原載微信公眾號 金融科技·微洞察 （ID：weinsights）

進入數字時代，數據已經和傳統的資本、土地、勞動、技術一樣，是重要的生產要素之一，驅動著各行各業的業務發展與創新。對生產要素的有效治理，則是發揮生產要素潛力的前提，如通過對土地的治理，來改善土地的不良性狀，達到提升土地的利用率和生產率的目的。類似地，數據治理也是通過多樣化治理的手段，保證數據安全的前提下，來達到提升數據使用效率和充分釋放數據價值的目的。

金融數據治理趨勢與對策

2020年是數據治理在全球掀起高度關注的一年。由于許多大型國際企業頻頻發生重大數據泄漏和濫用個人信息，使得數據要素的安全隱私性受到了威脅，其本身的價值也無法被規范利用，于是世界各國紛紛推出了相應的法案，系統性地建立數據監管體系。在全球數據嚴監管的大趨勢下，金融業作為嚴監管的行業，為了防范潛在的數據風險和符合監管要求，更加需要高度重視數據治理。

在2018年5月發布的《銀行業金融機構數據治理指引》（下稱《銀行指引》）之中，中國銀保監會給出了“數據治理”的權威定義，即指銀行業金融機構通過建立組織架構，明確董事會、監事會、高級管理層及內設部門等職責要求，制定和實施系統化的制度、流程和方法，確保數據統一管理、高效運行，并在經營管理中充分發揮價值的動態過程，具體包含了數據治理架構、數據管理、數據質量控制和數據價值實現。換而言之，銀行機構應通過制定數據相關的管理制度，來管理數據的獲取、處理、使用等行為，將零散的數據規劃統一，把混亂的流程梳理規范，對企業數據管理進行“熵減”，最終使所有數據驅動的業務都能夠更高效安全地運轉，實現數據價值的最大化。

進一步地，金融機構可以通過遵循行業標準和獲取相關認證兩方面來檢驗數據治理的成效。一方面，金融行業的數據治理指引和標準是根據行業的特性和具體情況，對管理范圍內的原則、規范、技術等領域都進行了更細化的要求，是金融機構合規運行的“教科書”。另一方面，考慮到每個金融機構的組織管理和數據結構都有不同程度的差異，還可通過第三方機構認證的方式證明自身的合規能力。

國內金融數據治理標準與認證

國內方面，從政策指引和行業標準來看，2018年，中國銀保監會發布了《銀行指引》，將數據治理納入銀行業公司治理的范疇內，明確了機構內部管理層面和相關部門數據治理架構的職責分工。2019年，央行發布了《個人金融信息（數據）保護試行辦法》，規定了個人金融信息保護，以保護個人金融信息為目標，對個人金融信息收集全生命周期進行了全面細致的規定。隨后，2021年央行發布了金融行業標準《金融業數據能力建設指引》（下稱《金融指引》），旨為金融機構開展數據工作指明方向，明確了金融業數據建設的五大基本原則：用戶授權、安全合規、分類施策、最小可用、可用不可見。并且規定了數據戰略、數據治理、數據架構、數據規范、數據保護、數據質量、數據應用、數據生存周期管理能力域劃分，深入地對每個能力項都提出了建設目標和思路。從金融業的數據治理標準的角度出發，《銀行指引》和《金融指引》是數據治理的兩個主要指引和標準。

從數據治理認證來看，目前國內暫時還沒有針對金融行業的數據治理認證，但是在綜合的數據治理領域已經有了認證體系。2018年，國標委出臺了《數據管理能力成熟度評估模型》（簡稱DCMM），這是我國在數據管理領域首個正式發布的國家標準，該標準一共包括八個核心能力域和細分的28個能力項，旨在幫助企業利用先進的數據管理理念和方法，建立和評價自身數據管理能力。DCMM作為國家標準，借鑒了國際數據管理理論框架和方法（圖1），綜合考慮了國內的數據管理發展的情況，著重于覆蓋數據管理的全面性。對比來看，《銀行指引》更側重于描述對銀行業金融機構的數據管理體系，著重于DCMM在銀行業的落地；而《金融指引》則是對數據管理更進一步的細化，明確金融機構應該在每個能力項中 “怎么做”。通過對比DCMM和《金融指引》（圖2）可以發現，除了在個別術語上的使用有區別外，兩個評估體系基本相對應，并且在個別領域《金融指引》結合金融業的狀況進行了更細化的描述，比如數據治理在技術領域的具體工作措施指引。

由于DCMM標準更偏泛行業的要求，截至目前仍鮮有金融機構申請DCMM認證。建議金融同業或可以央行的數據治理標準作為主執行標準，以DCMM的評估體系作為輔助參考，構建自身的數據治理流程體系，并持續關注后續金融業數據治理認證的進展。

圖1：數據管理體系框架

圖2：DCMM與人行數據管理評估框架對比

國際金融數據治理標準與認證

目前，國際上雖尚未有專門針對金融業的數據治理標準和認證，但國際標準化組織（簡稱ISO）已出臺了一系列的各行業可通用的標準體系（圖3），并且有部分標準在國內已經形成了認證體系，即申請機構可以獲得由國家認可的認證機構頒發的證書。其中，與金融機構數據治理最為相關的是ISO38505-1（數據治理管理體系）、ISO27001（信息安全管理體系）、ISO27701（隱私信息管理體系）和ISO29151（個人身份信息保護管理體系）。目前，除了ISO38505-1以外，在獲得其余三個標準認證的機構中可以看到很多中國金融機構的身影（圖3）。值得說明的是，數據治理和數據隱私保護是深度關聯的兩個領域，兩者互有相似與補充。從企業的角度來看，數據治理覆蓋了數據的架構、管理、安全、質量、價值實現全流程的治理體系，既考慮數據安全的部分，又兼顧數據價值挖掘的部分，是公司治理中針對數據領域實施系統化制度和流程管控的范疇。數據隱私保護則強調個人數據在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求，并遵循“權責一致、目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與”等原則。大致來看，數據治理覆蓋的范疇更廣，涵蓋了大部分數據隱私保護所要求的內容，而數據隱私保護則對數據治理中的數據安全領域進行了更細?；耐卣?，因此企業可以通過研究數據隱私保護標準以及申請相關認證，來完善整體的數據治理體系。

圖3：ISO數據管理相關標準與認證情況

其中，ISO38505-1發布于2017年4月，是數據治理高層次的標準框架（圖5），也是全球首個針對企業數據安全治理的管理體系，并于2019年頒發了全球首張認證。ISO38505-1明確了數據治理的意義、治理主體的職責以及數據治理的監督機制，引入了E（評估）-D（決定）-M（監督）的方法論。通過評估數據的公司戰略與商業模式等方面，分析企業的風險偏好和數據管理機制，并委派相應的數據管理人員，根據數據治理監管實情出具成本報告和質量報告。該標準還將責任、戰略、獲取、績效、合規、人員行為六大原則應用到數據治理中，提出了基于風險、價值和約束的治理指導，同時明確了數據收集、存儲、報告、決策、分發和處置作為數據治理的具體職責（圖4）。由于ISO38505-1覆蓋面廣，并且對提供認證服務的評估機構專業性要求高，使得目前在國內獲得認證機構并不多，但是隨著數據治理理念逐漸滲透入各行各業，預計未來將會有更多企業意識到數據治理的重要性，因此建議金融機構也與時俱進，研究國際數據治理標準，在條件允許的情況下申請認證，讓自身的數據治理能力與國際接軌。

圖4：各標準數據相關信息對應關系

圖5：ISO38505-1數據治理具體職責

ISO27701和ISO29151是聚焦于數據隱私的標準體系，兩個標準在部分隱私細則中有重合，但也各自有不同的側重點。其中，ISO27701側重于隱私信息的安全管理，是ISO27001在隱私信息方面的擴展，在原有信息安全所有術語上增加了隱私的要求（圖6），不僅在原有的管理、實施、操作、監控、審查和不斷改進的ISMS標準化流程上，增加了對企業所持有的個人身份信息的隱私保護規定，還對組織環境、領導力、規劃、績效評價等內部要求進行了詳細的擴展。而ISO29151更側重于隱私技術部分，是ISO29100（信息技術 安全技術 隱私框架）和ISO27002（信息安全控制措施 使用規則）的細分拓展，描述了對個人身份信息安全控制的實施和風險。由上述差異可見，ISO27701和ISO29151兩個標準認證相互之間并不可替代，金融機構可以根據實際情況進行選擇。

圖6：ISO27001和ISO27701術語對照

如果進一步延伸，將ISO標準其它國家標準相對比，可以發現ISO27701和歐盟最嚴格數據保護條例GDPR存在緊密的映射關系。兩個文件不僅在術語的應用上存在映射關系（圖7），并且ISO27701在附錄D部分將標準中的子條款與GDPR第5至49條（第43條）之間做出了對應映射，說明了遵守標準中的要求和控制措施后，可以履行相關的GDPR義務。雖然在個別條款和地域性細粒度的要求方面，國際標準和GDPR之間仍有差異，比如GDPR對向監管機構報告個人數據泄露的時效性有更詳細的要求，但是可以認為ISO27701在極大程度上是符合GDPR要求的，因此ISO27701的認證也在近期受到許多國內金融機構的青睞。

圖7：GDPR和ISO27701術語對照

綜上，數據要素的應用已經深入滲透進金融行業的各個場景和流程中，驅動著行業的業務與創新發展，數據治理也必將會成為金融機構需要重點關注的領域。建議金融同業在意識到數據治理的重要性之后，可以通過研究參考國內外數據治理的管理體系和框架，結合自身情況構建一套適用于自身機構的數據治理體系，形成更完善的數據管理機制，充分挖掘出數據對于業務和創新的最大價值。同時，也可以考慮申請國際的數據治理認證，提前在市場上取得權威認可，為未來的數據業務提前布局、奠定基礎。

后臺回復關鍵字數據治理，下載文中提及的部分標準和監管指引PDF

責任編輯：王超