2021年6月,中国银保监会组织银行业、保险业开展“内控合规管理建设年”活动,对商业银行的合规管理提出更高要求。随着数字经济向纵深发展,“合规”的内涵和外延不断扩展,“合数据之规”势在必行。商业银行因数据治理不当、严重违反审慎经营规则、监管数据报错等原因而获监管罚单的现象已经屡见不鲜,银保监会2021年开出的第一张罚单即事关数据合规问题,某行因数据安全管理粗放、存在数据泄露风险、互联网门户网站泄露敏感信息等问题,被罚款420万元。
由此可见,商业银行只有守好数据处理、融合、应用的合规底线,才能更好地将数据资源变为数据资产,真正发挥数据价值,驱动业务发展,以实现“聚数成金”。
商业银行数据融合应用的关键环节
1、外部数据源
随着商业银行数字化转型向纵深发展,商业银行在获客、交叉营销和授信等各类业务活动中,与外部数据源合作越来越广泛,包括数据采购、数据共享和联合运营等合作模式。
数据采购是商业银行获取外部数据的最常用的模式。银行可通过专业第三方数据供应商(如汤森路透、万得)或权威数据发布机构(如法院、海关、人行征信、地方大数据局等)的API接口获取数据,按照使用情况付费。数据共享也是常见的数据合作模式。该模式下商业银行的机密信息及客户隐私较容易在缺乏审核的情况下离开行内系统和网络,不易追溯和控制。
联合运营是助贷业务模式中广泛使用的数据策略。助贷机构可以依据数据和场景优势,参与到商业银行获客引流或服务分销等业务环节中;商业银行之间可以借助加密技术完成各类业务数据挖掘模型的建模,在“数据不出门”的情况下获取超出银行数据范围的分析结果。
来源丰富、高度复杂的外部数据,已是当前商业银行产业数字化展业所必需的“食粮”,其中往往存在较高的数据安全、个人信息隐私保护等合规性风险。为此,商业银行须进行严格筛查,确保数据处理活动严格遵守合法、正当及必要原则。
2、数据技术采购及使用
商业银行数据治理、分析、融合与价值应用的工作周期长、复杂程度高,部分银行自身经常面临组织体系滞后、专业人才不足、能力薄弱等短板,与数据技术服务商合作进行技术攻关已是公认的破局之道。数据技术服务商对于数据处理及应用的各个细分领域存在专业优势。
一是技术研发、数据共享以及数据分析挖掘。在关于数据分析与应用的诸多方面,商业银行与技术第三方展开深度合作,探索更高效的数据应用与服务模式实现路径,创新数据应用与服务场景。
二是数据平台系统建设、实施及运维。通过与大数据平台技术方案供应商合作,借助其专业的技术能力建设符合银行数据治理要求的各类数据平台,已是大多数商业银行的选择。
三是互联网云服务。商业银行通过购买外部技术厂商的数据治理云服务并开展本地化部署,在满足“数据不出门”的监管要求下快速获得行业领先的数据管理能力。例如,针对商业银行在元数据、数据质量和数据安全管理方面的需求,某云服务平台提供Dataworks、Dataphin和MaxCompute等云服务产品。
在上述合作过程中,商业银行需要首先优化内部管理流程,警惕平台及工具软件过度定制化,在成熟软件与软件定制方案之间,商业银行需要谨慎地评估选择技术方案供应商,并明确所要建设的平台工具的系统功能边界。
3、数据咨询服务
商业银行数据治理及融合应用工作是一项持续推进的复杂工程,外部咨询服务以第三方立场评估数据治理现状、问题及与业内领先实践的差距,进而规划数据融合应用,更具客观性、系统性及专业性,因此商业银行采购数据咨询服务已成普遍实践。
目前,德勤、普华永道、安永等知名咨询机构已经形成了成熟的数据治理专项咨询服务咨询框架及流程。
数据治理咨询服务内容总体可以分为四类:
一是对数据治理框架、功能模块进行拆解及宣传宣讲,使商业银行系统性地了解数据治理工作;
二是梳理业务运营及当前系统建设的现状、痛点及期望;
三是针对不合理的部门职责、数据架构、主数据管理、IT开发流程、技术标准、服务模式等给出整改建议;
四是根据商业银行个性化需求,将整改建议融于数据治理模块,最终形成整体数据治理方案。
在分工上,商业银行在与咨询服务机构合作时应履行信息科技管理的主体责任,承担架构、项目管理方面的核心职责,外部咨询机构主要负责项目内容规划、实施方案和路线图设计方面的具体工作。
数据治理与融合应用过程中的合规风险
金融数据具有较强的外部性和对象性,例如:商业银行日常业务增长范畴的数据对自身提高发展效益意义最大,但其中属于个人隐私范畴的数据对个人意义重大,一旦滥用,既是违法也是对个人权益的侵害;属于涉外金融与贸易范畴的数据对国家外交、外汇管理等有重大意义,管理运用不当可能危及国家安全。外部数据来源广泛、形式多样、标准不一,在商业银行全域的数据融合应用中存在“不安全”“不可靠”“不好用”的问题。
外部数据源的安全性及合法性管理不足。2021年,我国正式发布《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个保法》)、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)、《个人金融信息保护技术规范》(JR/T 0171-2020),以备受关注的数据安全、个人金融信息安全及权益保护领域在法律层面和技术操作层面提出更严苛的要求和更清晰的规范。
在与第三方数据交互安全管理方面,一是要求共享数据时,对数据接收方的背景资质及数据安全能力进行审查,涉及个人信息或重要数据时,依法开展安全评估;二是要求接收数据时,对数据来源合规性进行评估;三是要求完善与第三方签署的数据安全协议条款。当前实践中,商业银行存在着不同程度的外部数据采购、使用与交换共享的合规性问题。包括:缺少对外部数据源和数据供应商的合理评估及尽职调查;数据安全协议条款的设定不充分、不严谨甚至没有签署相关协议的情况也屡见不鲜;在外部数据引入使用后,很少进行持续跟踪与及时评估。
内外部数据标准不统一,融合应用困难。由于外部数据来源及类型复杂,实践中往往又存在多个业务部门各自接入外部数据的情况,商业银行建立统一的内外部数据标准面临严峻挑战。实践中,银行往往只制定外部数据接口类的技术标准,未进行有效的外部数据标准化。此外,数据处理人员标准意识往往较为淡薄,标准不统一、不规范导致的数据合规风险较大。
数据技术采购及建设选择不当、阶段不清、理念不匹配
商业银行数据融合应用往往需要借助外部数据技术厂商的技术能力,搭建数据治理等大数据平台,提供常态运维服务,提高数据处理及应用的效率和能力,并固化工作机制和成果。在数据技术采购及平台建设合作过程中,商业银行需要明确以下的合规问题。
供应商选择不当。无论决定与哪家技术供应商或服务供应商合作,都具有选择不当的风险,数据技术平台供应商在建设平台过程中,存在窃取商业银行重要数据及商业机密的道德风险,造成银行显性损失和安全隐患。此外,供应商在数据治理不同领域的专长有所侧重,其方法论及团队工作文化也可能与商业银行存在不匹配的问题。商业银行须认真遵守银行内部制定的技术外包管理制度、合作管理制度等。
数据工具平台建设阶段不清晰。对于高度重视管理机制的数据治理而言,平台及工具软件本质上是先进管理思想的沉淀和输出,工具发挥作用的前提是商业银行的基础数据治理架构已经有效构建,在此基础上提出的数据治理技术合作需求才是靠谱的,落地后的数据平台工具才可常态化运行。因此,先梳理数据治理组织机制、流程、制度及标准,分阶段、分步骤建设平台工具,是比较稳妥的技术合作路径。
数据治理场景及理念不匹配。如果商业银行决定在数据治理工作伊始就全面引入数据治理工具平台,需要仔细评价这些工具功能背后是否真的能够支撑本行最为核心的数据治理场景及治理理念。更进一步讲,商业银行应重新审视上述数据治理场景和理念是否已经得到较好的实践、证明适用于本行等问题。
数据咨询服务“不实用”“不适用”,辅导不足
通常,在商业银行采购数据咨询服务尤其是数据治理规划咨询过程中,咨询公司提供完整的方法论及文档模板,基本主导整个咨询项目的全过程。但数据治理咨询机构的咨询顾问大多并没有真正地接触过商业银行数据治理一线实践,对于所要服务的银行可能存在“刻板印象”,按照数据治理咨询的“常规套路”提供咨询服务也增加了数据治理咨询中“不实用”“不适用”的风险。
此外,不同的数据治理咨询机构及其各个项目团队的咨询水平能力可能参差不齐,这也增加了其对商业银行数据监管合规辅导不足而导致合规风险。
1、金融监管层面:立规范、“进沙盒”
为更好地实现商业银行等金融机构数据融合与应用,我们建议逐步进行多主体联防共建。一方面,建议监管部门、行业自律组织、金融机构联合实现金融业数据的有效收集,形成风险信息共享机制,分享行业调查研究报告,推动同业之间开展经验交流。另一方面,建议推进建设跨地区、跨部门、跨层级的数据共享及应用机制,进而实现多方联动,协调推进金融风险处置。
一是建议金融监管部门应尽快制定、修订、细化、完善系列规范,加强数据法制建设交流合作,规范金融数据收集、处理、转移等活动,让数据资源充分涌流、数据价值充分显现,推动解决数据“不能用”“不好用”的问题,提升商业银行数据融合应用质效及合规水平。
二是可将“监管沙盒”应用于金融数据应用领域,测试在现有的法律法规条款下,商业银行的数据融合及应用情况,并根据实际情况动态调整方针政策和监管策略,提高监管效力,解决数据“不好用”的问题。
2、行业自律层面:建标准、促交流
行业自律组织可通过推动机构之间的业务交流和信息共享,明确自律惩戒机制,提高行业规则和标准的约束力。 一是建议行业自律组织履行服务监管的职责,推动商业银行加强数据风险防范交流,构建广泛受认可的、便于实施落地的、安全可信的数据合作与应用机制。通过鼓励与规范并举,进一步细化金融数据领域的相关行业标准及指引建设。 二是建议金融各业态的行业自律组织举办跨行业、跨金融业态的培训活动,汇聚监管、行业专家、学者智库的专业力量,为从业机构实践提供有益的指导。
3、商业银行层面:重安全、慎选择、强审计
合规虽然最初来源于外部要求,但应内化于商业银行等金融机构的业务流程规范,最终上升为全员认可并能共同遵守的价值理念。合规文化必不可弱,需要长期坚持、深耕建设,构筑“不敢违规、不能违规、不想违规”的有效机制。
强化数据安全合规意识及能力。商业银行应对引入的外部数据源和数据供应商进行必要的尽职调查及合规性评估,对个人信息、数据的处理应当严格遵守现行有效的法律法规等规定及有关国家标准、金融行业标准的规定,建立起一套切实可行的数据安全及个人信息保护管理制度,并定期进行应急演练,一旦出现安全事件等问题,确保有应对之策,及时采取措施。
外部数据采购及合作须遵循五个原则:
一是合规优先原则。遵循法律法规、采购合同、客户授权及本行信息安全与隐私保护政策等相关规定。
二是责任明确原则。所有引入的外部数据都应有明确的管理责任主体,承担数据引入方式、数据安全及隐私要求、数据共享范围、数据使用授权、数据质量监管、数据退出销毁等责任。
三是有效流动原则。使用方优先使用银行已有数据资产,避免重复采购、重复建设。
四是可审计、可追溯原则。控制访问权限,留存访问日志,做到外部数据使用有记录、可审计、可追溯。五是受控审批原则。在授权范围内,外部数据管理责任主体应合理审批使用方的数据获取要求。
谨慎选择数据技术平台及咨询服务供应商及合作方。商业银行应与之建立具有战略意义的、高度互动、非绝对依赖的技术合作伙伴关系,必须考虑采购外部各类服务的必要性和内部建设的可行性。根本上讲,商业银行应加强自身技术人才储备,不可过度依赖外部技术合作及工具平台,并注意技术合作过程中数据安全和机密泄露问题。
强化利用数据治理审计。商业银行应在必要时采取外部数据治理审计。数据治理审计关注点聚焦于监管合规,可较全面地排查当前商业银行数据工作全貌,并可定制化地请审计机构进一步扩大审计及评估的内容范围,以更全面的评估结果为商业银行实现数据治理目标提供有益参考。
文章来源:银行家杂志
编辑:云朵匠 | 数商云(微信ID:shushangyun_com)
【数商云www.shushangyun.com】专注为企业提供srm供应商采购平台开发服务,长期为大中型企业打造数据化、商业化、智能化的b2b网站开发解决方案,为传统企业搭建一站式srm供应商系统闭环体系,实现srm供应商网站数据互通、全链融合,综合提升平台运营效率与平台收益。
评论