APP下载

加强金融控股集团数据治理势在必行

2022-10-28张春子

银行家 2022年10期
关键词:金控控股集团数据安全

马 丹 张春子

随着金融控股集团下属子公司数字化、信息化水平的提升,集团内部对各类金融业务系统之间的数据交互、数据集成提出了更高要求。强化金融控股集团数据治理,通过深度的数通与共享提升金融控股集团协同效应,对于打造数字时代金控集团核心竞争力至关重要。本文分析了金控集团数据治理的管理难点和技术难点,并提出了金控集团数据治理的重点。

金控集团数据治理势在必行

近年来,金融控股公司在推进各子公司协同发展和数据治理过程中,面临各金融机构系统之间因为数据标准不统一等导致的数据准确性、一致性、完整性缺乏保障,系统数据分散和数据质量不高等问题,金控平台下各系统间快速高效的数据交互难以实现,进一步强化数据治理势在必行。

《国务院关于印发促进大数据发展行动纲要的通知》(国发〔2015〕50号)要求推动跨领域、跨行业的数据融合和协同创新,全面提升数据治理与数据服务能力,健全数据治理的评价、考核和持续改进机制。中国人民银行在2020年10月及2021年3月分别发布了《金融数据安全分级指南》和《金融业能力建设指引》,指导金融业的数据治理工作。中国人民银行等四部委联合印发的《金融标准化“十四五”规划》,对金融科技、绿色金融、数字货币、网络安全等多个领域提出了标准化建设要求。中国人民银行于2020年正式发布实施的《金融控股公司监督管理试行办法》(以下简称《办法》)更是规定金融控股公司应“规范发挥协同效应”,金融控股公司与其所控股金融机构之间、其所控股机构相互之间可以共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源,并要求将数据治理纳入公司治理范畴,同公司治理评价和监管评级挂钩。

近年来,国家立法机构和有关金融监管部门相继推出和实施了多项法律法规和行业标准。《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》及2018年5月中国银保监会发布的《银行业金融机构数据治理指引》(以下简称《指引》),都要求商业银行金融机构制定大数据战略,夯实数据治理基础,建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,加强数据资料统一管理,建立数据应急预案及问责机制。《指引》更是涵盖数据治理架构、数据管理、数据质量管控、数据价值实现等各大领域,强调了数据治理架构的建立,明确了数据管理和数据质量控制的要求。2022年初,银保监会办公厅下发《关于银行业保险业数字化转型的指导意见》,要求银行业和保险业从战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范、组织保障和监督管理等方向持续发力,构建数字化经营管理体系,健全数据治理,全面提升网络安全、数据安全和风险管理水平。证券监管机构也非常重视证券期货业金融机构的数据治理问题。2016年12月,中国证券业协会发布的《证券公司全面风险管理规范》首次在行业内提出数据治理。2018年12月,证监会发布《证券基金经营机构信息技术管理办法》。2021年底,中国证监会科技监管局印发的《证券期货业“十四五”数据治理规划》指出,未来五年,证券期货业工作重点目标在于确立全面有效的制度体系,健全数据治理组织体系,构建行业数据模型与规范,提升数据质量,强化行业数据安全等。证监会目前正在制定《证券期货行业数据分类分级指引》,未来将在数据分类分级基础上,采取相应的安全管理和保护措施。同时,证券期货有关管理部门也在进一步研制《证券公司核心交易系统技术指标》《证券期货业数据安全管理与保护指引》等标准。银保监会和证券监管机构的相关办法和标准对于金融控股公司在数据共享、数据质量管理、元数据管理等方面的管理具有指导意义。

数据是数字经济时代的石油,谁拥有数据资源优势,谁就占领了竞争的制高点。激发数据要素市场活力关系到我国能否在全球“数字经济”激烈竞争中弯道超车。有关专家认为,发展数据要素市场的重点应致力于打造数据要素市场的全生态体系,在推进数据、算法和算力的综合交易基础上,加快发展数据衍生品及数字资产交易,逐步从目前的数据资产即期等价交易,扩展到远期借贷融资和投资。金融控股集团作为银行、证券、保险、信托等多种金融机构业务聚合的重要金融基础设施,更应发挥综合经营的数据平台优势,借助先进的金融科技,率先实现数据良好治理,激发数据要素市场活力。

当前金融控股集团数据治理难点

随着《办法》的实施,金控集团持牌化、规范化经营大势所趋,数据治理问题成为未来金控集团必须加快解决的重要问题。但是,目前一些金融控股集团在数据治理方面仍存在一些亟待解决的重要问题,具体可概括为管理难点和技术难点两大方面。

金控集团数据管理实践的难点

金控集团要强化数据治理,培育数据要素市场必须尽可能多地实现内外部数据资源开放共享,在实际管理中至少存在以下三个难点。

金融控股公司作为金控集团的总部,负责集团公司发展战略、经营目标、对外投资、子公司高级管理层选聘等重大事项的决策,要监督各控股子公司和投资企业的经营管理,强化集团各类整体性风险的管控,依法合规为子公司提供相关支持服务。从数字经济时代金控集团核心竞争能力提升的角度看,金控公司高层的数据治理意识有待进一步提升,一些金控集团还未结合公司治理、信息科技治理等方面的要求进行有效的数据治理,缺乏集团公司层面对数据治理工作的统筹部署和全面风险管理安排,数据治理平台功能还不健全、不完善。在新的发展环境下,金控集团治理层应将数据治理作为集团自上而下的一体化和“一号”工程,高度重视并牵头持续推进数据治理工作深化,以保证整个集团和各金融子公司的数字化转型过程中数据项目的愿景与金融控股公司整体的战略目标保持一致。

目前,一些金控集团仍存在集团整体数据治理组织架构不清晰、履行职责不到位、缺乏统一的数据治理战略规划,或缺乏针对数据治理人才队伍培养的系统性规划,或数据资产缺乏规范性管理等问题。近年来,尽管各类金融子公司都加强了数字化转型和数据治理工作,但考虑到存在的上述问题及各类金融机构在数字化能力建设等多方面的差异,金融子公司在数据治理方面普遍缺乏统一规范、统一管理、统一规划。一些金融控股公司和子公司数据治理方面的制度繁多,没有统一口径,数据解读难度较高。

金控集团内部的各个成员子公司在长期的经营管理活动中积累了大量不同维度、不同类型公司企业、机构和个人客户的数据。这些数据形式各异、彼此分割、内容纷呈,从而在金控集团内部形成了一个个“信息孤岛”。同时,集团各金融子公司都是由不同股东、客户群体组成的利益集团,加之严格的监管要求和各自的内部商业秘密管理制度,导致相互之间数据协同顾虑较多,都希望数据只进不出,本机构的底层敏感丰富数据不敢开放。这种由数据所有权与控制权(使用权)分离导致的数据共享概念和开放困境,或者说集团内部、子公司内部的利益关系也阻扰了金融控股集团层面的数据治理工作的落实。

金控集团数据治理技术实现方面的难点

国内大中型金融控股集团各类金融子公司特别是商业银行子公司,往往涉及数千万甚至上亿个人客户的数据信息,所服务的企业和机构客户也往往在几十万甚至数百万家,各金融子公司在为这些客户提供交易和其他金融服务过程中形成了海量和千差万别的数据结构,增加了快速盘清数据底账,保持数据分类分级一致性,以及防护策略有效性的重要挑战,加大了在集团范围整体推进数据治理工作的协调难度,短期内也很难体现出集团开发的相关技术平台和金融科技项目的效果。

根据有关科技专家分析,目前市场上许多金融控股集团各大系统之间的数据基本是点对点交互模式,各系统的数据编码多样化。数据梳理、数据编码重构及映射等方面的系统改造影响面非常广,增加了集团公司的数据治理部门在构建多个金融子公司和整个金融业务板块的数据治理体系方面的难度。同时,大中型金控集团都不同程度地开展着国际化经营,境内外数据的国际跨境流动要求更高的安全保障和顺畅的境内外合作协调。在国际环境不确定性上升的背景下,加强有效的数据治理国际合作,推动构建有效和规范的金融数据全球治理体系,仍然是大中型金控集团面临的最大挑战。

金控集团数据治理方案的有力执行是集团数据建立和数据质量的根本保障,但是由于许多金融控股集团的子公司涉及领域广泛,每个行业的金融监管和运营对数据治理都有差异化的需求和设计方案。因此,如何通过最新数字技术促进银行、证券、保险、信托、基金等多业态数据的协同共享,也是金融控股集团发展过程中面临的重要挑战。同时,金融控股集团需要采取有效措施减少数据标准的差异化,强化集团范围数据标准的准确性、一致性和完整性,并运用统一高效的数据治理平台来支撑和推动数据项目的落地。

随着更多金融科技和移动智能终端的普遍开发和使用,金融控股集团内部各类客户的运营与衣食住行各方面的交易数据会被实时全方位记录,特别是个人信息更加透明化和被过度采集,导致数据被盗用、侵权、欺诈、财富和人身安全等方面的问题日益突出。近年来,网络安全防护和系统建设存在的漏洞导致客户数据泄露和损毁的风险不断增加,有效保护金融消费者权益面临新的问题和挑战。但目前来看,一些金融控股集团仍无法有效应对复杂数据流动的风险,风险防护的手段方面也缺乏强有力的协调联动能力,无法针对客户生命周期的整体数据安全提供有效防护。

金融控股集团数据治理重点

金融控股集团数据治理是一项新兴而又充满挑战的系统工程,具体解决金控集团中的谁(Who)能根据什么样的信息,在何时(When)和何种情况(Where)下,选择何种路径(Which),用什么方法(How),达到什么目标(What)。数据治理中最为突出的问题表现为集团数据管理、集团数据共享、数据要素市场建设等三个层面。

突出强化集团数据管理

金控集团通过规范数据治理中的业务、技术、管理等三大属性,可使银行、证券、保险、信托、期货等各项金融业务在经营管理过程中有效统一各类业务术语定义、报表口径规范、数据交互标准等,既有助于金控集团数据的有效共享、交互和应用,也可以大幅减少各种业务和板块的系统间的数据转换需求。这就要求金控集团必须建立规范的数据资产目录,对业务元数据实行集团平台化统一管理,再根据不同的金融业务场景对数据资源科学分类,推进数据资源在集团范围依法合规共享,提升数据资源使用价值。

一方面,金控集团通过强化数据管理,有效提升集团范围的数据完整性、真实性和准确性,可以为集团数据治理提供更加可靠的数据基础,构建高价值的数据资产池,大幅提升数据的使用价值,提高金控集团的重大经营管理决策、风险管理和合规控制等领域的科学性和有效性。另一方面,金控集团可以通过数据探查报告方式,依法合规为集团内各经营管理单位及集团外的利益相关者提供数据量、数据维度、变量类型(连续/多分类/二分类)、缺失情况、数据准确性(语义分析及对比)等各种信息,能有效衡量各种数据的质量。同时,集团通过数据评估报告等形式,描述数据的完整性,离线在线一致性、准确性、唯一性、关联性、真实性、及时性等情况,能有效评估数据要素整体分布和流通质量。金控集团数据质量管理要贯穿数据的生命周期全过程,覆盖全业务的需求分析、数据质量评估、业务影响评估、动因分析、问题跟踪整改等方面。

元数据(Metadata)是描述其他数据的数据(data about other data),或者说是用于提供某种资源的有关信息的结构数据(structured data)。金控集团的元数据可以有效解释集团内各类金融业务的数据意味着什么,这些数据来自哪里,在集团各金融业务系统中这些数据如何有效流通转移,集团内的谁和哪些部门、机构在何时和以何种方式有权访问这些数据等概念。因此,元数据被看作是集团数据的数据“索引”,通过对元数据的规范管理实现各类数据的快速检索、血缘分析和数据地图的展现。随着金控集团数据治理的深入,元数据管理在金控集团数据资产管理中的基础性作用将更加突显。

强化集团范围的数据共享

在依法合规前提下,金控集团要大力推进数据开放共享,打破各类金融机构和不同种类金融业务之间的数据孤岛和人为障碍,让数据充分流动起来,创造更大的价值。

相对交易数据而言,主数据是反映核心业务实体状态属性的基础信息,是系统间共享的数据,属性上具有相对稳定和变化相对缓慢等特点。金控集团的主数据往往比单一的银行、证券金融机构具有更高的价值及共享性,以及更高的准确度和唯一识别性。集团所有主数据字段是各金融业务经营管理主系统开发必须遵循的基本描述,属性字段方面应保持一致与完整性,从而为向数据需求者提供相应主数据信息提供更加方便的条件。但是在实践中因为一些金融控股集团缺乏主数据管理平台和应用集成接口,各金融子公司分散建设的各系统中数据查重不能跨系统进行。在这样的情况下,金控集团内部的各系统首先应强化各自的主数据管理,打造自身的数据仓库,按照主数据编码规则生成相应的高质量数据。在集团主数据平台实施运营时,应在集团范围统一进行数据的清理合并,然后导入集团主数据管理平台对各种数据进行集中管控。

数据交换是金控集团数据交互和协同共享的基础,国内外金控集团数据治理实践表明,合理、有效的数据交换体系对于提高集团数据共享程度和数据流转时效具有重要意义。金控集团通过对内部各系统间数据的交换规则制定对接口、文件的命名、内容等方面的标准进行统一,可以有效规范集团系统间、集团系统与下属的各金融子公司系统间的数据交换规则,提高数据共享的时效性,精确掌握数据的流向等。

数据安全是金控集团数据交互共享的根本保障,如果因为数据安全无保障导致信息不慎泄露,不仅会给各类客户和集团、子公司带来重大经济损失,也会给金控集团及相应金融子公司带来声誉风险,有的还将面临客户“天价”索赔诉讼等法律风险和金融监管机构严厉的监管处罚,从而影响集团整体的融资成本、市场准入机会、股东价值和品牌价值。金控集团应通过硬盘加密、传输加密、敏感文件外发控制等工具,强化对集团内各类系统数据存储、传输方面的管理,并辅之以定期开展安全审计等数据使用层面的安全控制,使得集团数据安全得到有效管控。

探索数据的市场化交易平台

在依法合规进行数据共享的前提下,金控集团应积极探索建立数据要素的市场化交易平台,为内部统一的数据资源交易平台制定和实施科学的交易规则,统计和计算数据资源生产要素的交易情况,厘清内部各子公司所产生数据的所有者、数据控制者和数据使用者之间的关系。同时,对于集团各单位所需要的外部数据,金控集团应以降低整体使用成本为目的,建立数据资源集中采购中心,统一采购后在集团内部开展数据资源生产要素交易和统计结算,最终达到提升数据资源整合价值的目标。

金控集团的数据风险管理

金控集团要提供数据安全保护,强化统一化管理和主动型风控管理,提升从数据中识别风险、灵活运用大数据技术管控风险的能力。

金控集团要制定金融数据安全治理建设标准指南、数据安全分类分级管理办法、规范数据安全过程中的技术方案等各项规范化制度和准则。要建立统一的金融数据安全管理制度体系,规范数据治理工作流程,强化对数据安全管理人员的职责要求,形成严格规范数据安全的范围、内容、流程及方法的标准,制定严格、合理、可落实的数据安全分级分类管理标准。

要强化数据的全生命周期管理,强化加密、脱敏、审计、水印等不同数据安全技术手段的应用,及时发现数据治理各个环节的风险点,集中化管控贯穿数据全生命周期的安全策略。要以数据安全分类分级管理办法和数据安全评估报告为基础,对重要和敏感的数据进行特殊处理,按照风险最小化和价值最大化的原则为系统维护人员和数据使用者设置数据访问权限。要进行统一调度并实现与数据加密、数据脱敏、数据水印、数据防泄漏、数据溯源等防护技术工具的联动,从外到内形成一个纵深的安全防御体系,构建金融数据全生命周期安全的整体防护能力。

金控集团可邀请第三方机构对集团数据安全分类分级管理办法和数据安全等级保护水平进行评价和评估,加强在数据边界管控、访问控制、安全监测、安全审计、检查评估、应急响应与事件处置过程中的数据安全风险防控能力。数据治理部门要全面掌握数据安全态势,规避数据安全风险、提升应急响应能力和大数据安全指数,确保数据安全防护机制的有效执行,及时发现与处置数据安全问题,保障集团经营的高效、安全运行。

猜你喜欢

金控控股集团数据安全
黑龙江龙煤矿业控股集团有限责任公司
在高质量发展中迈向十四五的奥克控股集团股份公司
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
连云港港口控股集团揭牌
大数据安全搜索与共享
广东宏达建投控股集团