文：潍坊银行股份有限公司 马少华

来源：《贸易金融》杂志

进入大数据时代，数据作为资源，逐渐成为企业的核心竞争力和核心资产。数据的合规使用，有助于推动企业核心竞争，反之，则可能会使企业陷入危机。当前，我国已经逐渐向5G社会过渡，疫情发生后，涉及互联网业务的数据规范化要求更加严格，数据治理更加审慎，大数据应用中的法律法规也会与时俱进，为全面维护大数据的安全应用保驾护航。

一、数据合规应用的背景

（一）数据的分类。数据根据管理和使用主体不同可以分为企业数据和个人数据。个人数据又可以分为自身数据和用户数据。企业数据根据安全级别不同可以分为三类：

第一类是公开数据，其是企业向社会公开，方便社会组织和个人自由取得和使用的数据；

第二类是商业机密，是纳入企业保密管理的数据信息；

第三类是介于两者之间，在企业内部使用，对企业具有价值的数据。这几类数据交织在一起，形成社会数据信息的集合。

（二）数据合规管理的发展进程。近两年来，各国在数据合规性方面的重视程度越来越高，但数据合规的进程仍任重道远。

2019年5月25日，旨在保护欧盟公民的个人数据、对企业的数据处理提出了严格要求的《通用数据保护条例》。

欧盟EDPB的报告显示，GDPR实施一年以来，欧盟当局收到了约145000份数据安全相关的投诉和问题举报;共判处5500万欧元行政罚款。苹果、微软、Twitter等企业也都遭到调查或处罚。GDPR的正式实施之后，带来了全球隐私保护立法的热潮，并成功提升了社会各领域对于数据保护的重视。

日本修订保护关键数据的《建立安全原则指导意见》，加强对重点行业数据应用的安全管理。

从国内来看，2017年6月，国家颁布网络安全法，对网络运行安全和网络信息安全及法律责任都做了明确规定，在此基础上，国家网信办于2019年5月对数据安全管理办法进行意见征集，将形成更严厉的数据安全管理法规。

2019年10月，两高新发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》对信息网络的安全提出了司法管理走向。

从国内银行业来看，2018年5月，银保监会出台了银行业金融机构数据治理指引，2020年4月又对互联网贷款管理办法开始意见征集，充分说明了数据治理和安全应用在合规管理和监管中的重要地位。

（三）数据合规管理具有现实意义。数据合规管理要保持两个基本原则：一是要符合法律法规的规定，二是不得侵犯他人权益。

当前，我国数据安全管理一是要平衡处理好发展与安全的关系。面对大数据快速发展带来的新形势新挑战，部分企业为掌握海量数据资源，在数据保护方面存在“重采集，轻保护”的现象，亟须指导督促企业落实数据安全保护责任。

二是大数据时代下数据安全面临更多的风险和挑战，传统网络安全监管手段和能力难以有效应对数据作为生产资料无处不在的新环境，需要在实践中不断完善管理方法，进一步加强数据全生命周期保护和管理。

因此，实现数据合规管理不只是体现数据安全保护的有关制度建设要求，也是对于健全法治的具体体现。

二、商业银行当前在数据安全合规方面的现状

（一）商业银行数据安全管理违规案件增多，暴露多起侵权现象。2020年1月，国家计算机病毒应急处理中心对多家银行APP应用提出点名，涉嫌未经用户授权侵犯用户隐私。特别是在用户隐私条款方面设计不完备，操作简单粗放，第三方合作机构在收取用户信息方面存在模糊授权问题。2019年10月，一些银行被爆出与大数据公司合作中出现违规爬虫现象，个别银行因此受到监管问责，银行与金融科技公司的数据治理和数据安全合作得到重点关注。

（二）数据合规管理逐渐向商业银行迁移。数据合规管理一般是从互联网企业开始，逐渐向政务、工业、金融、教育、医疗等行业转移。对于银行业而言，初始主要监管是互联网信贷、互联网理财和征信信息违法违规泄露现象。随着银行业互联网开放的程度不断深化，开放银行和远程银行将获取用户信息和情景生态接入运营场景，在获客方面的合规要求更规范。由此而来，数据安全监管也从国家法规到部门规章不断落地，预计后续会继续出台较为严厉的制度法规。

（三）商业银行数据安全管理能力有待加强。在数据应用过程中，商业银行除了积累客户信息、存贷信息和账户信息等传统结构化数据之外，还增加了大量声音、影像、图片等非机构化数据。数据的大量增长对商业银行的数据管理提出了更大挑战，加大了商业银行的管理责任。由于信息管理不善造成信息泄露，出现的信息诈骗现象更是屡见不鲜。商业银行作为各类客户信息的集散中心，需要加强在数据安全方面的保障能力，妥善处理数据应用和安全管理的关系，避免在数据应用中出现经营风险和声誉风险。

三、商业银行数据合规应用管理的发展趋势

2020年5月，某股份制银行爆出泄露个人客户账户流水信息事件被银保监会启动立案调查，爆出了商业银行在数据安全管理方面的严重缺陷。此次事件倒逼商业银行在数据安全方面加强合规管理，客观上将提高商业银行的数据安全管理意识。

（一）商业银行要树立大数据安全合规经营理念。商业银行在逐渐向互联网银行业务转移，数据风险管控是以后合规经营的基础，大数据管理和应用必然逐渐成为监管的重要内容。如何快速做好大数据安全和合规管理，将成为未来商业银行能否满足合规监管的考核重点。商业银行不但要明确大数据开发和应用的发展方向，还要结合自身实际，将大数据经营和发展战略与全行整体战略相结合，培育数据安全合规文化，将大数据安全纳入全行风险管理体系，引导商业银行在经营管理方面精准发力。

（二）创新监管模式将成为大数据安全管理的有力保障。2016年，针对金融科技创新的管理，为加强消费者权益保护，中国政府和监管部门开始引入监管沙盒。2017年5月，区块链沙盒计划首次由政府进行推动。2020年1月，中国人民银行将6个创新项目纳入第一批金融科技监管沙盒试点。在应对金融科技创新、加强数据安全管理等方面具有很强的推动作用。

（三）法律法规约束对商业银行数据应用合规管理将更加全面和规范。从国外来看，近几年各国政府和金融监管部门都通过修改立法和补充规章对商业银行在数据应用方面进行了约束，旨在保护隐私和消费者权益，避免商业银行过度应用数据。

从国内来看，基于互联网和消费者权益保护为基础的一系列法规陆续出台，监管部门在商业银行现场检查中也对数据安全、数据治理和与第三方科技合作进行监管约束。随着当前疫情过后商业银行发展战略的升级转变，数据安全的控制和保障将成为商业银行合规管理的重点方向。