、风险管控（账号管理）等管理性措施，构建了AI互动服务中的数据隐私保护框架。
　　针对当下科技企业ESG建设方面，胡昕建议企业从多个维度进行强化：在数据隐私保护方面，建立完善的数据分类分级制度；在技术安全方面，可以加强AI智能体的权限管理；在用户权益保护方面，加强用户知情权和选择权，保障特殊群体的无障碍使用权益。另外还应成立专门的ESG工作组，负责相关政策制定和执行，在年度ESG报告中详细披露数据安全治理情况等。
　　奇安信相关负责人建议，科技企业需要与时俱进，构建适配AI时代的内生安全体系，将安全能力内生到数据治理、模型训练、模型运行、业务流程等各个场景中，有效化解内外新型风险。
（文章来源：上海证券报·中国证券网）