在《指引》的第一章中,“数据治理”被定义为“通过建立组织架构,明确董事会、高级管理层、部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。”《指引》明确要求银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系;在数据治理过程中,数据治理应当遵循全覆盖、匹配性、持续性和有效性的基本原则;数据治理应纳入监管数据,建立工作机制和流程,法定代表人或主要负责人对监管数据质量承担最终责任。
《指引》第二章至第六章重点从以下四个方面提出监管要求[1]:
一是明确数据治理架构。《指引》明确银行业金融机构应当建立数据治理架构,明确了董事会、监事会、高管层和相关部门的职责分工,提出可结合实际情况设立首席数据官。要求确立数据治理牵头部门,明确牵头部门和业务部门职责,并要求建立良好的数据文化。
二是明确数据管理和数据质量控制的要求。明确银行业金融机构数据管理方面的要求,覆盖数据战略、数据管理制度、监管统计制度、数据标准、信息系统、监管统计系统、数据共享、数据安全、资料存储、应急预案、问责机制和自我评估机制等。要求建立数据质量控制机制,明确将监管数据纳入数据治理范畴,要求全面强化数据质量,保证数据的真实性、准确性、连续性、完整性和及时性。强化银行业金融机构对数据质量的责任,明确由董事会承担数据治理最终责任,建立和实施上至高管层的数据治理问责机制。
三是明确全面实现数据价值的要求。提出银行业金融机构应当将数据应用嵌入到业务经营、风险管理和内部控制的全流程,有效捕捉风险,优化业务流程,提升内部控制有效性,实现数据驱动银行发展。突出强调数据加总能力建设、新产品评估要求,有效评估和处理重大收购和资产剥离等业务对数据治理能力的影响。
四是加强监管监督。明确了监管机构的监管责任、监管方式和监管要求。对于不满足《指引》有关要求的银行业金融机构,要求其制定整改方案,责令限期改正;或与公司治理评价、监管评级等挂钩;也可能视情况采取其他相应监管措施。
在适用范围上,《指引》适用于在中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构,包括商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。外国银行分行以及银行业监督管理机构负责监管的其他金融机构则需参照《指引》执行。
银监会颁布的《指引》一旦正式实施,将确立银行业金融机构数据资产管理的基本原则和方法论,有助于规范和引导银行业金融机构数据治理实践。银行业率先公布数据治理指引,对于其他行业,特别是保险、基金等与银行业务类型相近的行业,具有重要的借鉴意义和参考价值。
我们将继续关注这一领域的进展并及时解读。
杨洪泉律师是安杰律师事务所合伙人,他在电信、互联网和IT(TMT)、争议解决、劳动等领域有丰富经验,尤为擅长提供个人信息保护和网络安全领域的法律服务。
文章仅代表作者观点,不视为安杰律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。