比对解读《银行业金融机构数据治理指引》数据合规新要求

2018年3月16日，银监会发布《银行业金融机构数据治理指引》（以下称“《治理指引》”），向社会公开征求意见。5月21日，银保监会即发布《治理指引》正式稿，要求银行业金融机构通过建立组织架构健全、董监高及内设部门职责分工明确的制度、流程和方法，确保数据的统一管理和运行。《治理指引》从征求意见到正式发布仅用了两个月时间，反映出银保监会对银行业金融机构加强数据治理的迫切需求。高质量的数据是提升银行经营管理效率和监管效能的重要基础，只有加强数据治理，才能在保证银行金融业快速发展的同时兼顾监管的效率，《治理指引》的出台为银行业金融机构完善数据合规提供了依据。

《治理指引》主要从数据治理架构、数据管理、数据质量控制、数据价值实现等四方面引导银行业金融机构开展数据治理。针对当前银行业金融机构数据在使用和向监管机构报送过程中存在的主要问题，《治理指引》提出了三点要求：一是建立数据质量控制机制，二是强化银行业金融机构对数据质量的责任，三是突出监管数据质量要求。可以说，《治理指引》的实施将进一步提升银行业金融机构的数据治理能力，同时也对数据合规提出了更高的要求。

《治理指引》及其前身对比

本次《治理指引》共七章五十五条，遵循监管引领和问题导向。值得注意的是，《治理指引》第五十五条明确了自其印发之日起《银行监管统计数据质量管理良好标准（试行）》（以下称“《标准》”）同时废止，从侧面印证了《治理指引》出台前《标准》作为其前身的作用。下面就《治理指引》与《标准》的内容进行对比。

基本原则

组织架构

在组织架构方面，《治理指引》较《标准》更为细化。明确规定了银行业金融机构董事会、监事会和高管的相应职责，同时从数据治理角度增加了数据文化建设的要求，目的在于构建组织健全、职责边界清晰的数据治理体系。对于归口管理、岗位设置和团队建设方面的内容，《治理指引》则基本沿袭了《标准》的内容。《治理指引》在高管职责方面首次提出了银行业金融机构根据实际需要设立首席数据官，且首席数据官任职资格许可应符合相关行政许可事项的要求。根据去年7月最新修订的《中国银监会中资商业银行行政许可事项实施办法》的规定，首席信息官除具备担任商业银行高管的基本条件外，还应具备本科以上学历，并从事信息科技工作6年以上（其中任信息科技高级管理职务4年以上并从事金融工作2年以上）的条件[1]。

数据管理

《治理指引》第三章为数据管理，其中第十七条要求银行业金融机构应当结合自身发展战略、监管要求等，制定数据战略并确保有效执行和修订。相较《标准》，《治理指引》更加重视数据在共享、存储过程中的统一管理和安全收集，同时明确了数据分级和客户隐私保护。《治理指引》在正式稿第二十四条中增设了一款内容：“银行业金融机构采集、应用数据涉及到个人信息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准”。该内容的加入，将2018年5月1日正式生效的《信息安全技术 个人信息安全规范》（以下称“《个人信息安全规范》”）等国家标准纳入到了银行业金融机构数据治理的合规体系之中。

数据质量

《治理指引》第四章主要介绍了质量控制要求、质量控制手段的业务制度和技术工具，日常监控、检查制度、考核评价、整改制度和监管数据报送、监管数据质量管控等多方面要求，上述内容在《良好标准》中也都有所体现。而第五章则是全新要求，内容囊括数据价值实现要求、风险管理有效性、风险监控、数据加总能力、风险报告、风险定价，重大收购、资产剥离、新产品评估、客户营销、业务流程优化、业务创新、内控评价制度等多个方面。

银行业金融机构数据安全合规指引

客户隐私保护

应依据《网络安全法》《个人信息安全规范》的内容，收集和使用客户信息时遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经客户同意；不得泄露、篡改、毁损收集的客户信息；未经客户同意，不得向第三方提供客户个人信息；采取技术或其他措施确保收集的客户个人信息的安全，防止信息泄露、毁损、丢失；必要时及时处理保证相关信息无法识别特定客户。上述义务均可通过隐私政策予以明确。然而，目前国内大多数商业银行仅在用户协议的部分条款中涵盖隐私保护，且内容简略，无法适应《个人信息安全规范》的标准。今年3月20日，南都个人信息保护研究中心发布的《移动金融用户个人信息安全测评报告》显示，在隐私保护合规方面，九成APP的隐私政策合规度低，其中20款更是无任何隐私条款，诸如中国建设银行、中国银行等APP截止报告发布均未完成隐私政策的制订，也反映出银行业金融机构对客户隐私仍然缺乏足够关注[2]。

应急预案制定

去年7月发布的《关键信息基础设施安全保护条例（征求意见稿）》明确将金融行业领域单位纳入关键信息基础设施范围，同时要求运营者制定网络安全事件应急预案并定期进行演练[3]。银行业金融机构作为关键信息基础设施可以参照工信部去年11月发布的《公共互联网网络安全突发事件应急预案》完善应急预案的演练。从监测预警、应急处置、预防准备工作等三方面予以落实，建立健全数据安全管理制度，积极参与相关部门开展的应急演练。面向员工开展相关法律法规、应急预案基本知识的教育培训，密切监测本单位网络和系统运行状况。一旦发生网络安全事件应及时通报相应部门，并组织工作人员采取应急措施，履行先行处置义务，努力恢复网络和系统运行。

结语

近年来，随着金融业务的快速发展，银行业金融机构积累了海量的客户数据、交易数据与外部数据，数据已然成为银行业金融机构的核心竞争力的重要资产。充分发挥数据价值，用数据驱动银行业金融机构发展，提高经营效率，具有重要意义。在此过程中，数据合规完善与整改势在必行。建议银行业金融机构以《治理指引》的正式实施为契机，借力于有效的工具和技术措施，建设和优化数据治理体系，提高数据管理和质量控制水平，制定完善的客户隐私保护制度和应急预案，在充分挖掘和利用数据价值的同时降低数据泄露风险，持续提升内控能力及经营管理能力，方可形成全机构上下良好的数据文化，从而实现数据价值的最大化。

注释：

[1] 《中国银监会中资商业银行行政许可事项实施办法》第八十六条（九）

[2] 《2018移动金融用户个人信息安全测评报告》 P7 b.红榜与黑榜

[3] 《关键信息基础设施安全保护条例（征求意见稿）》第十八条、第二十四条（四）

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。 

作者简介：周天一律师助理，毕业于西南政法大学，法学学士。专注于数据信息领域的法律服务，执业领域为数据合规、公司业务、兼并收购、争议解决等。

吴丹君

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com

 周 天 一

律师助理

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：zhouty@guantao.com