前位置: 网站首页 > 银行 > 业内资讯 > 正文

银行数据治理指引出台!客户隐私等都被重点提及

来源: 券商中国  2018-05-23 11:33

原标题:银行数据治理指引出台!客户隐私、挂钩评级、问责等都被重点提及

作者:传茂 璐璐 筱攸

最近有没有过这样的经过,因为个人信息被泄露,后面被各种资金中介疯狂打电话,问你要不要贷款的情况?这其中一个重要原因,就是银行信息被泄露。

5月21日,银保监会发布《银行业金融机构数据治理指引》(以下简称《指引》),以取代银监会2011年颁布的《银行监管统计数据质量管理良好标准(试行)》(以下简称《良好标准》)。

 

与征求意见稿相比,一个重要条款就是增加了个人信息安全保障的要求。第二十四条中规定,银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。

书归正传来看这个指引的具体要求:

《指引》包括总则、数据治理架构、数据管理、数据质量控制、数据价值实现、监督管理和附则等七章,共五十五条。

一位华南股份行人士表示,他最关注的是数据质量控制方面的要求。“以前是行里报什么,监管就收什么,现在不是了,得花点功夫,现在还在研究”。

《指引》中增加了一条对个人信息安全的保障条款,“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。”

“强化金融业的数据管理是大势所趋,这个指引前瞻性强,又有针对性,是部非常好的监管指引。”一位有着与金融数据打交道20多年的资深银行人士称。

重点一:目前大行的数据治理更完善

对大部分人来说,数据治理是一个非常抽象的概念。即便在《指引》中,对数据治理的定义也十分简单概括。

《指引》称,数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。 

前述资深银行人士称,从《指引》的内容看,建立数据治理架构(如明确牵头部门和业务部门职责分工等),要求将数据应用嵌入到业务经营、风险管理和内部控制的全流程等要求操作性较强。“目前国有大行在数据治理方面基本实现了对数据的统一、全流程管理,但中小银行的数据管理仍比较分散。”

建行相关负责人对券商中国记者表示,建行的数据管理部前身是信息中心,2014年按照总行要求统筹推进集团数据治理体系建设更名为数据管理部。数据管理部牵头推动全行数据管理和应用能力建设,负责制定企业级数据规范,统筹管理内外部数据资源,实现信息共享;统筹管理集团数据需求,为集团内各机构提供数据服务,推动全行大数据应用等。

例如,建行专门设有数据管理部,作为总行一级管理部门,统筹负责全行各类数据的管理维护,其它大行也多由信息科技部统筹负责数据管理。

南京银行则在今年3月成立新的一级部门——数字银行管理部,由该部门牵头全行数据治理和推进数字化转型。该行数字银行管理部负责人表示,数字银行管理部承担数据标准化和智能金融的功能。

首先,在数据标准化方面,具体包括整合行内外数据,打通各个业务部门,形成统一的数据资产,实现资源池的有效管理等。其次,数字银行管理部肩负着连通不同职能部门数据管理的任务;原因在于,以往银行数据管理工作分散在各个部门进行,这种数据管理模式不利于数据资产的有效利用,并且,业务和技术部门在以往较难有一个顺畅的沟通桥梁。

重点二:银行数据治理仍面临几大挑战

值得注意的是,也有股份行资深信息科技人士认为,数据治理的目的是为了充分发挥数据的价值,从这方面来看,银行数据治理还面临几个挑战:

首先是数据不够多。银行内部可用数据不全,外部数据不安全、不合规;

其次是数据不够好。也就是数据标准统一、数据质量参差不齐的问题;

最后是数据应用难。这和银行高层对数据的重视和应用程度,以及银行自身数据分析人才的储备情况都有直接关系。

重点三:银行关注数据质量要求

在数据治理组织架构方面,《指引》除了提出架构健全、职责边界清晰等要求外,还明确要求:银行业金融机构应当确定并授权归口管理部门牵头负责数据治理体系建设,“负责监管数据相关工作,设置监管数据相关工作专职岗位”。

前述股份行信息科技部负责人表示,以前监管数据的报送通常是以统计、财务职能归口管理,现在是要求归并管理,以后应该是要专人专岗负责了,甚至小组、部门负责,监管也希望银行能将数据作为独立的管理对象。 

《指引》也在“数据质量控制”章节中提出了对数据真实性、准确性、连续性、完整性和及时性的要求。这也被多位银行人士共同提及,备受关注。

一位华南股份行人士就表示,他最关注的是数据质量控制方面的要求。“以前是行里报什么,监管就收什么,现在不是了,得花点功夫,现在还在研究”。

此外,在数据获取的操作阶段,不少银行都曾“掉坑”。“像之前央行经常给银行开罚单,而原因大都是未经授权查询个人或企业的信贷信息,或者未按规定上报个人信息。”另一位华南股份行人士称。

“这在实际工作中是很容易出错的。”他表示,“在查询客户征信信息前必须获得客户授权,但是很多时候我们没有做到提示,就无从谈授权;其次,查询到的客户信息到底适用范围如何清晰划定?边界在哪里?怎么做好防泄漏?这些都是很重要的。”

值得注意的是,与征求意见稿相比,《指引》正式稿也新增一条对个人信息安全的保障条款。即“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准”。

重点四:首席数据官与首席信息官略有区别

在建立数据治理架构中,《指引》要求,银行业金融机构可根据实际情况设立首席数据官(CDO)。

首席数据官是否纳入高管层,由银行业机构根据经营状况确定;纳入高管层的,应符合相关行政许可事项要求。

这一头衔在国内银行中虽然不见踪影,但在汇丰、花旗、富国等境外银行中已经普遍运用。从大型企业管理的趋势看,这也是个不可或缺的职位。

相比于首席数据官,国内银行目前普遍设有首席信息官(CIO)或首席技术官(CTO)岗位。这也是2009年银监会发布《商业银行信息科技风险管理指引》的要求。

“但首席数据官和首席信息官、首席技术官还是有区别的。”前述资深银行人士称,“我的个人理解是,CIO做的是金融科技与金融业务的衔接,CDO则是业务、科技和数据的衔接,两者会有一些职责上的重合,但数据官会更关注数据管理策略和数据分析。”

一位华中地区城商行信息科技部总经理则认为, CIO做的是数据的IT战略,所以不少CIO都是由原来的信息科技部负责人提拔而来,而CDO关注的是企业级的数据战略,也就是要帮助企业更好地使用数据来推进效益,发挥数据的价值。

“我个人理解,首席信息官在某些情况下可以行使首席数据官的职能,但是后者的职责过大而且重要,并不适合把CDO的职责放在CIO权限内,甚至不能把CIO当作CDO的候选。”前述城商行信息科技部总经理称。

德勤近期的一份报告认为,首席数据官在金融企业中的定位,是从高级管家转向业务战略家。

也就是从传统关注数据整合和数据治理,逐步转向面向企业发展战略、充分利用数据资产构建企业的竞争优势。“在这一过程中,首席数据官及其团队的设立,内外部资源的匹配,与业务和IT的协同方式,都是金融企业需要思考和回答的问题。”

设立CDO职位并非《指引》的强制性要求。不过德勤认为,无论是否设立CDO职位,都不可否认银行需要一位“CDO”来制定银行数据战略、开展数据管理工作,建设数据文化。“如果缺少这样的一个灵魂角色,数据治理工作的开展必然是杂乱的,缺乏体系的。”有业内人士称。

德勤进一步指出,相比由管理委员会或CIO来推进银行的数字化策略,CDO对数据有更强的推动力及精准的关注点。

一名华南股份行人士告诉记者,该行还未按最新指引设立相关职位,目前在积极推进相关体制建设。

银行数据治理的前世今生:从《良好标准》到《指引》

下发《指引》的同时,《良好标准》也被废止。后者被视为《指引》的前身,《指引》在《良好标准》试行七年的基础上进行了提炼与升华:

一是明确了数据治理架构。《指引》要求确保数据治理资源充足配置,明确董事会、监事会和高管层等的职责分工,提出可结合实际情况设立首席数据官。明确牵头部门和业务部门职责,对岗位设置、团队建设和数据文化建设等提出了要求。

二是提高数据管理和数据质量质效。提出数据管理主要方面的要求,并明确提出建立自我评估机制,建立问责和激励机制,确保数据管理高效运行。全面强化数据质量要求,建立数据质量控制机制,确保数据的真实性、准确性、连续性、完整性和及时性。《指引》还明确监管数据应纳入数据治理范畴,并在相关条款中提出具体要求。

三是明确全面实现数据价值的主要要求。提出银行业金融机构应当将数据应用嵌入到业务经营、风险管理和内部控制的全流程,有效捕捉风险,优化业务流程,实现数据驱动银行发展。突出强调数据加总能力建设、新产品评估要求,有效评估和处理重大收购和资产剥离等业务对数据治理能力的影响。

四是加强监管监督。明确了监管机构的监管责任、监管方式和监管要求。对于数据治理不满足有关法律法规和监管规则要求的银行业金融机构,要求其制定整改方案,责令限期改正;或与公司治理评价、监管评级等挂钩;也可依法采取其他相应监管措施及实施行政处罚。

《指引》也使用了不少新兴词汇,这些词汇也都是首次被监管部门引用,并出现在监管文件中。譬如首席数据官、数据文化、数据价值等。

[责任编辑:CX真]

网友评论:

已有0条评论

用户名: 快速登录