崇明园区设立一家ESG数据披露与评级公司，在数据来源上如何合规？

崇明园区设立一家ESG数据披露与评级公司，在数据来源上如何合规？

站在崇明经济园区招商局的办公室窗前，望着窗外郁郁葱葱的绿地和远处蜿蜒的长江，我不禁感慨时光荏苒。这一干就是二十年，从最初骑着自行车去田间地头跟老乡谈项目，到现在坐在现代化写字楼里和海归博士聊大数据与绿色金融，崇明的变化可谓翻天覆地。近年来，随着“双碳”目标的提出，ESG（环境、社会和治理）成了投资圈的热词，很多企业都想来崇明设立相关的数据披露与评级公司。这事儿听起来很美，也符合我们崇明建设世界级生态岛的战略定位，但作为在招商一线摸爬滚打多年的“老法师”，我必须得给那些跃跃欲试的投资者泼一盆冷水，或者说，给他们指一条明路：ESG评级的核心在于数据，而数据来源的合规性，就是悬在这些公司头顶的达摩克利斯之剑。如果这根弦绷不紧，哪怕你的算法再先进，模型再完美，最后也可能是地动山摇。

前几天，我接待了一位从国外回来的创业者，满怀激情地要在崇明打造一个“东方彭博”，专门给长三角企业做ESG评级。聊到兴奋处，他大手一挥说：“主任，数据好办，爬虫技术一开，全网上万企业的环保处罚、舆情分析唾手可得。”我当时心里就“咯噔”一下。这种想当然的思维方式，在互联网早期或许能野蛮生长，但在今天《数据安全法》和《个人信息保护法》全面落地的背景下，无异于在雷区蹦迪。我们在园区招商时，不仅要看企业的技术创新能力，更要看它的合规风控能力。特别是ESG数据，往往涉及企业的核心经营秘密甚至国家的安全数据，稍有不慎，就会引发法律风险。所以，今天我想结合这二十年的工作经验，特别是近年来处理新型数字经济企业落地时的那些磕磕碰碰，好好梳理一下：如果你想在崇明设立一家ESG数据披露与评级公司，在数据来源上究竟该如何做到合规？这不仅是为了应付监管，更是为了企业能在这片热土上长久地活下去。

明确企业数据的权属边界

首先，也是最重要的一点，必须搞清楚你抓取的数据到底归谁所有。在ESG评级中，环境数据如碳排放量、废水排放指标，社会数据如员工性别比例、薪酬福利，治理数据如董事会结构等，这些信息的所有权在法律上往往属于被评估的企业本身。很多初创公司误以为上市公司披露的信息就是公共资源，可以随意使用。但实际上，上市公司披露的年报、ESG报告等文件，其著作权依然归属于公司，而且其中的非公开数据或者经过加工整理的数据集，可能受到严格的保护。如果在没有获得明确授权的情况下，仅仅是利用爬虫技术大规模抓取这些数据并用于商业评级，一旦被企业认定为侵犯商业秘密或著作权，那面临的法律诉讼将是毁灭性的。

我记得大约三年前，园区引进过一家做企业征信的大数据公司。起初他们也是仗着自己技术过硬，悄咪咪地爬取了上千家崇明本地企业的经营数据进行售卖。结果呢？没过半年，就被几家大型企业联名投诉了。园区管委会和市监局介入调查后发现，他们不仅抓取了公开数据，还通过技术手段获取了一些企业后台的半公开数据。最后，这家公司不仅赔了钱，还被要求限期整改，元气大伤。这个案例深刻地告诉我们，ESG数据公司必须建立一套严格的数据权属审查机制。在与企业接触的第一步，就应该签署明确的数据授权协议。哪怕数据是公开的，最好也要拿到使用许可，明确使用范围和用途。这叫“先礼后兵”，也是给自己穿上了一层防弹衣。

另外，从行政合规的角度来看，对于非上市公司，特别是中小企业的ESG数据获取，更是要如履薄冰。非上市公司没有义务向公众披露详细信息，他们的数据往往涉及更核心的商业机密。如果你想做这部分业务，必须通过“正向激励”的方式来获取。比如说，可以联合我们园区或者其他政府部门，通过发放“扶持奖励”或者提供绿色信贷优惠的方式，鼓励企业主动填报数据。这种模式下，数据的获取是基于企业的自愿授权，权属清晰，没有任何法律瑕疵。我在工作中常跟企业讲，别总想着走捷径，数据合规的捷径就是老实签合同、拿授权。虽然前期进展慢一点，但这才是真正的护城河，能让你在未来激烈的市场竞争中站稳脚跟。

依法利用公共数据资源

除了企业自己披露的数据，ESG评级的另一个重要来源是政府公共数据。崇明作为上海的重点生态区域，区政府在生态环境监测、企业信用监管等方面积累了海量的高价值数据。这些数据如果能够合规使用，将极大地提升评级的客观性和权威性。但是，获取公共数据绝不是简单地找个熟人拷个硬盘就能搞定的。现在各地都有严格的数据开放条例，上海市更是出台了《上海市公共数据开放条例》，明确了公共数据的分类分级管理。作为ESG数据公司，必须学会在这个法律框架下“讨饭吃”，而不是“偷饭吃”。你需要了解哪些数据是无条件开放的，哪些数据是有条件开放的，以及哪些数据是涉及国家安全严禁开放的。

我们在实际操作中，遇到过不少因为不懂政策而碰壁的企业。有一家公司想做崇明水域的污染源评级，他们觉得环保局的监测数据应该是公开的，就试图通过非正规渠道获取。结果不用说，肯定是被严厉制止了。正确的做法是什么呢？应该通过上海市公共数据开放平台进行申请。对于有条件开放的数据，比如重点排污企业的实时监测数据，需要说明你的应用场景、技术安全能力和数据保护措施。只有在通过了相关部门的严格审核后，签订数据使用协议，才能拿到接口。这个过程确实繁琐，需要提交大量的材料，包括企业的网络安全等级保护备案证明、数据安全管理制度等等。但这也是筛选机制，它把那些没有实力的“草台班子”挡在了门外，保护了合规企业的利益。

此外，我想特别强调一点，政府在公共数据授权运营方面，现在也在探索新的模式。比如，崇明园区正在尝试与国资背景的大数据集团合作，通过特许经营的方式，将部分脱敏后的ESG相关数据授权给有资质的市场化公司进行深度开发和利用。这对于想要落户崇明的ESG评级公司来说，是一个巨大的机遇。你们可以通过申请成为这类特许经营项目的合作伙伴，合法合规地获取高质量的“一手数据”。这比自己费尽心思去爬虫、去清洗脏数据要靠谱得多。而且，这种“官产学研”结合的模式，天然带有政府信用的背书，对于提升你们评级报告的市场认可度有着不可估量的作用。所以，我经常建议企业多关注园区的产业引导政策，多参加政企对接会，有时候，路就在政策文件里。

技术手段采集的合规性

随着物联网、卫星遥感等技术的发展，很多ESG评级公司开始尝试通过高科技手段直接采集环境数据，比如用卫星监测企业烟囱的排放情况，或者用无人机查看违规排污。这种“上帝视角”的数据获取方式确实令人兴奋，能够有效避免企业“报喜不报忧”的现象，但在法律层面却有着复杂的界定。首先，卫星遥感数据虽然覆盖面广，但分辨率达到一定程度时，就可能涉及国家地理信息安全。根据《测绘法》等相关规定，涉外机构或者未经许可的国内机构处理高精度的地理信息数据是受到严格限制的。如果你的ESG公司使用了国外的卫星数据源，必须确保这些数据经过了国家相关部门的合规性审查和偏转处理，否则就触碰了法律红线。

再说一个更接地气的案例。前年，有一家做环保物联网的公司想在崇明试点，给园区内几家重点排污企业安装智能传感器，直接实时读取数据。这本来是好事，但问题出在他们想绕过企业，直接在排污口偷偷安装。这显然是行不通的。企业的厂区属于私有领域，未经允许安装设备构成侵权。而且，数据的传输、存储也必须符合网络安全标准。后来，在我们的协调下，这家公司与园区管委会、企业三方达成了协议：由企业自愿安装传感器，数据所有权归企业，企业将数据的使用权通过协议形式授权给这家公司，同时监管部门保留监管接口。这样一来，既保证了数据的真实性，又理清了法律关系，各方都满意。这个经历让我深刻体会到，技术虽硬，但法律关系必须理顺，否则技术再好也落不了地。

此外，技术采集还涉及到数据颗粒度的问题。ESG评级需要的是宏观数据，而不是涉及企业核心生产工艺的微观数据。如果在技术采集过程中，不小心获取了企业的生产工艺参数、产量数据等敏感信息，这就属于“超范围采集”。根据《个人信息保护法》的精神延伸到企业数据保护，这种采集行为如果没有明示告知并征得同意，是违规的。所以，ESG公司在设计技术采集方案时，必须内置“隐私计算”或者“数据脱敏”模块。在数据产生的源头，就要把不该要的信息剔除掉。这就像你去朋友家做客，只看客厅的摆设，不能非要去翻人家的保险柜。这种职业操守和合规意识，是赢得客户信任的关键，也是监管部门考核的重点。

个人信息保护的合规红线

ESG中的“S”（Social）维度，涵盖了员工权益、社区关系、供应链劳动标准等内容。这部分数据往往大量涉及个人信息，比如员工的年龄、性别、 ethnicity（种族）、健康状况、薪酬水平等。在中国，《个人信息保护法》（PIPL）的实施，让这部分数据的合规要求达到了前所未有的高度。作为评级公司，你在收集这些数据时，必须遵循“最小必要原则”和“告知同意原则”。很多国际评级机构在处理中国企业的数据时，习惯按照GDPR（欧盟通用数据保护条例）那一套来，但在国内，PIPL有着更严格的数据本地化存储和跨境传输要求。如果你的公司在崇明，服务器却设在海外，或者直接把含有中国公民个人信息的数据传回总部分析，那将是严重的违法行为。

我曾在一次招商座谈会上遇到一家外资背景的ESG咨询机构。他们想对崇明的农业企业进行供应链社会责任评级，需要调查农户的收入和健康状况。他们拿出的方案是让员工拿着平板电脑去田间地头直接录入。我当时就问他们：“你们有没有获得农户的知情同意书？你们的数据存在哪里？会不会带出境？”对方一时语塞。在他们看来，这是为了做公益调研，没必要搞那么复杂。但在我们看来，这就是典型的合规盲区。我们协助他们联系了专业的律所，对整个数据采集流程进行了改造：首先，所有问卷必须匿名化处理，去标识化；其次，采集过程必须有明确的告知书，由农户签字确认；最后，所有数据必须存储在中国境内的服务器上，且经过加密处理。经过这一系列“脱胎换骨”的整改，这家机构才得以顺利开展业务。

这其实反映了行政工作中一个常见的挑战：如何让企业理解合规的价值。很多企业觉得合规就是增加成本，就是麻烦。但我总是跟他们说，合规不是束缚手脚的镣铐，而是保护你们安全的栏杆。特别是在个人信息保护方面，一旦发生泄露，面临的不仅是巨额罚款，更是声誉的毁灭性打击。ESG评级公司本身就是给别人做评级的，如果连自己都不能合规地处理个人信息，那你的评级结果还有什么公信力可言？所以，在设立之初，就要聘请专业的数据合规官，建立完善的数据分类分级制度，把涉及个人信息的数据单独拿出来，实行最高级别的安全保护。这才是专业做法。

建立第三方核查机制

数据的真实性是ESG评级的生命线，而建立独立的第三方核查机制，是验证数据来源合规性和真实性的重要手段。很多时候，企业自己提供的数据可能存在“洗绿”或者夸大的嫌疑。如果评级机构照单全收，不仅误导投资者，自己也要承担连带责任。因此，在数据合规的框架下，引入具备资质的第三方审计机构或者检测机构对关键数据进行背书，是必不可少的环节。这类似于财务报表审计，只不过审计的对象变成了碳排放量、废水排放浓度等非财务指标。在崇明，我们鼓励ESG数据公司与本地具备CMA（中国计量认证）资质的检测机构合作，形成“企业填报+数据公司建模+第三方核验”的闭环模式。

举个真实的例子，去年我们园区有一家制造企业申请绿色工厂认证，需要提供一份ESG评级报告。这家企业自己上报的能耗数据非常好，但数据公司在模型测算时发现，其用电量与能耗数据存在逻辑上的矛盾。于是，数据公司没有直接采信企业填报的数据，而是启动了核查程序，委托第三方机构对企业的电表、生产线进行了实地抽检。最终发现，企业漏报了部分辅助生产线的能耗。虽然这导致该企业的评级下降，但数据公司因此赢得了极高的市场声誉，证明了他们不是只收钱办事的“橡皮图章”。这种严谨的态度，正是监管层和市场最看重的。

从合规的角度看，第三方核查机制的建立，实际上是一种责任分担和风险隔离。当评级机构使用了经过独立第三方验证的数据，即便后续发现数据有误，评级机构只要能证明自己尽到了合理的审慎义务，没有主观恶意，就可以最大限度地减轻法律责任。在我们的招商谈判中，我会特别考察企业是否具备这种风险意识。如果一家公司声称能包揽所有数据的采集和评级，而不屑于与第三方合作，那我会非常怀疑他们的专业性和合规性。成熟的ESG数据公司，应该是一个开放的平台，懂得整合产业链上下游的资源，用多方制衡来确保数据的合规与真实。

数据安全与跨境传输

在数字化时代，数据安全的重要性不言而喻。对于ESG数据披露与评级公司而言，你手中掌握的海量数据不仅是商业资产，也是潜在的攻击目标。《数据安全法》要求，数据收集、存储、使用、加工、传输、提供、公开等各个环节，都必须建立健全的全流程安全管理制度。特别是在崇明设立的公司，如果涉及到向境外总部或者是境外客户提供ESG评级服务，就必须面对数据跨境传输的高门槛。国家网信办发布的《数据出境安全评估办法》明确规定，达到一定量的数据处理者向境外提供数据，必须通过省级网信部门的安全评估。这对于业务遍及全球的国际评级机构来说，是一个必须跨越的合规门槛。

我接触过一家意图拓展中国市场的欧洲ESG评级巨头。他们最初的设想是，将中国区的所有数据实时传回日内瓦的全球数据库进行统一分析。这个方案在现在的法律环境下是完全行不通的。我们园区招商局联合区网信办，给他们进行了多轮政策辅导。最终，他们调整了方案：在上海设立独立的中国区数据中心，所有中国企业的数据实现本地化存储，仅在输出最终评级报告（不含原始数据和细节过程数据）时，才进行出境传输，并且按照规定申请了数据出境的安全评估。这一调整虽然增加了他们的IT投入成本，但却让他们在中国市场的运营彻底合规了，避免了日后可能被叫停的风险。

此外，数据安全不仅仅是防止黑客攻击，还包括防止内部泄露。我们在审核企业材料时，会特别关注他们的员工管理制度是否完善，是否签署了保密协议，是否有敏感数据的访问权限控制。记得有一次，一家离职员工举报前公司非法买卖客户数据，虽然后来查实是个人行为，但公司因为管理制度松懈也受到了牵连。这个教训非常惨痛。所以，我建议准备在崇明落地的ESG公司，在装修办公场地的时候，就要把物理安全、网络边界安全考虑进去，甚至可以申请像ISO 27001这样的信息安全管理体系认证。这不仅是给客户看的，也是给我们监管部门看的合规证明。

综上所述，在崇明设立一家ESG数据披露与评级公司，数据来源的合规性绝非小事。它关乎企业的生死存亡，也关乎崇明园区的产业生态健康。作为招商主任，我见证了太多企业因为忽视合规而昙花一现，也看到了那些敬畏规则、稳健经营的企业一步步做大做强。ESG是未来的风口，但只有合规者才能飞得长远。

展望未来，随着国家对绿色金融和数字经济支持力度的不断加大，崇明将会有更多针对性的扶持政策出台。我们园区也在积极构建ESG服务的生态圈，引入法律咨询、数据公证、安全检测等配套机构，为ESG评级公司提供全方位的保驾护航。我相信，只要你们坚守合规底线，用好崇明的生态和数据资源，一定能在这里挖掘出属于你们的绿色金矿。

崇明经济园区招商平台见解：
崇明经济园区招商平台认为，设立ESG数据披露与评级公司是顺应全球绿色金融趋势的重要举措，也是崇明建设世界级生态岛软实力的重要体现。在数据来源合规性方面，我们强调“底线思维”与“创新服务”并重。企业必须严格遵守《数据安全法》与《个人信息保护法》，建立完善的数据授权与核查机制。园区将积极对接上海市公共数据开放平台，为企业合规获取高质量公共数据提供通道；同时，对于符合条件的企业，我们将利用产业扶持政策，鼓励其进行数据安全技术研发与合规体系建设。我们致力于将崇明打造成ESG服务产业的高地，让合规的数据流动成为推动区域经济绿色转型的强大引擎。