《证券公司风险数据管理示范实践》深度解读：从“被动合规”迈向“体系化建设”

最近，中国证券业协会已经完成了《证券公司风险数据管理示范实践》（以下简称“《示范实践》”）的初稿起草工作，并且正式在全行业的范围内开启了意见征集。

《示范实践》不仅系统地回应了当前行业风险数据管理存在的四大短板：数据孤岛、标准缺失、集团穿透弱和治理机制缺失，而且在个人信息保护、跨境数据流动等敏感领域填补了监管空白。

和以往零散的风险指标管理思路不同，《示范实践》的深层逻辑在于其将数据治理从后台支撑职能提升至公司级战略工程，从而推动券商由“被动合规”向“系统性数据治理能力建设”转型。

1、数据治理变为公司级战略工程

和其他文件不同，《示范实践》不再局限于对单一风险指标的合规检查，而是要求券商构建覆盖战略、组织、制度、技术等维度的闭环治理体系。

它的主要核心转变在于其将风险数据治理全面融入公司数字化战略，其被拆解为季度落地目标，借助KPI、OKR等量化工具进行考核，同时配套双周报、月报、年度总结等常态化跟踪机制。这意味着，数据治理不再是风控或IT部门的“自选动作”，而是直接成为需要董事会及经营层推动的“第一线工程”。

中证协明确要求，风控与数据管理两大部门需联合核验工作质量，从组织权责层面确保治理真正落地。

2、“场景限定+用途延伸授权”双层机制

针对券商APP长期存在的过度采集、超范围使用用户信息等乱象，《示范实践》构建了清晰的管控逻辑。

文件要求对于APP获取的线上开户用户的基础信息必须默认仅在“证券交易核心服务场景”下使用。任何将该类数据用于其他业务的行为，均须提前取得用户的单独授权，通过隐私协议向用户清晰告知数据使用的目的、范围、方式后才可使用。《示范实践》希望通过“告知+单独同意”的双重程序，从源头上杜绝默认勾选或一揽子授权等灰色操作。

此外，文件特别关注第三方SDK这一高频风险敞口。针对部分APP自身合规但嵌入的SDK私自收集、共享用户信息的问题，《示范实践》要求券商建立SDK准入评估机制，在隐私政策中完整披露所有第三方SDK收集信息的情况，实现“全链路透明化”管控，从而有效防范供应链数据泄露风险。

3、分类分级与路径匹配的动态合规框架

随着券商境外业务不断扩张，境内外监管规则差异、数据传输不规范等问题日益凸显。对此，《示范实践》构建了动态合规框架。

文件要求券商全面梳理境外子公司的数据地图，包括传输规模、数据类型、业务场景及传输路径等方面，以此为基础实施分级分类管控。同时文件设计了三条差异化的合规出境路径：安全评估、合同备案、专项安全认证。券商可根据具体业务场景灵活匹配适用路径，改变了过去“一刀切”的申报模式。

在配套支撑方面，《示范实践》强调组织建设与基础设施双管齐下：券商需组建跨境数据治理专项团队，建立境内外常态化沟通研判机制，精准化解两地监管规则冲突；同时加快境外数据集市与数据中心布局，部署覆盖全集团的统一数据字典和建模规则，将核心风控规则前置部署于境外终端，从源头上提升跨境数据报送的精准度与时效性。

4、“刚性底线+柔性适配”的差异化机制

考虑到行业机构在体量、业务复杂度及信息化水平上差异显著，《示范实践》突破了“一套标准打天下”的传统思路，创新性地确立了“刚性底线+柔性适配”原则。文件明确区分“必须落地”的强制性要求与“鼓励优化”的建议性指引，允许券商根据自身规模和业务特点自主选择实施路径。

针对集团化运营中的母子公司管控难题，《示范实践》设计了三种差异化模式

对全资子公司实行集团统一集中管控，实现数据标准、架构及风控规则的完全统一。

对需合并报表风控的控股子公司采用混合治理模式，核心风控数据由集团统管，非核心数据由子公司自主管理。

对无需并表的境外及参股子公司推行联邦式治理机制，在合规框架下实现精细化分级管控。

这一设计在集团风控的统一性与子公司运营的灵活性之间实现了有效平衡。

5、全生命周期数据质量管理

过往券商风控数据管理多为“事后补救”，数据错乱、口径不一、系统断流等问题时有发生。《示范实践》要求建立“事前预防+事中监测+事后复盘”的全周期机制。

事前：通过搭建标准化的质量规则库实现前端防控，确保数据在产生环节即满足规范。

事中：依托实时预警系统开展动态监测，一旦发现数据异常即触发闭环整改流程。

事后：通过定期回溯与考核，持续优化治理质量。

其中尤为具有突破性的是“源端变更联动机制”。当上游数据结构、内容、接口或业务逻辑发生变动时，文件要求明确数据产出、审核、技术适配等多角色的分工，提前预判变更对下游风控系统的影响，并及时完成系统适配，从而从根本上规避因变更导致的数据断流或报错问题。

6、从数据集成到智慧风控的两阶段演进

《示范实践》为券商的技术建设指明了清晰的演进路径。

1、第一阶段：基础能力建设

搭建统一的数据集成调度平台，优化人工填报数据的校验、入库及存储流程，支持按交易日历、业务节点灵活触发数据调度。该阶段的核心目标是打通内外部数据孤岛，形成标准化的全域风险数据资产。

2、第二阶段：智能化升级

文件明确将人工智能技术融合作为行业转型的核心方向，推动传统风控向智慧风控跃迁。具体要求包括以标准化、高质量的全域风险数据为基石，为AI大模型及智能研判工具提供优质数据支撑；鼓励券商在数据集市中嵌入智能化算力，开发智能问数、自动分析等工具，显著降低风控数据使用门槛，提升风险研判与决策效率等。值得强调的是，《示范实践》坚持“先治理，后智能”的原则，即只有在数据质量达标的前提下，AI应用才能真正释放其价值。

7、抬高合规门槛，倒逼资源重配

综合来看，《示范实践》对证券行业的影响将是深远的。过去总会存在部分机构因违规成本偏低、牟利空间较大，所以在数据采集与使用上突破合规底线的情况。新规通过明确的禁止清单与可操作的合规路径，大幅抬升了数据滥用的制度成本。

只是中小券商面临的压力尤为突出。在资源有限的情况下，如何同时满足APP隐私保护、第三方SDK管控、跨境数据合规、集团化治理等多重标准将成为难点。这很有可能导致具备较强科技投入与治理能力的大型券商更易适应新规，而资源薄弱的中小机构则面临合规成本攀升与业务模式调整的双重挑战。

归根结底，《示范实践》的落地将推动全行业风险数据管理从“有没有”向“好不好”深刻转型，标志着证券业数据治理正式进入以能力建设为核心的新阶段。

来源 | 界面新闻、中国证券业协会

编辑 | 夏叶璐