从数据管理到数据治理

何海锋 杨文尧天

2018年5月21日，银保监会正式发布《银行业金融机构数据治理指引》（以下简称《指引》），对银行业金融机构数据治理的原则理念、数据治理架构、数据管理、数据质量控制、数据价值实现，以及对银行业金融机构数据治理的监督管理等做出了规定。《指引》明确废止了银监会2011年下发的《银行监管统计数据质量管理良好标准（试行）》（以下简称《标准》）。而在此之前，《标准》正是规范银行业数据的主要依据。从《标准》到《指引》，体现的是银行业金融机构从数据管理到数据治理的核心逻辑转变。

《标准》是数据管理的产物，目的是通过数据标准化，确立数据意识，提高数据的质量，提升监管效能。《指引》是数据管理的结果，也是数据治理的起点， 目的在于引导银行业金融机构加强数据治理，提高数据质量，充分发挥数据价值， 提升经营管理水平，由高速增长向高质量发展转变。二者的区别显而易见：《标准》的直接目的是监管，针对的也是“监管数据”，但在间接上提高了银行的数据质量；而《指引》的目的则是综合性的， “监管数据”只是其中一部分，《指引》规定“数据治理应当覆盖数据的全生命周期，覆盖业务经营、风险管理和内部控制流程中的全部数据，覆盖内部数据和外部数据，覆盖监管数据，覆盖所有分支机构和附属机构”。二者的联系也同样显著： 一方面，没有数据管理沉淀下来的标准化、高质量的数据，就不会有更高质量、更大价值的数据治理；另一方面，脱胎于《标准》的《指引》在很多方面也有所承袭。

因此，对于《指引》的理解，至少应当包括两个层面：第一个层面，数据管理是数据治理的基础和重要组成部分；第二个层面，数据治理是数据管理的延伸和高级阶段，比数据管理的内容更加丰富。基于这两个层面的理解，才能预见数据治理时代金融机构的未来。

数据管理是数据治理的基础

《标准》将数据管理分为5个方面要素，分别是组织机构及人员，制度建设， 系统保障和数据标准，数据质量的监控、检查与评价，数据的报送、应用和存储。5方面要素下共有15项原则，每项原则下有61条具体标准。这5方面要素在《指引》中基本上都有所体现，成为数据治理的基础内容。

在数据治理架构方面，《指引》与《标准》对组织机构及人员部分的要求基本一致，包括建立组织架构健全、职责边界清晰的数据治理架构，明确董事会、监事会、高级管理层、归口管理部门、业务部门的职责分工，对相关部门的岗位设置和团队建设提出要求，建立多层次、相互衔接的运行机制。

在数据管理具体要求方面，《指引》延续了《标准》中关于数据管理制度的要求，包括制定与监管数据相关的监管统计管理制度和业务制度，及时发布并定期评价和更新；延续了有关系统保障和数据标准化的要求，包括信息系统的覆盖面、数据字典和维护流程的规定，以及遵循统一的业务规范和技术标准；延续了数据的报送、应用和存储方面的要求，包括建立适应监管数据报送工作需要的信息系统，明确系统间数据交换流程和标准，建立全面严密的管理流程、归档制度等；延续了制定应急预案的要求，保证在系统服务异常以及危机等情景下数据的完整、准确和连续。

在数据质量控制方面，《标准》从日常监控、监督检查、考核评价三个方面做出了较为详细的规定，《指引》基本上沿用了这些规定，要求银行业金融机构建立控制机制，确保数据的真实性、准确性、连续性、完整性和及时性；特别强调建立监管数据质量管控制度，包括但不限于关键监管指标数据质量承诺、数据异常变动分析和报告、重大差错通报以及问责等。

数据治理是数据管理的延伸

随着信息技术的发展，特别是大数据在营销、风控和普惠金融等领域的广泛运用，数据已经从提高运营效率和监管效能的工具进化成为银行业最核心的资产和实现监管意图的重要依托。银行业金融机构从被动满足监管要求的数据管理、数据报送转向主动的数据战略布局，全方位的数据价值开发。监管机构则有可能从繁琐的数据报表处理中解放出来，依靠监管科技实现更有效的监管。2018年5月25日欧盟通用数据保护条例（GDPR）正式生效， 刷新了对数据价值和数据治理认识的高度。在这些背景下，银行业金融机构从数据管理走向数据治理成为必然。

数据治理内涵更加豐富，强调四项原则。《标准》所涉及的数据管理主要是对满足监管工作需要组织实施的各项统计活动中形成的数据的管理。《指引》中的数据治理是在做好数据管理，确保数据统一管理、高效运行的同时，在经营管理中充分发挥数据价值的动态过程。《指引》遵循的原则包括：（1）全覆盖原则。数据治理应当覆盖数据的全生命周期，覆盖业务经营、风险管理和内部控制流程中的全部数据，覆盖内部数据和外部数据，覆盖监管数据，覆盖所有分支机构和附属机构。（2）匹配性原则。数据治理应当与管理模式、业务规模、风险状况等相适应， 并根据情况变化进行调整。（3）持续性原则。数据治理应当持续开展，建立长效机制。（4）有效性原则。数据治理应当推动数据真实准确客观反映银行业金融机构实际情况，并有效应用于经营管理。

第二，数据治理体系更加完整，坚持文化先行。与《标准》相比，《指引》增加了首席数据官（CDO）的规定，银行业金融机构可根据实际情况设立首席数据官，首席数据官是否纳入高级管理人员由银行业金融机构根据经营状况确定。这一条规定具有极强的导向性，又有适度的灵活性，对于建立起责任明确的数据治理体系有促进作用。CDO职位的推出，也有利于全行业数据文化氛围的营造。对于数据文化，《指引》也明确要求，银行业金融机构应当建立良好的数据文化，树立数据是重要资产和数据应真实客观的理念与准则。

第三，数据治理内容更加全面，体现与时俱进。着眼于数据资产重要性的提升，《指引》除了要求制定数据管理制度和业务制度外，还要求银行业金融机构结合自身发展战略、监管要求等，制定数据战略并确保有效执行和修订，将数据治理上升到公司战略层面。为进一步接轨国内外数据保护、数据安全的最新立法实践， 《指引》规定，银行业金融机构应当建立数据安全策略与标准，依法合规采集、应用数据，依法保护客户隐私，划分数据安全等级，明确访问和拷贝等权限，监控访问和拷贝等行为，完善数据安全技术，定期审计数据安全。银行业金融机构采集、应用数据涉及个人信息的，应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准。这里的法律法规主要是《网络安全法》，而标准则包括5 月1日生效的《信息安全技术个人信息安全规范》及其他相关配套规定和标准。

第四，数据治理理念更加進步，鼓励数据运用。数据的运用，既取决于数据本身的质量，也取决于数据处理技术的高低。受当时的数据质量和技术水平所限制，《标准》将数据分析应用作为15条原则之一，提出“银行在保密安全的前提下充分共享和使用监管统计信息，为本机构经营决策和风险管理服务，同时通过扩大共享、加强分析、适时披露，促进数据质量提升”。在大数据背景下，数据有了更大的用武之地。因此，《指引》专设一章，对数据价值实现做出了规定，要求在风险管理、业务经营和内部控制中加强数据应用，实现数据驱动，提高管理精细化程度，发挥数据价值，特别是鼓励充分运用大数据技术，实现业务创新、产品创新和服务创新。

数据治理时代的金融业

5月26日，以“数化万物、智在融合”为主题的2018年中国国际大数据产业博览会在贵阳开幕。博览会上的信息显示，当前，我国数字经济发展进入快车道，数字经济总量已超过22万亿元，占GDP比重的30%。习近平总书记在给博览会的贺信中指出，要把握好大数据发展的重要机遇，促进大数据产业健康发展，处理好数据安全、网络空间治理等方面的挑战。数据的价值毋庸置疑，特别是在金融领域，说数据是最重要的资产毫不为过。

但是，金融业在数据治理上仍然有很大空间。在金融机构端，数据质量不高、标准不统一、归集处理手段单一、存储分散，数据挖掘能力不足，数据割裂、共享不充分等问题较为普遍；在监管端， 交叉性金融活动、系统重要性金融机构、金融控股公司等关键领域数据监测不足， 风险预警数据不敏感，政策效果评估数据不充分，还有部分金融活动游离于金融统计体系之外，基础数据不健全等问题较为突出。《指引》的出台，为金融业解决上述问题，拥抱数据治理提供了一份参考样本，尽管并非尽善尽美。

《指引》是立足于银行业金融机构的业务模式、风险特征和监管路径，针对银行业的数据治理专门制定的，但在数据治理内涵、数据治理体系、数据治理内容和数据治理理念等方面，对于整个金融行业都具有参考意义。首先，在认识上，要把数据管理上升到数据治理的高度，纳入到公司治理、行业治理和行业监管中，建立起主动、全周期、全覆盖、动态的数据治理体系。其次，在架构上，要构建自上而下、多层次、覆盖全员，责任明确的数据治理机制，同时营造积极审慎的数据文化。再次，在管理上，要依靠制度，落实责任，把握国内外数据产业、数据技术的发展趋势和数据管理、数据立法的最新动向，持续评价更新数据管理制度和手段。最后，在理念上，要更加重视数据的价值挖掘，金融机构要把数据作为核心资产管好用好，促进数据资产的流动和增值；监管机构要依靠数据发展监管科技，丰富监管手段和风险监测方法，提高监管水平。

（作者单位：京东金融法律与科技实验室，中国社会科学院研究生院）