- 基于国际比较的数据治理体[2022-08-05]
- 推广数字货币 赋能社会信用[2022-08-04]
- 推动央企建成一批新型数字[2022-08-03]
- 治数如治水——探索数据治[2022-08-02]
- 要把维护金融数据安全作为[2022-08-01]
- 高教领域数据治理:从向外看[2022-07-29]
- 浅析:提高数据治理能力及监[2022-07-28]
- 数据治理与人工智能:探索数[2022-07-27]
- 聚焦数字中国建设峰会:从数[2022-07-26]
- 为数据价值创造和风险治理 [2022-07-25]
基于国际比较的数据治理体系及优化策略
摘要
随着数据作为新型生产要素在各行业中的重要性日渐凸显,各国都认识到数据对经济社会发展的重要意义,数据治理问题受到了广泛关注。文章通过梳理国内外数据治理研究现状,选取具有代表性的DGI、IBM、DAMA和《数据治理规范》等数据治理体系,对比分析各体系的侧重点,找出各数据治理体系涵盖的要素及主要特点,为我国数据治理体系的构建提供参考。针对当前数据治理体系存在的问题,文章从政府部门、行业协会、企业组织3个维度提出数据治理体系的优化策略。
数据作为继劳动力、土地、资本、技术后的新型生产要素,在社会经济发展中的作用日益凸显。 国际数据公司发布的《数据时代2025》 显示,2025年,全球数据量将达到163ZB(十万亿亿字节)。 数据的爆发式增长在为社会创造价值的同时,也带来如数据泄露引发国家安全问题和企业利益损失、数据垄断损害劳动者和消费者权益等安全隐患。 国际商业机器公司(International Business Machines Corporation,简称“IBM”)发布的《2021年数据泄露成本报告》显示,2020—2021年,每单个数据泄露事件令受访公司所承担的平均成本高达424万美元,平均成本同比增长了10%,这无疑给数据要素供给过程带来了数据安全风险。 在此之前,各国已纷纷出台相应政策探索数据治理的路径,以进一步规范数据治理行为。
例如,2018年,欧盟发布《通用数据保护条例》,赋予了欧盟居民对个人数据的掌握控制权,明确了服务提供商收集个人数据的规则和责任;2019年,美国白宫发布《联邦数据战略与2020年行动计划》,将“数据作为战略资源开发”上升为国家数据战略;2020年,欧盟委员会发布《欧洲数据治理条例》,该条例强调数据共享对经济发展的促进作用。我国全国人民代表大会常务委员会于2021年起陆续通过了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等多项法律,同时修订了《中华人民共和国反垄断法》等,运用法律手段在数据治理的诸多环节对企业的行为进行规制。数据作为生产要素的价值正逐步渗透到企业运营、社会服务、国家发展的各个环节。
一、数据治理研究综述
(一)数据治理的定义
现有研究中针对数据治理定义的探讨主要从流程、权属和要素方面展开。
在流程上:
数据治理研究所(The Data Governance Institute,简称“DGI”)指出,数据治理是通过建立达成共识的模型来执行与信息相关过程的决策权及职责分工的系统。《信息技术服务治理第5部分:数据治理规范》(简称《数据治理规范》)指出,数据治理是数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。
在决策权上:
数据管理协会(The Data Management Association,简称“DAMA”)提出,数据治理是对数据资产管理行使权力和控制的活动集合。将数据作为企业战略资产进行管理,能明确数据使用的决策权和责任。
在要素上:
数据治理是为满足企业内部信息使用需求,提升企业信息服务水准而制订的业务流程、政策、标准以及相关技术手段,数据治理涵盖了数据控制的质量、数据的开放以及数据的安全。
(二)数据治理体系相关研究
数据治理体系的研究最早是由大型信息咨询公司和标准化组织机构发起的,随后学术界结合实际情况从政府数据和企业数据维度逐步构建了数据治理体系。
在政府数据治理方面:
数据治理体系包括治理主体、战略目标、标准与规范、关注范围、治理过程等,数据治理体系提炼出共性价值,结合法律政策与技术规范,对数据生命周期各环节提出治理重点和思路。
在企业数据治理方面:
数据治理体系由组织架构和政策、标准与过程、技术组成,通过对决策领域的划分,帮助企业履行数据治理职责。
从平台数据治理政策和公众感知角度看,数据治理体系的核心要素为数据质量、数据安全、产品真实、价格调节、评论客观、系统完善等。
学术界针对数据治理定义与体系的研究在不断完善,学者们在参考具有代表性的数据治理体系的基础上,结合行业实际情况构建了新的数据治理体系。但现有研究中治理体系构成要素大多较为繁杂,缺少相对统一的构成要素。基于此,笔者对具有代表性的数据治理体系进行对比分析,探讨不同数据治理体系的相关要素,以期为我国数据治理体系的优化提供参考。
二、国内外数据治理体系的对比分析
数据治理概念发展至今,形成了各具特色的数据治理体系。其中,具有代表性的有DGI数据治理体系、IBM数据治理体系、DAMA数据治理体系和《数据治理规范》国家标准体系。
(一)DGI数据治理体系
2004年,DGI推出了DGI数据治理体系,对数据治理的相关活动进行规划。该体系从组织数据治理的目标或者需求出发,描述了谁采取何种行动来处理哪些信息,以及何时在何种情况下使用什么方法。该体系侧重从人员与组织结构入手,对数据治理过程进行规范,为企业数据管理的战略决策者提供参考。DGI数据治理体系分为3个层次和10个要素,如图1所示。
图1 DGI数据治理体系图
(二)IBM数据治理体系
2005年,IBM成立了数据治理委员会,开始探索企业数据管理领域的治理方法;2007年,IBM提出了包含数据治理层次与关键领域的数据治理体系。该体系分为4个层次和11个关键要素,如图2所示。
图2 IBM数据治理体系图
(三)DAMA数据治理体系
DAMA成立于1988年,其借助自身丰富的企业数据管理经验,于2009年提出DAMA数据治理体系。2020年,DAMA对数据治理体系进行了更新,将数据治理部件增加到11个,将数据开发改名为数据建模与设计、数据操作管理改名为数据存储和操作,新增了数据集成与互操作。该体系侧重于从企业职能划分的维度明确数据治理的功能,如图3所示。
图3 DAMA数据治理体系图
(四)《数据治理规范》国家标准体系
2018年6月7日,中国国家市场监督管理总局、中国国家标准化管理委员会发布《信息技术服务治理第5部分:数据治理规范》,此项国家标准于2019年1月1日实施,其提出的数据治理的总则和框架规定了组织机构数据治理的顶层设计、数据治理环境、数据治理域及数据治理过程的要求,如图4所示。
图4 《数据治理规范》国家标准体系图
(五)典型数据治理体系对比分析
通过对4种数据治理体系进行分析,可归纳出不同数据治理体系的构建逻辑,如表1所示。
表1 典型数据治理体系对比分析
4种数据治理体系从不同层面提出数据治理应关注的维度,但在具体的构成要素设计上各有侧重:
DGI数据治理体系从组织架构和治理需求出发,对数据治理的责任主体、治理范围、治理方式等要素进行规范,更注重流程层面的规范。
IBM数据治理体系是由企业自身提出的,结合企业数据使用过程中的实际情况,通过评估企业数据治理的有效性,规避数据风险,利用数据为企业创造价值,更侧重于对企业自身运营情况的评估。
DAMA数据治理体系根据企业数据治理的要求提出10个治理职能,并在2020年对原有的部分要素进行了修订,增加到11个治理职能,进一步细化了职能范围。
《数据治理规范》国家标准体系主要是明确数据治理过程中的工作标准,为组织实现数据运营合规提供了方法和思路,更偏向于宏观层面的标准把控。
三、当前数据治理体系存在的问题
(一)数据治理缺乏细化标准
《数据治理规范》阐述了当前我国的数据治理现状、数据治理体系和数据管理能力,虽有提及数据治理标准的重要性,但在数据权属、使用、交易等方面的规定较为宽泛。当前,数据治理标准大多是结合企业组织的内部情况,制定出满足自身需要的数据分级分类标准。但一个组织的数据分级分类,很可能并不能满足另一个组织的数据分级分类需求。在数据治理的过程中,企业从自身需求制定出的标准往往不具有普适性。有的企业数据分级分类的标准仅关注如何利用数据实现收益最大化,忽视了对数据提供者数据权益的保护。现阶段我国数据治理缺乏从宏观层面提出的各行业数据治理细化标准,导致各行业在数据使用与交易过程中出现垄断现象。缺乏细化的数据治理标准容易导致数据交易价格混乱、扰乱市场秩序,也容易引发数据提供者与数据使用者因数据权属不明产生的权益纠纷。
(二)组织间联动尚未发挥作用
现有数据治理体系的构建大多由单一机构牵头开展,缺乏与其他机构或企业的联动,不同体系各有核心要素、难以达成统一。当前,数据治理体系主要从组织架构、治理需求、工作标准等维度,为企业制定数据治理体系提供参考,但各发布数据治理体系的机构或企业间并未形成合作。
政府作为主要的治理主体,须对企业的数据治理活动进行监督。近年来,数据在企业运营和社会发展中的作用日益突出,但政府在数据治理活动中更多发挥的是事后监管的作用。
行业协会是政府与企业间连接的纽带,在数据治理活动中依附于政府存在,因此其在发挥治理功能时未能充分考虑各类企业的需求,以致覆盖面不足。
企业在数据治理活动中有丰富的实践经验,但大部分仅限于自身经验的积累,企业间数据治理经验的交流和借鉴较少。如何促使各机构有效联动,带动资源整合,优化数据治理体系是当前亟须解决的问题。
(三)数据泄露难以避免
数据在采集、交易、共享等过程中存在泄露的风险。当前,各企业或单位一般采用数据库或云存储的形式进行数据存储,当企业出现管理漏洞时数据泄露问题难以避免。企业管理机制不规范或存在漏洞,将导致企业内工作人员有意贩卖数据或无意泄露数据。部分企业只考虑自身利益忽视社会责任,对用户数据进行不合理采集和交易。网络安全漏洞会使企业面临系统入侵、数据泄露的风险。当数据已无法再发挥价值时将被销毁,有的企业忽视销毁过程中的数据安全性,不重视对数据生命周期的追溯管理,造成进入销毁阶段的数据被恢复甚至被盗用,这既损害了数据提供者的权益,也使企业损失经济收益甚至还要面临法律风险。
四、数据治理体系优化策略
(一)厘清数据权属关系,明确数据治理标准
数据权属是数据治理过程中的难题,政府部门可从法律保障和标准制定两方面尽快界定数据权属,使数据治理活动标准化。
在法律保障层面:
我国已在网络安全、数据安全、个人信息保护层面出台了相关法规确保国家数据安全和个人隐私受到保护。但数据权属的界定并不清晰,应从立法层面明确数据的使用权和所有权,规范服务提供商的数据采集行为,确保数据流转过程中的安全可控;维护数据提供者的自身利益,当遇到信息泄露或者侵权事件时,可以通过相关法律法规保障权益。
在标准制定层面:
由国家职能部门牵头制定普适化的数据治理标准。“自上而下”的数据治理形式能够使组织有效地吸收其数据处理行为所产生的负面外部性。可结合数据生命周期各环节细化数据标准,规范数据使用者行为。
(二)构建数据治理联盟,形成行业自律规范
行业协会通过制定行业准则对其成员进行约束。行业协会作为政府与企业、企业间的中介组织,具有促进政府政策贯彻落实、表达企业诉求、协调政府与企业关系、促进资源优化配置等重要作用。通过协会内成员间的配合构建行业自律联盟,促进数据治理活动良性发展。行业协会内吸纳了众多企业、专家学者等的力量,具有整合资源和提供服务的能力,在规范数据使用行为、协调企业矛盾、指导行业发展等方面具有不可替代的作用。行业协会应发挥其资源优势,构建数据治理联盟平台,引导相关企业加入数据治理联盟,根据企业自身的实际情况和经营现状,定期开展行业内部交流;鼓励企业围绕数据交易流通、赋能社会发展的思路,参与行业规范的制定,增强行业自治能力。
(三)追踪数据流动过程,确保数据安全合规
企业需加强对数据治理的重视,实现管理理念从“数据管理”向“数据治理”的转变。企业通过技术、资本、人力等要素的投入,将数据转变成资产;再通过硬件设备、数据分析与处理技术,将数据能力发挥至最佳状态;最后将数据投入平台的优化,提升平台的竞争力。企业通过设立数据保护官、定期开展数据安全风险评估等手段,建立防范操作风险的内控内审制度和赔偿机制,积极主动承担保护用户个人数据的责任。数据应用贯穿在企业数据生命周期的各个环节:
在数据采集环节:
应明确数据来源,依据行业标准规范对数据进行有选择的采集,确保数据采集过程合规;
在数据存储环节:
应明晰存储要求与数据权属,根据数据级别的重要程度选择合适的存储方式,降低数据存储成本;
在数据使用环节:
应依照安全策略,对数据进行预处理,确保技术人员在使用数据的过程中做到数据安全可控;
在数据传输环节:
应通过数据脱敏、加密等方式保障数据流通安全可控,降低数据传输中的泄露风险;
在数据共享环节:
应明确数据共享的规则,通过技术手段实时监测数据的去向,做到数据过程可记录、数据使用可回溯;
在数据销毁环节:
应明确销毁的思路与方式,确保被删除和销毁的数据不能被再次还原。
通过对数据生命周期各环节的细化,尽可能地提升数据质量,在合规使用数据的过程中最大限度地发挥数据价值。
中翰软件:专注数据治理17年(http://www.jobhand.cn)
免责声明:本网站所发布的文章为本网站原创,或者是在网络搜索到的优秀文章进行的编辑整理,文章版权归原作者所有,仅供读者朋友们学习、参考。对于分享的非原创文章,有些因为无法找到真正来源,如果标错来源或者对于文章中所使用的图片、连接等所包含但不限于软件、资料等,如有侵权,请直接致电联系,说明具体的文章,后台会尽快删除。给您带来的不便,深表歉意。
