大型集团企业数据集成研究报告.docx

《大型集团企业数据集成研究报告.docx》由会员分享，可在线阅读，更多相关《大型集团企业数据集成研究报告.docx（15页珍藏版）》请在第一文库网上搜索。

1、大型集团企业数据集成研究报告大型集团企业数据集成研究报告摘要：在数字化时代，作为生产要素之一的数据，对各行各业都产生了深远影响。在区块链、5G、人工智能、云计算等技术的加持下，企业掌握全面数据，更有利于洞察商机、防控风险、提升品牌竞争力与影响力。对于跨国经营、混业经营的大型集团企业来说，实现集团范围内的数据集成和共享势在必行，但在这个过程中必须严格遵守国家安全、网络安全、监管要求以及个人信息保护等各类国内外法规政策的要求，知易而行难。基于此，通过对集团数据集成管理进行研究，探索出国际化、综合化大型集团企业合法合规开展数据集成与共享的可行模式。关键词：集团数据集成，跨境数据传输，数据分类分级0引

2、言大型集团企业会利用自身的规模优势，协调不同领域的子公司能力互补、强强联合，实现资源配置与效益最大化。除了跨行业的综合经营外，随着经济全球化的发展以及我国改革开放政策的不断深化，越来越多的企业选择“走出去”，拥抱更为广阔的国际市场。企业在规模不断扩张的同时，为避免“一大就乱、一乱就亡”的现象，势必要在内控管理、风险管理、财务管理等方面实行一体化运营。因此，大型集团企业需要通过数据集成，将集团内来自子公司和境外机构的数据汇聚、整合在统一的平台内作为数据底座，为一体化运营和决策提供智力支持。数据集成是指将多个来源的数据，在逻辑或物理上进行汇聚、融合，从而为用户提供一个统一的访问环境，打破信息孤岛对

3、企业使用数据的限制。在我国首个数据治理领域的国家标准数据管理能力成熟度评估模型中，数据集成是数据架构管理的重要工作内容之一。集团数据集成也面临着诸多安全合规方面的严峻挑战，大型集团企业需要在数据应用与安全合规之间寻求一种平衡，既要守住合规底线，又能充分发挥数据效能。本文针对跨国经营、混业经营的大型集团企业当前面临的数据集成现状和挑战，从集团数据集成策略、集团数据集成工艺、集团数据集成工作机制等方面提出应对举措。1大型集团企业数据集成的普遍现状目前，国内的集团企业纷纷踏上数字化转型之路，通过搭建大数据平台等方式进行数据集成，但数据范围更多聚焦在单国境数据或单一法人内数据。以数字化程度较高的金融控

4、股集团为例，多数金融控股集团通过多年的数据仓库、数据湖或数据中台的建设，已具有一定的数据集成规模。不过绝大多数金融控股公司缺乏集团视角的数据集成,在集团并表监管、全球一体化风险管控、全局客户运营等方面，往往需要人工收集相关子公司或境外机构的汇总数据，无法进行自动化、智能化的数据统计与分析应用，严重影响了监管报送、集团统一授信、风险穿透管理等工作的准确性和及时性。以并表监管为例，它是由巴塞尔委员会提出，指母国监管当局对一个银行或银行集团所面临的所有风险，无论其机构注册于何地，应从银行或银行集团的整体予以综合考虑的一种监管方法。通过并表管理，监管机构和商业银行可全盘掌握银行的经营动态，使银行经营的

5、相关风险在总体上受到监控。作为巴塞尔委员会的成员国之一，中国银行保险监督管理委员会发布的商业银行并表管理与监管指引，明确了商业银行在并表管理方面的职责，即商业银行应对银行集团及其附属机构的公司治理、资本和财务等进行全面持续的管控，并有效识别、计量、监测和控制银行集团总体风险状况。然而，一些银行集团尚未掌握境外分支机构的明细数据，需依靠各境外分支机构上报汇总数据。这种缺乏明细数据支持的情况，为银行集团有效识别、计量、监测和控制总体风险状况埋下了隐患。一旦问题暴露,势必会造成严重影响，不仅需要承担来自监管机构的严厉处罚，还有可能引发系统性风险。因此，鉴于集团数据集成的必要性，近年来大型金控集团对集

6、团数据集成管理愈加重视。大型集团企业在进行集团数据集成过程中面临的最大挑战来自各国的数据政策约束，体现在多方关注促使跨境数据管理日益严格、多方监管政策限制关键业务数据流动、各国网络信息安全以及个人隐私保护要求限制跨境数据流动等。例如，俄罗斯对跨境数据流动的管制较为严格，在总统令关于“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案中，相关法律的修订都涉及数据的本地化管理，包括要求俄罗斯公民个人信息的存储和处理活动都必须在俄国境内；在数据本地化存储以及符合相关规定的情形下，可以进行跨境数据传输，如数据接收国是有关个人数据自动化处理之个人保护公约(欧洲理事会第108号公约)签署国、数

7、据接收国符合同等保护要求、经个人信息主体书面同意等。一旦违反有关机构制定的政策规定，企业会面临严重的处罚以及声誉危机。自欧盟委员会通用数据保护条例(GeneralDataProtectionRegulation,GDPR)生效后，欧洲多国对其境内的知名企业进行了监管处罚。其中，包括在英国脱欧前，英国数据保护监管机构信息专员办公室(InformationCommissioner,sOffice,ICO)对英国航空公司数据泄露、万豪国际集团没有充分履行数据处理原则的情况，分别开出了高额罚单。由于数据跨境传输、个人信息保护等领域的政策出台时间较晚，加之部分政策缺少在各细分行业能指导落地的下位制度，导

8、致大型集团企业在集团数据集成领域可借鉴的领先实践较少。数字化成熟度较高的大型集团企业仍在摸索中，因此尚未形成具有代表性的、体系化的最佳实践；而数字化成熟度中等以下的大型集团企业更多选择持观望态度，没有贸然进行集团数据集成。缺乏可参考的实践案例，成为大型集团企业开展数据集成的另一个挑战。大型集团企业业态复杂，可能同时具有跨行业的子公司和境外分支机构，这种情况增加了数据集成的复杂度。大型集团企业既要遵循各子公司所在行业的监管要求，又要遵守各境外分支机构所在国制定的法律法规。所以，满足来自国内外多方政策的要求，是对大型集团企业开展数据集成的一项艰巨挑战。2大型集团企业数据集成应对举措为应对集团数据集

9、成所面临的困难和挑战，大型集团企业需要具备统一的集团数据集成策略，指导实际集成工作能够满足法律法规与监管要求；在缺乏最佳实践的参考下,需要设计一套集团数据集成工艺，贯彻实施集团数据集成策略；还需要形成集团内多方相互协同的工作机制，保障集团数据集成工作的持续运行o2.1 集团数据集成策略2.1.1 集团数据集成典型策略与实现方式集团数据集成策略是企业结合自身数据集成能力与外界政策约束，判断数据是否进行集成与如何集成的方法，具体可分为集中式和联邦式两种。(1)集中式策略集中式策略是指在合规的前提下，子公司和境外机构的数据在物理或逻辑上汇聚、整合在集团总部。物理集中适用于集团总部有较强的数据基础设施

10、建设和数据安全保护能力，以及具备高质量的数据架构管理、数据模型设计等专业的数据集成管理能力。逻辑集中适用于集团总部的数据基础设施建设和数据安全保护能力一般，数据集成的专业化管理水平不足以支撑物理集中的情况。物理集中有多种实现方式，其中一种是将数据库服务器部署在国内，子公司和境外机构的数据不涉及跨境传输，只需按照集团总体数据架构规划，在数据湖或数据中台内实现汇聚与整合，并做好数据脱敏、权限管控等数据安全保护措施；另一种实现方式是通过网络传输等方式，集团从子公司和境外机构获取数据，并在集团总部的数据湖或数据中台内实现汇聚与整合。逻辑集中的实现方式是集团总部根据子公司和境外机构的数据资产盘点结果，在

11、逻辑层面构建集团数据模型，并以此模型指导子公司和境外机构在各自机构范围内的数据集成建设。当集团某一数据需求涉及子公司或境外机构数据时，集团总部提出实现口径要求，相应机构按口径加工后将汇总数据报送给集团。在这种实现方式下，由于子公司和境外机构需按集团总部制定的口径需求进行加工，可以一定程度上避免子公司和境外机构上报数据不真实、不准确的情况。(2)联邦式策略联邦式策略是指子公司和境外机构的数据在各自机构内存储和管理，当集团某一数据需求涉及子公司或境外机构数据时，集团总部提供业务口径，相应的机构按需向集团总部提供加工后的汇总数据。联邦式策略适用于子公司或境外分支机构的数据受到严格的政策约束，各机构自

12、行管理数据，但业务上受总部指导。2.1.2 集团数据集成策略制定方法数据作为一类重要资产，其安全保护是企业不容忽视的一项重任。但对所有数据均采取严格的管控措施，一方面不利于数据的流通共享与价值创造，另一方面也极大地增加了管理成本。考虑到不同数据的重要性会有所差异，因此更为科学的管理方式是对数据进行分类分级，根据数据级别的不同在数据全生命周期内实行差异化管理。数据集成与数据生命周期中的传输、存储、汇聚融合等环节相关,故集团数据集成策略的制定可与数据安全分类分级结合，在数据安全等级的基础上明确数据集成策略。特别是近年来，多个行业主管单位在数据安全领域制定并发布了有关数据安全分类分级的制度或标准，为

13、制定基于数据分类分级的集团数据集成策略奠定了良好基础。例如，工业数据分类分级指南（试行）、基础电信企业数据分类分级方法、金融数据安全数据安全分级指南、证券期货业数据分类分级指引、互联网金融组织数据分类分级指南等制度明确了部分行业数据安全分类分级的方法；工业和信息化领域数据安全管理办法（试行）10金融数据安全数据生命周期安全规范”等制度提出了“核心数据不得出境”“4级数据原则上不应用于汇聚融合”等按数据级别差异化管理的要求。我国在2021年颁布的中华人民共和国数据安全法中也明确提出要对数据实行分类分级保护。制定基于数据分类分级的集团数据集成策略，需要对各类政策约束进行分析，通常政策约束可分为无约

14、束、强制约束和条件约束3种类型。无约束是指没有政策限制，数据可以无障碍地进行集成；强制约束指在政策中明确规定数据不可出境或不可提供给第三方，如有关国家安全的核心数据严禁出境等；条件约束是指在政策中明确达到什么样的条件后，数据可以出境或提供给第三方，如欧盟委员会的通用数据保护条例中规定，当第三方或国际组织获得充分性认定后，个人信息的跨境传输不再受到通用数据保护条例的限制。在条件约束的情况下，企业需要判断自身是否有能力达标，因此可再细分为可达标条件约束和不可达标条件约束。之所以出台有关政策要求来约束对数据的相关处理，是因为这些数据的完整性、可用性、真实性等安全属性遭到破坏或滥用后会造成较为严重的危

15、害，这与数据安全分级理念高度一致。数据安全分级的方法是根据数据的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，进而确定数据的安全级别。若大型集团企业违反国内外相关法律法规的要求，对强制约束与不可达标条件约束下的数据进行集成与共享，会使集团承担法律责任与巨额罚款，并对集团声誉造成严重影响。为了避免发生违规数据集成事件，大型集团企业需将政策约束分析结果中的强制约束与不可达标条件约束识别出来，并整理这两类政策涉及到的数据项清单；再为清单中的数据确定最高或较高的数据安全级别，且该级别及以上数据原则上不可进行集成，即数据集成策略为联邦式。若因监管或业务需求确需进行数据集成，则应由集团内数据治理委员会或高级管理人员审批后方可集成。反之，较低等级的数据,其集成