第1章:合规数据基础

各位同学,今天我们来聊聊合规数据的根基。我在RegTech领域摸爬滚打了这些年,发现一个真理:数据质量决定合规成败。你想想看,如果连基础数据都是错的,后面的分析、报告、监管对接,全都会跑偏。

1.1 合规数据类型

合规数据听起来很宽泛,其实核心就四类。我习惯把它们分成「身份验证类」和「行为监控类」两大块。

1.1.1 KYC数据

KYC,全称Know Your Customer。说白了就是「你得知道你的客户是谁」。我在项目中遇到过最头疼的事——客户提交的身份证照片模糊不清,系统死活识别不出来。嗯,这里要注意:KYC数据不仅仅是身份证信息,还包括:

  • 身份信息:姓名、证件号、出生日期、国籍
  • 地址证明:水电账单、银行对账单(需3个月内)
  • 受益所有人:公司背后的实际控制人是谁
  • 政治人物标记:PEP(Politically Exposed Person)标记
我的经验:KYC数据采集时,一定要做「字段级校验」。比如身份证号,中国是18位,最后一位可能是X。我曾经见过一个系统,直接把X当成非法字符过滤掉了,结果所有香港客户的KYC都过不了。

1.1.2 AML数据

反洗钱(Anti-Money Laundering)数据,是合规的重头戏。这类数据主要用来做「黑名单筛查」和「交易监控」。常见的AML数据包括:

  • 制裁名单:联合国、OFAC、欧盟等发布的制裁实体
  • 负面新闻:涉及犯罪、腐败的新闻报道
  • 交易异常指标:频繁的小额交易、跨境大额转账
  • 行为模式:突然改变交易习惯、使用多个账户
避坑指南:我曾经接手过一个项目,AML名单更新频率是「每周一次」。结果监管检查时发现,有一家被制裁的公司,在名单更新前已经完成了3笔交易。从那以后,我坚持AML名单必须「实时更新」,至少也要做到T+0。

1.1.3 交易数据

交易数据是合规监控的「原材料」。每一笔交易,都需要记录完整的信息。我建议至少包含以下字段:

字段 说明 示例
交易ID 唯一标识 TXN202403150001
交易时间 精确到毫秒 2024-03-15 14:30:22.123
交易金额 含币种 USD 10,000.00
交易双方 账户号/钱包地址 ACC-10086 → ACC-10087
交易类型 转账、支付、兑换 跨境汇款
IP地址 发起方IP 192.168.1.1

1.1.4 报告数据

报告数据是合规工作的「输出成果」。监管机构要看的,就是这些。常见的报告类型有:

  • 可疑交易报告(STR):发现异常交易行为时提交
  • 大额交易报告:超过阈值的交易必须上报
  • 合规审计报告:定期向董事会汇报
  • 监管报表:按监管要求格式填写的表格

1.2 数据质量与治理

数据质量,说白了就是「垃圾进,垃圾出」。我在做数据治理项目时,发现80%的问题都出在数据采集环节。为什么会这样?因为业务系统只管「能跑就行」,不管「数据准不准」。

1.2.1 数据质量维度

我一般用这六个维度来评估数据质量:

  1. 完整性:必填字段有没有缺失?比如KYC缺少地址证明
  2. 准确性:数据是否真实?比如身份证号校验位对不对
  3. 一致性:不同系统间的数据是否矛盾?比如CRM和交易系统的客户名不一样
  4. 时效性:数据是否最新?比如客户换了地址,系统还是旧的
  5. 唯一性:有没有重复数据?比如同一个客户开了两个账户
  6. 有效性:数据是否符合业务规则?比如交易金额不能为负数
核心观点:数据治理不是一次性的「大扫除」,而是需要持续运营的「日常保洁」。我建议每个季度做一次数据质量审计,发现问题及时修复。

1.2.2 数据治理框架

一个完整的数据治理框架,至少包含以下要素:

  • 数据标准:统一字段定义、格式、编码规则
  • 数据字典:记录每个字段的含义、来源、用途
  • 数据血缘:追踪数据从产生到消亡的全过程
  • 数据权限:谁可以看、谁可以改、谁可以删
  • 数据生命周期:创建、存储、使用、归档、销毁

1.3 数据隐私法规

说到数据隐私,就不得不提GDPR和CCPA。这两个法规,可以说是全球数据保护的「天花板」。我当年第一次接触GDPR时,被它的罚款金额吓到了——最高2000万欧元或全球营收的4%。嗯,这可不是闹着玩的。

1.3.1 GDPR要点

GDPR(General Data Protection Regulation)是欧盟的数据保护法规。它的核心原则就一句话:数据属于用户,不属于企业。关键要求包括:

  • 明确同意:收集数据前必须获得用户明确同意,不能默认勾选
  • 数据最小化:只收集业务必需的数据,不能「多多益善」
  • 删除权:用户有权要求删除自己的数据(被遗忘权)
  • 数据可携带权:用户可以把数据从一个平台转移到另一个平台
  • 72小时报告:发生数据泄露,必须在72小时内通知监管机构
我的经验:GDPR实施后,很多公司都慌了。我记得有个客户,把所有用户数据都加密存储,结果查询性能下降了80%。后来我们做了「分级加密」——敏感字段用强加密,非敏感字段用弱加密,性能问题才解决。

1.3.2 CCPA要点

CCPA(California Consumer Privacy Act)是加州的数据隐私法。它和GDPR类似,但有一些区别:

维度 GDPR CCPA
适用范围 处理欧盟居民数据的所有企业 年营收超2500万美元或处理超5万条数据的企业
用户权利 访问、删除、更正、可携带 访问、删除、选择退出(不出售数据)
罚款 最高2000万欧元或4%营收 每次违规最高7500美元
同意机制 必须主动同意 允许选择退出

1.4 知识体系总览

下面这张图,是我梳理的合规数据知识体系。你可以把它当作「地图」,后续学习时随时回来对照。

合规数据基础 合规数据类型 KYC数据 AML数据 交易数据 报告数据 数据质量与治理 完整性 准确性 一致性 时效性 唯一性 有效性 数据隐私法规 GDPR(欧盟) CCPA(加州) 核心原则:数据质量决定合规成败 数据治理 = 标准 + 流程 + 工具 + 人员

1.5 本章小结

这一章我们聊了合规数据的三大块:数据类型、数据质量、隐私法规。我个人觉得,最重要的是建立起「数据思维」——每一笔数据背后,都对应着合规风险。你想想看,如果KYC数据不准,AML筛查就形同虚设;如果交易数据不全,可疑交易报告就无从谈起。

下一章,我们会深入聊聊「合规数据采集与清洗」的具体技术实现。到时候我会分享一些我在项目中用过的「骚操作」,保证让你大开眼界。


公众号:蓝海资料掘金营,微信deep3321