一、背景
　　2018年5月21日，中国银行保险监督管理委员会（以下简称“银保监会”）发布了《银行业金融机构数据治理指引》（以下简称“《指引》”），要求银行业金融机构将数据治理纳入公司治理范畴，建立自上而下、协调一致的数据治理体系。这距3月16日，该《指引》征求意见稿发布，仅两个月的时间，可见监管部门对于银行业金融机构数据治理的迫切关注。在总体架构上，《指引》全文共七章五十五条，与征求意见稿一致。除删除条款说明外，正式稿对征求意见稿的修改主要见于个别条款。
　　《指引》将取代现行的《银行监管统计数据质量管理良好标准（试行）》（以下简称“《良好标准》”或标准），《指引》首次引入了首席数据官的设置、明确了高管权责。《指引》的出台，标志着我国银行数据改革之路又上了一个新台阶。本文拟对《指引》中的重点内容以及征求意见稿与正式稿之间的差异进行解读，以期帮助相关金融机构做好迎接新规的准备。
　　二、适用对象及重要原则
　　《指引》总则明确了“数据治理”的定义，即“银行业金融机构通过建立组织架构，明确董事会、监事会、高级管理层及内设部门等职责要求，制定和实施系统化的制度、流程和方法，确保数据统一管理、高效运行，并在经营管理中充分发挥价值的动态过程”，并对适用范围与治理原则等重要内容作出规定。
　　根据第二条的规定，《指引》适用于我国境内经银行业监督管理机构批准设立的银行业金融机构，具体包括商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。又依据第五十三条，外国银行分行及银行业监督管理机构负责监管的其他金融机构，参照《指引》执行。
　　上述主体在进行数据治理时应遵循：（一）全覆盖原则，做到时间与空间上的“全覆盖”，即数据治理应覆盖全机构的全部数据生命周期，数据来源和内容不分内外；（二）匹配性原则，要求主体确保治理模式与机构自身管理模式、业务规模等具有“匹配性”；（三）持续性原则与（四）持续性原则，旨在保证数据治理的长效和有效，推动数据真实、准确、客观反映机构实际情况。这与《良好标准》的三个原则，即“匹配性原则”、“实质性原则”与“前瞻性原则”，具有一定的重合性，但新的四项原则为数据治理提供了相对更为具体、全面的要求。这与《良好标准》的三个原则，即“匹配性原则”、“实质性原则”与“前瞻性原则”，具有一定的重合性，但新的四项原则为数据治理提供了相对更为具体、全面的要求。
　　三、数据治理架构：强调董事会最终责任、增设首席数据官
　　《指引》列明了数据治理架构，划定了董事会、监事会、高管层的职责：
　　董事会：制定数据战略，审批或授权审批与数据治理相关的重大事项，督促高级管理层提升数据治理有效性，对数据治理承担最终责任。其中“董事会授权审批与数据治理相关的重大事项的权限”是正式稿第九条增设的内容，这在一定程度上提升了实践中的可操作性；
　　监事会：对董事会和高级管理层在数据治理方面的履职尽责情况进行监督评价；
　　高级管理层：建立数据治理体系，确保数据治理资源配置，制定和实施问责和激励机制，建立数据质量控制机制，组织评估数据治理的有效性和执行情况，并定期向董事会报告。“数据治理资源配置”与“激励机制”为正式稿新增加的部分，旨在增加高级管理层治理的体系目标，而问责与激励并存，双管齐下，无疑将更有效地助推金融机构进行数据治理改革。
　　同时，《指引》要求金融机构确定授权归口管理部门并由后者负责数据治理体系的实施，并对业务部门、岗位设置与团队建设提出了相应的要求、规定了其责任。
　　总体上这些规定与《良好标准》相衔接，进一步细化了组织内权责划分。值得注意的是，《指引》第十一条在《良好标准》的基础上增加了有关“首席数据官”的设置，这是银行业金融机构首次被允许设立首席数据官，此前，依据《商业银行信息科技风险管理指引》，仅监管机构允许增设首席信息官。首席数据官非强制性要求，银行业金融机构可根据实际情况设立，同时，在正式稿中，《指引》强调首席数据官是否纳入高级管理人员由银行业金融机构根据经营状况确定；纳入高级管理人员管理的，其任职资格许可应符合相关政策法规的要求。
　　类似的，美国金融监管局（Financial Industry Regulatory Authority, “FINRA”）于2015年2月发布的《网络安全实践报告》（Report on Cybersecurity Practices，以下简称“《实践报告》”），对金融机构提出的有关用户数据及网络安全的八大监管要求亦有类似关于高级管理层的监管架构的内容：美国纽约金融服务部门（New York Department of Financial Services, “NYDFS”）于去年10月发布了《纽约州金融服务公司网络安全要求》（Cybersecurity Requirements for Financial Service Companies），也有针对首席数据安全官（Chief Information Security Officer）的设置方面的要求；欧盟即将于5月25日生效的《通用数据保护条例》（GDPR）规定了在若干种条件下，相关机关有义务设置数据保护官（Data Protection Officer, “DPO”）。
　　四、数据管理和数据质量控制：引入国家标准
　　《指引》明确了数据管理和数据质量控制的要求，与《良好标准》的多个原则相对应。
　　金融机构应当结合自身发展与监管要求，制定数据战略，建立数据管理制度与监管统计制度，明确数据标准，完善信息系统，加强数据采集的统一管理与数据安全，明确系统间数据交换流程和标准，实现各类数据有效共享，建立数据应急预案、数据治理问责机制与数据治理自我评估机制。《指引》正式稿中更是进一步强调了“持续评价更新数据管理制度”的重要性。
　　同时，正式稿在征求意见稿中强调对数据安全等级进行划分，明确和监控访问权限的基础上，进一步提出了对拷贝等行为的规制，力求将数据从采集到使用的全过程纳入监管之下。尤其值得重视的是，《指引》正式稿第二十四条增加对涉及到个人信息的数据的采集、应用，“应遵循国家个人信息保护法律法规要求，符合与个人信息安全相关的国家标准”，其中国家标准部分无疑包括了已于5月1日生效的《信息安全技术个人信息安全规范》。
　　《指引》还要求金融机构确立数据质量管理目标，通过业务制度与信息系统的配合，建立控制机制，将监管数据纳入数据治理框架内，保证数据的真实性、准确性、连续性、完整性和及时性；做到日常监控与定期现场检查相结合，建立考核评价体系并将结果纳入绩效考核之中，对监控、检查、考核中发现的问题及时整改，做好数据报送与管控。考核体系和问责机制的存在，最大限度地确保了数据治理的有效执行，体现了银保监会数据治理的决心。
　　五、实现数据价值，提高风险管理能力
　　《指引》创新地提出了在金融机构风险管理、业务经营与内部控制等方面实现数据价值的要求，这是《指引》较《良好标准》最大的区别所在，它提纲挈领地指明了数据治理的核心目标。
　　《指引》要求金融机构提高数据加总能力及数据分析应用能力，充分运用数据改善风险管理政策、策略等以提高风险管理及监控的有效性，提升风险报告质量与风险定价能力。将数据纳入新产品新服务的管理以及对客户需求的分析，优化旧业务，创造新业务，有效评估和处理收并购等操作对金融机构数据处理能力的影响，亦即是说《指引》要求在多个方面体现数据价值。
　　六、加强监管监督
　　《指引》明确了银行业监督管理机构的监督方式和对于金融机构违反指引要求时可采取的监管措施。根据《指引》第五十条和第五十一条的规定，金融监管机构应采取非现场监管与现场检查相结合的监督方式，必要时可对金融机构进行内部或外部审计；对不符合要求的金融机构，监管机构可采取要求其提供整改方案，限期改正或将监管结果与公司治理评价、监管评级挂钩、行政处罚等的措施。
　　值得注意的是，较之于征求意见稿相对笼统的规定，正式稿明确提出了具体的管理法律依据——《中华人民共和国银行业监督管理法》等法律法规，并进一步要求金融机构遵守国务院银行业监督管理机构审慎经营规则。
　　《指引》中有关保护措施，应急措施，风险调控，定期审查等内容与美国的《实践报告》与欧盟的GDPR多有重合，但后者并非针对金融领域的专门性统一规定，而是针对所有主体的原则性要求，包括以合法、公正、透明的方式处理与数据主体有关的信息，并对数据控制者与数据处理者作出了相应的要求，包括建立数据保护安全策略与标准，采取相应的记录、监控系统，拥有能快速应对包括数据在内等数据危机的能力等诸多方面。总体上，欧美的法律法规针对数据保护以及网络安全提出了更为具体和细节的要求，但并未就发挥数据价值方面作出规定，后者为《指引》独创，立法侧重点的区别也由此体现。
　　从数据管理到数据治理，区区一字之差，但其背后折射的是数据在相关制度中的地位变化，《指引》将数据治理与公司治理相挂钩，进一步明确了数据治理在银行风险管理、业务扩展、内部控制和外部监管等方面的具体作用。从其征求意见稿到正式稿，多处修改进一步强化了《指引》内部的行文逻辑性，具体标准和监管规则的引入则为《指引》的贯彻执行提供了更有力的支撑。效率与强度的背后是银保监会对金融机构数据治理优化与改革的决心，我们建议相关金融机构积极按照《指引》相关规则调整本机构的数据治理架构，建立和完善数据相关制度。