合規視角的銀行業數據治理體系建設
作者:吳衛明 2022-09-13金融機構數字化轉型是金融行業的發展趨勢,數據的收集、加工、運用是數字化的重要內容。如何構建與數字化轉型相適應的數據治理體系,是銀行無法回避的問題。通過將數據合規的思維、合規體系與數據治理體系進行融合,是銀行業金融機構數據治理體系搭建的合理路徑。
關鍵詞:銀行業 數據治理 數據合規 體系建設
數字化轉型是我國經濟、社會發展面臨的重大課題,也是國家規劃的重要方向。金融業作為數字化轉型較為領先的行業,在以數據驅動金融業務效率提升、驅動金融產品優化方面,已經取得不小的成就。然而,與數據利用、數據驅動伴生的問題則是數據的有效治理與合規管理,如何構建數據治理及合規體系,不僅關系到數據的有效利用,也關系到金融機構的風險防控與持續發展。 數據合規與數據治理,一直是銀行業金融機構管理過程中高度關注的兩個問題。但是由于數據合規與數據治理概念內涵的不同,以及對于這兩個概念缺乏必要的規則或指引予以明確,在實踐中,上述兩個概念常有混用或者割裂對待的情況。比如,將數據合規看作是法律與合規方面的問題,而將數據治理看作是內部治理的問題。 吳衛明律師認為,造成兩者關系不夠清晰的原因,一是概念內涵有待厘清,二是相關規則的銜接問題。 以數據治理為例,對于銀行業金融機構數據治理,并無專門的法律直接予以規定。中國銀行保險監督管理委員會針對銀行業金融機構的數據治理,發布了《銀行業金融機構數據治理指引》。 而對于數據合規問題,則形成了以《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《中華人民共和國數據安全法》(以下簡稱《數據安全法》)、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)以及《關鍵信息基礎設施安全保護條例》等法律、法規為主體架構的較為完整的規則體系。 銀行業金融機構的數據治理與數據合規體系有一定的交叉與融合,比如,從數據分類分級管理、重要數據安全評估、數據的技術保護措施等角度看,數據治理與數據合規體系具有共通性。此外,中國人民銀行2020年頒布的《金融數據安全 金融數據安全分級指南》及《個人金融信息保護技術規范》,則既有數據治理的內涵,也有合規的內涵。 筆者認為,銀行業金融機構的數據治理與數據合規不是孤立的兩個概念,而是相互依存、相互包容的概念。數據治理和數據合規,是從不同視角看待數據管理,兩者密不可分。
一、銀行業金融機構數據治理的概念與體系
(一)數據治理的含義 對于數據治理,定義較為寬泛。根據國際標準化組織IT服務管理與IT治理分技術委員會、國際數據治理研究所(DGI)、IBM數據治理委員會的觀點,數據治理意指建立在數據存儲、訪問、驗證、保護和使用之上的一系列程序、標準、角色和指標,以期通過持續的評估、指導和監督,確保富有成效且高效的數據利用,實現企業價值。[1] 根據中國銀行保險監督管理委員會發布的《銀行業金融機構數據治理指引》,數據治理是指銀行業金融機構通過建立組織架構,明確董事會、監事會、高級管理層及內設部門等職責要求,制定和實施系統化的制度、流程和方法,確保數據統一管理、高效運行,并在經營管理中充分發揮價值的動態過程。銀行業金融機構應當將數據治理納入公司治理范疇,建立自上而下、協調一致的數據治理體系。[2]銀行業金融機構數據治理的基本原則包括:全覆蓋原則、匹配性原則、持續性原則、有效性原則。[3] 按照這一界定,數據治理的目標似乎更偏重于數據的統一管理、高效運行、價值發揮。這一目標如果做簡單的理解,與合規之間的關聯度并不高。但深入分析后卻并非如此,數據合規是數據治理的底線,而數據治理則是合規的最終目標。 (二)銀行業金融機構數據治理的框架 根據《銀行業金融機構數據治理指引》的規定,銀行業金融機構數據治理體系應主要包括以下方面的內容: 1、數據治理相關的內部管理架構 組織管理架構是數據治理體系運轉的保障,也是數據治理活動的實施體系。包括:數據治理的管理權限與職責、各個部門在數據治理活動中的分工與配合、激勵與約束問題等,通過合理的組織架構與約束激勵機制,讓政策的制定者、管理者、執行者各司其職。數據治理架構應明確董事會、監事會、高級管理層和相關部門的職責分工,建立多層次、相互銜接的運行機制。具體架構安排如下: (1)董事會 董事會是數據治理的最高領導機構和最終責任承擔者,負責制定數據戰略,審批或者授權審批數據治理的重大事項,督促管理層提升治理有效性。 (2)監事會 監事會是數據治理的最高監督機構, 負責對董事會和高級管理層在數據治理方面的履職盡責情況進行事中事后監督評價。 (3)董事會授權的高管層 按照《銀行業金融機構數據治理指引》的要求,銀行業金融機構高級管理層負責建立數據治理體系。 (4)具體執行部門 在數據治理體系建設執行層面,銀行業金融機構應確定歸口部門。除上述歸口部門外,相關業務部門負責本業務領域的數據治理,作為數據治理的屬主部門,管理業務條線數據源,確保準確記錄和及時維護、落實數據質量控制機制,執行監管數據相關工作要求,加強數據應用,實現數據價值。 2、數據治理的制度體系 數據治理體系建設屬于銀行業金融機構治理的重要領域,也是商業銀行數據戰略及數字化轉型的基礎。按照《銀行業金融機構數據治理指引》,數據治理的目標是“確保數據統一管理、高效運行,并在經營管理中充分發揮數據的動態價值。 在數據治理體系構建過程中,制度體系是對整個治理架構、治理流程、管控措施的確定與書面化的體現。吳衛明律師認為,數據治理能力的重要體現,即包括制度與金融機構整體業務的匹配,以及制度的顆粒度設置的合理性。 3、數據治理的流程體系 流程是銀行業金融機構數據治理體系與制度發揮作用的重要紐帶,數據治理的相關制度具有抽象化的特征,而數據治理的流程則更加具象化。通過流程的約束,可以讓數據治理的每個管控環節都以可視化、可感知的方式呈現給銀行業金融機構的管理層和執行層。 數據治理過程中,流程體系通過管理信息系統的設定或者文件表格的設定,將數據治理的管控環節按照流程順序的不同,分解給不同部門、不同崗位。通過優化的流程設計,能夠將管理制度中的權利、職責、責任充分落實。并且,通過流程的優化,也可以讓數據治理的約束與激勵機制更為具體。
二、銀行業金融機構數據合規體系的概念與架構
一般語境下,合規是指企業的經營活動與法律、規則和準則相一致。按照中國銀行業監督管理委員會(即銀保監會)2006年發布的《商業銀行合規風險管理指引》,合規是指使商業銀行的經營活動與法律、規則和準則相一致。[5]合規風險,是指商業銀行因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險。 吳衛明律師認為,銀行業金融機構的數據合規,是指銀行等金融機構的經營活動與數據安全及個人信息保護相關的法律、法規、監管規則、規范性文件的要求相一致,從而避免因違反上述規則而導致數據合規風險的發生。 1、相關規則對于數據合規體系建設的要求 對于銀行業金融機構數據合規體系的建設,相關法律法規有明確的規定。銀行業金融機構由于其在支付結算、公眾存款、貸款服務方面的特殊地位,加之高度依賴于互聯網、用戶數據開展業務,使其具有了多重法律身份,從而在多個法律維度上均有數據合規體系建設的要求。 (1)作為網絡運營者 在金融數字化的背景下,銀行業金融機構的業務大量依托網絡辦理,因而屬于網絡運營者。《網絡安全法》對于網絡運營者建立相關制度,保障網絡運行安全及網絡數據、個人信息的安全有相應的規定。銀行業金融該機構作為網絡運營者,應制定內部安全管理制度和操作規程,確定網絡安全負責人;應當對其收集的用戶信息保密,并建立健全用戶信息保護制度。 (2)作為數據處理者 銀行業金融機構擁有大量的用戶數據和業務數據,其中還可能有大量的重要數據。按照《數據安全法》,銀行業金融機構作為數據處理者,應當依照法律、法規的規定,建立健全全流程數據安全管理制度,重要數據的處理者應當明確數據安全負責人和管理機構。 (3)作為個人信息處理者 銀行業金融機構擁有大量的個人客戶,因而其業務處理過程中,勢必會涉及大量的個人信息。按照《個人信息保護法》,應制定內部管理制度和操作規程,對個人信息實行分類管理,制定并組織實施個人信息安全事件應急預案。對于處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。 此外,對于用戶數量巨大的個人信息處理者,應按照國家規定建立健全個人信息保護合規制度體系。 (5)作為關鍵信息基礎設施運營者 按照關鍵信息基礎設施(CII)的定義,銀行業金融機構被認定為關鍵信息基礎設施運營者的可能性較大。按照《網絡安全法》及《關鍵信息基礎設施安全保護條例》,運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入;并應當設置專門安全管理機構,并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作,負責建立健全網絡安全管理、評價考核制度,擬訂關鍵信息基礎設施安全保護計劃;制定應急預案,建立健全個人信息和數據安全保護制度。 2、銀行業金融機構數據合規體系的基本架構 從實踐的角度看,金融機構的數據合規體系在形式方面與數據治理體系具有一定的相似性。簡要概括,數據合規的內部管理架構,包括管理機構、人員、部門職責、崗位設置等;數據合規的規則體系,包括相應的制度、操作指引等;以及流程體系,即包括針對不同數據處理活動的審批流程、操作流程等。 與數據治理不同的是,數據治理所涉及的制度名稱,往往并非法律的界定,而是出于慣例或有關技術規范、認證標準而制定;而數據合規的制度名稱,則除了需要體現上述慣例或技術規范的要求外,還需要在其內容里實質性的體現出法律法規的要求。比如針對重要數據,企業內部應該有重要數據安全評估的相應機制;對于個人信息的自動化處理及出境,需要有內部的個人信息保護影響評估制度及個人信息出境制度。 此外,銀行業金融機構數據合規體系還有一個重要的組成部分,即數據合規的風險庫。風險庫是指根據法律法規及規章等具有強制力的規范,以及銀行業金融機構具體的業務流程、數據處理流程而歸納出的現實風險或可能出現的合規風險。通過風險庫的設置,使得合規體系在管控措施、流程設置方面有的放矢,并能夠讓制度更加有針對性。
三、銀行業金融機構數據治理與數據合規的關系及融合
銀行業金融機構的數據治理與數據合規是一對共生的體系,兩者既有差異也有融合,共通構成了銀行業金融機構的數據管理體系。 1、數據治理體系與數據合規體系的差異 (1)目標不同 吳衛明律師認為,數據治理體系的目標包括實現數據統一管理、高效運行與利用、并在經營管理中充分發揮數據價值,從而實現企業價值。 而數據合規體系的目標則偏重于數據處理活動的合法合規,避免合規風險的發生。 數據治理體系、數據合規體系都是通過組織架構的設立和一系列的制度、流程來完成其各自的目標。但兩者的價值目標是有差異的,數據治理強調在穩健治理的基礎上實現數據利用價值,而數據合規則強調在合規管理的基礎上防范數據相關的法律風險。 (2)規則依據不同 吳衛明律師認為,從數據治理的角度看,可以遵循的強制性法律規則較少,全國人大層面的法律以及國務院層面的法規,并無專門針對數據治理的法律法規。對于銀行業金融機構的數據治理,也僅有《銀行業金融機構數據治理指引》這一專門的監管規則。數據治理的規則更多見于有關的非強制性標準、國際認證標準等,而這些規則并不具有法律強制力,而主要通過有關標準來引導企業實施有效的數據治理,并通過相關的商業認證,在一定范圍內為企業的數據治理水平提供一種公示的效應。 數據治理問題,國家法律不予過多的干預,主要是因為數據治理核心的目標是商業價值的實現,本質是企業自身的競爭能力,因而,不宜由法律或國家的有關強制性的制度予以過多干預。 而數據合規則擁有一套完整的法律規則體系,因為數據合規更加關注的是數據處理活動中的數據安全與合法問題。 基于此,我國出臺了以《網絡安全法》、《數據安全法》、《個人信息保護法》為主體的數據安全與合規法律體系。此外,還有《計算信息系統安全保護條例》、《關鍵信息基礎設施安全保護條例》、《網絡數據安全管理條例(征求意見稿)》、《網絡安全等級保護條例(征求意見稿)》等行政法規及其征求意見稿。此外,《國家安全法》、《消費者權益保護法》、《電子商務法》等法律中也有關于數據安全與合規的內容要求,最高人民法院與最高人民檢察院也出臺了相應的司法解釋。國家網信部門、工信部門及其他相關監管部門也出臺了相應的行政規章,其中有代表性的包括《網絡安全審查辦法》、《汽車數據安全管理若干規定(試行)》、《數據出境安全評估辦法(征求意見稿)》、《工業和信息化領域數據安全管理辦法(試行)》(征求意見稿)等。 需要說明的是,數據治理中,除了數據利用價值外,也有數據保護的內涵,這一點也是數據合規所關注的。 (3)內涵不同 通過對數據治理與數據合規價值目標的分析,可以看出,兩個體系在價值目標、依據的規則方面是不同的,從而引申出兩個體系內涵的不同。 數據治理體系是一個通過數據驅動企業發展的體系,而數據合規體系則是讓數據治理體系運行在國家法律法規確定的軌道內的保障體系。 2、數據治理體系與數據合規體系的融合 (1)方法論與基礎工作的共通 吳衛明律師認為,正是由于數據治理和數據合規都是針對數據實施的體系化管理,兩者在方法論上具有一定的共通性。 首先,都需要厘清銀行業金融機構的數據資產狀況,并對數據實施分類分級的甄別。對于數據治理而言,分類分級的目的于識別數據對于企業自身的價值;而對于數據合規而言,則在于識別數據對于國家安全、社會公共利益、第三方利益的影響。 其次,都需要以數據利用與業務流程的匹配為基礎。對于數據治理而言,由于其核心目標是通過數據價值助推業務發展,實現企業利益最大化,那么數據的利用與業務流程的匹配將是數據治理需要關注的基礎問題。對于數據合規而言,通過在業務流程中,設置必要的合規管控與風險管控措施,防范數據合規風險,也需要對數據利用情況以及業務流程進行深刻的挖掘。 再次,都需要以數據全生命周期的角度來看待數據的管理體系搭建。對于數據治理體系而言,數據價值的發揮需要考慮數據全生命周期的運用和保護;而對于數據合規,全生命周期保護同樣是基礎的方法。 最后,都需要整體化的思路來實施管理,整體意味著治理與合規都需要從組織架構、人員與崗位、制度、流程、激勵約束做整體的安排。 (2)數據治理與數據合規互為支撐 首先,從數據安全管理的角度看,無論是數據治理體系還是數據合規體系,都關注數據的安全管理措施。 其次,數據治理體系搭建過程中,對于數據合規的價值目標應予以考慮,從而保障數據治理體系整體的合規性。數據合規體系的搭建,則也需要考慮到數據治理的客觀需要。 最后,由于兩者在方法、技術措施上具有很多共通性,數據治理體系和數據合規體系往往是表現為一個硬幣的兩面。組織架構以及大量的制度、流程都具有相互的融合性。 (3)數據治理體系的風險有時會以合規風險的方式體現 最近的一個合規處罰案例,針對的是商業銀行的數據治理問題,但卻以合規處罰的方式予以體現。 根據銀保監會于2022年3月25日發布的公告,銀保監會近年來對21家全國性中資銀行機構(政策性銀行、國有大型銀行、股份制銀行等)開展監管標準化數據(EAST)數據質量專項檢查,發現21家銀行機構在EAST數據質量領域均存在違法違規問題,包括漏報錯報EAST數據、部分數據交叉校核存在偏差等數據質量違規問題。為此,銀保監會對21家銀行機構依法作出行政處罰決定,處罰金額合計8760萬元。 上述處罰案例針對的是商業銀行EAST數據質量問題,而監管數據治理是商業銀行數據治理的重要內容,并且,監管數據治理本身又是商業銀行落實合規管理要求的基礎。與此同時,監管數據治理與商業銀行的全面數據合規體系也有一定的交叉與融合。比如,監管數據可能會包含國家重要數據、機密商業數據等數據,而從數據分類分級管理、重要數據安全評估、數據的技術保護措施等角度看,數據治理與數據合規體系也具有共通性。
四、從合規視角搭建銀行業金融機構數據治理體系
1、以合規視角搭建數據治理體系的必要性 如上文所述,數據治理體系與數據合規體系兩者具有融合性的特征,雖然價值目標有所差異,但卻是相互依存,離開數據合規的數據治理,將無法解決合規風險問題;而離開數據治理的數據合規,將無法支撐數據價值的最大發揮及業務目標的實現。吳衛明律師認為,一個好的數據管理體系,應該是將數據治理與數據合規做整體考慮,并兼顧上述兩個價值目標。因此,將數據治理體系與數據合規體系做整體考慮,并對體系整體搭建,無論從其制度效用、實施成本角度,還是從優化管理、避免不同體系內在沖突的角度,都是最優化的方案。 當然,不同的金融機構在不同階段,側重點可以有所不同。比如,規模較小或者數據開發利用能力較弱的機構,可以在制度搭建過程中,側重數據合規。而數據開發利用能力強的機構,則應對于數據治理與數據合規并重。 2、將數據合規架構與數據治理架構做融合考慮 按照《銀行業金融機構數據治理指引》的要求,銀行業金融機構高級管理層負責建立數據治理體系,并可根據實際情況設立首席數據官。但是對于由什么樣的高級管理人員負責數據治理體系建設,以及首席數據官在金融機構組織架構中的定位,指引并沒有明確規定。 筆者認為,從合規視角來看組織架構,則首席數據管的設立,應與《數據安全法》、《個人信息保護法》的制度進行必要的銜接。按照《數據安全法》,重要數據的處理者應當明確數據安全負責人和管理機構,按照《個人信息保護法》,處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人。首席數據官、數據安全負責人、個人信息保護負責人,如果在管理職能、職責方面不能建立有機統一的體系,則不僅浪費管理資源,也會造成分工的重疊,以及管理上的銜接問題。 因此,在設立首席數據官的時候,應將《數據安全法》及《個人信息保護法》規定的合規架構一并考慮。合理安排首席數據官、數據安全負責人及個人信息保護負責人的崗位及分工、職責。 在數據治理體系建設執行層面,銀行業金融機構在確定歸口部門時,主要可以考慮由兩類部門作為數據治理的歸口部門。一是信息安全部門(部分機構內設名稱為“科技部”)并在其下設專門的數據安全管理部門,二是合規部門。上述兩類部門在數據治理體系建設方面,各司其職、相互配合。信息安全或科技部門作為執行的歸口部門,合規部門作為制度制定及執行的咨詢與支持部門。 3、整體考慮數據合規與數據治理的制度流程 筆者認為,應從數據合規體系與數據治理體系融合的角度,整體考慮相關的制度建設。雖然按照《銀行業金融機構數據治理指引》,數據治理的目標是“確保數據統一管理、高效運行,并在經營管理中充分發揮數據的動態價值。”但其內涵也應包含數據安全及合規問題。筆者認為,一個好的數據治理體系,應包含數據合規的內容,并從以下幾方面構建制度體系: (1)數據資產管理類制度 數據資產管理類制度是與商業銀行的數據戰略、數據資產利用策略、數據資產知識產權保護、數據資產內部跨部門協同利用等相關的管理制度。 (2)監管數據管理類制度 監管數據管理類制度是商業銀行應對監管檢查、監管報送而建立的一整套制度。監管數據管理制度與數據資產管理制度有一定的交叉,但更加側重監管數據管理,其目標不是發揮數據價值,而是滿足業務監管合規的要求。 (3)數據安全保護類制度 數據安全管理類制度主要側重于滿足《網絡安全法》、《數據安全法》、《個人信息保護法》及《關鍵信息基礎設施安全保護條例》等專門的網絡安全、數據安全、個人信息保護法以及人民銀行與銀保監會關于網絡安全、數據安全的特定監管要求。其內容包括網絡安全保護、數據安全保護、個人信息安全保護,以及數據分級分類、系統及數據庫訪問控制策略、數據加密脫敏及去標識化處理等方面。此外,還包括網絡與數據安全的應急預案、培訓、風險評估等相關制度。 (4)數據合規處理類制度 合規處理類,主要針對數據的收集、加工、利用、存儲、提供、出境等數據處理活動,以及個人信息處理活動。主要為了滿足數據利用過程中的合法、合規要求。 4、將合規風險管控措施嵌入流程體系 合規管控節點的植入,需要以合規風險庫為依托,在結構業務流程和數據處理環節的基礎上,形成合規管控節點與具體措施。通過將這些節點與措施植入數據治理的整體制度體系和流程中,達到數據合規體系與數據治理體系有機融合、動態共生的目標。 綜上,銀行業金融機構數據治理與數據合規體系建設,是一個共生的大系統,共同保障金融機構在防范數據合規風險的基礎上,達到數據的有效保護,并提高數據利用效率,在數字化轉型的大背景下,助推銀行業金融機構的業務發展。
參考文獻: 1、《數據治理與數據安全》,張莉主編,人民郵電出版社,2019年9月。 2、《數字金融的法律實務與風險防范》,吳衛明著,中國人民大學出版社,2018年10月。
注釋 [1] 《數據治理與數據安全》,張莉主編,人民郵電出版社,2019年9月。 [2] 《銀行業金融機構數據治理指引》第三條、第四條。 [3] 《銀行業金融機構數據治理指引》第五條 銀行業金融機構數據治理應當遵循以下基本原則: (一)全覆蓋原則。數據治理應當覆蓋數據的全生命周期,覆蓋業務經營、風險管理和內部控制流程中的全部數據,覆蓋內部數據和外部數據,覆蓋監管數據,覆蓋所有分支機構和附屬機構。(二)匹配性原則。數據治理應當與管理模式、業務規模、風險狀況等相適應,并根據情況變化進行調整。(三)持續性原則。數據治理應當持續開展,建立長效機制。(四)有效性原則。數據治理應當推動數據真實準確客觀反映銀行業金融機構實際情況,并有效應用于經營管理。 [4] 《商業銀行合規風險管理指引》,中國銀行業監督管理委員會,2006年發布。 第三條 本指引所稱法律、規則和準則,是指適用于銀行業經營活動的法律、行政法規、部門規章及其他規范性文件、經營規則、自律性組織的行業準則、行為守則和職業操守。本指引所稱合規,是指使商業銀行的經營活動與法律、規則和準則相一致。本指引所稱合規風險,是指商業銀行因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險。
