【杂志微阅读】清晰界定数据权利 实现银行数据资产价值

请点击上方关注，点击下方“在看”

文/刘贤荣  中国建设银行数据管理部副总经理

本文载于《中国银行业》杂志2021年第11期

导语：银行可以选择价值密度高、使用场景清晰的数据产品为试点，探索制定估值和利益分配机制，促进银行内部数据资产共享和价值实现。例如，对重要的数据标签，可以通过AB测试等技术量化标签产生的业务价值，并在业务部门和标签加工部门间进行内部利润分成，鼓励大家努力研发高质量的数据产品。

随着银行业数字化转型的深入，数据已经成为银行经营管理的关键生产要素，与资本、人力、技术等生产要素深入融合，在客户营销、风险管理、监管合规等领域的智能化水平不断提高。数据要素重要性的提升，促使银行不断扩充数据采集范围、扩大数据应用领域，尤其是近几年银行高度关注生态化、场景化运营，处理的数据范围远超传统客户金融交易数据，非金融行为数据、政务数据、社交和交易数据等成为了银行关注的重点。但与此同时，不同主体、不同业务条线对本领域数据价值重要性的认知也不断提高，数据资产权益保护意识逐渐强化，数据跨部门、跨条线的共享面临着比以往更严峻的挑战。

2021年，我国连续出台了《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》，作为数据密集型企业，也是重要数据的处理者和关键信息基础设施的运营者，银行必须在确保数据安全这一底线下，依法合规收集、运用数据，提升数据价值。其中，最为关键的是要准确界定不同利益参与方的数据权利，明确权利和义务边界，完善相关制度和技术保障，并在此基础上探索建立数据资产价值评估和利益分配机制。

清晰界定数据权利成为提升数据治理能力的核心问题

数据确权是“拥有或控制”数据资产的前提，也是数据交易、数据定价、数据保护、数据共享的重要条件。之所以存在数据滥用，主要原因之一是数据在采集、加工、整合、应用过程中的权利归属不清，难以确保数据价值在不同利益相关方的公平分配。对于银行来说，只有明确界定数据权利，才能解决数据治理和应用中最突出的矛盾。

数据确权是银行深入开展数据治理的必然逻辑要求。作为全社会资金流动的枢纽，银行与客户之间的关系在很大程度是数据关系，银行所掌握的价值密度最高的客户金融交易数据，是个人数据中最为敏感的部分。正因如此，银保监会在《银行业金融机构数据治理指引》中对银行数据处理提出了明确的要求，包括完善数据质量、提升数据应用价值、保护数据安全等，数据治理已经成为影响监管机构对银行监管评级的重要因素。近年来，由于数据治理不完善，银行已经接到多笔监管罚单，其中很重要的一个原因就是银行未能有效履行保护客户数据权利的义务。银行数据治理的核心任务就是权衡各个数据相关方的权责，解决利益冲突，若不能清晰定义客户、监管机构、交易对手等利益主体对数据享有的权利，平衡数据收集、存储、传输和处理过程中个人数据保护和数据商业价值之间的关系，银行就很难深入开展数据治理工作。

数据确权是促进银行数据交易与共享、实现数据价值的关键前提。大数据时代，外部数据对银行经营管理的重要性日益突出，在客户授权的前提下，银行获取外部数据种类越多，对客户的了解就越深入，业务决策就能更具价值。但数据资产的特点是无形的、易复制的、价值场景化的且不够稳定的，如果没有完整、合理的数据确权流程，不仅在数据复制和传输过程中容易丧失对数据权利的控制，还会在交易共享过程中产生风险。例如，在数据交易过程中，数据权利方卖出数据后，如何保证用户使用数据时不超过约定的范围，杜绝非法加工出售数据，是一个很大的挑战。数据确权的核心目标就是把数据变成受保护的资产，使资产具有收益权，可参与价值分配和财富分配，这是推动数据价值实现的关键前提。

数据处理技术降本增效，使得数据确权具备了经济基础。数据权利的分配是有成本的，以银行为例，针对大量的数据字段和数据内容，要逐一确定这些数据该由谁享有何种权利，需要银行机构内部设有确认、登记、查询等职能部门作为保障，即便在市场上购买、共享数据也需要通过政府登记或以市场化方式确定权利。以往上述操作成本巨大，银行很难真正落地实施。但随着数据处理技术的发展，尤其是大数据、云计算的突破，数据处理成本大幅下降，确定表级甚至字段级记录各类数据权利成为可能，同时伴随数据确权收益的增加，为社会层面的数据确权奠定了可行的经济基础。

银行数据确权的关键是确定不同利益主体可有效行使的权利内容

在实践中，数据要素的多样性为确权带来了一系列问题和挑战。从数据内容看，既有结构化数据也有非结构化数据；从数据主体看，既可以是与客户相关的数据也可以是与客户不相关的数据。前者包括客户与银行业务互动所产生的数据，例如，客户基本信息、行为数据、金融资产数据等；后者是无法准确指向特定客户的数据，例如，资产负债表、匿名数据等；从数据来源看，既有企业经营过程中产生的数据，也有从第三方获取的数据；从数据处理过程看，既有原始采集的数据，也有经加工后开发后的数据。另外，不同视角下，对数据权利的确定也涉及不同的考虑因素。从银行数据治理视角来看，数据确权主要聚焦三个问题：一是确定可有效行使的数据权利类型；二是平衡数据主体（数据反映对象）和数据处理者的权利关系；三是界定企业内部不同数据利益方的权利和责任。

能否从可有效行使的角度准确理解不同利益主体的数据权利。金融资产、不动产等传统性资产，只能由一个或多个所有者完全占有，且在特定时间内该资产只能由单一主体使用，资产所有者对资产具有排他性产权。但相较而言，数据资产具有自身的特殊性，一是作为数据表述对象的数据主体与数据实际控制方的数据处理者往往处于分割状态，因此很难准确界定数据“是谁的”，从而使得确定数据排他性产权成为一个极其复杂的问题；二是数据在特定时间内、在技术允许条件下可由大量主体同时使用。因此，在数据确权时更务实的做法是从如何行使权利的角度划分为不同的权利。在国外数据立法中也体现了这样的思路，例如，欧盟的《通用数据保护条例》（GDPR），明确规定数据主体对自身数据具有自主控制权。例如，GDPR中的“转移权”是指用户可以要求数据处理者根据需要使用通用可机读将自身数据安全转移至第三方；再例如，GDPR中的“删除权”，是指用户有权利要求数据处理者删除自身数据，包括搜索记录等。银行应该充分理解我国《个人信息保护法》《数据安全法》等法律规章对数据主体权利的规范定义，并借鉴或参考GDPR的做法，从可有效行使的角度确定各利益相关方的权利类型。

区分数据主体的数据控制权以及数据处理者的数据管理权，是数据权利界定的首要问题。关键是准确定义和保障数据主体权利，数据处理者的管理权利必须以此为底线。在数据确权中，银行应首先明确与客户互动产生的、与客户直接有关的源数据控制权属于客户，最大限度地尊重客户对数据的知情权、同意权、错误数据更正权、转移权、删除权、修改权等权利，也包括客户对基于自身数据进行分析的选择权。其次，银行作为数据处理者，应该为客户有效行使这些权利提供便利，并将这些便利嵌入到客户服务流程中。在此基础上，对数据进行整合加工产生的集合数据的使用权和管理权属于数据处理者。更进一步来讲，经脱敏处理或建模后产生的无法直接对应到客户的数据权利属于数据处理者。对银行而言，数据确权中还应关注监管机构对数据主体权利的限制，例如，由于反洗钱等目的，银行客户不能随意要求删除其历史转账等数据。

在自身拥有的权利范围内，确定企业内部不同数据利益相关方的权利和义务，是银行深化数据治理、提升数据资产价值的有效手段。首先，是确定银行数据的“业务所有者”，即产生这些数据的业务部门。例如，个人金融部是个人存款类数据的所有者、公司业务部是企业存贷款数据的所有者。“业务所有者”负责对产生的数据进行业务解读，制定数据采集规范，提升数据质量，并可根据相关法规确定数据的共享者，在一定条件下还可享有数据收益分配权。除此之外，银行还应指定一个专业部门负责对企业级数据进行统一管理，其权利主要包括制定企业级数据标准和规范，建立企业数据模型，对企业级数据进行整合、加工和使用，牵头对数据资产统一管理。另外，在银行数字化转型过程中，基于原始数据加工所生产的标签、指标等数据具有更大价值，这些数据的加工方也应享有该数据的收益权。对各类购买的外部数据，则应由专业部门代行数据所有者权利，保证对外部数据的合规使用，并对外部数据价值实现进行评价监测。在遵循基本数据安全要求的前提下，数据在不同条线间的共享应不受限制，各利益相关方对数据产生的价值应按相应权利分配。

探索建立数据权利的登记认定机制

从制度和技术层面保护数据权利

近年来，征信、政务、互联网平台等外部数据在银行得到了广泛应用，这些数据除了以政府服务的方式提供外，还有大量数据是通过数据交易或共享的方式获取的。但由于缺乏必要的确权机制，这些数据在应用过程中受到诸多方面的制约。要有效行使各类数据权利，客观上要求从国家、企业等各个层面进行创新。

建议在国家层面探索建立数据确权的法律规章及配套的行政和市场机制。目前，我国已经制定了国家大数据战略，出台了《数据安全法》《个人信息保护法》等法律，各地建立了不同层次的数据交易所，但从数据交易内容看，内容还较为单一，以非标准化交易为主，难以形成标准化的规模市场。要实现数据生产要素的价值，建立一套以数据确权、数据估值、数据交易为核心的数据价值演进体系，需要有效发挥政府和市场的作用。一方面，需要政府研究制定社会数据资源的分级分类标准、数据权利登记和保护规章，为数据交易提供基础保障；另一方面，需要鼓励发展不同职能的市场化机构，包括数据资产评价和估值、数据权利保护技术研发、数据深加工使用等职能。

针对重要数据类别探索建立数据权利登记和保护机构。可借鉴证券交易中的注册和审核机制，在充分保障公民数据控制权利的基础上，对市场上可交易、可共享的重要数据资源建立数据权利登记和保护体系。

企业内部在数据全生命周期管理的基础上，从制度和技术两个层面建立数据权利的确认和登记机制。银行数据按照不同特点可以分为业务源数据、整合数据、加工数据等，不同业务部门在不同数据中享有不同的权利。在实践中，银行数据治理体系应根据不同部门在数据处理中的角色，区分数据所有者、数据管家、数据使用者等权利，清晰定义系统主管部门、业务主管部门、数据加工部门的数据职责。为此，应在数据资产管理系统中确定各数据参与方的权利内容，清晰记载数据是由谁采集或加工、被谁使用、业务价值如何等。

选择合适的数据资产，探索建立数据估值和收益分配机制，促进企业内部数据资产价值最大化。银行可以选择价值密度高、使用场景清晰的数据产品为试点，探索制定估值和利益分配机制，促进银行内部数据资产共享和价值实现。例如，对重要的数据标签，可以通过AB测试等技术量化标签产生的业务价值，并在业务部门和标签加工部门间进行内部利润分成，鼓励大家努力研发高质量的数据产品。

（本文原载于《中国银行业》杂志2021年第11期）

微信征稿启事

《中国银行业》由中国银保监会主管、中国银行业协会主办，是目前唯一一本带有全行业性质的公开刊物，是沟通监管部门和机构的纽带，是行业交流的平台，也是社会了解银行业的窗口。目前《中国银行业》杂志微信公众号已开通征稿邮箱，面向广大读者征稿。我们期待您的稿件。

本文首发于微信公众号：中国银行业杂志。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。