制定数据治理政策草案

跨境电商数据治理政策

1. 目的与适用范围

• 目的：建立一套覆盖数据全生命周期的治理框架，保障跨境电商业务在全球范围内的合规、安全、可用与高质量数据支撑，提升数据驱动决策与模型能力。
• 适用范围：适用于公司在各区域（含但不限于欧盟、美国、中国、东盟、拉美等）开展的跨境电商相关活动中产生、处理、传输与共享的全部数据与数据处理系统（交易、支付、物流、客服、营销、风控、供应链、客服BOT与推荐系统等）。
• 数据类型（示例）：
  • 个人信息（PII）：姓名、联系方式、地址、证件信息、设备标识、IP、Cookie/IDFA。
  • 支付与财务数据：PAN、支付令牌、账单信息、退款记录、发票与税务识别号。
  • 交易与行为数据：订单、购物车、浏览事件、点击流、评价与售后。
  • 供应与物流数据：SKU、产品主数据、库存、运输单号、关务与报关参数、目的地/起运地。
  • 合作伙伴与商家数据：KYC/KYB材料、合规证明、合同与结算信息。
  • 内容与多媒体：商品图文、用户生成内容（UGC）、客服录音。
  • 参考与主数据：品类、币种、国家/地区、税率、关税编码。

2. 治理组织与角色

• 数据治理委员会（DGC）：负责政策制定与例外审批，季度审查治理KPI与风险。
• 数据保护官（DPO）：统筹隐私合规、跨境传输评估与隐私影响评估（DPIA）。
• 安全负责人（CISO或等同）：数据安全控制、加密与密钥管理、事件响应。
• 数据域负责人（Data Owner）：对本域数据质量、访问与合规负责。
• 数据管理员（Data Steward）：元数据、数据质量规则、数据字典与数据目录维护。
• 数据托管人（Data Custodian/工程团队）：落地技术控制、管道与平台运维。
• 模型负责人（Model Owner）：训练/推理数据合规性、特征治理、模型监控与偏差管理。
• 法务与合规：跨境传输法律路径、合同与供应商管理。

3. 数据分类与标记

• 分级标准：
  • 公开（Public）：可对外公开，不含敏感信息。
  • 内部（Internal）：内部使用，不涉及PII或商业敏感。
  • 机密（Confidential）：包含PII或商业敏感，需严格访问控制。
  • 限制（Restricted）：高敏感（如支付数据、证件号、精确地理位置、健康/生物识别数据），最小化处理与强加密。
• 元数据标记（强制字段）：数据域、数据所有者、系统来源、个人信息标识、敏感级别、处理目的、合法处理依据、保留期限、数据主体所在法域、跨境传输状态、共享对象、血缘关系。

4. 数据采集与接入

• 合法性与最小化：每项数据采集需明确处理目的与合法依据（如同意、履行合同、法定义务、正当利益等，视法域而定）。按“最小必要”收集与保留。
• 同意与偏好管理：前端通过合规的同意管理平台（CMP）管理Cookie/追踪，同意记录可审计、可撤回。
• 数据契约与模式管理：事件/批量接口需定义数据契约（字段、类型、单位、约束、必填与可空），版本化管理，变更评审。
• 供应商与第三方数据：完成尽职调查（安全、隐私、可用性），签署数据处理协议（DPA）与跨境条款；仅接入满足质量与合规的源。

5. 数据质量管理

• 质量维度与指标：完整性、准确性、一致性、及时性、唯一性、可追溯性。
• 质量规则与SLA：关键数据集定义阈值（如重复率<0.5%、必填字段缺失<0.1%、事件延迟P95<10分钟），纳入数据监控。
• 数据剖析与监控：接入与周期性剖析（分布、离群、基数变化），持续告警（阈值与漂移检测），质量仪表板对外可视。
• 质量问题管理：登记、分级（影响范围/严重度）、根因分析（数据管道/源系统/业务流程）、修复与回溯修正（补数/重放）。

6. 主数据与参考数据（MDM/RDM）

• 范围：客户、商家、商品、供应商、地址、组织、国家/地区、币种、税码、关税编码。
• 标识策略：稳定主键（如全局ID/UUID），去重与合并策略（规则+模型），建立“金记录”（Golden Record）。
• 同步与发布：MDM为系统记录源（SOR），通过事件/API发布至消费系统，保证前后一致。
• 变更管理：主数据变更审核与审计记录，避免下游断裂；版本化与有效期管理。

7. 数据生命周期与存储

• 保留策略：按数据类型、法域与业务目的设定保留期；期满或目的达成后删除或匿名化。示例：
  • 原始日志：90-180天（除非合规或安全要求更长）
  • 行为明细用于建模：12-24个月（采用去标识化/聚合）
  • 交易与税务：按当地税务与会计法规保留（通常5-10年，依法域）
• 备份与归档：加密备份、地域冗余、定期恢复演练；归档数据访问受限。
• 测试数据：禁止使用未经脱敏的生产PII；使用数据脱敏、令牌化或合成数据。

8. 访问控制与数据共享

• 原则：最小权限、知情即得、职责分离。采用RBAC/ABAC组合控制。
• 审批与可审计：敏感数据访问需工单审批（数据所有者+DPO/安全），全链路审计日志。
• 数据产品化共享：通过数据目录发布“已治理”的数据产品，附SLA、血缘、质量评分、合规标签。
• 对外共享：必须签署合同与DPA，明确用途、保留期、再共享限制、删除与安全要求；跨境共享需完成传输合规评估。

9. 安全与隐私控制

• 加密与密钥：传输中TLS 1.2+，静态存储AES-256；密钥托管与轮换，密钥访问分离。
• 数据去标识化：按目的采用哈希/令牌化/部分掩码/泛化/聚合；高风险分析场景优先匿名化或差分隐私。
• 数据隔离与分区：按法域与敏感级别进行逻辑和/或物理隔离（如区域化存储、VPC与网络策略）。
• 终端与平台安全：最小可见原则、端到端审计、恶意行为检测、数据出境网关与DLP。
• DPIA与隐私内生：新系统/新用途/敏感数据/大规模监测等触发DPIA；默认开启隐私保护（privacy by default）。

10. 跨境数据传输与合规

• 欧盟/英国（GDPR/UK GDPR）：
  • 合法性基础：明确Art. 6处理基础；必要时获取有效同意。
  • 跨境传输（Art. 44及后续）：优先采用充分性决定；如无则使用标准合同条款（SCCs）或具有约束力公司规则（BCRs），并实施补充措施（加密、最小化、访问限制）。
  • 数据主体权利：访问、更正、删除、限制处理、数据可携带、反对自动化决策；在72小时内向监管机构通报发生的个人数据泄露（如适用）。
• 中国（PIPL及配套规定）：
  • 个人信息处理需合法、正当、必要；明示处理目的与范围，进行个人信息保护影响评估（如适用）。
  • 跨境传输路径通常包括：国家网信部门安全评估、签订标准合同、认证等。是否触发取决于处理规模、数据类别（如重要数据/敏感个人信息）等，应以最新主管部门规定与行业指引为准。
  • 数据本地化要求与例外按最新法规执行，必要时采用本地化存储与最小跨境同步。
• 支付与卡数据（PCI DSS）：遵循PCI DSS v4.0要求；禁止存储敏感验证数据（如CVV2）、PAN最小化与掩码、强访问控制与分段，定期渗透测试与日志审计。
• 反洗钱与制裁（FATF实践）：对商家/大额交易/KYB执行尽调与筛查；对接OFAC/EU/UN制裁清单与本地监管要求；留存审计证据。
• 其他法域：遵循当地数据保护法（如CCPA/CPRA、LGPD、PDPA等），并通过数据目录中的“法域标签”与传输评估清单进行适配与更新。

11. 数据分析、可视化与机器学习治理

• 数据集准备：
  • 标准化数据准备流程（清洗、缺失值处理、异常与漂移检测、采样策略），记录数据谱系与特征来源。
  • 训练/验证/测试集分割可复现，数据版本化（数据快照+哈希）。
• 特征与模型管理：
  • 特征库（Feature Store）注册与标签（敏感级别、来源、用途限制）。
  • 模型注册表（版本、指标、训练数据范围、偏差评估、可解释性说明），审批后方可生产部署。
  • 合规边界：禁止将高敏PII作为直接特征用于广告定向/信用评估等高风险场景，除非完成合法性评估与DPIA并获得批准。
• 监控与评估：
  • 上线后监控性能、漂移、数据完整性与公平性（群体差异指标）。
  • 重大模型影响用户权益时提供可解释性与申诉渠道；高风险模型设立人机协同与Fallback策略。
• 可视化与共享：
  • 仪表盘默认聚合与去标识化；敏感明细需受控访问与动态脱敏。
  • 防推断攻击：限制小样本切片展示与最小群组阈值。

12. 数据目录、元数据与血缘

• 数据目录为唯一查询入口，强制登记并维护业务术语、数据字典、数据产品页、责任人、质量与SLA、法域与合规标签。
• 自动化血缘：从源到指标/模型的端到端血缘可追踪，支持影响分析与合规审计。
• 变更告警：模式变更、血缘断裂、质量退化触发告警与变更流程。

13. 事件响应与数据主体请求

• 安全与隐私事件：
  • 分级响应SLA（如P1：影响敏感PII的泄露，立即响应），跨部门应急（安全、法务、DPO、PR）。
  • 依据法域规定在时限内通报监管与受影响主体（如GDPR要求在获知后72小时内向监管通报）。
• 数据主体请求（DSAR）：
  • 受理、验证身份、检索与导出（可机读格式）、更正、删除/撤回同意、限制处理与反对等；在法定时限内闭环。
  • 建立请求台账与证据留存；自动化工具提升检索与遮蔽效率。

14. 平台与架构要求

• 多区域与数据驻留：按法域配置数据驻留与就地处理，跨区需通过数据出境网关与合规校验。
• 可观测性：数据与模型的指标、日志、审计集中化；关键控制的证据化存档。
• 基础安全：零信任网络、最小权限、强认证（MFA）、服务间细粒度授权、CI/CD安全门控与密钥安全。

15. 绩效指标与审计

• 治理KPI（示例）：数据目录覆盖率、质量规则通过率、敏感数据访问审批达标率、跨境评估完成率、模型漂移告警处置时效、DSAR按期完成率、事件零信任控制覆盖率。
• 定期审计：年度内控审计与渗透测试；对跨境合规、PCI DSS与隐私控制开展外部评估（如适用）。
• 纠偏与改进：对审计发现建立整改计划，跟踪关闭并纳入治理例会。

16. 变更管理与培训

• 变更流程：涉及数据分类、保留、跨境传输、模型用途变更需提交影响评估与审批。
• 培训计划：对工程、分析、产品、运营开展分层培训（隐私合规、数据安全、数据质量、模型伦理），新员工入职与年度必修。
• 供应商与合作伙伴：输出对等治理要求与安全条款，定期复核。

17. 附录（模板与清单，内部发布）

• 数据分类与处置矩阵（含各级别的存储、传输、共享与销毁要求）。
• 跨境数据传输评估清单（法域、类别、规模、路径、加密、合同与技术措施）。
• DPIA触发条件与评估模板。
• 数据质量规则与SLA示例库。
• 访问申请与审计留痕模板。
• 模型卡（Model Card）与数据卡（Data Card）模板。

执行要求

• 本政策自发布之日起生效，适用于所有业务线与区域。任何例外需提交数据治理委员会审批并留档。
• 法规更新与业务变更将触发政策的年度或不定期修订；跨境电商所在法域的监管变化以最新官方发布为准并优先执行。

金融科技数据治理政策

1. 目的与适用范围

• 本政策用于规范公司在金融科技业务中对数据的全生命周期管理，确保合规、安全、可用与高质量，支持风险控制、业务决策与创新。
• 适用于公司管理或处理的所有数据资产（客户数据、交易与支付数据、日志与监控数据、模型与特征数据、合作方数据等）、所有系统与环境（生产、测试、备份、灾备）以及全体员工、承包商与第三方处理者。

2. 术语与角色职责

• 数据治理委员会（DGC）：批准策略与标准，决策重大数据风险与例外。
• 首席数据官（CDO）：牵头数据战略、治理落地与监督评估。
• 数据保护官（DPO）：监督个人信息合规与隐私影响评估（DPIA）。
• 首席信息安全官（CISO）：负责数据安全策略、控制与监测。
• 数据所有者（Data Owner）：对域内数据合规与使用结果负责，批准访问。
• 数据管理员/数据管家（Data Steward）：维护数据质量、元数据、字典与血缘。
• 系统所有者（System Owner）：保障系统层面的安全与可用性。
• 模型负责人（Model Owner）：对模型数据、性能、风险与合规负责。
• 数据治理办公室（DGO）：日常协调、度量与审计支持。

3. 治理原则

• 合法合规：满足适用法律法规与监管指引，审计可追溯。
• 目的限定与最小化：仅为明确目的收集与处理，最小必要数据集。
• 质量与一致性：统一口径、可验证、一致、完整、及时。
• 安全内生：默认加密、最小权限、零信任、分层防护。
• 可观测与可追踪：全链路血缘、强审计、变更可控、可复现。
• 负责任AI：可解释、公平、稳健、可监控、可申诉。

4. 数据分类与分级

• 分类（按内容）：
  • 个人信息（PII）：可识别自然人身份的数据（如姓名、手机号、证件号）。
  • 敏感个人信息（SPI）：一旦泄露或非法使用容易造成侵害（如金融账户、交易明细、定位、身份证件、面部特征、生物识别、征信信息）。
  • 商业敏感/机密：策略、风控规则、模型参数、源代码、定价算法。
  • 支付卡数据：PAN、CVV、持卡人信息等（受PCI DSS约束）。
  • 运营与遥测数据：日志、指标、追踪。
• 分级（按影响）：
  • 机密级（C3/C4）：SPI、支付卡数据、密钥材料、核心风控逻辑。
  • 内部级（C2）：非公开但泄露影响中等的数据。
  • 公开级（C1）：已公开或无需保护的数据。
• 要求：数据在接入目录时必须标注分类与分级；分级决定加密、访问、留存与共享控制强度。

5. 元数据与数据资产管理

• 建立企业数据目录，纳入所有数据集与接口，记录：
  • 业务定义、字段字典、所有者/管理员、分类分级、合规标签。
  • 技术元数据：模式、分区、存储位置、更新频率、SLA/SLO。
  • 数据血缘：表/字段级上游下游、作业与版本、数据契约。
• 数据契约：生产与消费双方就模式、质量阈值、传输频率、变更窗口达成书面契约；重大变更须提前公告与回归测试。
• 唯一标识：对数据集、字段、任务、模型、特征提供全局唯一ID与版本控制。

6. 数据质量管理

• 维度：准确性、完整性、一致性、唯一性、及时性、可用性、有效性。
• 机制：
  • 接入前数据剖析与基线化，设定质量阈值与校验规则。
  • 生产数据校验（批/流实时），失败自动告警与隔离。
  • 数据质量工单与根因分析（RCA），缺陷闭环与回归验证。
  • 数据SLA：关键指标（如交易入库T+0、对账及时率>99.9%）。
• 指标：DQ缺陷率、阈值违规次数、修复时长、覆盖率（受控数据集占比）。

7. 数据全生命周期管理

• 采集与接入：合法来源，完成DPIA/安全评估；签署数据处理协议与数据契约；采用安全传输与校验。
• 加工：在受控环境执行，记录作业与版本；敏感字段脱敏/令牌化；最小化选择与特征构造。
• 存储：分级存储策略；加密静态数据；冷热分层；索引与压缩策略。
• 使用：权限审批与用途审计；再利用须符合目的限定；对外提供采用API网关与速率限制。
• 共享：经所有者批准与合规评估；输出采用去标识化策略；记录共享台账。
• 归档与销毁：依据法定与业务留存要求制定保留计划；期满可验证删除或不可逆匿名化；保留与删除操作审计可追踪。
• 变更管理：模式、作业、质量阈值、访问策略变更须评审与回归验证。

8. 安全与访问控制

• 身份与访问管理：基于RBAC/ABAC与最小权限；强认证（MFA）；短期凭证；职能分离；定期访问审计与回收。
• 传输与存储加密：TLS 1.2及以上（优先1.3）；静态加密采用行业认可算法（如AES-256）；密钥由KMS/HSM管理，定期轮换与分离职责。
• 数据脱敏与令牌化：在非生产、分析/共享场景必须使用；对支付卡遵循截断与不可逆处理；必要时采用同态/安全多方等增强技术。
• 网络与主机安全：零信任分段、最小可达、WAF/应用防火墙、端点加固与EDR；定期漏洞扫描与渗透测试；安全基线与配置合规。
• 数据泄露防护（DLP）：内容识别、出站监控、异常访问检测与阻断。
• 日志与监控：集中日志、不可篡改存储、时序指标与分布式追踪；对敏感数据访问全量审计；SIEM联动告警与自动化响应。
• 备份与灾备：加密备份、离线或不可变存储、演练；定义RTO/RPO并验证。

9. 隐私与个人信息保护

• 合法性基础：基于同意、合同履行、法定义务、重大利益、公共利益或其他法律基础处理个人信息。
• 告知与同意：清晰告知目的、范围、共享对象、留存期限；敏感个人信息需单独明示同意。
• 目的限定与最小化：禁止超范围收集；采用聚合/匿名化满足分析需求。
• 数据主体权利：提供查阅、更正、删除、撤回同意、可携带、限制处理等渠道，按法定时限响应并留痕。
• 跨境传输：依据适用法规选择路径（如安全评估、认证、标准合同等），进行风险评估与持续合规监控。
• 儿童/弱势群体数据：启用更严格的同意与保护措施。

10. 第三方与数据共享管理

• 准入评估：安全与隐私资质、合规审计（如ISO 27001/SOC报告）、技术与运营能力、数据驻留与跨境合规。
• 合同与DPA：明确处理目的、类别、保密、分包限制、审计权、数据泄露通报、删除与返还。
• 最小披露：优先使用去标识化、合成数据或沙箱；对外接口采用速率限制、范围裁剪与风控策略。
• 开放银行/监管共享：遵循开放标准与强鉴权；对账与监控可追溯。

11. 模型与AI数据治理

• 数据与特征管理：训练/验证/测试数据集登记与版本化；特征库集中管理，字段级血缘；禁止在特征中存储可识别敏感信息，或采用安全编码/加密。
• 可复现与审计：模型、数据、代码、依赖、随机种子与环境镜像全量可复现；模型注册与审批流程。
• 公平与偏差：在样本、标签与特征层面进行偏差评估；设置公平性指标与监控阈值；必要时进行重采样、重加权或可解释方法校正。
• 可解释与合规：提供全局与局部解释；对高风险决策提供人工复核与申诉渠道。
• 漂移与性能监控：数据分布、特征重要性、阈值与KS/PSI等指标持续监测，触发回训或下线策略。
• 模型风险管理：执行模型验证、压力测试、独立复核与定期复评；遵循有效风险数据汇总与报告原则（参考BCBS 239）与适用的模型风险监管指引。

12. 合规要求（按业务辖区适用）

• 中国：个人信息保护法（PIPL）、数据安全法、网络安全法、关键信息基础设施相关要求、跨境数据规定；金融监管规则（人民银行、证监会、国家金融监督管理总局等）；支付清算与反洗钱要求。
• 国际示例：GDPR（含72小时重大泄露通报义务）、PCI DSS（支付卡）、GLBA（美国金融隐私）、开放银行/PSD2（欧盟/英国）。
• 要求：建立法规地图与留存清单，将监管要求映射到控制与流程，并定期复核。

13. 事件响应与通报

• 分级响应：定义数据事件分级标准（按影响面与敏感度），匹配分级处置流程与RACI。
• 处置流程：检测-遏制-取证-评估影响-修复-通报-复盘；涉及个人信息的事件按适用法规在规定时限内向监管与用户通报。
• 漏洞管理：CVE威胁情报订阅、SLA修复时限、补丁验证与回归。

14. 云与基础设施治理

• 共享责任：明确云服务商与本公司安全责任边界；合规评估与配置基线。
• 云原生安全：IAM最小权限、密钥与证书管理、加密存储、对象锁防勒索、日志集中化、工作负载身份与策略即代码。
• 数据驻留与主权：遵循数据本地化要求，跨区域复制需合规评估。
• 成本与性能：数据分层、生命周期策略、查询治理与配额控制。

15. 数据保留与删除

• 保留计划：基于法律、监管与业务需求定义不同类别数据的保留期限与触发条件；定期审计执行情况。
• 删除与匿名化：期满后安全删除（含备份）或不可逆匿名化；提供证明材料与审计记录。
• 例外管理：诉讼保全与监管留存须登记与审批。

16. 指标、审计与持续改进

• KPI/KRI样例：
  • 目录覆盖率（受控数据资产占比）、字段字典完整率、血缘覆盖率。
  • 数据质量阈值达标率、DQ缺陷修复周期、数据SLA违约率。
  • 访问审批平均时长、超权访问次数、密钥轮换达标率。
  • 隐私请求按时响应率、跨境传输合规率、第三方评估完成率。
  • 模型可复现率、漂移告警响应时长、公平性指标达标率。
• 审计：年度内外部审计与渗透测试，整改闭环；高风险域季度复核。
• 持续改进：依据事件复盘、审计发现与指标趋势迭代控制与标准；组织定期培训与演练。

17. 实施与例外

• 本政策由DGC批准后生效；子标准与流程由DGO组织制定并落地。
• 例外需由数据所有者与CISO/DPO联合评审，DGC批准并限定期限与补偿控制。

附录A：数据分类与控制示例（参考）

• 机密级（SPI/支付卡/密钥/核心风控）：强加密、HSM保钥、隔离区、严格审计、禁止外发、仅白名单系统访问。
• 内部级（运营与业务非敏感）：加密存储、基于角色访问、日志审计、必要最小共享。
• 公开级：完整性保护与防篡改，禁止与敏感数据混存。

附录B：常用数据最小化与去标识化技术

• 标准化与截断、哈希（加盐）、令牌化、加密、泛化/分箱、k-匿名/l-多样/t-接近、差分隐私、合成数据。

附录C：数据契约最小内容

• 数据集标识与版本；模式与字段定义；质量阈值与校验；刷新频率与SLA；安全与分类标签；变更通知窗口与回滚策略；责任方与联系渠道。

本政策面向数据科学、工程、风控、合规与安全等团队执行，未尽事项按适用法规与公司控风标准从严管理。