企业集团数据治理的主要问题及解决思路

1、企业集团数据治理的主要问题及解决思路随着互联网、大数据、人工智能等技术手段的发展，数据治理 已成为国家、社会、企业治理的重要组成部分。仅2020年，就有国家发改委等十二个部门1，工业和信息化部2，北京市委、市政 府3，深圳市政府4等多个政府部门在相关文件中明确提出提升 政府、行业、企业数据治理能力的要求。企业作为数字经济浪潮中最主要的市场主体，应当重视企业数 据治理能力的提升，保障数据安全、发挥数据价值。而在众多类型 的企业中，大型企业集团、控股公司所面临的数据治理的机遇与挑 战又尤为突出。本文将结合我们为大型企业集团、控股公司（统称 企业集团）提供数据合规治理的相关服务经验，对企业集团进行数

2、 据治理的几个问题进行分析，以期为相关方提供有益的参考。一、对企业集团进行数据治理的需求与目标的理解推进企业集团数据治理工作、提升企业数据治理能力，是外部 环境和企业内在需求的共同要求。1. 推进企业集团数据治理是外部环境的影响和要求从外部环境看，数据治理是列入十九届四中全会提升治理能力 现代化的重要内容。联合国发布的2019年数字经济报告认为， 数字革命以前所未有的速度和规模改变了我们的生活和社会，带来 巨大的机遇和严峻的挑战，数据已从资产保护对象成为重要的经济 生产工具。与此同时，数字经济也带来了新的风险，包括网络安全、便利 非法经济活动和挑战隐私概念等。为应对这些挑战，近年来各国从 法律

3、层面对网络安全、数据安全、个人信息和隐私保护予以监管、 规制。我国自 2017年 6月 1日网络安全法实施以来，已经初步 形成了相关法律体系，即将于 2021年 1 月 1日起实施的民法典 也在人格权编中规定了隐私和个人信息保护专章。目前，个人信 息保护法和数据安全法也在加紧制定中。有关网络和数据安全的监管也进一步加强，全国范围的网站安 全专项整治、APR!法违规收集个人信息专项治理、“净网 2020” 等执法行动，显示出网络与数据安全执法常态化。外部环境变化、监管要求趋严，对大型企业集团的数据治理能 力和数据合规水平提出了更高要求。2. 推进数据治理工作是企业集团内部协同发展的内在需求 从内

4、部需求看，推进数据治理工作是企业集团内部纵深发展以 及战略转型的需要。以对数据治理要求较高的金融行业为例。 2018 年，为指导银行 业金融机构加强数据治理，提高数据质量，发挥数据价值，提升经 营管理能力，中国银行保险监督管理委员会（“银保监会”）发布 银行业金融机构数据治理指引（银保监发 201822 号），对 银行业金融机构的数据治理体系建设提出具体要求。 2019 年，中国 人民银行发布金融控股公司监督管理试行办法（征求意见 稿），明确提出，金融控股公司与其所控股机构之间、其所控股 机构之间可以共享客户信息、销售团队、信息技术系统、运营后 台、营业场所等资源，发挥协同效应；金融控股公司可

5、以在集团内 部建立金融控股公司与其所控股机构之间、其所控股机构之间的协 同机制，对集团各项资源进行合理配置；在开展业务协同时，金融 控股公司、其所控股机构应当依法以合同等形式明确风险承担主 体，防止风险责任不清、交叉传染及利益冲突。基于监管机构对数据治理的要求，众多金融企业、金融控股公 司将监管机构的要求与企业自身发展战略融合，提出数据治理作为 企业现代化治理的一部分，开始考虑如何依法、有效地对不同业务 板块和子企业的业务数据进行统一管理，在法律框架内充分发挥集 团内数据的协同效应，以数据协同促进管理协同、业务协同，实现 企业集团内部协同发展的发展目标。可见， 众多企业集团将外部要求与自身发展

6、战略相结合，将数 据治理的内化为企业的内部发展需求。二、企业集团数据治理的核心问题难点与重点基于企业集团对数据治理的需求和目标，我们对企业集团数据 治理的核心问题、重点、难点及解决思路归纳如下。1. 数据的法律属性识别和分类企业集团内部主体众多、业务种类多样，所涉及的数据类型也 是多种多样的。其中可能包括各类客户信息，也有其他各类业务数 据，这些数据可能具有受法律保护的个人信息、关键信息基础设施运营者的重要数据、隐私、商业秘密、知识产权等各种不同的法律 属性。例如， 从客户层面看， 企业集团的客户可能包括机构客户，也 可能包括个人客户。机构客户信息可能是客户的公开信息，但也可 能是客户的商业秘

7、密；个人客户信息可能属于受法律保护的个人信 息，也可能属于其他数据。从监管层面看， 不同监管机关对其行业内数据可能有专门的界 定和行业监管要求。例如，金融企业的客户信息可能属于中国人 民银行关于银行业金融机构做好个人金融信息保护工作的通知 （银发 201117 号）等规定的个人金融信息；医疗企业的数据可 能属于人口健康信息管理办法（试行）规定的人口健康信息， 或者人类遗传资源管理条例规定的人类遗传资源等。不同数据信息的法律属性在监管要求上的侧重有所不同，由此 也将直接影响对这些数据的收集、使用、共享的方式。企业集团旗下往往有若干业务板块、业务种类丰富，例如，某 大型金融控股集团旗下有金融业务板

8、块和非金融业务板块，金融业 务板块包括银行、保险、证券等多家子企业，非金融业务板块包括 酒店、旅游、医疗健康等多家子企业。这类企业集团各业务板块所 涉及的数据也是复杂多样的。因此，识别不同数据的法律属性，并 对其进行分类处理，是企业集团数据治理的难点和重点之一。2. 相关法律法规或监管要求对特定数据共享、流转、归集的限 制企业集团对于成员单位进行数据归集、共享时，还需要考虑相 关法律法规和规定的特殊监管要求。例如，中国人民银行早在中 国人民银行关于银行业金融机构做好个人金融信息保护工作的通 知（银发 201117 号）等规定中就对金融机构向本机构以外的 主体提供个人金融信息等有限制性规定。在进

9、行数据归集、共享管 理时，需要结合相关行业的规定制定相应的处理方案和策略。3. 客户的授权问题对于客户信息，无论是可能涉及商业秘密的对公客户信息，还 是可能涉及个人信息的对私客户信息，如在集团内共享管理，均需 要取得客户的明确授权同意。其中，对于增量客户，可以通过新签合同等方式取得其授权。 对于既有的存量客户，取得其补充授权在现实中可能存在困难，为 此可以通过创设业务场景、激活客户等方式在相应业务场景和环节 中取得其授权。4. 数据存储与跨境问题网络安全法规定，国家对公共通信和信息服务、能源、交 通、水利、金融、公共服务、电子政务等重要行业和领域，以及其 他一旦遭到破坏、丧失功能或者数据泄露，

10、可能严重危害国家安 全、国计民生、公共利益的关键信息基础设施，在网络安全等级保 护制度的基础上，实行重点保护。关键信息基础设施的运营者在境 内运营中收集和产生的个人信息和重要数据应当在境内存储，因业 务需要，确需向境外提供的，应当进行安全评估。数据跨境流动问 题作为一项重要的制度在数据安全法（草案）中也有体现。企业集团及 / 或其成员单位，特别是属于关键信息基础设施的运 营者的，对于集团内业务涉及数据在境外落地或数据出境的，需要 谨慎对待所涉及的数据跨境问题。5. 数据管理平台的搭建企业集团数据治理方案的落地，需要由统一数据管理平台承载 实现。企业集团可以结合数据治理的目的、所涉及的数据类型确

11、定 数据管理平台的功能，从技术上确定可行的平台架设方案、安全保 障方案，并关注平台的网络安全等级保护标准、是否需要符合网 络安全法对关键信息基础设施及其运营者的要求，以及脱敏、加 密等技术措施是否符合密码法等有关要求。6. 数据合规常规机制的搭建和运行企业集团数据治理需要通过一系列运行制度来实现日常管理。 企业集团可以通过设置数据合规工作机制，包括但不限于制定操作 规程、行为手册，执行数据合规论证机制、监督检查机制、考核与 培训机制等，落实数据治理工作，使得数据治理和合规工作常规 化、持续化。三、对企业集团数据治理工作的建议 针对上述难点、重点问题，对于企业集团数据治理我们有如下 建议。1.

12、数据治理顶层设计、确定工作“底线”“红线”企业集团内部成员单位业态丰富，上市公司、非上市公司、跨 境企业等多种企业形态混合，这些复杂多样的现实情况增加了企业 集团数据治理的难度。为此，需要对集团内数据治理工作进行全局 把控、顶层设计，明确集团数据共享合规的法律框架与商业逻辑， 以及集团各企业间的数据共享合法合规基本原则。在工作安排上，可以分以下步骤操作：? 首先，对集团内企业数据治理情况进行尽职调查，通过审阅 资料、访谈等方式，了解企业数据治理现状、需求、难点和痛点。? 与此同时，对需要遵守的相关法律规定和监管要求进行统一 梳理，识别有关数据共享、流转、归集有限制的要求，进行充分法 律研判，明

13、确从集团层面进行数据归集不得触碰的“红线”“底 线”。? 基于尽职调查和法律研究，形成集团数据治理尽职调查报 告，并根据调查分析情况，结合企业集团数据管理要求，完成数据 治理合法合规的顶层设计。对此，可以通过制定全集团的数据治理顶层设计方案、数据治 理基本规章制度等工作文件体现。该等文件内容应当涵盖集团内数 据共享合法合规基本原则、规则、红线和底线，数据共享的管理体 制设计，集团、数据承接主体、平台及程序运营主体、其他子公司 等不同主体的角色认定、权利义务及相互关系等。? 进而，基于归集数据的目的以及法律和监管要求，对集团内 数据进行梳理和分类。对于相关法律法规和监管要求明确限制其共享、流转、

14、归集的 数据，将其单独归为一类进行剥离。对于法律规定和监管要求未作 限制的数据，根据实际需要确定对哪些数据进行归集和共享，哪些 数据无需归集和共享。对需要归集的数据进行细化分类，确定对不 同数据的不同需求尺度，并相应明确对各类数据进行加工、处理 （例如脱敏、加密）的方式。2. 根据数据治理需求确定数据范围、进行数据分级分类 企业集团在确定数据范围时，需要从纵向上考虑监管报送、内 部管理、商业信息三类需求，从横向上融合财务、人力、风控等集 团各职能部门的需求，结合尽职调查情况，梳理明确需要进行数据 治理、共享的数据内容，进行数据分级、分类。对此， 可以通过梳理数据需求清单，制定数据分类、分级、去

15、 标识化等标准、要求、指南等实现。3. 制定并签署数据共享协议数据的归集和共享是从集团层面进行数据治理的必要环节。 例 如，集团内数据治理实施主体（可能是集团内部门或作为承接主体 的子企业）需要汇总各业务板块、各级子企业的业务数据进行统一 管理、处理和开发、应用。由于数据治理实施主体不是数据的直接 收集方或生产方，因此，需要由集团内其他成员单位向数据治理实 施主体提供数据，由此可能产生数据在不同法人主体或法律主体之 间的归集、共享、流转。对于数据归集和共享的安排，企业集团内各主体需要签署数据 共享协议。对此， 可以根据数据治理顶层设计方案，以及数据需求 清单等文件确定数据共享协议的主要内容。4

16、. 制定并签署数据收集相关法律文件根据数据治理顶层设计方案、数据需求清单以及集团内主体已 签署的数据共享协议，确定所需要取得客户授权内容、范围，结合 尽职调查了解到的各企业业务概况、数据收集使用情况，确定需要 起草或修订的企业 / 业务用户协议、隐私政策文件，制定或者修改、 完善该等法律文件。5. 各类业务场景下的数据治理合法合规性论证针对企业集团数据治理、数据共享中涉及的各类业务场景进行 合法合规性审查、论证，了解业务流程、数据收集使用要点、业务 平台及其业务资质、技术架构等情况，据此出具专项诊断报告，分 析主要法律问题并提出解决方案建议。在确定合法合规的实施方案 后，协助完成合作协议、用户

17、注册协议、隐私政策、服务协议等业 务文件的制定或修订。6. 就数据治理事项与监管机构持续沟通企业集团业务众多，不同业务板块对应不同的监管机构。除根 据相关法律法规进行顶层设计、合规论证外，在数据治理的全过程 中，与监管机构的沟通也是必要的。特别是涉及跨行业数据归集和 共享，或者创新性业务模式等情形的，建议积极与监管机构沟通以 使其知悉和认可企业的数据治理模式。7. 数据治理日常管理与培训数据治理是一项长期的工作，并且需要融入日常经营管理活动 中。为此，需要持续地进行数据治理事项的日常监督管理、合法合 规性研究、新法规追踪，以及对员工进行相关培训和指导。对此， 可以通过制定数据治理具体规章制度、操作指引、手册、培训课件 等进一步落实。以上分析和建议基于我们处理过的相关案例。 不同企业集团的 业务、规模、所处行业