楊彬　季誠誠　連伊敏

2021年6月，中國銀保監(jiān)會組織銀行業(yè)、保險(xiǎn)業(yè)開展“內(nèi)控合規(guī)管理建設(shè)年”活動(dòng)，對商業(yè)銀行的合規(guī)管理提出更高要求。隨著數(shù)字經(jīng)濟(jì)向縱深發(fā)展，“合規(guī)”的內(nèi)涵和外延不斷擴(kuò)展，“合數(shù)據(jù)之規(guī)”勢在必行。商業(yè)銀行因數(shù)據(jù)治理不當(dāng)、嚴(yán)重違反審慎經(jīng)營規(guī)則、監(jiān)管數(shù)據(jù)報(bào)錯(cuò)等原因而獲監(jiān)管罰單的現(xiàn)象已經(jīng)屢見不鮮，銀保監(jiān)會2021年開出的第一張罰單即事關(guān)數(shù)據(jù)合規(guī)問題，某行因數(shù)據(jù)安全管理粗放、存在數(shù)據(jù)泄露風(fēng)險(xiǎn)、互聯(lián)網(wǎng)門戶網(wǎng)站泄露敏感信息等問題，被罰款420萬元。

由此可見，商業(yè)銀行只有守好數(shù)據(jù)處理、融合、應(yīng)用的合規(guī)底線，才能更好地將數(shù)據(jù)資源變?yōu)閿?shù)據(jù)資產(chǎn)，真正發(fā)揮數(shù)據(jù)價(jià)值，驅(qū)動(dòng)業(yè)務(wù)發(fā)展，以實(shí)現(xiàn)“聚數(shù)成金”。

商業(yè)銀行數(shù)據(jù)融合應(yīng)用的關(guān)鍵環(huán)節(jié)

外部數(shù)據(jù)源

隨著商業(yè)銀行數(shù)字化轉(zhuǎn)型向縱深發(fā)展，商業(yè)銀行在獲客、交叉營銷和授信等各類業(yè)務(wù)活動(dòng)中，與外部數(shù)據(jù)源合作越來越廣泛，包括數(shù)據(jù)采購、數(shù)據(jù)共享和聯(lián)合運(yùn)營等合作模式。

數(shù)據(jù)采購是商業(yè)銀行獲取外部數(shù)據(jù)的最常用的模式。銀行可通過專業(yè)第三方數(shù)據(jù)供應(yīng)商（如湯森路透、萬得）或權(quán)威數(shù)據(jù)發(fā)布機(jī)構(gòu)（如法院、海關(guān)、人行征信、地方大數(shù)據(jù)局等）的API接口獲取數(shù)據(jù)，按照使用情況付費(fèi)。數(shù)據(jù)共享也是常見的數(shù)據(jù)合作模式。該模式下商業(yè)銀行的機(jī)密信息及客戶隱私較容易在缺乏審核的情況下離開行內(nèi)系統(tǒng)和網(wǎng)絡(luò)，不易追溯和控制。聯(lián)合運(yùn)營是助貸業(yè)務(wù)模式中廣泛使用的數(shù)據(jù)策略。助貸機(jī)構(gòu)可以依據(jù)數(shù)據(jù)和場景優(yōu)勢，參與到商業(yè)銀行獲客引流或服務(wù)分銷等業(yè)務(wù)環(huán)節(jié)中;商業(yè)銀行之間可以借助加密技術(shù)完成各類業(yè)務(wù)數(shù)據(jù)挖掘模型的建模，在“數(shù)據(jù)不出門”的情況下獲取超出銀行數(shù)據(jù)范圍的分析結(jié)果。

來源豐富、高度復(fù)雜的外部數(shù)據(jù)，已是當(dāng)前商業(yè)銀行數(shù)字化展業(yè)所必需的“食糧”，其中往往存在較高的數(shù)據(jù)安全、個(gè)人信息隱私保護(hù)等合規(guī)性風(fēng)險(xiǎn)。為此，商業(yè)銀行須進(jìn)行嚴(yán)格篩查，確保數(shù)據(jù)處理活動(dòng)嚴(yán)格遵守合法、正當(dāng)及必要原則。

數(shù)據(jù)技術(shù)采購及使用

商業(yè)銀行數(shù)據(jù)治理、分析、融合與價(jià)值應(yīng)用的工作周期長、復(fù)雜程度高，部分銀行自身經(jīng)常面臨組織體系滯后、專業(yè)人才不足、能力薄弱等短板，與數(shù)據(jù)技術(shù)服務(wù)商合作進(jìn)行技術(shù)攻關(guān)已是公認(rèn)的破局之道。數(shù)據(jù)技術(shù)服務(wù)商對于數(shù)據(jù)處理及應(yīng)用的各個(gè)細(xì)分領(lǐng)域存在專業(yè)優(yōu)勢。

一是技術(shù)研發(fā)、數(shù)據(jù)共享以及數(shù)據(jù)分析挖掘。在關(guān)于數(shù)據(jù)分析與應(yīng)用的諸多方面，商業(yè)銀行與技術(shù)第三方展開深度合作，探索更高效的數(shù)據(jù)應(yīng)用與服務(wù)模式實(shí)現(xiàn)路徑，創(chuàng)新數(shù)據(jù)應(yīng)用與服務(wù)場景。

二是數(shù)據(jù)平臺系統(tǒng)建設(shè)、實(shí)施及運(yùn)維。通過與大數(shù)據(jù)平臺技術(shù)方案供應(yīng)商合作，借助其專業(yè)的技術(shù)能力建設(shè)符合銀行數(shù)據(jù)治理要求的各類數(shù)據(jù)平臺，已是大多數(shù)商業(yè)銀行的選擇。

三是互聯(lián)網(wǎng)云服務(wù)。商業(yè)銀行通過購買外部技術(shù)廠商的數(shù)據(jù)治理云服務(wù)并開展本地化部署，在滿足“數(shù)據(jù)不出門”的監(jiān)管要求下快速獲得行業(yè)領(lǐng)先的數(shù)據(jù)管理能力。例如，針對商業(yè)銀行在元數(shù)據(jù)、數(shù)據(jù)質(zhì)量和數(shù)據(jù)安全管理方面的需求，某云服務(wù)平臺提供Dataworks、Dataphin和MaxCompute等云服務(wù)產(chǎn)品。

在上述合作過程中，商業(yè)銀行需要首先優(yōu)化內(nèi)部管理流程，警惕平臺及工具軟件過度定制化，在成熟軟件與軟件定制方案之間，商業(yè)銀行需要謹(jǐn)慎地評估選擇技術(shù)方案供應(yīng)商，并明確所要建設(shè)的平臺工具的系統(tǒng)功能邊界。

數(shù)據(jù)咨詢服務(wù)

商業(yè)銀行數(shù)據(jù)治理及融合應(yīng)用工作是一項(xiàng)持續(xù)推進(jìn)的復(fù)雜工程，外部咨詢服務(wù)以第三方立場評估數(shù)據(jù)治理現(xiàn)狀、問題及與業(yè)內(nèi)領(lǐng)先實(shí)踐的差距，進(jìn)而規(guī)劃數(shù)據(jù)融合應(yīng)用，更具客觀性、系統(tǒng)性及專業(yè)性，因此商業(yè)銀行采購數(shù)據(jù)咨詢服務(wù)已成普遍實(shí)踐。

目前，德勤、普華永道、安永等知名咨詢機(jī)構(gòu)已經(jīng)形成了成熟的數(shù)據(jù)治理專項(xiàng)咨詢服務(wù)咨詢框架及流程。

數(shù)據(jù)治理咨詢服務(wù)內(nèi)容總體可以分為四類：一是對數(shù)據(jù)治理框架、功能模塊進(jìn)行拆解及宣傳宣講，使商業(yè)銀行系統(tǒng)性地了解數(shù)據(jù)治理工作;二是梳理業(yè)務(wù)運(yùn)營及當(dāng)前系統(tǒng)建設(shè)的現(xiàn)狀、痛點(diǎn)及期望;三是針對不合理的部門職責(zé)、數(shù)據(jù)架構(gòu)、主數(shù)據(jù)管理、IT開發(fā)流程、技術(shù)標(biāo)準(zhǔn)、服務(wù)模式等給出整改建議;四是根據(jù)商業(yè)銀行個(gè)性化需求，將整改建議融于數(shù)據(jù)治理模塊，最終形成整體數(shù)據(jù)治理方案。在分工上，商業(yè)銀行在與咨詢服務(wù)機(jī)構(gòu)合作時(shí)應(yīng)履行信息科技管理的主體責(zé)任，承擔(dān)架構(gòu)、項(xiàng)目管理方面的核心職責(zé)，外部咨詢機(jī)構(gòu)主要負(fù)責(zé)項(xiàng)目內(nèi)容規(guī)劃、實(shí)施方案和路線圖設(shè)計(jì)方面的具體工作。

數(shù)據(jù)治理與融合應(yīng)用過程中的合規(guī)風(fēng)險(xiǎn)

外部數(shù)據(jù)融合“不安全”“不可靠”“不好用”

金融數(shù)據(jù)具有較強(qiáng)的外部性和對象性，例如：商業(yè)銀行日常業(yè)務(wù)增長范疇的數(shù)據(jù)對自身提高發(fā)展效益意義最大，但其中屬于個(gè)人隱私范疇的數(shù)據(jù)對個(gè)人意義重大，一旦濫用，既是違法也是對個(gè)人權(quán)益的侵害;屬于涉外金融與貿(mào)易范疇的數(shù)據(jù)對國家外交、外匯管理等有重大意義，管理運(yùn)用不當(dāng)可能危及國家安全。外部數(shù)據(jù)來源廣泛、形式多樣、標(biāo)準(zhǔn)不一，在商業(yè)銀行全域的數(shù)據(jù)融合應(yīng)用中存在“不安全”“不可靠”“不好用”的問題。

外部數(shù)據(jù)源的安全性及合法性管理不足。2021年，我國正式發(fā)布《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）、《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)保法》）、《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171-2020），以備受關(guān)注的數(shù)據(jù)安全、個(gè)人金融信息安全及權(quán)益保護(hù)領(lǐng)域在法律層面和技術(shù)操作層面提出更嚴(yán)苛的要求和更清晰的規(guī)范。在與第三方數(shù)據(jù)交互安全管理方面，一是要求共享數(shù)據(jù)時(shí)，對數(shù)據(jù)接收方的背景資質(zhì)及數(shù)據(jù)安全能力進(jìn)行審查，涉及個(gè)人信息或重要數(shù)據(jù)時(shí)，依法開展安全評估;二是要求接收數(shù)據(jù)時(shí)，對數(shù)據(jù)來源合規(guī)性進(jìn)行評估;三是要求完善與第三方簽署的數(shù)據(jù)安全協(xié)議條款。當(dāng)前實(shí)踐中，商業(yè)銀行存在著不同程度的外部數(shù)據(jù)采購、使用與交換共享的合規(guī)性問題。包括：缺少對外部數(shù)據(jù)源和數(shù)據(jù)供應(yīng)商的合理評估及盡職調(diào)查;數(shù)據(jù)安全協(xié)議條款的設(shè)定不充分、不嚴(yán)謹(jǐn)甚至沒有簽署相關(guān)協(xié)議的情況也屢見不鮮;在外部數(shù)據(jù)引入使用后，很少進(jìn)行持續(xù)跟蹤與及時(shí)評估。

內(nèi)外部數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一，融合應(yīng)用困難。由于外部數(shù)據(jù)來源及類型復(fù)雜，實(shí)踐中往往又存在多個(gè)業(yè)務(wù)部門各自接入外部數(shù)據(jù)的情況，商業(yè)銀行建立統(tǒng)一的內(nèi)外部數(shù)據(jù)標(biāo)準(zhǔn)面臨嚴(yán)峻挑戰(zhàn)。實(shí)踐中，銀行往往只制定外部數(shù)據(jù)接口類的技術(shù)標(biāo)準(zhǔn)，未進(jìn)行有效的外部數(shù)據(jù)標(biāo)準(zhǔn)化。此外，數(shù)據(jù)處理人員標(biāo)準(zhǔn)意識往往較為淡薄，標(biāo)準(zhǔn)不統(tǒng)一、不規(guī)范導(dǎo)致的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)較大。

數(shù)據(jù)技術(shù)采購及建設(shè)選擇不當(dāng)、階段不清、理念不匹配

商業(yè)銀行數(shù)據(jù)融合應(yīng)用往往需要借助外部數(shù)據(jù)技術(shù)廠商的技術(shù)能力，搭建數(shù)據(jù)治理等大數(shù)據(jù)平臺，提供常態(tài)運(yùn)維服務(wù)，提高數(shù)據(jù)處理及應(yīng)用的效率和能力，并固化工作機(jī)制和成果。在數(shù)據(jù)技術(shù)采購及平臺建設(shè)合作過程中，商業(yè)銀行需要明確以下的合規(guī)問題。

供應(yīng)商選擇不當(dāng)。無論決定與哪家技術(shù)供應(yīng)商或服務(wù)供應(yīng)商合作，都具有選擇不當(dāng)?shù)娘L(fēng)險(xiǎn)，數(shù)據(jù)技術(shù)平臺供應(yīng)商在建設(shè)平臺過程中，存在竊取商業(yè)銀行重要數(shù)據(jù)及商業(yè)機(jī)密的道德風(fēng)險(xiǎn)，造成銀行顯性損失和安全隱患。此外，供應(yīng)商在數(shù)據(jù)治理不同領(lǐng)域的專長有所側(cè)重，其方法論及團(tuán)隊(duì)工作文化也可能與商業(yè)銀行存在不匹配的問題。商業(yè)銀行須認(rèn)真遵守銀行內(nèi)部制定的技術(shù)外包管理制度、合作管理制度等。

數(shù)據(jù)工具平臺建設(shè)階段不清晰。對于高度重視管理機(jī)制的數(shù)據(jù)治理而言，平臺及工具軟件本質(zhì)上是先進(jìn)管理思想的沉淀和輸出，工具發(fā)揮作用的前提是商業(yè)銀行的基礎(chǔ)數(shù)據(jù)治理架構(gòu)已經(jīng)有效構(gòu)建，在此基礎(chǔ)上提出的數(shù)據(jù)治理技術(shù)合作需求才是靠譜的，落地后的數(shù)據(jù)平臺工具才可常態(tài)化運(yùn)行。因此，先梳理數(shù)據(jù)治理組織機(jī)制、流程、制度及標(biāo)準(zhǔn)，分階段、分步驟建設(shè)平臺工具，是比較穩(wěn)妥的技術(shù)合作路徑。

數(shù)據(jù)治理場景及理念不匹配。如果商業(yè)銀行決定在數(shù)據(jù)治理工作伊始就全面引入數(shù)據(jù)治理工具平臺，需要仔細(xì)評價(jià)這些工具功能背后是否真的能夠支撐本行最為核心的數(shù)據(jù)治理場景及治理理念。更進(jìn)一步講，商業(yè)銀行應(yīng)重新審視上述數(shù)據(jù)治理場景和理念是否已經(jīng)得到較好的實(shí)踐、證明適用于本行等問題。

數(shù)據(jù)咨詢服務(wù)“不實(shí)用”“不適用”，輔導(dǎo)不足

通常，在商業(yè)銀行采購數(shù)據(jù)咨詢服務(wù)尤其是數(shù)據(jù)治理規(guī)劃咨詢過程中，咨詢公司提供完整的方法論及文檔模板，基本主導(dǎo)整個(gè)咨詢項(xiàng)目的全過程。但數(shù)據(jù)治理咨詢機(jī)構(gòu)的咨詢顧問大多并沒有真正地接觸過商業(yè)銀行數(shù)據(jù)治理一線實(shí)踐，對于所要服務(wù)的銀行可能存在“刻板印象”，按照數(shù)據(jù)治理咨詢的“常規(guī)套路”提供咨詢服務(wù)也增加了數(shù)據(jù)治理咨詢中“不實(shí)用”“不適用”的風(fēng)險(xiǎn)。

此外，不同的數(shù)據(jù)治理咨詢機(jī)構(gòu)及其各個(gè)項(xiàng)目團(tuán)隊(duì)的咨詢水平能力可能參差不齊，這也增加了其對商業(yè)銀行數(shù)據(jù)監(jiān)管合規(guī)輔導(dǎo)不足而導(dǎo)致合規(guī)風(fēng)險(xiǎn)。

以合規(guī)促發(fā)展的有關(guān)建議——金融監(jiān)管、行業(yè)自律、商業(yè)銀行多主體聯(lián)合

為更好地實(shí)現(xiàn)商業(yè)銀行等金融機(jī)構(gòu)數(shù)據(jù)融合與應(yīng)用，我們建議逐步進(jìn)行多主體聯(lián)防共建。一方面，建議監(jiān)管部門、行業(yè)自律組織、金融機(jī)構(gòu)聯(lián)合實(shí)現(xiàn)金融業(yè)數(shù)據(jù)的有效收集，形成風(fēng)險(xiǎn)信息共享機(jī)制，分享行業(yè)調(diào)查研究報(bào)告，推動(dòng)同業(yè)之間開展經(jīng)驗(yàn)交流。另一方面，建議推進(jìn)建設(shè)跨地區(qū)、跨部門、跨層級的數(shù)據(jù)共享及應(yīng)用機(jī)制，進(jìn)而實(shí)現(xiàn)多方聯(lián)動(dòng)，協(xié)調(diào)推進(jìn)金融風(fēng)險(xiǎn)處置。

金融監(jiān)管層面：立規(guī)范、“進(jìn)沙盒”

一是建議金融監(jiān)管部門應(yīng)盡快制定、修訂、細(xì)化、完善系列規(guī)范，加強(qiáng)數(shù)據(jù)法制建設(shè)交流合作，規(guī)范金融數(shù)據(jù)收集、處理、轉(zhuǎn)移等活動(dòng)，讓數(shù)據(jù)資源充分涌流、數(shù)據(jù)價(jià)值充分顯現(xiàn)，推動(dòng)解決數(shù)據(jù)“不能用”“不好用”的問題，提升商業(yè)銀行數(shù)據(jù)融合應(yīng)用質(zhì)效及合規(guī)水平。

二是可將“監(jiān)管沙盒”應(yīng)用于金融數(shù)據(jù)應(yīng)用領(lǐng)域，測試在現(xiàn)有的法律法規(guī)條款下，商業(yè)銀行的數(shù)據(jù)融合及應(yīng)用情況，并根據(jù)實(shí)際情況動(dòng)態(tài)調(diào)整方針政策和監(jiān)管策略，提高監(jiān)管效力，解決數(shù)據(jù)“不好用”的問題。

行業(yè)自律層面：建標(biāo)準(zhǔn)、促交流

行業(yè)自律組織可通過推動(dòng)機(jī)構(gòu)之間的業(yè)務(wù)交流和信息共享，明確自律懲戒機(jī)制，提高行業(yè)規(guī)則和標(biāo)準(zhǔn)的約束力。

一是建議行業(yè)自律組織履行服務(wù)監(jiān)管的職責(zé)，推動(dòng)商業(yè)銀行加強(qiáng)數(shù)據(jù)風(fēng)險(xiǎn)防范交流，構(gòu)建廣泛受認(rèn)可的、便于實(shí)施落地的、安全可信的數(shù)據(jù)合作與應(yīng)用機(jī)制。通過鼓勵(lì)與規(guī)范并舉，進(jìn)一步細(xì)化金融數(shù)據(jù)領(lǐng)域的相關(guān)行業(yè)標(biāo)準(zhǔn)及指引建設(shè)。

二是建議金融各業(yè)態(tài)的行業(yè)自律組織舉辦跨行業(yè)、跨金融業(yè)態(tài)的培訓(xùn)活動(dòng)，匯聚監(jiān)管、行業(yè)專家、學(xué)者智庫的專業(yè)力量，為從業(yè)機(jī)構(gòu)實(shí)踐提供有益的指導(dǎo)。

商業(yè)銀行層面：重安全、慎選擇、強(qiáng)審計(jì)

合規(guī)雖然最初來源于外部要求，但應(yīng)內(nèi)化于商業(yè)銀行等金融機(jī)構(gòu)的業(yè)務(wù)流程規(guī)范，最終上升為全員認(rèn)可并能共同遵守的價(jià)值理念。合規(guī)文化必不可弱，需要長期堅(jiān)持、深耕建設(shè)，構(gòu)筑“不敢違規(guī)、不能違規(guī)、不想違規(guī)”的有效機(jī)制。

強(qiáng)化數(shù)據(jù)安全合規(guī)意識及能力。商業(yè)銀行應(yīng)對引入的外部數(shù)據(jù)源和數(shù)據(jù)供應(yīng)商進(jìn)行必要的盡職調(diào)查及合規(guī)性評估，對個(gè)人信息、數(shù)據(jù)的處理應(yīng)當(dāng)嚴(yán)格遵守現(xiàn)行有效的法律法規(guī)等規(guī)定及有關(guān)國家標(biāo)準(zhǔn)、金融行業(yè)標(biāo)準(zhǔn)的規(guī)定，建立起一套切實(shí)可行的數(shù)據(jù)安全及個(gè)人信息保護(hù)管理制度，并定期進(jìn)行應(yīng)急演練，一旦出現(xiàn)安全事件等問題，確保有應(yīng)對之策，及時(shí)采取措施。外部數(shù)據(jù)采購及合作須遵循五個(gè)原則：一是合規(guī)優(yōu)先原則。遵循法律法規(guī)、采購合同、客戶授權(quán)及本行信息安全與隱私保護(hù)政策等相關(guān)規(guī)定。二是責(zé)任明確原則。所有引入的外部數(shù)據(jù)都應(yīng)有明確的管理責(zé)任主體，承擔(dān)數(shù)據(jù)引入方式、數(shù)據(jù)安全及隱私要求、數(shù)據(jù)共享范圍、數(shù)據(jù)使用授權(quán)、數(shù)據(jù)質(zhì)量監(jiān)管、數(shù)據(jù)退出銷毀等責(zé)任。三是有效流動(dòng)原則。使用方優(yōu)先使用銀行已有數(shù)據(jù)資產(chǎn)，避免重復(fù)采購、重復(fù)建設(shè)。四是可審計(jì)、可追溯原則?？刂圃L問權(quán)限，留存訪問日志，做到外部數(shù)據(jù)使用有記錄、可審計(jì)、可追溯。五是受控審批原則。在授權(quán)范圍內(nèi)，外部數(shù)據(jù)管理責(zé)任主體應(yīng)合理審批使用方的數(shù)據(jù)獲取要求。

謹(jǐn)慎選擇數(shù)據(jù)技術(shù)平臺及咨詢服務(wù)供應(yīng)商及合作方。商業(yè)銀行應(yīng)與之建立具有戰(zhàn)略意義的、高度互動(dòng)、非絕對依賴的技術(shù)合作伙伴關(guān)系，必須考慮采購?fù)獠扛黝惙?wù)的必要性和內(nèi)部建設(shè)的可行性。根本上講，商業(yè)銀行應(yīng)加強(qiáng)自身技術(shù)人才儲備，不可過度依賴外部技術(shù)合作及工具平臺，并注意技術(shù)合作過程中數(shù)據(jù)安全和機(jī)密泄露問題。

強(qiáng)化利用數(shù)據(jù)治理審計(jì)。商業(yè)銀行應(yīng)在必要時(shí)采取外部數(shù)據(jù)治理審計(jì)。數(shù)據(jù)治理審計(jì)關(guān)注點(diǎn)聚焦于監(jiān)管合規(guī)，可較全面地排查當(dāng)前商業(yè)銀行數(shù)據(jù)工作全貌，并可定制化地請審計(jì)機(jī)構(gòu)進(jìn)一步擴(kuò)大審計(jì)及評估的內(nèi)容范圍，以更全面的評估結(jié)果為商業(yè)銀行實(shí)現(xiàn)數(shù)據(jù)治理目標(biāo)提供有益參考。

（本文僅代表作者個(gè)人觀點(diǎn)，與所在單位無關(guān)）

責(zé)任編輯：楊生恒