添加FATE小助手(FATEZS001),发送【数据治理】,即可获取文中提及的部分标准和监管指引PDF
进入数字时代,数据已经和传统的资本、土地、劳动、技术一样,是重要的生产要素之一,驱动着各行各业的业务发展与创新。对生产要素的有效治理,则是发挥生产要素潜力的前提,如通过对土地的治理,来改善土地的不良性状,达到提升土地的利用率和生产率的目的。类似地,数据治理也是通过多样化治理的手段,保证数据安全的前提下,来达到提升数据使用效率和充分释放数据价值的目的。
2020年是数据治理在全球掀起高度关注的一年。由于许多大型国际企业频频发生重大数据泄漏和滥用个人信息,使得数据要素的安全隐私性受到了威胁,其本身的价值也无法被规范利用,于是世界各国纷纷推出了相应的法案,系统性地建立数据监管体系。在全球数据严监管的大趋势下,金融业作为严监管的行业,为了防范潜在的数据风险和符合监管要求,更加需要高度重视数据治理。在2018年5月发布的《银行业金融机构数据治理指引》(下称《银行指引》)之中,中国银保监会给出了“数据治理”的权威定义,即指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程,具体包含了数据治理架构、数据管理、数据质量控制和数据价值实现。换而言之,银行机构应通过制定数据相关的管理制度,来管理数据的获取、处理、使用等行为,将零散的数据规划统一,把混乱的流程梳理规范,对企业数据管理进行“熵减”,最终使所有数据驱动的业务都能够更高效安全地运转,实现数据价值的最大化。进一步地,金融机构可以通过遵循行业标准和获取相关认证两方面来检验数据治理的成效。一方面,金融行业的数据治理指引和标准是根据行业的特性和具体情况,对管理范围内的原则、规范、技术等领域都进行了更细化的要求,是金融机构合规运行的“教科书”。另一方面,考虑到每个金融机构的组织管理和数据结构都有不同程度的差异,还可通过第三方机构认证的方式证明自身的合规能力。国内方面,从政策指引和行业标准来看,2018年,中国银保监会发布了《银行指引》,将数据治理纳入银行业公司治理的范畴内,明确了机构内部管理层面和相关部门数据治理架构的职责分工。2019年,央行发布了《个人金融信息(数据)保护试行办法》,规定了个人金融信息保护,以保护个人金融信息为目标,对个人金融信息收集全生命周期进行了全面细致的规定。随后,2021年央行发布了金融行业标准《金融业数据能力建设指引》(下称《金融指引》),旨为金融机构开展数据工作指明方向,明确了金融业数据建设的五大基本原则:用户授权、安全合规、分类施策、最小可用、可用不可见。并且规定了数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理能力域划分,深入地对每个能力项都提出了建设目标和思路。从金融业的数据治理标准的角度出发,《银行指引》和《金融指引》是数据治理的两个主要指引和标准。从数据治理认证来看,目前国内暂时还没有针对金融行业的数据治理认证,但是在综合的数据治理领域已经有了认证体系。2018年,国标委出台了《数据管理能力成熟度评估模型》(简称DCMM),这是我国在数据管理领域首个正式发布的国家标准,该标准一共包括八个核心能力域和细分的28个能力项,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力。DCMM作为国家标准,借鉴了国际数据管理理论框架和方法(图1),综合考虑了国内的数据管理发展的情况,着重于覆盖数据管理的全面性。对比来看,《银行指引》更侧重于描述对银行业金融机构的数据管理体系,着重于DCMM在银行业的落地;而《金融指引》则是对数据管理更进一步的细化,明确金融机构应该在每个能力项中 “怎么做”。通过对比DCMM和《金融指引》(图2)可以发现,除了在个别术语上的使用有区别外,两个评估体系基本相对应,并且在个别领域《金融指引》结合金融业的状况进行了更细化的描述,比如数据治理在技术领域的具体工作措施指引。由于DCMM标准更偏泛行业的要求,截至目前仍鲜有金融机构申请DCMM认证。建议金融同业或可以央行的数据治理标准作为主执行标准,以DCMM的评估体系作为辅助参考,构建自身的数据治理流程体系,并持续关注后续金融业数据治理认证的进展。
目前,国际上虽尚未有专门针对金融业的数据治理标准和认证,但国际标准化组织(简称ISO)已出台了一系列的各行业可通用的标准体系(图3),并且有部分标准在国内已经形成了认证体系,即申请机构可以获得由国家认可的认证机构颁发的证书。其中,与金融机构数据治理最为相关的是ISO38505-1(数据治理管理体系)、ISO27001(信息安全管理体系)、ISO27701(隐私信息管理体系)和ISO29151(个人身份信息保护管理体系)。目前,除了ISO38505-1以外,在获得其余三个标准认证的机构中可以看到很多中国金融机构的身影(图3)。值得说明的是,数据治理和数据隐私保护是深度关联的两个领域,两者互有相似与补充。从企业的角度来看,数据治理覆盖了数据的架构、管理、安全、质量、价值实现全流程的治理体系,既考虑数据安全的部分,又兼顾数据价值挖掘的部分,是公司治理中针对数据领域实施系统化制度和流程管控的范畴。数据隐私保护则强调个人数据在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,并遵循“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”等原则。大致来看,数据治理覆盖的范畴更广,涵盖了大部分数据隐私保护所要求的内容,而数据隐私保护则对数据治理中的数据安全领域进行了更细粒化的拓展,因此企业可以通过研究数据隐私保护标准以及申请相关认证,来完善整体的数据治理体系。
其中,ISO38505-1发布于2017年4月,是数据治理高层次的标准框架(图5),也是全球首个针对企业数据安全治理的管理体系,并于2019年颁发了全球首张认证。ISO38505-1明确了数据治理的意义、治理主体的职责以及数据治理的监督机制,引入了E(评估)-D(决定)-M(监督)的方法论。通过评估数据的公司战略与商业模式等方面,分析企业的风险偏好和数据管理机制,并委派相应的数据管理人员,根据数据治理监管实情出具成本报告和质量报告。该标准还将责任、战略、获取、绩效、合规、人员行为六大原则应用到数据治理中,提出了基于风险、价值和约束的治理指导,同时明确了数据收集、存储、报告、决策、分发和处置作为数据治理的具体职责(图4)。由于ISO38505-1覆盖面广,并且对提供认证服务的评估机构专业性要求高,使得目前在国内获得认证机构并不多,但是随着数据治理理念逐渐渗透入各行各业,预计未来将会有更多企业意识到数据治理的重要性,因此建议金融机构也与时俱进,研究国际数据治理标准,在条件允许的情况下申请认证,让自身的数据治理能力与国际接轨。
ISO27701和ISO29151是聚焦于数据隐私的标准体系,两个标准在部分隐私细则中有重合,但也各自有不同的侧重点。其中,ISO27701侧重于隐私信息的安全管理,是ISO27001在隐私信息方面的扩展,在原有信息安全所有术语上增加了隐私的要求(图6),不仅在原有的管理、实施、操作、监控、审查和不断改进的ISMS标准化流程上,增加了对企业所持有的个人身份信息的隐私保护规定,还对组织环境、领导力、规划、绩效评价等内部要求进行了详细的扩展。而ISO29151更侧重于隐私技术部分,是ISO29100(信息技术 安全技术 隐私框架)和ISO27002(信息安全控制措施 使用规则)的细分拓展,描述了对个人身份信息安全控制的实施和风险。由上述差异可见,ISO27701和ISO29151两个标准认证相互之间并不可替代,金融机构可以根据实际情况进行选择。
如果进一步延伸,将ISO标准其它国家标准相对比,可以发现ISO27701和欧盟最严格数据保护条例GDPR存在紧密的映射关系。两个文件不仅在术语的应用上存在映射关系(图7),并且ISO27701在附录D部分将标准中的子条款与GDPR第5至49条(第43条)之间做出了对应映射,说明了遵守标准中的要求和控制措施后,可以履行相关的GDPR义务。虽然在个别条款和地域性细粒度的要求方面,国际标准和GDPR之间仍有差异,比如GDPR对向监管机构报告个人数据泄露的时效性有更详细的要求,但是可以认为ISO27701在极大程度上是符合GDPR要求的,因此ISO27701的认证也在近期受到许多国内金融机构的青睐。
综上,数据要素的应用已经深入渗透进金融行业的各个场景和流程中,驱动着行业的业务与创新发展,数据治理也必将会成为金融机构需要重点关注的领域。建议金融同业在意识到数据治理的重要性之后,可以通过研究参考国内外数据治理的管理体系和框架,结合自身情况构建一套适用于自身机构的数据治理体系,形成更完善的数据管理机制,充分挖掘出数据对于业务和创新的最大价值。同时,也可以考虑申请国际的数据治理认证,提前在市场上取得权威认可,为未来的数据业务提前布局、奠定基础。添加FATE小助手(FATEZS001),发送【数据治理】,即可获取文中提及的部分标准和监管指引PDF