专业解读

目录

综合篇（一）：金融行业数据治理概况
综合篇（二）：金融行业数据立法分析
综合篇（三）：金融行业数据监管动态
综合篇（四）：金融行业数据治理建议

金融行业数据治理建议

一、迎合监管趋势，建立金融数据合规制度

现阶段，金融数据监管已成大势所趋，目前金融机构数据治理能力、数据应用能力不强，应当根据自身情况，迎合监管趋势，积极参与数据治理、运用技术管理，缓解金融机构数据顾虑，提升数据价值变现的安全性，以避免数据黑产、数据垄断、数据滥用，保证企业良好、向好发展。

金融机构内部需要构建起专门的金融数据保护制度，明确数据安全责任主体及其相应职责。金融数据作为跨部门、跨企业流通的对象，其保护机制也应当打破企业内外隔阂，数据安全责任涵盖业务、技术方方面面，各业务部门既是数据的利用者，也是数据的保护者，应当对数据安全承担最终责任。

具体而言，企业建立数据合规体制可从两层面着手：

一是完善数据合规责任制度，环节化管理金融数据，对负责数据治理、数据融合应用、数据保护等方面的部门提出针对性监管要求。

二是强化内部自我监督制度，对于金融数据共享、数据融合等环节加强审核机制，在加快金融数据共享机制建设的同时保证数据安全。

二、运用技术优势，探索创新数据合规方式

由于金融企业具有数据密、监管强的行业特性，其发展过程始终伴随着大量数据存储，使得金融企业在面临数据治理高要求的同时，也具备一定数据管理技术经验、数据保密经验。互联网时代，技术平台是各行业领域拓展发展可能，拔高企业水平的必备保障，也是各项保护制度与流程标准得以落地运行的重要基础，金融数据安全工作亦应与时俱进、更新迭代，形成了以数据安全为中心的信息安全管理平台体系。

金融数据安全平台应满足金融数据安全的防护要求，通过法律与技术两方面的数据安全合规评估，能够根据相关法规要求及内部数据制度进行操作和落实，并满足未来的升级管理，具备登录失败等突发事件的应急处理系统，能够保证金融数据的加密存储和完整性。

一是应当发挥技术优势，在原有的安全基础上，围绕数据全生命周期、身份认证、访问控制、授权密钥等打造技术解决方案，推进技术平台改革，例如采取隐私计算技术，在保护数据本身不对外泄露的前提下实现数据分析计算，实现数据与识别信息分离；密钥管理平台、统一权限管理平台或审计平台去统筹设置规则及标准，做到集中管控。

二是善用新技术创新数据治理方式，网络技术往往走在时代发展前沿，金融企业应当以技术促管理，以新业态探求新技术开发。例如目前人工智能金融发展，在业务、产品领域均展现出较强潜力，但其对数据的依赖性也势必造就数据风险提高，加剧金融数据安全隐患。企业应当就新业态发展进行单独合规处理，通过合作专业技术团队、平台等，提升对金融数据的管理和应用能力，从而确保数据要素流通的合法健康、责任明确、价值保障。

三、推动数字化转型，强化金融数据能力建设

金融企业在参与数字化转型、实现多元化发展之时，势必需要打通数据孤岛，将数据进行深度应用，以扩展金融数据价值的广度和深度。在此过程中，探索数据所带来的价值与风险并存，企业应当强化金融数据能力建设，以降低金融数据的风险敞口。

2021年，中国人民银行就印发了《金融业数据能力建设指引》行业标准，为金融机构开展数据工作指明方向、提供依据，引导金融机构加强数据战略规划、着力做好数据治理、强化数据安全保护、推动数据融合应用，充分释放数据要素价值，为金融机构加快数字化转型发展夯实数据基础，打造适应数字经济时代发展的金融核心竞争力。

首先，金融业数据能力建设需遵循五大基本原则：用户授权、安全合规、分类施策、最小够用、可用不可见。金融业机构应明确告知用户数据采集和使用的目的、方式以及范围，在数据采集使用方面要求确保数据专事专用、最小够用，杜绝过度采集、误用、滥用数据，切实保障数据主体的数据所有权和使用权，有效保护数据隐私安全。

其次，具体化措施方面：

一是提升数据分类水平，运用数据标签等技术手段，明确数据使用权限、适用范围、应用场景和风险控制措施，综合考量国家安全、公众权益、个人隐私和企业合法利益等因素，根据保密性、完整性、可用性等属性对数据进行分级分类管理；

二是提升数据资源配置效率，建立合规数据共享机制，保证跨行业、跨机构的数据使用合规、范围可控，达到可用不可见，明确数据的权属关系，数据治理分类施策，数据精细化管理；

三是应重视金融数据处理的公开性、透明性，采用通知、声明、弹窗、条款等方式，明确金融数据的收集目的、处理方式和使用范围，确保在用户充分知情、明确授权前提下规范开展原始数据收集、衍生数据使用以及金融数据的综合运用。

四、立足根本，加大个人金融信息保护力度

随着金融信息保护规范性文件的不断出台，严格防控金融消费者信息泄露风险，保障金融消费者信息安全愈加成为金融机构数据合规的必行举措。然而对于金融数据而言，其中包含的账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息不仅事关个人客户和企业客户，也与金融机构的权益息息相关，换言之，进行金融信息保护既是对消费者权利负责，也是金融机构对所掌握的数据权益的巩固。

个人金融信息在金融业务流转中是重点关注对象，一方面，针对性措施的发布为处理该等信息提供了规范指引，2020年10月1日实施的《个人金融信息保护技术规范》（JR/T 0171—2020）就个人金融信息全生命周期提出安全技术和安全管理方面的要求，提出了金融机构与第三方合作处理金融信息的委托标准和要求。另一方面，专门法规的出台实际也是对此前相关制度的落实和总结，由《网络安全法》《个人信息保护法》等上位法为起始，重点围绕个人金融信息落实分级分类制度，并进一步对分类分级后的金融数据委托处理等全生命周期提出风险防范要求，因此，金融机构应把握立法要求，按照政策动向提高金融信息保护力度，加强机制完善中的权益意识。

一是金融机构应当切实保护金融消费者信息安全权，不应委托或授权无金融业相关资质的机构收集C3、C2类别信息，C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让，C3以及C2类别信息中的用户鉴别辅助信息，不应委托给第三方机构进行处理，外包服务机构与外部合作机构原则上不应留存C2、C3类别信息，不应将存储个人金融信息的数据库交由外部合作机构运维，合规禁止性要求的遵守应涵盖信息收集、披露和告知、使用、管理、存储和保密等各方面。

二是企业可内部开展金融信息保护监督检查工作，以消费者金融信息保护为主要内容，检查各部门在消费者金融信息保护方面是否存在超范围收集、非法存储、超范围使用或者泄露等违法违规行为，进行持续动态监测。

三是对于消费者即客户端，开展业务的同时也注意普及金融知识和消费者教育，提升金融消费者对个人金融信息的自我保护和防范诈骗等风险意识，以充分保障消费者隐私和合法权益。

五、重视专业人才，构建金融数据安全团队

从立法规制和实践来看，目前对于金融数据合规人才仍较为缺乏，企业设置专门数据安全保护负责人的同时，应当配套数据安全保护团队，设立专门机构，从而更好地执行配套措施，落实数据安全责任制。

在《信息安全技术个人信息安全规范》（GB/T 35273-2020）中即对个人信息控制者的责任部门与人员做出了具体要求，包括明确领导责任，提高个人金融信息安全保护意识和力度；应根据实际情况设立个人信息保护专门部门或专职负责人，作为个人金融信息保护工作开展的归口，负责统筹实施、督促跟踪相关工作；应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。该标准适用于规范各类组织的个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估，当然的也包括金融机构处理数据活动。因此，金融数据专业人才既需符合金融数据安全保护管理标准，也需满足国家标准中对于个人信息安全责任人员和部门的能力、资质要求。

一是金融数据安全保护负责人与团队成员应为具有相关管理工作经历和数据安全保护专业知识的人员，符合国家标准、行业标准要求，有能力就数据处理活动的日常进行、升级维护、重要决策等进行管理和检查。应明确其法定代表人或主要负责人对个人信息安全负全面领导责任，包括为个人信息安全工作提供人力、财力、物力保障等；应任命个人信息保护负责人和个人信息保护工作机构，个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任，参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。

二是按照金融企业规模进行数据合规，对于主要业务涉及个人信息处理，且从业人员规模大于200人；或处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；或处理超过10万人的个人敏感信息的，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作。

三是数据安全团队负责金融数据合规工作，在企业内部也应当加强数据库访问权限管理，建立相关权限操作流程和审批制度，确保个人金融数据的安全和保密，公布投诉、举报方式等信息并及时受理投诉举报，与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况，若发现访问异常及时通报上级并按照应急预案有序处理。

六、针对企业特性，金融数据治理有的放矢

金融企业应当立足于企业自身的行业与性质，根据不同类型金融企业如银行、基金、证券等掌握的金融数据特性，有的放矢地进行数据治理活动。一方面，金融数据可用传统数据处理技术或大数据处理技术进行组织、存储、计算、分析和管理，其对应的治理要点各异，同金融行业内的企业类型不同。另一方面，随着行业发展和数据流通加快，金融数据新场景频出，对应的数据问题也应得到关注。例如金融领域内，人工智能等技术深挖小微企业的多业务场景与数据，为企业精准画像，将企业的数据资产转化为信用资产，有效解决中小微企业长期的融资难问题，但同时也可能面临商业秘密数据泄露、征信牌照资质等问题。因此，企业应把握自身企业性质和业务场景特点，因事制宜进行金融数据的安全防范。

一是企业应切实了解企业掌握的数据类型、数据处理所涉主要环节、典型业务场景，找准重点数据和重点环节进行数据合规制度与配套措施的设置，围绕典型业务场景和新业务场景，对于常态化与特殊化的业务数据处理进行分别管理。例如基金券商跨境信息安全问题显著、银行大数据存储形势严峻等，不同金融机构所包含的个人金融信息在账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息比重亦有不同，各企业应立足自身，突出数据重点治理。

二是不同金融企业所面临的法律法规合规要求不同，除前文所述企业因规模、掌握的个人信息数量、处理业务量需遵循个人信息技术规范的标准外，金融业中企业类型众多，相关机构应根据自身实际属性切实履行相关义务。根据《关键信息基础设施确定指南（试行）》，商业银行企业需遵循关键信息基础设施运营者的合规要求，即银行企业在金融数据合规一般义务之外还需履行该等特殊义务；而金融类APP则需遵守《常见类型移动互联网应用程序必要个人信息范围规定》中规定的用户必要个人信息收集规定等。

作者简介

白小莉

北京市道可特律师事务所高级合伙人
道可特知识产权全国专业委员会主任
道可特北京办公室管委会委员

‍邮箱：baixiaoli@dtlawyers.com.cn

陈杰

北京市道可特律师事务所高级合伙人、管委会委员、金融专业委员会主任
北京市律师协会银行金融专业委员会委员
华茂金台基金管理有限公司(人民网基金)投资决策委员会委员
北海国际仲裁院仲裁员
理财师协会首席法律顾问

手机：13366052290
邮箱：chenjie@dtlawyers.com.cn