《银行业金融机构数据治理指引》 正式稿与征求意见稿的对比分析

编者按：

在《网安法》中，关于国家标准的标准提法是“国家标准的强制性要求”。目前，网络安全方面没有强制性的国家标准，因此实践中如何理解“国家标准的强制性要求”也一直悬而未决。

5月21日，中国银保监会发布《银行业金融机构数据治理指引》在第24条明确要求：“银行业金融机构采集、应用数据涉及到个人信息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准。”按照许多人士说法，实际上将包括今年5月1日生效的《个人信息安全规范》等国家标准正式纳入了银行业金融机构的合规标准体系。【见如下文章】

也许通过这样的引用，《个人信息安全规范》就已经成为在银行业金融机构的“国家标准的强制性要求”。但无论如何，银行业金融机构在开展数据治理工作时，需要遵照《个人信息安全规范》等相关国家标准的的要求了。

以下是竞天公诚律师事务所网络安全与数据隐私团队对《银行业金融机构数据治理指引》的分析文章。

正文开始：

2018年5月21日，中国银保监会发布《银行业金融机构数据治理指引》（银保监发〔2018〕22号），新规从征求意见到正式稿落地仅仅2个月时间，可见银行业金融机构加强数据治理的现实紧迫性。《指引》包括总则、数据治理架构、数据管理、数据质量控制、数据价值实现、监督管理和附则等七章，共五十五条。对比征求意见稿和正式稿，发现二者之间有适当修改，表面上看条文之间、条款之间具有更强的逻辑性；更深层次来说，正式稿对银行业金融机构数据治理工作提出了更高的要求。

尤其值得关注的是，《指引》第二十四条新增一款，对银行业金融机构提出了“应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准”的要求，实际将包括今年5月1日生效的《个人信息安全规范》等国家标准正式纳入了银行业金融机构的合规标准体系。

作者简介

网络安全与数据隐私团队

竞天公诚律师事务所

竞天公诚是中国最早获准设立的合伙制律师事务所之一。自成立以来，竞天公诚一直致力于在各个专业领域为客户提供卓越高效的法律服务。经过近二十年的稳健发展，竞天公诚已成为中国最具规模的综合性律师事务所之一，在诸多领域处于国内领先地位。竞天公诚目前战略性地选择在北京、上海、深圳和成都设立办公室，为国内外客户提供全方位的法律服务。