🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

数据资产确权认责,确什么权,认什么责?

数据安全与隐私计算 2022-08-27

The following article is from 谈数据 Author 石秀峰


来源:谈数据
作者:石秀峰
全文共 5295 个字,建议阅读 10 分钟
2020年04月10日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,《意见》将数据定义为与土地、劳动力、资本、技术并列的第五大生产要素——数字化时代的一种新型的生产要素。数据的价值越来越重要!
然鹅!土地有土地产权,劳动力有劳动产权,资本有资本所有权,技术有知识产权,这四大生产要素在法律上都有明确的权益和职责归属。但对于“数据”,各个国家的法律似乎还没有准确界定数据资产权责体系。今天我们来聊聊数据资产管理中的确权认责问题。

01 数据确权,确的是什么权?
所谓数据确权,就是确定数据的权利属性,主要包含两个层面:第一是确定数据的权利主体,即谁对数据享有权利。第二是确定权利的内容,即享有什么样的权利。
从这两个层面看,数据从产生到消亡的整个生命周期中,主要涉及四类角色,即:数据所有者、数据生产者、数据使用者和数据管理者。而确权就是针对特定的数据资产明确定义这四类角色的过程。也就是说,不同的数据资产其所有者、生产者、使用者和管理者可能不同。引用我的新书《一本书讲透数据治理》关于这四类数据角色的定义:
1、数据所有者
即拥有或实际控制数据的组织或个人。数据所有者负责特定数据域内的数据,确保其域内的数据能够支持跨系统和业务线受到管理。数据所有者需要主导或配合数据治理委员会完成相关数据标准、数据质量规则、数据安全策略、管理流程的制定。数据所有者一般由企业的相关业务部门人员组成,根据企业发布的数据治理策略、数据标准和数据治理规则要求,执行数据标准,优化业务流程,提升数据质量,释放数据价值。在企业中,数据所有者并不是管理数据库的部门,而是生产和使用数据的主体单位。
2、数据管理者
数据管理者不一定拥有数据的所有权,而是由数据所有者授权自行数据管理的职能。在很多传统企业,数据管理者往往隶属于数据所有者。数据管理者并不包揽所有的数据治理和管理工作,部分数据治理和管理工作需要由业务部门和IT部门共同承担。
3、数据生产者
即数据的提供方,对于企业来说,数据生产者来自人、系统和设备。例如:企业员工的每一次出勤、财务人员的每一笔账单、会员的每一次消费都能一一被记录;企业的ERP、CRM等系统每天都会产生大量的交易数据和日志数据;企业的各类设备会源源不断地生产大量数据,并通过IoT整合到企业的数据平台中。
4、数据使用者
即使用数据的组织或个人,例如:申请数据、下载数据、分析数据等。在企业中,数据的生产者、所有者和使用者有可能是同一个部门。例如,销售部门以CRM系统为依托,既是客户数据的生产者,也是客户数据的使用者,还是客户数据的所有者。

02 数据资产管理为什么要确权?
“数据资产管理为什么一定要确权,在过去的很多年,没有明确数据确权不一样也能用吗?”,这可能是很大一部分人的疑问。
笔者认为数据资产管理之所以要进行确权,主要有以下3方面原因:
1、数据确权是数据资产化的基础
“数据资产的是由组织合法拥有或控制并且能够给企业带来经济效益和社会效益的数据资源”,这是数据资产的定义,从这个定义中也不难看出,数据要成为资产,必须要有一个明确的权属主体。

  • 从会计的角度,没有明确的数据权属,数据资产永远也进入不了企业的财务报表。

  • 从法律的角度,没有明确的数据权属,数据滥用的问题将无法解决。

  • 从数据的管理和使用角度,没有明确的数据权属,数据的质量问题将无法溯源、无法解决。

2、数据确权是数据交易和流通的前提
任何东西要实现交易,首先都需要确权。数据同样如此!
由于数据复制成本相对生产成本来说极低,数据易被复制和传播,造成数据使用者损害数据所有者权益的情况十分普遍。故而合理界定数据权属是亟须解决的问题。只有明确了数据的权属,才能对数据进行估值,之后才是交易和流通。
3、数据确权是保护个人数据安全的重要手段
由于数据权属一直是一个模糊不清问题,在ToC端尤为突出。互联网用户每天产生的大量的数据,到底是归互联网公司所有,还是归用户个人所有?从法律角度讲,个人信息归个人所有,但事实上我们从来没有享受到拥有这些数据的权益。而互联网公司往往是通过所谓的用户协议、个人信息保护协议,约定了用户产生的数据归企业所有。由数据权属界定不明,导致了信息滥用,大数据杀熟,网络诈骗、非法数据交易等侵害个人信息的问题日趋严重。

03 数据认责,认的什么责?
权利和责任是一定是并存的,在享有数据权益的同时需要对数据负责。在企业数据资产管理实践中,所谓的数据认责,更多的是指“谁对数据的质量属性负责”!
通常,企业中数据的所有者、生产者、使用者、管理者都是比较容易识别的,但是一旦出现数据质量问题,在追责问责时候,它就常常会变成一个部门之间或业务与IT之间相互推诿的问题。
举个例子,企业在盘点库存时,经常会发现ERP系统中的物料库存数据与实物的库存数据存在差异。业务部门会说IT部门没有提供完善的系统功能,导致数据错误,而IT部门则可能责怪业务部门操作不规范。事实上,出现这种问题,最大的可能是业务的出入库操作重复或在列出库存项目时有遗漏,或者库存物料的描述不准确,位置不正确。
当涉及库存时,通常是由仓库管理员负责确保库存数量准确。作为数据质量改进和控制的一部分,这可能需要对系统中的物料建立统一的编码规则并实施数据清洗,还可能需要对实物库存进行重新贴标签。而这些决策永远不会成为单纯的IT问题,也不会落入IT部门,这很明显。
很多企业搞数据治理项目,建立了数据问责制度。但在笔者看来,数据问责制只是数据治理的手段,而不是数据治理的目的,企业要做的是提高数据质量和实现业务目标,而不是在发生了数据问题后去追究责任。
数据问题的重点在于预防,问题发生了再去追责则为时已晚。
谁对数据质量负责?当你遇到这样的困惑时,不妨试着先回答以下几个问题。
认识问题:什么是好的数据质量?为什么它很重要?
定义问题:测量数据质量的维度有哪些?数据一致性、完整性、正确性、及时性?
衡量问题:数据质量对业务使用和管理决策有何影响?
分析问题:找到数据质量问题的根本原因,是管理问题、业务问题还是技术问题?
改善问题:哪些关键业务流程的改善有利于提高数据质量?如何改善?
控制问题:是否有数据质量管理章程,包括问题和目标描述、范围、里程碑、角色和职责、沟通计划?
把以上问题都想清楚之后,究竟“谁该对数据负责”就不是那么重要了。
笔者认为,数据质量人人有责,谁生产谁负责,谁拥有谁负责,谁管理谁负责,谁使用负责。数据所有者主要负责制定数据管理政策,维护数据资产目录并分配数据认责权限,确保所拥有的数据可查、可用、可共享;数据生产者负责执行数据管理规则,按照数据标准进行规范化录入各项数据并解决相关数据问题;数据使用者要确保数据的正确、合规使用,以及数据在使用过程中不失真;数据管理者主要协助数据所有者制定数据标准、质量规则、安全规则并监控相关数据问题,同时制定确保数据管理的流程,并确保其有效执行。
那么,IT部门在这个过程中,扮演什么角色,承担什么责任?
从笔者经历的项目实践来看,在大部分数据治理项目中IT部门都起着推动者的作用。而在数据运维/运营过程中,IT部门往往是承担数据保管员的职责,同时为数据管理者提供技术支持,推动数据架构、标准和规则等内容的落地。
有人可能会提出质疑:数据管理员和数据保管员不是一回事吗?你是不是又造概念了?
这还真的不是在造概念。接来下,我们就详细分解,不要走开!

04 数据管理员 VS 数据保管员
1、数据管理员
数据管理员——顾名思义,就是数据管理者的一员。哈哈,这个定义是不是很接地气!
大多数数据管理员来自各自的业务部门,他们隶属于数据所有者,通常由数据所有者指定或授权执行数据的定义和控制活动。因此,在DAMA-DMBOK2中,也称为他们“业务数据管理员”(Business Data Stewards),一般都是业务领域的专业人士,公认的业务领域专家,对一个数据域负责。
以财务部门为例,CFO或财务总监很可能是所有财务数据的数据所有者,那么财务部门的每个小组的负责人将被任命为数据管理员,例如:核算数据管理员——负责财务核算数据的管理,并出具企业财务报表和管理集团合并报表;资金数据管理员——负责资金数据管理,以及统计和分析;预算数据管理员——负责各企业经营预算执行情况的数据的管理,以及统计和分析。
我们经常看到,在很多数据治理组织结构体系中的数据管理员都是其中的一个重要组成部分,他们负责企业数据的运营和管理,并在数据管理的各种例行会议或专题会议中作为数据所有者的代表,提出数据管理的改进意见和建议。
在数字化时代,每个企业都需要培养起来一批懂业务、懂数据、甚至懂数据分析、数据管理的相关技术的数据管理员。这批人将是企业数字化转型的中坚力量!
2、数据保管员
数据保管人通常由是 IT 部门负责,其职责与其他角色,如:数据所有者和数据管理员存在根本不同,业务数据管理员侧重域业务,而数据保管员专注于技术。他们通常在其技术专业领域进一步划分不同的角色,例如:数据建模、数据架构、数据集成、数据开发等,当然还有传统的DBA(数据库管理),他们主要负责维护、归档、恢复、备份数据、防止数据丢失/损坏等。
关于数据保管员在DAMA-DMBOK2中也有相关的定义,DMBOK2称其为:技术数据管理专员(Technical Data Stewards),即:某个知识领域内工作的IT专业人员,如数据集成专家、数据库管理员、商务智能专家、数据质量分析师或元数据管理员。
数字化时代,企业需要培养或引入一批具备专业的技术知识、技能和经验,具有良好的数据管理最佳实践的人才,他们是企业数据管理域组的一部分,是企业数字化转型的主要支撑。
如果你觉得数据管理员、数据保管员实在不好区分,那就按DAMA的叫法:业务数据管理员、技术数据管理员。
笔者之前写的《企业数字化转型:IT部门的未来!》的时候,称提到:企业数字化转型需要技术和业务要深度融合,让IT走进业务,让业务融入IT。那么,让业务数据管理员和技术数据管理员一起工作就是一个很好实践。

05 数据确权认责,怎么做?
权利和责任就像一个硬币的正反两面一样密不可分,享有多大大的权利就需要承担多大的责任。
数据的确权认责首先需要破除的一个认知误区:“认为数据是由IT部门负责的”。然而,从前文中的数据确权认责相关条例来看,企业数据质量和安全真的不应该由IT部门责任,IT部门也负不了这个责任。事实上,IT部门只是企业信息系统的实施者、维护者或为数据管理提供技术支持,在企业的数据治理过程中,数据的生产者、所有者、使用者、管理者才需要真正对数据负责。
企业的数据资产项千千万,数据确权认责是一个巨大的工程量,不可一蹴而就,需要分批次、分阶段,循序渐进的去完成。企业数据资产确权认责流程如下:
1、数据梳理和盘点
划分数据域,按数据域开展资源盘点工作,梳理本专业数据资源,梳理数据实体,识别数据属性。数据资源盘点完成后,数据管理部门发起数据资源登记注册,形成数据资产目录。一般建议企业采用“问题+价值”双驱动的策略,优先对问题多发且对业务影响较大的数据项开展认责管理,通过责任落实改善和提升数据质量,从而控制和解决问题,支撑业务发挥价值。
2、建立认责关系矩阵
基于数据资源目录,识别各专业领域认责的数据实体,建立数据实体与组织机构各方(集团公司、分子公司的相关责任部门)之间的权责矩阵。认责关系矩阵需要将相关数据责任落实到对应岗位人员的日常工作和数据操作中。责任的落实需要结合数据标准的贯标开展,强调认责与规范录入行为同步,避免数据问题的发生。
3、梳理操作细则
在公司层面梳理出认责数据项所对应的关键业务流程、节点名称、系统名称及其它关联数据项,并组织数据管理者和使用者梳理所属企业的数据管理要求,并明确到具体的二级部门、业务操作岗位,以及数据操作权限(CURD),明确相关岗位应用承担的数据责任,明确岗位认责数据范围,对数据录入、审核责任给出相应的操作指南。
4、制定认责制度
在认责矩阵和操作细则基础之上,企业应从专业层面梳理相关数据实体、属性的数据管理要求,例如:数据质量要求、数据安全和个人隐私保护要求、数据标准规范等,形成数据管理制度手册。为进一步规范数据相关方的管理和使用行为提供制度约束。

06 数据确权认责,需要注意什么?
数据的确权认责不是一个复杂的系统工程,需要结合企业的数据战略、数据标准、数据管理制度和流程以及IT系统的建设,有目标、有重点、有范围、有针对性的推进。
切记:一口吃不了个胖子,更不能眉毛胡子一把抓!要注意以下六个“明确”:
1、认责目标要明确,数据认责数据治理并行,要能够体现治理的价值,认责的效果。
2、认责范围要明确,“问题+价值”双驱动,优先对问题多发且对业务影响大的数据项开展认责管理。
3、认责粒度要明确,数据粒度,具体到数据库、数据表还是数据字段级别;责任主体粒度,具体到部门、岗位还是人员级别。
4、认责角色要明确,数据的应用价值链和生命周期中,谁是所有者、谁是生产者、谁是管理者、谁是使用者需要定义清楚。
5、认责职责要明确,配合认责关系矩阵和CURD,明确定义:谁,在什么系统,操作什么,操作规范。
6、认责机制要明确,制定及发布数据标准,编制数据认责管理办法及流程,数据标准与管理制度并举,确保数据确权认责常态化运转。





END


浙江通管局:组织开展2022年电信和互联网行业数据安全检查

《关于推进实施国家文化数字化战略的意见》印发,强化文化数据要素市场交易监管

30 人被判:预装 SDK 推送广告、可获取手机系统权限,获利 3000 余万,犯非法控制计算机信息系统罪

北京市通信管理局开展2022年电信和互联网行业网络与数据安全检



欢迎投稿

邮箱:kedakeyin@openmpc.com

参与更多讨论,请添加小编微信加入交流群




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存