金融机构数字化转型是金融行业的发展趋势，数据的收集、加工、运用是数字化的重要内容。如何构建与数字化转型相适应的数据治理体系，是银行无法回避的问题。通过将数据合规的思维、合规体系与数据治理体系进行融合，是银行业金融机构数据治理体系搭建的合理路径。

关键词：银行业  数据治理  数据合规  体系建设

数字化转型是我国经济、社会发展面临的重大课题，也是国家规划的重要方向。金融业作为数字化转型较为领先的行业，在以数据驱动金融业务效率提升、驱动金融产品优化方面，已经取得不小的成就。然而，与数据利用、数据驱动伴生的问题则是数据的有效治理与合规管理，如何构建数据治理及合规体系，不仅关系到数据的有效利用，也关系到金融机构的风险防控与持续发展。

数据合规与数据治理，一直是银行业金融机构管理过程中高度关注的两个问题。但是由于数据合规与数据治理概念内涵的不同，以及对于这两个概念缺乏必要的规则或指引予以明确，在实践中，上述两个概念常有混用或者割裂对待的情况。比如，将数据合规看作是法律与合规方面的问题，而将数据治理看作是内部治理的问题。

吴卫明律师认为，造成两者关系不够清晰的原因，一是概念内涵有待厘清，二是相关规则的衔接问题。

以数据治理为例，对于银行业金融机构数据治理，并无专门的法律直接予以规定。中国银行保险监督管理委员会针对银行业金融机构的数据治理，发布了《银行业金融机构数据治理指引》。

而对于数据合规问题，则形成了以《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）以及《关键信息基础设施安全保护条例》等法律、法规为主体架构的较为完整的规则体系。

银行业金融机构的数据治理与数据合规体系有一定的交叉与融合，比如，从数据分类分级管理、重要数据安全评估、数据的技术保护措施等角度看，数据治理与数据合规体系具有共通性。此外，中国人民银行2020年颁布的《金融数据安全 金融数据安全分级指南》及《个人金融信息保护技术规范》，则既有数据治理的内涵，也有合规的内涵。

笔者认为，银行业金融机构的数据治理与数据合规不是孤立的两个概念，而是相互依存、相互包容的概念。数据治理和数据合规，是从不同视角看待数据管理，两者密不可分。

（一）数据治理的含义

对于数据治理，定义较为宽泛。根据国际标准化组织IT服务管理与IT治理分技术委员会、国际数据治理研究所（DGI）、IBM数据治理委员会的观点，数据治理意指建立在数据存储、访问、验证、保护和使用之上的一系列程序、标准、角色和指标，以期通过持续的评估、指导和监督，确保富有成效且高效的数据利用，实现企业价值。[1]

根据中国银行保险监督管理委员会发布的《银行业金融机构数据治理指引》，数据治理是指银行业金融机构通过建立组织架构，明确董事会、监事会、高级管理层及内设部门等职责要求，制定和实施系统化的制度、流程和方法，确保数据统一管理、高效运行，并在经营管理中充分发挥价值的动态过程。银行业金融机构应当将数据治理纳入公司治理范畴，建立自上而下、协调一致的数据治理体系。[2]银行业金融机构数据治理的基本原则包括：全覆盖原则、匹配性原则、持续性原则、有效性原则。[3]

按照这一界定，数据治理的目标似乎更偏重于数据的统一管理、高效运行、价值发挥。这一目标如果做简单的理解，与合规之间的关联度并不高。但深入分析后却并非如此，数据合规是数据治理的底线，而数据治理则是合规的最终目标。

（二）银行业金融机构数据治理的框架

根据《银行业金融机构数据治理指引》的规定，银行业金融机构数据治理体系应主要包括以下方面的内容：

1、数据治理相关的内部管理架构

组织管理架构是数据治理体系运转的保障，也是数据治理活动的实施体系。包括：数据治理的管理权限与职责、各个部门在数据治理活动中的分工与配合、激励与约束问题等，通过合理的组织架构与约束激励机制，让政策的制定者、管理者、执行者各司其职。数据治理架构应明确董事会、监事会、高级管理层和相关部门的职责分工，建立多层次、相互衔接的运行机制。具体架构安排如下：

（1）董事会

董事会是数据治理的最高领导机构和最终责任承担者，负责制定数据战略，审批或者授权审批数据治理的重大事项，督促管理层提升治理有效性。

（2）监事会

    监事会是数据治理的最高监督机构， 负责对董事会和高级管理层在数据治理方面的履职尽责情况进行事中事后监督评价。

（3）董事会授权的高管层

按照《银行业金融机构数据治理指引》的要求，银行业金融机构高级管理层负责建立数据治理体系。

（4）具体执行部门

在数据治理体系建设执行层面，银行业金融机构应确定归口部门。除上述归口部门外，相关业务部门负责本业务领域的数据治理，作为数据治理的属主部门，管理业务条线数据源，确保准确记录和及时维护、落实数据质量控制机制，执行监管数据相关工作要求，加强数据应用，实现数据价值。

2、数据治理的制度体系

数据治理体系建设属于银行业金融机构治理的重要领域，也是商业银行数据战略及数字化转型的基础。按照《银行业金融机构数据治理指引》，数据治理的目标是“确保数据统一管理、高效运行，并在经营管理中充分发挥数据的动态价值。

在数据治理体系构建过程中，制度体系是对整个治理架构、治理流程、管控措施的确定与书面化的体现。吴卫明律师认为，数据治理能力的重要体现，即包括制度与金融机构整体业务的匹配，以及制度的颗粒度设置的合理性。

3、数据治理的流程体系

流程是银行业金融机构数据治理体系与制度发挥作用的重要纽带，数据治理的相关制度具有抽象化的特征，而数据治理的流程则更加具象化。通过流程的约束，可以让数据治理的每个管控环节都以可视化、可感知的方式呈现给银行业金融机构的管理层和执行层。

数据治理过程中，流程体系通过管理信息系统的设定或者文件表格的设定，将数据治理的管控环节按照流程顺序的不同，分解给不同部门、不同岗位。通过优化的流程设计，能够将管理制度中的权利、职责、责任充分落实。并且，通过流程的优化，也可以让数据治理的约束与激励机制更为具体。

一般语境下，合规是指企业的经营活动与法律、规则和准则相一致。按照中国银行业监督管理委员会（即银保监会）2006年发布的《商业银行合规风险管理指引》，合规是指使商业银行的经营活动与法律、规则和准则相一致。[5]合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

吴卫明律师认为，银行业金融机构的数据合规，是指银行等金融机构的经营活动与数据安全及个人信息保护相关的法律、法规、监管规则、规范性文件的要求相一致，从而避免因违反上述规则而导致数据合规风险的发生。

1、相关规则对于数据合规体系建设的要求

对于银行业金融机构数据合规体系的建设，相关法律法规有明确的规定。银行业金融机构由于其在支付结算、公众存款、贷款服务方面的特殊地位，加之高度依赖于互联网、用户数据开展业务，使其具有了多重法律身份，从而在多个法律维度上均有数据合规体系建设的要求。

（1）作为网络运营者

在金融数字化的背景下，银行业金融机构的业务大量依托网络办理，因而属于网络运营者。《网络安全法》对于网络运营者建立相关制度，保障网络运行安全及网络数据、个人信息的安全有相应的规定。银行业金融该机构作为网络运营者，应制定内部安全管理制度和操作规程，确定网络安全负责人；应当对其收集的用户信息保密，并建立健全用户信息保护制度。

（2）作为数据处理者

银行业金融机构拥有大量的用户数据和业务数据，其中还可能有大量的重要数据。按照《数据安全法》，银行业金融机构作为数据处理者，应当依照法律、法规的规定，建立健全全流程数据安全管理制度，重要数据的处理者应当明确数据安全负责人和管理机构。

（3）作为个人信息处理者

银行业金融机构拥有大量的个人客户，因而其业务处理过程中，势必会涉及大量的个人信息。按照《个人信息保护法》，应制定内部管理制度和操作规程，对个人信息实行分类管理，制定并组织实施个人信息安全事件应急预案。对于处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

此外，对于用户数量巨大的个人信息处理者，应按照国家规定建立健全个人信息保护合规制度体系。

（5）作为关键信息基础设施运营者

按照关键信息基础设施（CII）的定义，银行业金融机构被认定为关键信息基础设施运营者的可能性较大。按照《网络安全法》及《关键信息基础设施安全保护条例》，运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入；并应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，负责建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；制定应急预案，建立健全个人信息和数据安全保护制度。

2、银行业金融机构数据合规体系的基本架构

从实践的角度看，金融机构的数据合规体系在形式方面与数据治理体系具有一定的相似性。简要概括，数据合规的内部管理架构，包括管理机构、人员、部门职责、岗位设置等；数据合规的规则体系，包括相应的制度、操作指引等；以及流程体系，即包括针对不同数据处理活动的审批流程、操作流程等。

与数据治理不同的是，数据治理所涉及的制度名称，往往并非法律的界定，而是出于惯例或有关技术规范、认证标准而制定；而数据合规的制度名称，则除了需要体现上述惯例或技术规范的要求外，还需要在其内容里实质性的体现出法律法规的要求。比如针对重要数据，企业内部应该有重要数据安全评估的相应机制；对于个人信息的自动化处理及出境，需要有内部的个人信息保护影响评估制度及个人信息出境制度。

此外，银行业金融机构数据合规体系还有一个重要的组成部分，即数据合规的风险库。风险库是指根据法律法规及规章等具有强制力的规范，以及银行业金融机构具体的业务流程、数据处理流程而归纳出的现实风险或可能出现的合规风险。通过风险库的设置，使得合规体系在管控措施、流程设置方面有的放矢，并能够让制度更加有针对性。

银行业金融机构的数据治理与数据合规是一对共生的体系，两者既有差异也有融合，共通构成了银行业金融机构的数据管理体系。

1、数据治理体系与数据合规体系的差异   

（1）目标不同

吴卫明律师认为，数据治理体系的目标包括实现数据统一管理、高效运行与利用、并在经营管理中充分发挥数据价值，从而实现企业价值。

而数据合规体系的目标则偏重于数据处理活动的合法合规，避免合规风险的发生。

数据治理体系、数据合规体系都是通过组织架构的设立和一系列的制度、流程来完成其各自的目标。但两者的价值目标是有差异的，数据治理强调在稳健治理的基础上实现数据利用价值，而数据合规则强调在合规管理的基础上防范数据相关的法律风险。

（2）规则依据不同

吴卫明律师认为，从数据治理的角度看，可以遵循的强制性法律规则较少，全国人大层面的法律以及国务院层面的法规，并无专门针对数据治理的法律法规。对于银行业金融机构的数据治理，也仅有《银行业金融机构数据治理指引》这一专门的监管规则。数据治理的规则更多见于有关的非强制性标准、国际认证标准等，而这些规则并不具有法律强制力，而主要通过有关标准来引导企业实施有效的数据治理，并通过相关的商业认证，在一定范围内为企业的数据治理水平提供一种公示的效应。

数据治理问题，国家法律不予过多的干预，主要是因为数据治理核心的目标是商业价值的实现，本质是企业自身的竞争能力，因而，不宜由法律或国家的有关强制性的制度予以过多干预。

而数据合规则拥有一套完整的法律规则体系，因为数据合规更加关注的是数据处理活动中的数据安全与合法问题。

基于此，我国出台了以《网络安全法》、《数据安全法》、《个人信息保护法》为主体的数据安全与合规法律体系。此外，还有《计算信息系统安全保护条例》、《关键信息基础设施安全保护条例》、《网络数据安全管理条例（征求意见稿）》、《网络安全等级保护条例（征求意见稿）》等行政法规及其征求意见稿。此外，《国家安全法》、《消费者权益保护法》、《电子商务法》等法律中也有关于数据安全与合规的内容要求，最高人民法院与最高人民检察院也出台了相应的司法解释。国家网信部门、工信部门及其他相关监管部门也出台了相应的行政规章，其中有代表性的包括《网络安全审查办法》、《汽车数据安全管理若干规定（试行）》、《数据出境安全评估办法（征求意见稿）》、《工业和信息化领域数据安全管理办法（试行）》（征求意见稿）等。

需要说明的是，数据治理中，除了数据利用价值外，也有数据保护的内涵，这一点也是数据合规所关注的。

（3）内涵不同

通过对数据治理与数据合规价值目标的分析，可以看出，两个体系在价值目标、依据的规则方面是不同的，从而引申出两个体系内涵的不同。

数据治理体系是一个通过数据驱动企业发展的体系，而数据合规体系则是让数据治理体系运行在国家法律法规确定的轨道内的保障体系。

2、数据治理体系与数据合规体系的融合

（1）方法论与基础工作的共通

吴卫明律师认为，正是由于数据治理和数据合规都是针对数据实施的体系化管理，两者在方法论上具有一定的共通性。

首先，都需要厘清银行业金融机构的数据资产状况，并对数据实施分类分级的甄别。对于数据治理而言，分类分级的目的于识别数据对于企业自身的价值；而对于数据合规而言，则在于识别数据对于国家安全、社会公共利益、第三方利益的影响。

其次，都需要以数据利用与业务流程的匹配为基础。对于数据治理而言，由于其核心目标是通过数据价值助推业务发展，实现企业利益最大化，那么数据的利用与业务流程的匹配将是数据治理需要关注的基础问题。对于数据合规而言，通过在业务流程中，设置必要的合规管控与风险管控措施，防范数据合规风险，也需要对数据利用情况以及业务流程进行深刻的挖掘。

再次，都需要以数据全生命周期的角度来看待数据的管理体系搭建。对于数据治理体系而言，数据价值的发挥需要考虑数据全生命周期的运用和保护；而对于数据合规，全生命周期保护同样是基础的方法。

最后，都需要整体化的思路来实施管理，整体意味着治理与合规都需要从组织架构、人员与岗位、制度、流程、激励约束做整体的安排。

（2）数据治理与数据合规互为支撑

首先，从数据安全管理的角度看，无论是数据治理体系还是数据合规体系，都关注数据的安全管理措施。

其次，数据治理体系搭建过程中，对于数据合规的价值目标应予以考虑，从而保障数据治理体系整体的合规性。数据合规体系的搭建，则也需要考虑到数据治理的客观需要。

最后，由于两者在方法、技术措施上具有很多共通性，数据治理体系和数据合规体系往往是表现为一个硬币的两面。组织架构以及大量的制度、流程都具有相互的融合性。

（3）数据治理体系的风险有时会以合规风险的方式体现

最近的一个合规处罚案例，针对的是商业银行的数据治理问题，但却以合规处罚的方式予以体现。

根据银保监会于2022年3月25日发布的公告，银保监会近年来对21家全国性中资银行机构（政策性银行、国有大型银行、股份制银行等）开展监管标准化数据（EAST）数据质量专项检查，发现21家银行机构在EAST数据质量领域均存在违法违规问题，包括漏报错报EAST数据、部分数据交叉校核存在偏差等数据质量违规问题。为此，银保监会对21家银行机构依法作出行政处罚决定，处罚金额合计8760万元。

上述处罚案例针对的是商业银行EAST数据质量问题，而监管数据治理是商业银行数据治理的重要内容，并且，监管数据治理本身又是商业银行落实合规管理要求的基础。与此同时，监管数据治理与商业银行的全面数据合规体系也有一定的交叉与融合。比如，监管数据可能会包含国家重要数据、机密商业数据等数据，而从数据分类分级管理、重要数据安全评估、数据的技术保护措施等角度看，数据治理与数据合规体系也具有共通性。

1、以合规视角搭建数据治理体系的必要性

如上文所述，数据治理体系与数据合规体系两者具有融合性的特征，虽然价值目标有所差异，但却是相互依存，离开数据合规的数据治理，将无法解决合规风险问题；而离开数据治理的数据合规，将无法支撑数据价值的最大发挥及业务目标的实现。吴卫明律师认为，一个好的数据管理体系，应该是将数据治理与数据合规做整体考虑，并兼顾上述两个价值目标。因此，将数据治理体系与数据合规体系做整体考虑，并对体系整体搭建，无论从其制度效用、实施成本角度，还是从优化管理、避免不同体系内在冲突的角度，都是最优化的方案。

当然，不同的金融机构在不同阶段，侧重点可以有所不同。比如，规模较小或者数据开发利用能力较弱的机构，可以在制度搭建过程中，侧重数据合规。而数据开发利用能力强的机构，则应对于数据治理与数据合规并重。

2、将数据合规架构与数据治理架构做融合考虑

按照《银行业金融机构数据治理指引》的要求，银行业金融机构高级管理层负责建立数据治理体系，并可根据实际情况设立首席数据官。但是对于由什么样的高级管理人员负责数据治理体系建设，以及首席数据官在金融机构组织架构中的定位，指引并没有明确规定。

笔者认为，从合规视角来看组织架构，则首席数据管的设立，应与《数据安全法》、《个人信息保护法》的制度进行必要的衔接。按照《数据安全法》，重要数据的处理者应当明确数据安全负责人和管理机构，按照《个人信息保护法》，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。首席数据官、数据安全负责人、个人信息保护负责人，如果在管理职能、职责方面不能建立有机统一的体系，则不仅浪费管理资源，也会造成分工的重叠，以及管理上的衔接问题。

因此，在设立首席数据官的时候，应将《数据安全法》及《个人信息保护法》规定的合规架构一并考虑。合理安排首席数据官、数据安全负责人及个人信息保护负责人的岗位及分工、职责。

在数据治理体系建设执行层面，银行业金融机构在确定归口部门时，主要可以考虑由两类部门作为数据治理的归口部门。一是信息安全部门（部分机构内设名称为“科技部”）并在其下设专门的数据安全管理部门，二是合规部门。上述两类部门在数据治理体系建设方面，各司其职、相互配合。信息安全或科技部门作为执行的归口部门，合规部门作为制度制定及执行的咨询与支持部门。

3、整体考虑数据合规与数据治理的制度流程

笔者认为，应从数据合规体系与数据治理体系融合的角度，整体考虑相关的制度建设。虽然按照《银行业金融机构数据治理指引》，数据治理的目标是“确保数据统一管理、高效运行，并在经营管理中充分发挥数据的动态价值。”但其内涵也应包含数据安全及合规问题。笔者认为，一个好的数据治理体系，应包含数据合规的内容，并从以下几方面构建制度体系：

（1）数据资产管理类制度

数据资产管理类制度是与商业银行的数据战略、数据资产利用策略、数据资产知识产权保护、数据资产内部跨部门协同利用等相关的管理制度。

（2）监管数据管理类制度

监管数据管理类制度是商业银行应对监管检查、监管报送而建立的一整套制度。监管数据管理制度与数据资产管理制度有一定的交叉，但更加侧重监管数据管理，其目标不是发挥数据价值，而是满足业务监管合规的要求。

（3）数据安全保护类制度

数据安全管理类制度主要侧重于满足《网络安全法》、《数据安全法》、《个人信息保护法》及《关键信息基础设施安全保护条例》等专门的网络安全、数据安全、个人信息保护法以及人民银行与银保监会关于网络安全、数据安全的特定监管要求。其内容包括网络安全保护、数据安全保护、个人信息安全保护，以及数据分级分类、系统及数据库访问控制策略、数据加密脱敏及去标识化处理等方面。此外，还包括网络与数据安全的应急预案、培训、风险评估等相关制度。

（4）数据合规处理类制度

合规处理类，主要针对数据的收集、加工、利用、存储、提供、出境等数据处理活动，以及个人信息处理活动。主要为了满足数据利用过程中的合法、合规要求。

4、将合规风险管控措施嵌入流程体系

合规管控节点的植入，需要以合规风险库为依托，在结构业务流程和数据处理环节的基础上，形成合规管控节点与具体措施。通过将这些节点与措施植入数据治理的整体制度体系和流程中，达到数据合规体系与数据治理体系有机融合、动态共生的目标。

综上，银行业金融机构数据治理与数据合规体系建设，是一个共生的大系统，共同保障金融机构在防范数据合规风险的基础上，达到数据的有效保护，并提高数据利用效率，在数字化转型的大背景下，助推银行业金融机构的业务发展。

参考文献：

1、《数据治理与数据安全》，张莉主编，人民邮电出版社，2019年9月。

2、《数字金融的法律实务与风险防范》，吴卫明著，中国人民大学出版社，2018年10月。