查看原文
其他

企业数据确权流通路径与实践

李昀辉 DataFunSummit
2024-09-10

导读 数据实现资产化管理,精准确权是一个基本的前提。另一方面,要实现数据资产的价值,就要让数据在更大的范围流通起来。本文将分享公司在数据精准确权、动态合规解决方案上的实践。

本次主要从驱动、路径和实践三个方面进行介绍。

1. 驱动

2. 路径

3. 实践

分享嘉宾|李昀辉 资深经理 

编辑整理|姚昊(kimi)

内容校对|李瑶

出品社区|DataFun


01

驱动

数据管理往往被看作是一个成本性的工作,公司在数据合规确权、流通方面也投入了很大的成本,由内部和外部两方面因素驱动。

在数据资产化的发展过程中,管理的要求和发展的动力存在着一定的矛盾。一方面,需要遵循网安法、个保法、数安法等相关法律法规和行业监管的要求。由数据滥用带来的负面影响非常多,处罚力度不断加大,也为数据管理带来了巨大压力。另一方面,随着国家建设数字中国战略的建立,以及《数据二十条》、《数字中国建设整体布局规划》提出具体的要求,还有国家数据局的组建,让数据从业人员看到了未来数据管理的发展方向,并不是束缚在一个严格的格子内,而是让数据资源充分发挥其价值。

在企业内,客户的信息、企业经营状况的数据描述、市场环境的分析结果,确实对业务会有着重大的提升作用,可能在业务寻找突破的时候能够从中找到发展的机会。所以在数据管理中经常遇到的矛盾是,各个业务部门希望充分使用数据,数据管理部门接到用数需求后,从合规的角度考虑如果存在合规风险又不同意使用,凸显了用数和管理的矛盾。那么发展和压力到底哪一个才是发展的方向呢?这也是我们一直在思考的问题。

所以需要能建立一套合规的机制来解决这种业务和合规之间的矛盾,让拒绝还是同意的问题变成一个可评价、可操作、可解决的管理体系,找到一个适用不同场景的平衡点。这一问题驱动我们开展了一系列的管理体系建立的工作。

02

路径

“数据二十条”政策的出台,提出了为了促进数据要素流通所需要的整体的制度体系框架的设想。基于对这个框架的分析,结合企业内部的实践,我们将促进数据合规流通的路径总结为:数据精准确权、过程动态合规。

如上图所示,整个体系建设包括四大部分:数据确权机制、流通交易制度、收益分配制度和数据治理制度。其中前三个是基础性的制度。从思想的逻辑上来看,首先是要确定数据的归属,也就是权属的问题,即“确权之墙”。当数据的权属明确以后,就会遇到第二个问题,“合规之墙”。无论数据向哪个方向流动,都必须要解决能不能流动、能在多大范围内流动的问题。在明确了权属和合规之后,才会到下一步“价值之墙”。在企业集团内,数据除了分子公司内部使用以外,还有跨专业公司之间的流动,需要数据的供方和需方之间达成共识。通过以上三个环节的保障,才能支撑数据在更大范围内流通。并且整个过程中安全之盾也是必不可少的。这样就具备了将数据资源、数据合规流通的路径。

03

实践

前面介绍了思路的确立,接下来就要展开具体的实践。

我们总结出了五个方面的工作:
  • 数据合规,加工共享。关键是建立合规应用机制,保证数据的合规有效流通及共享。避免有任何相关组织或机构以合规来拒绝数据流动。
  • 确权授权,完善治理。机制建立后,对于每一个具体的数据,要明确归属和能在多大范围内使用。这既是国家的要求,也是我们数据治理不断发展的必然结果。
  • 成本量化,价值评估。为了最终体现数据的价值,需要量化管理成本,这与 2023 年 8 月发布的入表政策相符合,因为入表本身也是一个基于成本的核算。
    以上这三项工作是目前我们认为跟整个数据资产化和价值体现最密切,并且投入最大的基础性工作。
  • 收益计量,交易促进。主要是为了实现组织内的数据交互。
  • 风险监测,技术支持。主要包括风险的识别和监控。
接下来将具体介绍每个方面的工作。

1. 合规机制

我们对数据合规的相关法律法规进行了持续的梳理,形成了一个大的合规框架。其中,授权相关机制的构建是数据管理工作中比较缺乏并且对后续的数据的权属管理比较重要的一个基础性的条件,既包含有技术性的部分,也有管理机制性的部分。

在一个集团内部,有不同的数据,被分类管理,其中用得最多的是个人信息数据,个人信息数据的管理和应用的矛盾是最明显的,影响也是最大的。实现个人信息合规主要有四项工作:
  • 第一是授权场景化。根据合规的要求,要避免单独授权,我们对数据的使用场景进行了细化,拆分出了 1 到 n 级的授权场景,使数据的使用能够有一个规范性的授权框架。
  • 第二是规范编码,我们建立了个人信息数据授权矩阵,包括授权的个人信息中每一个字段的标识,这些字段在不同场景下是否授权使用,以及具体授权使用的时间和范围,形成了一个多维矩阵。需要规范的编码来保证从授权到使用中的鉴权整个过程中的一致性。
  • 第三是收集个人信息清单(“双清单”之一)。清单信息需要电子化。集团每一个分子公司有各自的特点,以及各自的经营模式和范围,为了保证这些信息清单的一致性,需要建立一个统一的分级体系,使大家在获取个人信息和使用个人信息时有一个共识性的底层框架。
  • 第四是与第三方共享清单(“双清单”之一)。是指把所要共享的场景、共享的对象、共享字段的范围,以电子化的形式存储在授权管理平台上,从而保证在不同场景所获得的数据遵循同样的语言描述和技术逻辑。
这套合规机制的建设要需要业务的推动,只有业务部门和合规部门共同的认可和支持,我们的技术实现才有的放矢。

2. 动态授权

基于合规机制,我们建设了一个动态授权的解决方案,来支持上述个人信息合规机制的落地。

客户通过 APP 或者柜面的渠道来访问,授权会发生变化,因此需要进行动态的管理,比如相关登记的变化、授权渠道的汇总,以及授权场景的更新等等。为了应对业务的动态变化和人群授权的持续变更,我们形成了一套动态授权管理的方案。基本思路是首先确定基础性的协议模板,同时将协议所对应的条款进行电子化和原子化。电子化是指大家经常看到的 APP 上弹出的隐私协议,里面会提到将如何使用您的数据等等。这其中会隐含一些所要使用的字段,映射到所要使用的场景,传统的做法是人工编写、提交申请发布。我们通过原子化和电子化手段,由协议管理平台和工具进行编写确认并提交给合规部门,如果确认符合要求就会将其存储到合规协议库里面去,保证了所获取的数据和要鉴权的数据是能够关联起来的。

基于这一思路,我们的动态授权方案主要分为如上图所示的几大部分,首先是基础数据维护,维护业务场景、授权字段、渠道、授权对象等等。后续会有一些动态的协调和发布过程。整个过程需要业务合规和开发团队共同完成的。

这项工作解决了两大关键问题:第一是获得了业务团队的理解和支持,否则每次要去更新前端协议是不现实的;第二是解决了协议与后台授权场景的电子化映射的问题。目前我们对数亿客户的授权信息有着非常完整的管理和相应的记录。

实践中有一些技术难点。首先,作为一个组织对一个客户触达的点是不同的,并不能限制只在某一个点授权,比如在柜台和 APP 中可能有不同的选择。所以需要在前端的协议和规则整理中做好采集记录以及规则收敛上报。对于一个大的组织来讲,在前端不同业务是分开的,比如信用卡业务、个人汽车金融业务等会有不同的渠道,从集团的视角需要把这些信息汇总到一个集中化的平台上,这个集中化的平台需要去解决不同授权渠道来源信息差异化的问题。技术上也不一定能够保证每一个授权信息的更新都与我们的预期一致,所以需要做一些相应的同步。

还有编码一致性的问题。因为有一些授权可能是纸面上的,需要在柜台签字,所以更新速度比较慢,还有一些是 APP 的,可能随时都在更新。需要有一个统一的集中授权平台,对各个渠道的授权进行汇聚收敛,并进行一些优先级的判断。比如对于一些特别重要的授权,可能会做统一的强化处理,这些都是在平台侧加上业务规则来解决的。

有了这样分散的采集、集中的管理以后,后续还要考虑支持数据的使用。比如 1 亿个客户,对应 20 个场景,带有 10 个字段,每个字段对不同场景的授权可能又有所不同,在具体操作每一个数据的时候,还涉及到鉴权的问题。尽管从合规上已经获得了这 1 亿个客户的相关信息,但是不等于在用的那个时点,所有字段的授权都是 yes,在操作的界面上还需要做鉴权。所以动态授权解决方案在面向前端数据使用时,还要有一个鉴权的机制。

鉴权机制的实践中还有一些新的问题。我们目前已经能够做到对所有的鉴权,开放了一些不同的服务接口,它可以带着场景所要的字段,还有客户清单所涉及到的客户的 ID 列表来问这些数据权到底是同意还是不同意。如果不同意,就不能获得这个数据;如果同意,则可以在那节时间点去得到这个数据。基于这样的动态授权和合规机制,数据在一定程度上就具备了流动的基础。

3. 成本管理

数据流动过程中我们将会面临成本的问题。有提供数据就有使用数据,使用方明显是获得利益的,那提供数据就没有获得利益,就希望能够把自己的利益进行一部分的展示。因此我们开始做成本的计算。而入表也是基于成本的工作在开展。

从资产的成本管理和分摊来讲,无非就是财务对资产的管理,在数据为对象的场景下的具体落地,唯一不同的是数据本身这个资产太特殊了。

最简单的例子是,如果按现行的口径来讲,前期很多项目建设投入的一些建设开发的成本已经费用化了,后续如果基于历史数据或者基于其他项目的数据产生二次加工使用的话,单纯从财务视角上,这个二次加工使用所投入的资源是比较少的,而这个比较少的投入如果只是从财务视角上计入到这个数据成本上,那前面的数据成本可能在入表的范围内是看不见的,那么在对外谈数据价值时,可能就不够真实。所以我们在成本管理中会重点探讨一次分摊和二次分摊这两项工作。一次分摊就是把建设这个数据所需要的成本分摊进来,这一部分与财务和传统资产要达成默契和共识,与无形资产类似。二次分摊和动态归集是数据成本管理比较特殊的部分。

4. 交易流通

有了成本管理,合规也达成了共识,授权也有了技术保障,为了在一个大的范围内进行流通,我们构建了一个两级架构、三级认证、六步程序的解决方案。

两级架构,一级为专业公司资产化和共享化,二级为集团平台产品化和价值化。作为一个大的集团既有整个跨集团的大范围,也有组织范围内的数据授权和共享认证。在专业公司侧主要解决获取授权、合规加工、管控风险、数据交互共享、产品开发等。从集团层面,因为集团本身可能不掌握具体的全面的数据资产,要促进集团范围的数据资产流通,需要解决资产化认证的问题,主要是要把前面所说的价值性的东西放进去,包括价值的认证、价值流通过程中的核算估值,以及相应的计费计量。目前我们在整个平台的运行过程中,也是在不断推动和促进这样一些工作的落实和执行。

5. 风险监测

最后是关于风险的问题,这是至关重要的一个环节。从我们的角度来讲最重要的是提升效率。对于风险管理的要求是无穷无尽的,如果没有效率的支撑,则无法落地,所以我们做了一些风险监测的工具。

首先要介绍的是个人信息使用风险评估。一方面提供了一些个人信息风险评估工具,通过这个平台可以把个人信息影响评估从 20 天缩减到 3-5 天,大大提升了工作效率。

我们将各种风险指标总结成了一个 20+ 类的监测体系,并且构建了平台,对交易过程中的风险进行监测。

以上就是我们对集团企业在数据精准确权、动态合规机制方面的一些实践,上述方案和工具,我们正在不断产品化,并在多种类型企业组织内推广验证,我们相信通过数据资产化的推动,数据管理部门将有机会实现自己的“数字化转型”,从而使得数据部门的价值,一步步走向前台。
以上就是本次分享的内容,谢谢大家。


分享嘉宾

INTRODUCTION


李昀辉

资深经理

15 年数据管理经验,对信息化和数据应用有全面理解,近 10 年间在埃森哲、Terdata 等公司从事企业信息化战略规划和数据解决方案规划,在中国平安集团从事数据管理工作,落实集体数据资产化管理转型、运营数据合规管理机制、促进数据成本管理和价值发掘,支持集团数据资产的合规应用和持续增值。


往期推荐


使用 ClickHouse 企业版技术解析

业务决策新引擎:腾讯分布式因果推断工具

OPPO 应用分发业务黑灰产对抗实践

知乎 DMP/CDP 平台的应用和实践

Alluxio:面向 AI 计算的高性能数据访问平台

基于深度学习多实验叠加效果因果推断

Alluxio 在携程大数据平台的探索与优化

GraphGPT: 大语言模型的图结构指令微调

锁定营销敏感人群:因果推断在智能营销中的关键作用

B 站的数据治理运营框架实践「 内有案例分享 」


点个在看你最好看

SPRING HAS ARRIVED

继续滑动看下一个
DataFunSummit
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存