道可特研究丨金融行业数据治理观察综合篇（一）

目录

综合篇（一）：金融行业数据治理概况
综合篇（二）：金融行业数据立法分析
综合篇（三）：金融行业数据监管动态
综合篇（四）：金融行业数据治理建议

金融行业数据治理概况

一、金融数据价值提升，合规治理必要紧迫

金融行业是指经营金融商品的特殊行业，包括银行业（商业银行、中央银行、政策性银行、信用社、城市合作银行等）、证券业、保险业、基金业等。金融行业掌握大量具备高经济价值的金融业数据，依托数据管理开展业务已成为金融行业数字化转型的典型发展模式，数据也逐渐成为金融行业的重要支撑力。

根据《金融数据安全数据安全分级指南》（JR/T 0197–2020）中的定义，金融数据是指金融业机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据。金融行业数据涉及个人信息、敏感信息、公共数据、重要数据等多类多级数据，其数据安全威胁的影响范围不仅在于机构内也在于行业间。自个人金融信息至市场交易信息，金融数据甚至影响国家安全、社会秩序、公众利益与金融市场稳定。金融数据生命周期保护、数据保护资源和成本、金融数据安全管理和安全应用等，均体现了金融数据合规治理的必要性和紧迫性。统一的金融数据管理制度，完整合理的配套措施，既能够促进金融数据在机构间、行业间的安全共享，更有利于金融行业数据价值的深度挖掘与潜力实现。

二、金融数据监管加强，巨额罚单屡见不鲜

据统计，2021年度人民银行及银保监会向银行、保险公司、证券公司、资产管理公司、期货公司、信托公司、金融租赁公司等各类金融机构共开出数据相关的罚单1056张，处罚金额超过10.5亿元，涉及达554家机构1。具体来说，在上述罚单中，金融机构发生的违规行为集中于个人信息保护与信息网络安全两大类，主要涉及“未按规定收集使用个人信息”“未经同意查询个人信息或企业信贷信息”“提供部分个人不良信息时未事先告知信息主体”“泄露客户信息”“网络授权访问控制不到位，存在信息科技风险隐患”“发生重要信息系统突发事件未向监管报告”等。

一方面，金融信息合规罚款金额不断上升，2022年1月6日，东亚银行（中国）有限公司因违反信用信息采集、提供、查询及相关管理规定，被中国人民银行上海分行罚款人民币1674万元，是2022开年以来央行系统开出的第一张千万级别银行罚单。另一方面，金融数据合规的社会影响力也在扩大，2021年，中信银行因泄露脱口秀池子个人信息事件被罚450万元，引发社会媒体关注。银保监会消保局指出，中信银行存在以下四大问题：

① 客户信息保护体制机制不健全；柜面非密查询客户账户明细缺乏规范、统一的业务操作流程与必要的内部控制措施，乱象整治自查不力；
② 客户信息收集环节管理不规范；客户数据访问控制管理不符合业务“必须知道”和“最小授权”原则；查询客户账户明细事由不真实；未经客户本人授权查询并向第三方提供其个人银行账户交易信息；
③ 对客户敏感信息管理不善，致其流出至互联网；违规存储客户敏感信息；
④ 系统权限管理存在漏洞，重要岗位及外包机构管理存在缺陷。

三、数字化转型再升级，研发应用势在必行

金融数据库作为企业核心应用系统的重要组成部分，为金融机构提供了基础支撑，数字化转型时代的到来则推动金融数据在规模不断增加、数据使用复杂度不断提高的情况下，能力要求也逐渐提高。

从政策环境角度来看，早在《金融科技（FinTech）发展规划(2019-2021)》中即指出：“金融科技重点技术点和应用场景中，利用云计算和分布式数据库拓宽服务渠道；要加强分布式数据库的研发应用。”《分布式数据库技术金融应用规范》（JR/T 0204-2020）中也从技术架构、安全技术、灾难恢复三个方面，构建了一整套分布式数据库技术金融应用的系列标准，这也为推动分布式数据库落地金融行业奠定了基础。从金融数据处理的实践需求来看，在数字化转型背景下，数字化获客、数字化服务、数字化运营逐渐成为行业业务开展的前路和关键，业务模式、风控手段的升级与数据密不可分，以数据提供业务支撑保障、用户管理、访问控制、监控预警、密钥管理等的数据处理成为行业趋势。

四、数据规范引导合规，行业治理问题仍存

目前，我国在金融行业数据治理规范层面已多次出台标准与规范，现行《银行业金融机构数据治理指引》《证券期货业数据分类分级指引》等针对具体金融行业数据管理指引均已发布，为行业数据分类分级工作提供指导性原则。中国人民银行发布的《个人金融信息保护技术规范》从保护个人金融信息权利角度出发，对个人金融信息全生命周期的规范要求作出了全面细致的规定。《金融数据安全数据安全分级指南》，为金融数据安全分级的目标、原则和范围，明确了数据安全定级的要素、规则和定级过程，并给出了金融业机构典型数据定级规则供实践参考。

法律法规、行业规范的指引落实在金融行业数据管理实践中仍存在许多问题。

第一，数字化发展背景下，金融与科技融合度日新月异，在创新金融产品的同时，数据风险防控难度随之增加，规范标准难以适用或预判。

第二，各金融机构对数据管理的针对性不强，笼统治理之下往往错漏管理重点，导致数据治理出现纰漏和隐患，同时也存在数据质量监控能力不强、专业人才缺位、数据管理制度缺位、内外部数据融合不规范等问题。

第三，尽管国家从立法、执法方面均加强了金融数据安全和信息保护的监管，但与金融数据利益切身相关的社会公众、企业对于数据控制者的依法合规操作仍然缺乏有效的知情和监督。

因此，现阶段金融行业数据治理还需重视与完善，亟待专业人才进行管理，通过制度和实践检验开拓金融数据的治理之道，以使金融数据发挥其应有价值。

五、域外金融行业立法，数据合规已成趋势

从金融数据合规的国际范围来看，各国与地区针对金融机构的数据保护立法已陆续出台，旨在破解金融数据攻击和窃取泄漏，维护用户权益和经济健康。美国纽约州金融服务部于2017年3月率先通过了针对金融机构的网络安全法规，事实上成为美国金融业的“网络安全法”。根据该法规规定，受监管的实体必须定期评估所面临的可能危害自身网络和信息安全和非公开信息（non-public information）安全的风险。而对于非公开信息，特指：

① 如不当披露，可能对实体导致“重大不利影响”的商业信息；
② 个人信息，该法规中的个人信息特指名字，或与社保号码、驾驶证号码、金融账号、金融账号密码或生物识别信息相结合的标识符；
③ 某些健康信息。

欧盟则在《通用数据条例》的基础上，通过了“支付服务指令修正案指令”“监管技术标准”等增强对金融业特别是银行业数据的开放利用。其中“监管技术标准”提到了限制“屏幕抓取”数据，意味着第三方支付服务商提供从用户那获取账号和密码后，直接访问银行的客户界面并抓取数据（相当于模仿用户行为，且不向银行表明身份）。一般来说，银行从安全和成本方面考虑，希望完全禁止这样的行为，而第三方支付服务商则希望能够继续使用屏幕抓取，至少作为后备解决方案，为此该标准规定，只有银行没有提供API接口或API接口持续30秒不可用时，第三方支付服务商才能使用“屏幕抓取”，且必须向银行表明自己的身份。

由此可见，金融数据在世界范围内的监管趋势明显，其不仅涉及个人敏感信息，还具有极高的经济价值和未来潜力，在技术要求、管理标准、风险控制方面均需特殊对待，金融数据合规已成为金融机构推动企业发展、变现数据价值的必经之路。

特别福利：加作者微信可免费获得金融行业数据合规文件汇编，前十名加微信的金融机构可以获得一次免费数据合规企业内训的机会。

作者简介

白小莉

北京市道可特律师事务所高级合伙人
道可特知识产权全国专业委员会主任
道可特北京办公室管委会委员

业务领域

精通民商、知识产权等各类争议解决。

个人荣誉

Legal 500亚太数据保护领先律师
2021年度LEGALBAND客户首选：知识产权多面手15强
2020、2021年连续两年荣获ALB中国知识产权律所榜单
北京互联网法院诉调委主任、朝阳律协会员委副主任
中制协专家委员、中国传媒大学、北京理工大学合作导师
提供深度服务的客户有国有企业、大型民营企业、知名互联网公司、文化传媒公司、影视公司、服装公司、餐饮企业等。

专著

《人民法庭民事审判实务》《裁判文书释法说理方案》

联系方式

‍邮箱：baixiaoli@dtlawyers.com.cn

陈杰

▨ 北京市道可特律师事务所高级合伙人、管委会委员、金融专业委员会主任
▨ 北京市律师协会银行金融专业委员会委员
▨ 华茂金台基金管理有限公司(人民网基金)投资决策委员会委员
▨ 北海国际仲裁院仲裁员
▨ 理财师协会首席法律顾问

手机：13366052290
邮箱：chenjie@dtlawyers.com.cn