制定数据治理政策草案

制造业数据治理政策

1. 目的与范围
- 目的：建立覆盖制造业全价值链的数据治理框架，确保数据的一致性、可用性、质量、安全与合规，支撑运营优化、质量管理、供应链协同与智能制造。
- 范围：适用于公司内所有数据域（研发、工艺、生产、质量、设备、供应链、采购、销售、财务、人力、售后），覆盖OT系统（PLC/DCS/SCADA、MES、过程历史库）、IT系统（ERP/PLM/WMS/CRM）、边缘与云环境以及第三方数据交换。

2. 参考法规与标准（示例，按适用性执行）
- 信息安全与隐私：ISO/IEC 27001、ISO/IEC 27701、NIST CSF、GDPR/CCPA（如涉及）、中国个人信息保护法/数据安全法（如适用）。
- 工控与网络安全：ISA/IEC 62443、Purdue模型。
- 质量与制造：ISO 9001、IATF 16949（汽车）、AS9100（航天）、GxP/21 CFR Part 11（受监管行业）、ISO 13485（医疗器械）。
- 数据与互操作：ISO 8000（数据质量）、OPC UA、ISA-95、GS1、STEP（ISO 10303）、B2MML（如采用）。

3. 治理组织与角色职责
- 数据治理委员会（跨部门）：审批政策与标准；优先级与资源分配；监督合规与风险。
- 数据管理办公室（DMO）：政策落地、方法论、工具选型与运营；度量与审计；培训与变更管理。
- 数据所有者（业务负责人）：定义用途与合规要求；批准访问；确定关键数据要素（CDE）与阈值。
- 数据管理员（Data Steward）：元数据维护、数据质量规则与监控、问题处理、业务术语管理。
- 数据保管人（IT/OT）：数据平台运维、备份与安全控制、集成与接口管理。
- 模型负责人（AI/ML）：训练数据合规、模型版本、验证、部署与监控。
- RACI：每项政策与流程需明确责任、批准、咨询与告知角色。

4. 数据范围与分类
- 数据域：主数据（物料、客户、供应商、设备、工艺、BOM/配方）、交易数据（工单、采购、销售、库存）、生产与过程数据（传感器、批记录、历史趋势）、质量数据（检验、SPC、缺陷、CoA）、维护数据（保养、故障、MTBF/MTTR）、研发与工程数据（CAD、规范、试验）、财务与人力数据、日志与审计数据。
- 分类级别（最小四级）：公开/内部/机密/严格保密。将配方、控制策略、CAD、源代码、客户特定工艺视为严格保密；个人信息、合同价等为机密；一般运营文档为内部。
- 标注与处理：所有数据资产在目录中登记分类与处理要求；默认最小权限原则。

5. 数据生命周期管理
- 采集：定义采样率、精度、时间同步策略（NTP/PTP IEEE 1588），设备标签规范与上下文绑定（设备ID、工位、批次、物料、工单）。
- 传输：加密（TLS），OT到IT经工业DMZ分区与单向网闸（如适用）；采用消息总线（如MQTT/Kafka）或OPC UA订阅机制。
- 存储：分层存储策略（热/温/冷）；过程历史数据采用压缩与降采样策略；关键合规数据采用不可篡改存储（WORM/对象锁）。
- 使用：用途限制与同意管理；二次使用需与原始目的一致或经批准。
- 归档与销毁：依据法规、客户与合同要求设定留存期并可证明删除；销毁需留审计记录与多副本擦除证明。

6. 数据质量管理
- 维度与指标：准确性、完整性、一致性、及时性、唯一性、有效性、可追溯性、完整血缘。
- 关键数据要素（CDE）识别：基于风险与影响（安全、合规、财务、客户、生产）进行分级。
- 质量规则：为每个CDE定义校验规则与阈值（示例：工单与批次ID一致性=100%；关键计量单位标准化=100%；关键传感器缺失率<0.1%/日；SPC样本时间戳漂移<1s）。
- 监控与告警：自动化DQ监控，阈值越界告警；日/周报；数据质量SLA。
- 问题管理：登记—根因分析—纠正与预防（CAPA）—验证—关闭；跨OT/IT协同。

7. 元数据、血缘与数据目录
- 业务词汇表：定义术语、口径、计量单位与计算逻辑（如OEE、一次良率、报废率）。
- 技术元数据：模式、字段、数据类型、分区、采样率、压缩算法。
- 操作元数据：数据拥有者、分类级别、留存策略、DQ规则、访问控制列表。
- 血缘追踪：端到端（从PLC/传感器到BI/AI模型），涵盖ETL/ELT、聚合、特征工程；支持影响分析与审计。
- 数据目录：集中检索、评分与申请访问。

8. 主数据与参考数据管理
- 主数据域：物料、BOM/配方、客户、供应商、设备/资产、工艺路线、工装夹具、地点/组织。
- 原则：单一可信源（SOR）、黄金记录、主键与版本控制、变更审批与生效时间。
- 同步：事件驱动或CDC；一致性校验与冲突解决。
- 参考数据：代码表、计量单位、状态、缺陷代码、原因码；采用受控词表与变更记录。

9. 数据建模与命名规范
- 语义建模：遵循ISA-95层次与实体关系；时序数据采用统一标签命名（设备.子系统.测点.属性）。
- 命名规范：小写下划线或驼峰统一；明确单位与时区；避免歧义缩写。
- 版本与兼容：模式变更通过变更管理；向后兼容策略与废弃计划。

10. 数据集成与互操作（OT/IT融合）
- 集成模式：ETL/ELT、CDC、API、事件流；优先采用标准协议（OPC UA、MQTT）。
- 工业现场：与PLC/DCS/SCADA/历史库集成时，遵循只读优先原则与变更窗口；不影响控制回路与安全。
- 上下文关联：批次/序列化/工单/设备/时间同步建立数据关系；支持批次谱系与零件追溯。
- 数据压缩与降采样：定义保真策略（关键质量与合规信号保留无损；监测类可降采样/汇总）。

11. 访问控制与信息安全
- 身份与权限：基于角色的访问控制（RBAC）与属性（ABAC）；最小权限；定期复核。
- 加密：传输中TLS；静态数据采用AES-256或等强度；密钥管理（KMS/HSM），密钥轮换。
- 分区与防护：网络分层（Purdue模型）、工业DMZ、跳板与多因素认证；日志集中与SIEM监控。
- 数据丢泄防护：DLP策略；水印与文档分级标识；下载与外发管控。
- 代码与配置：基础设施即代码与安全扫描；机密管理（不在代码中存放密钥）。

12. 隐私与合规
- 最小化原则：仅收集实现目的所需的个人信息；匿名化/去标识化用于分析。
- 特殊类别数据：医疗、受出口管制、客户受限数据需额外审批与隔离。
- 记录与可审计性：处理活动记录、同意与撤回记录、访问审计。
- 电子记录与签名：如适用，符合21 CFR Part 11或等同要求（用户唯一性、审计追踪、不可抵赖）。

13. 备份、灾备与业务连续性
- 备份策略：全量+增量；分层恢复点；离线/异地/不可变备份；定期恢复演练。
- RPO/RTO目标：按系统分级（生产控制<15分钟RPO/<1小时RTO，企业数据<24小时RPO/<4小时RTO，示例值需结合实际审批）。
- 高可用：关键平台冗余与故障切换；单点故障消除。
- 灾难恢复：预案、演练、审计与改进。

14. 数据存储与基础设施
- 架构：边缘—现场—企业—云的分层架构；数据主权与驻留合规。
- 存储技术：时序数据库/历史库、对象存储、数据湖/仓、湖仓一体；冷热分层。
- 成本与性能：生命周期策略、压缩、分区、分布式处理；容量规划与预算。

15. AI/ML与高级分析治理
- 用例准入：问题定义、价值评估、风险与合规评估（含安全与伦理）。
- 训练数据：可用性、代表性、偏差评估、标签质量；数据版本与快照。
- 模型管理：模型注册、审批、验证（离线/在线）、监控（漂移、性能、稳定性）、可解释性要求。
- MLOps：持续训练与部署流程控制；回滚与灰度；特征存储与一致性。
- 合成数据与仿真：标注合规、标记来源；数字孪生数据区分模拟与真实。
- 影响安全：任何可能影响控制策略的AI建议必须人机协同与保护机制，禁止绕过SIS/硬连锁。

16. 数据共享与第三方管理
- 合同与DPA：明确数据所有权、用途限制、安全要求、留存与删除、审计权。
- 供应链数据交换：EDI/API/门户；标准化格式（如GS1）；最小必要数据原则。
- 跨境传输：遵循所在地数据跨境规则；加密与匿名化；数据驻留要求评估。
- 第三方评估：安全评估、渗透测试证明、合规认证；持续监控。

17. 审计、监控与度量
- KPI示例：
  - 数据质量：CDE规则符合率、缺失率、重复率、时间戳漂移、血缘覆盖率。
  - 安全与合规：访问违规次数、权限复核完成率、加密覆盖率、备份恢复成功率。
  - 效率与采用：数据请求处理SLA、目录资产覆盖率、再用率、模型上线到价值实现时间。
- 审计：年度内外部审计；关键控制点测试；问题整改与跟踪。
- 可观测性：数据管道SLO、延迟与吞吐；DQ与安全告警联动。

18. 变更管理与例外管理
- 变更：提交—影响评估（安全/质量/成本）—审批—实施—验证—回顾；版本化与回滚计划。
- 例外：明确时效、风险缓解措施与责任人；登记与复审；杜绝长期例外常态化。

19. 培训与意识
- 覆盖人群：管理层、OT工程师、IT人员、分析师、开发者、一线操作员。
- 内容：分类与处理、数据质量、工具使用、安全与隐私、AI/ML合规、事件响应。
- 频率：入职必修；年度复训；高风险岗位专项训练与演练。

20. 实施路线图（参考）
- 第1阶段（0-3个月）：治理组织与政策发布；数据目录与词汇表试点；CDE识别。
- 第2阶段（3-6个月）：数据质量平台部署与监控；主数据治理落地；访问控制与加密基线达标。
- 第3阶段（6-12个月）：OT/IT数据管道标准化；血缘可视化全覆盖；备份与灾备演练；AI/ML治理框架上线。
- 持续改进：季度评审KPI；年度成熟度评估与路线更新。

附录A：分类与处理要求（示例）
- 严格保密：配方、控制策略、CAD、源代码。要求加密存储与传输、限制访问、不可离线导出、WORM保留、双人审批。
- 机密：客户合同、成本与定价、人事、供应商报价。要求加密、审批访问、访问审计、定期复核。
- 内部：运营报表、普通流程文档。要求认证访问与基本审计。
- 公开：经批准的营销材料与公开报告。

附录B：OT数据采样与保留（示例基线，按工艺定制）
- 控制关键变量：原始频率采集；历史库无损压缩；热存1年、温存3年、归档5-10年（遵循法规/客户要求）。
- 监测类变量：降采样到1-5秒；热存90天、温存1年、归档3-5年。
- 质量与批记录：按法规与客户合同，通常≥5-10年；医药/医疗器械按GxP/UDI要求执行。
- 同步：PTP优先于NTP的关键工段；时间偏差监控与告警。

附录C：数据质量规则样例
- 工单—批次一致性：MES工单号与批记录号一一对应；不一致阻断投料。
- 单位与换算：所有温度统一为摄氏；采集端到湖仓进行标准化并保留原值。
- 序列化与谱系：零件序列号可追溯至物料、工序、设备与操作员；谱系断点告警并阻断发运。
- 传感器健康：异常平直/抖动检测；故障标记并通知维护；模型训练排除故障段。

本政策自发布之日起生效。各部门须在规定时间内完成差距评估与整改计划，数据治理委员会负责监督执行与持续改进。各项细则与标准操作规程（SOP）由数据管理办公室制定并维护。上述条款在地域与行业适用性上须由法务与合规部门核实后实施。

跨境电商数据治理政策

1. 目的与适用范围
- 目的：建立一套覆盖数据全生命周期的治理框架，保障跨境电商业务在全球范围内的合规、安全、可用与高质量数据支撑，提升数据驱动决策与模型能力。
- 适用范围：适用于公司在各区域（含但不限于欧盟、美国、中国、东盟、拉美等）开展的跨境电商相关活动中产生、处理、传输与共享的全部数据与数据处理系统（交易、支付、物流、客服、营销、风控、供应链、客服BOT与推荐系统等）。
- 数据类型（示例）：
  - 个人信息（PII）：姓名、联系方式、地址、证件信息、设备标识、IP、Cookie/IDFA。
  - 支付与财务数据：PAN、支付令牌、账单信息、退款记录、发票与税务识别号。
  - 交易与行为数据：订单、购物车、浏览事件、点击流、评价与售后。
  - 供应与物流数据：SKU、产品主数据、库存、运输单号、关务与报关参数、目的地/起运地。
  - 合作伙伴与商家数据：KYC/KYB材料、合规证明、合同与结算信息。
  - 内容与多媒体：商品图文、用户生成内容（UGC）、客服录音。
  - 参考与主数据：品类、币种、国家/地区、税率、关税编码。

2. 治理组织与角色
- 数据治理委员会（DGC）：负责政策制定与例外审批，季度审查治理KPI与风险。
- 数据保护官（DPO）：统筹隐私合规、跨境传输评估与隐私影响评估（DPIA）。
- 安全负责人（CISO或等同）：数据安全控制、加密与密钥管理、事件响应。
- 数据域负责人（Data Owner）：对本域数据质量、访问与合规负责。
- 数据管理员（Data Steward）：元数据、数据质量规则、数据字典与数据目录维护。
- 数据托管人（Data Custodian/工程团队）：落地技术控制、管道与平台运维。
- 模型负责人（Model Owner）：训练/推理数据合规性、特征治理、模型监控与偏差管理。
- 法务与合规：跨境传输法律路径、合同与供应商管理。

3. 数据分类与标记
- 分级标准：
  - 公开（Public）：可对外公开，不含敏感信息。
  - 内部（Internal）：内部使用，不涉及PII或商业敏感。
  - 机密（Confidential）：包含PII或商业敏感，需严格访问控制。
  - 限制（Restricted）：高敏感（如支付数据、证件号、精确地理位置、健康/生物识别数据），最小化处理与强加密。
- 元数据标记（强制字段）：数据域、数据所有者、系统来源、个人信息标识、敏感级别、处理目的、合法处理依据、保留期限、数据主体所在法域、跨境传输状态、共享对象、血缘关系。

4. 数据采集与接入
- 合法性与最小化：每项数据采集需明确处理目的与合法依据（如同意、履行合同、法定义务、正当利益等，视法域而定）。按“最小必要”收集与保留。
- 同意与偏好管理：前端通过合规的同意管理平台（CMP）管理Cookie/追踪，同意记录可审计、可撤回。
- 数据契约与模式管理：事件/批量接口需定义数据契约（字段、类型、单位、约束、必填与可空），版本化管理，变更评审。
- 供应商与第三方数据：完成尽职调查（安全、隐私、可用性），签署数据处理协议（DPA）与跨境条款；仅接入满足质量与合规的源。

5. 数据质量管理
- 质量维度与指标：完整性、准确性、一致性、及时性、唯一性、可追溯性。
- 质量规则与SLA：关键数据集定义阈值（如重复率<0.5%、必填字段缺失<0.1%、事件延迟P95<10分钟），纳入数据监控。
- 数据剖析与监控：接入与周期性剖析（分布、离群、基数变化），持续告警（阈值与漂移检测），质量仪表板对外可视。
- 质量问题管理：登记、分级（影响范围/严重度）、根因分析（数据管道/源系统/业务流程）、修复与回溯修正（补数/重放）。

6. 主数据与参考数据（MDM/RDM）
- 范围：客户、商家、商品、供应商、地址、组织、国家/地区、币种、税码、关税编码。
- 标识策略：稳定主键（如全局ID/UUID），去重与合并策略（规则+模型），建立“金记录”（Golden Record）。
- 同步与发布：MDM为系统记录源（SOR），通过事件/API发布至消费系统，保证前后一致。
- 变更管理：主数据变更审核与审计记录，避免下游断裂；版本化与有效期管理。

7. 数据生命周期与存储
- 保留策略：按数据类型、法域与业务目的设定保留期；期满或目的达成后删除或匿名化。示例：
  - 原始日志：90-180天（除非合规或安全要求更长）
  - 行为明细用于建模：12-24个月（采用去标识化/聚合）
  - 交易与税务：按当地税务与会计法规保留（通常5-10年，依法域）
- 备份与归档：加密备份、地域冗余、定期恢复演练；归档数据访问受限。
- 测试数据：禁止使用未经脱敏的生产PII；使用数据脱敏、令牌化或合成数据。

8. 访问控制与数据共享
- 原则：最小权限、知情即得、职责分离。采用RBAC/ABAC组合控制。
- 审批与可审计：敏感数据访问需工单审批（数据所有者+DPO/安全），全链路审计日志。
- 数据产品化共享：通过数据目录发布“已治理”的数据产品，附SLA、血缘、质量评分、合规标签。
- 对外共享：必须签署合同与DPA，明确用途、保留期、再共享限制、删除与安全要求；跨境共享需完成传输合规评估。

9. 安全与隐私控制
- 加密与密钥：传输中TLS 1.2+，静态存储AES-256；密钥托管与轮换，密钥访问分离。
- 数据去标识化：按目的采用哈希/令牌化/部分掩码/泛化/聚合；高风险分析场景优先匿名化或差分隐私。
- 数据隔离与分区：按法域与敏感级别进行逻辑和/或物理隔离（如区域化存储、VPC与网络策略）。
- 终端与平台安全：最小可见原则、端到端审计、恶意行为检测、数据出境网关与DLP。
- DPIA与隐私内生：新系统/新用途/敏感数据/大规模监测等触发DPIA；默认开启隐私保护（privacy by default）。

10. 跨境数据传输与合规
- 欧盟/英国（GDPR/UK GDPR）：
  - 合法性基础：明确Art. 6处理基础；必要时获取有效同意。
  - 跨境传输（Art. 44及后续）：优先采用充分性决定；如无则使用标准合同条款（SCCs）或具有约束力公司规则（BCRs），并实施补充措施（加密、最小化、访问限制）。
  - 数据主体权利：访问、更正、删除、限制处理、数据可携带、反对自动化决策；在72小时内向监管机构通报发生的个人数据泄露（如适用）。
- 中国（PIPL及配套规定）：
  - 个人信息处理需合法、正当、必要；明示处理目的与范围，进行个人信息保护影响评估（如适用）。
  - 跨境传输路径通常包括：国家网信部门安全评估、签订标准合同、认证等。是否触发取决于处理规模、数据类别（如重要数据/敏感个人信息）等，应以最新主管部门规定与行业指引为准。
  - 数据本地化要求与例外按最新法规执行，必要时采用本地化存储与最小跨境同步。
- 支付与卡数据（PCI DSS）：遵循PCI DSS v4.0要求；禁止存储敏感验证数据（如CVV2）、PAN最小化与掩码、强访问控制与分段，定期渗透测试与日志审计。
- 反洗钱与制裁（FATF实践）：对商家/大额交易/KYB执行尽调与筛查；对接OFAC/EU/UN制裁清单与本地监管要求；留存审计证据。
- 其他法域：遵循当地数据保护法（如CCPA/CPRA、LGPD、PDPA等），并通过数据目录中的“法域标签”与传输评估清单进行适配与更新。

11. 数据分析、可视化与机器学习治理
- 数据集准备：
  - 标准化数据准备流程（清洗、缺失值处理、异常与漂移检测、采样策略），记录数据谱系与特征来源。
  - 训练/验证/测试集分割可复现，数据版本化（数据快照+哈希）。
- 特征与模型管理：
  - 特征库（Feature Store）注册与标签（敏感级别、来源、用途限制）。
  - 模型注册表（版本、指标、训练数据范围、偏差评估、可解释性说明），审批后方可生产部署。
  - 合规边界：禁止将高敏PII作为直接特征用于广告定向/信用评估等高风险场景，除非完成合法性评估与DPIA并获得批准。
- 监控与评估：
  - 上线后监控性能、漂移、数据完整性与公平性（群体差异指标）。
  - 重大模型影响用户权益时提供可解释性与申诉渠道；高风险模型设立人机协同与Fallback策略。
- 可视化与共享：
  - 仪表盘默认聚合与去标识化；敏感明细需受控访问与动态脱敏。
  - 防推断攻击：限制小样本切片展示与最小群组阈值。

12. 数据目录、元数据与血缘
- 数据目录为唯一查询入口，强制登记并维护业务术语、数据字典、数据产品页、责任人、质量与SLA、法域与合规标签。
- 自动化血缘：从源到指标/模型的端到端血缘可追踪，支持影响分析与合规审计。
- 变更告警：模式变更、血缘断裂、质量退化触发告警与变更流程。

13. 事件响应与数据主体请求
- 安全与隐私事件：
  - 分级响应SLA（如P1：影响敏感PII的泄露，立即响应），跨部门应急（安全、法务、DPO、PR）。
  - 依据法域规定在时限内通报监管与受影响主体（如GDPR要求在获知后72小时内向监管通报）。
- 数据主体请求（DSAR）：
  - 受理、验证身份、检索与导出（可机读格式）、更正、删除/撤回同意、限制处理与反对等；在法定时限内闭环。
  - 建立请求台账与证据留存；自动化工具提升检索与遮蔽效率。

14. 平台与架构要求
- 多区域与数据驻留：按法域配置数据驻留与就地处理，跨区需通过数据出境网关与合规校验。
- 可观测性：数据与模型的指标、日志、审计集中化；关键控制的证据化存档。
- 基础安全：零信任网络、最小权限、强认证（MFA）、服务间细粒度授权、CI/CD安全门控与密钥安全。

15. 绩效指标与审计
- 治理KPI（示例）：数据目录覆盖率、质量规则通过率、敏感数据访问审批达标率、跨境评估完成率、模型漂移告警处置时效、DSAR按期完成率、事件零信任控制覆盖率。
- 定期审计：年度内控审计与渗透测试；对跨境合规、PCI DSS与隐私控制开展外部评估（如适用）。
- 纠偏与改进：对审计发现建立整改计划，跟踪关闭并纳入治理例会。

16. 变更管理与培训
- 变更流程：涉及数据分类、保留、跨境传输、模型用途变更需提交影响评估与审批。
- 培训计划：对工程、分析、产品、运营开展分层培训（隐私合规、数据安全、数据质量、模型伦理），新员工入职与年度必修。
- 供应商与合作伙伴：输出对等治理要求与安全条款，定期复核。

17. 附录（模板与清单，内部发布）
- 数据分类与处置矩阵（含各级别的存储、传输、共享与销毁要求）。
- 跨境数据传输评估清单（法域、类别、规模、路径、加密、合同与技术措施）。
- DPIA触发条件与评估模板。
- 数据质量规则与SLA示例库。
- 访问申请与审计留痕模板。
- 模型卡（Model Card）与数据卡（Data Card）模板。

执行要求
- 本政策自发布之日起生效，适用于所有业务线与区域。任何例外需提交数据治理委员会审批并留档。
- 法规更新与业务变更将触发政策的年度或不定期修订；跨境电商所在法域的监管变化以最新官方发布为准并优先执行。

金融科技数据治理政策

1. 目的与适用范围
- 本政策用于规范公司在金融科技业务中对数据的全生命周期管理，确保合规、安全、可用与高质量，支持风险控制、业务决策与创新。
- 适用于公司管理或处理的所有数据资产（客户数据、交易与支付数据、日志与监控数据、模型与特征数据、合作方数据等）、所有系统与环境（生产、测试、备份、灾备）以及全体员工、承包商与第三方处理者。

2. 术语与角色职责
- 数据治理委员会（DGC）：批准策略与标准，决策重大数据风险与例外。
- 首席数据官（CDO）：牵头数据战略、治理落地与监督评估。
- 数据保护官（DPO）：监督个人信息合规与隐私影响评估（DPIA）。
- 首席信息安全官（CISO）：负责数据安全策略、控制与监测。
- 数据所有者（Data Owner）：对域内数据合规与使用结果负责，批准访问。
- 数据管理员/数据管家（Data Steward）：维护数据质量、元数据、字典与血缘。
- 系统所有者（System Owner）：保障系统层面的安全与可用性。
- 模型负责人（Model Owner）：对模型数据、性能、风险与合规负责。
- 数据治理办公室（DGO）：日常协调、度量与审计支持。

3. 治理原则
- 合法合规：满足适用法律法规与监管指引，审计可追溯。
- 目的限定与最小化：仅为明确目的收集与处理，最小必要数据集。
- 质量与一致性：统一口径、可验证、一致、完整、及时。
- 安全内生：默认加密、最小权限、零信任、分层防护。
- 可观测与可追踪：全链路血缘、强审计、变更可控、可复现。
- 负责任AI：可解释、公平、稳健、可监控、可申诉。

4. 数据分类与分级
- 分类（按内容）：
  - 个人信息（PII）：可识别自然人身份的数据（如姓名、手机号、证件号）。
  - 敏感个人信息（SPI）：一旦泄露或非法使用容易造成侵害（如金融账户、交易明细、定位、身份证件、面部特征、生物识别、征信信息）。
  - 商业敏感/机密：策略、风控规则、模型参数、源代码、定价算法。
  - 支付卡数据：PAN、CVV、持卡人信息等（受PCI DSS约束）。
  - 运营与遥测数据：日志、指标、追踪。
- 分级（按影响）：
  - 机密级（C3/C4）：SPI、支付卡数据、密钥材料、核心风控逻辑。
  - 内部级（C2）：非公开但泄露影响中等的数据。
  - 公开级（C1）：已公开或无需保护的数据。
- 要求：数据在接入目录时必须标注分类与分级；分级决定加密、访问、留存与共享控制强度。

5. 元数据与数据资产管理
- 建立企业数据目录，纳入所有数据集与接口，记录：
  - 业务定义、字段字典、所有者/管理员、分类分级、合规标签。
  - 技术元数据：模式、分区、存储位置、更新频率、SLA/SLO。
  - 数据血缘：表/字段级上游下游、作业与版本、数据契约。
- 数据契约：生产与消费双方就模式、质量阈值、传输频率、变更窗口达成书面契约；重大变更须提前公告与回归测试。
- 唯一标识：对数据集、字段、任务、模型、特征提供全局唯一ID与版本控制。

6. 数据质量管理
- 维度：准确性、完整性、一致性、唯一性、及时性、可用性、有效性。
- 机制：
  - 接入前数据剖析与基线化，设定质量阈值与校验规则。
  - 生产数据校验（批/流实时），失败自动告警与隔离。
  - 数据质量工单与根因分析（RCA），缺陷闭环与回归验证。
  - 数据SLA：关键指标（如交易入库T+0、对账及时率>99.9%）。
- 指标：DQ缺陷率、阈值违规次数、修复时长、覆盖率（受控数据集占比）。

7. 数据全生命周期管理
- 采集与接入：合法来源，完成DPIA/安全评估；签署数据处理协议与数据契约；采用安全传输与校验。
- 加工：在受控环境执行，记录作业与版本；敏感字段脱敏/令牌化；最小化选择与特征构造。
- 存储：分级存储策略；加密静态数据；冷热分层；索引与压缩策略。
- 使用：权限审批与用途审计；再利用须符合目的限定；对外提供采用API网关与速率限制。
- 共享：经所有者批准与合规评估；输出采用去标识化策略；记录共享台账。
- 归档与销毁：依据法定与业务留存要求制定保留计划；期满可验证删除或不可逆匿名化；保留与删除操作审计可追踪。
- 变更管理：模式、作业、质量阈值、访问策略变更须评审与回归验证。

8. 安全与访问控制
- 身份与访问管理：基于RBAC/ABAC与最小权限；强认证（MFA）；短期凭证；职能分离；定期访问审计与回收。
- 传输与存储加密：TLS 1.2及以上（优先1.3）；静态加密采用行业认可算法（如AES-256）；密钥由KMS/HSM管理，定期轮换与分离职责。
- 数据脱敏与令牌化：在非生产、分析/共享场景必须使用；对支付卡遵循截断与不可逆处理；必要时采用同态/安全多方等增强技术。
- 网络与主机安全：零信任分段、最小可达、WAF/应用防火墙、端点加固与EDR；定期漏洞扫描与渗透测试；安全基线与配置合规。
- 数据泄露防护（DLP）：内容识别、出站监控、异常访问检测与阻断。
- 日志与监控：集中日志、不可篡改存储、时序指标与分布式追踪；对敏感数据访问全量审计；SIEM联动告警与自动化响应。
- 备份与灾备：加密备份、离线或不可变存储、演练；定义RTO/RPO并验证。

9. 隐私与个人信息保护
- 合法性基础：基于同意、合同履行、法定义务、重大利益、公共利益或其他法律基础处理个人信息。
- 告知与同意：清晰告知目的、范围、共享对象、留存期限；敏感个人信息需单独明示同意。
- 目的限定与最小化：禁止超范围收集；采用聚合/匿名化满足分析需求。
- 数据主体权利：提供查阅、更正、删除、撤回同意、可携带、限制处理等渠道，按法定时限响应并留痕。
- 跨境传输：依据适用法规选择路径（如安全评估、认证、标准合同等），进行风险评估与持续合规监控。
- 儿童/弱势群体数据：启用更严格的同意与保护措施。

10. 第三方与数据共享管理
- 准入评估：安全与隐私资质、合规审计（如ISO 27001/SOC报告）、技术与运营能力、数据驻留与跨境合规。
- 合同与DPA：明确处理目的、类别、保密、分包限制、审计权、数据泄露通报、删除与返还。
- 最小披露：优先使用去标识化、合成数据或沙箱；对外接口采用速率限制、范围裁剪与风控策略。
- 开放银行/监管共享：遵循开放标准与强鉴权；对账与监控可追溯。

11. 模型与AI数据治理
- 数据与特征管理：训练/验证/测试数据集登记与版本化；特征库集中管理，字段级血缘；禁止在特征中存储可识别敏感信息，或采用安全编码/加密。
- 可复现与审计：模型、数据、代码、依赖、随机种子与环境镜像全量可复现；模型注册与审批流程。
- 公平与偏差：在样本、标签与特征层面进行偏差评估；设置公平性指标与监控阈值；必要时进行重采样、重加权或可解释方法校正。
- 可解释与合规：提供全局与局部解释；对高风险决策提供人工复核与申诉渠道。
- 漂移与性能监控：数据分布、特征重要性、阈值与KS/PSI等指标持续监测，触发回训或下线策略。
- 模型风险管理：执行模型验证、压力测试、独立复核与定期复评；遵循有效风险数据汇总与报告原则（参考BCBS 239）与适用的模型风险监管指引。

12. 合规要求（按业务辖区适用）
- 中国：个人信息保护法（PIPL）、数据安全法、网络安全法、关键信息基础设施相关要求、跨境数据规定；金融监管规则（人民银行、证监会、国家金融监督管理总局等）；支付清算与反洗钱要求。
- 国际示例：GDPR（含72小时重大泄露通报义务）、PCI DSS（支付卡）、GLBA（美国金融隐私）、开放银行/PSD2（欧盟/英国）。
- 要求：建立法规地图与留存清单，将监管要求映射到控制与流程，并定期复核。

13. 事件响应与通报
- 分级响应：定义数据事件分级标准（按影响面与敏感度），匹配分级处置流程与RACI。
- 处置流程：检测-遏制-取证-评估影响-修复-通报-复盘；涉及个人信息的事件按适用法规在规定时限内向监管与用户通报。
- 漏洞管理：CVE威胁情报订阅、SLA修复时限、补丁验证与回归。

14. 云与基础设施治理
- 共享责任：明确云服务商与本公司安全责任边界；合规评估与配置基线。
- 云原生安全：IAM最小权限、密钥与证书管理、加密存储、对象锁防勒索、日志集中化、工作负载身份与策略即代码。
- 数据驻留与主权：遵循数据本地化要求，跨区域复制需合规评估。
- 成本与性能：数据分层、生命周期策略、查询治理与配额控制。

15. 数据保留与删除
- 保留计划：基于法律、监管与业务需求定义不同类别数据的保留期限与触发条件；定期审计执行情况。
- 删除与匿名化：期满后安全删除（含备份）或不可逆匿名化；提供证明材料与审计记录。
- 例外管理：诉讼保全与监管留存须登记与审批。

16. 指标、审计与持续改进
- KPI/KRI样例：
  - 目录覆盖率（受控数据资产占比）、字段字典完整率、血缘覆盖率。
  - 数据质量阈值达标率、DQ缺陷修复周期、数据SLA违约率。
  - 访问审批平均时长、超权访问次数、密钥轮换达标率。
  - 隐私请求按时响应率、跨境传输合规率、第三方评估完成率。
  - 模型可复现率、漂移告警响应时长、公平性指标达标率。
- 审计：年度内外部审计与渗透测试，整改闭环；高风险域季度复核。
- 持续改进：依据事件复盘、审计发现与指标趋势迭代控制与标准；组织定期培训与演练。

17. 实施与例外
- 本政策由DGC批准后生效；子标准与流程由DGO组织制定并落地。
- 例外需由数据所有者与CISO/DPO联合评审，DGC批准并限定期限与补偿控制。

附录A：数据分类与控制示例（参考）
- 机密级（SPI/支付卡/密钥/核心风控）：强加密、HSM保钥、隔离区、严格审计、禁止外发、仅白名单系统访问。
- 内部级（运营与业务非敏感）：加密存储、基于角色访问、日志审计、必要最小共享。
- 公开级：完整性保护与防篡改，禁止与敏感数据混存。

附录B：常用数据最小化与去标识化技术
- 标准化与截断、哈希（加盐）、令牌化、加密、泛化/分箱、k-匿名/l-多样/t-接近、差分隐私、合成数据。

附录C：数据契约最小内容
- 数据集标识与版本；模式与字段定义；质量阈值与校验；刷新频率与SLA；安全与分类标签；变更通知窗口与回滚策略；责任方与联系渠道。

本政策面向数据科学、工程、风控、合规与安全等团队执行，未尽事项按适用法规与公司控风标准从严管理。