数据治理标准国际趋势

本文根据潘蓉女士在【DQMIS 2020第四届数据质量管理国际峰会】现场演讲内容整理而成。

图1.1

BSI英国标准协会亚太区首席数据治理标准专家 潘蓉

演讲嘉宾介绍 - 潘蓉   

• BSI英国标准协会亚太区首席数据治理标准专家，中国区ICT技术总监

• 从技术到管理，从商业项目到公益项目，从风险管理到数据治理标准专家，在BSI带领团队高绩效增长，连续获得BSI创新奖，也曾获得2004年国内首届“十大IT女性”奖（工信部与妇女联合会、中国计算机杂志）。

• 早在2015就出版了国内第一个关注大数据治理的专著《大数据治理与服务》，国际数据治理标准ISO38505-1联合编辑国标数据治理规范GB/T 34960.5 核心编辑，国电投大数据中心特聘专家，国开行大数据专家，上海市政府数据开放分级分类标准负责人。

演讲目录

• 国际数据治理趋势

• 数据治理相关法规与标准

• 数据治理实施路径与方法

 

潘老师：感谢组委会的邀请，今天我想跟大家分享的是跟标准相关的数据治理趋势，和我们惯常理解的数据治理的概念可能稍微有一些不同。

 

我们对数据治理这个概念的研究实际上是从2014年开始，在国内也调研了很多企业，从制造业、服务业，再到互联网，参阅了IBM，DAMA, DGI ,Gartner等对数据治理的定义与方法论，借鉴了原有方法论的经验，同时看到原有方法论在大数据环境下的局限，发布了数据治理白皮书，联合了国际企业与组织，包括微软，DAMA的专家，ISACA，还有美国、英国、德国、荷兰、日本等ISO的国家组织，一起推动了ISO 38505的数据治理国际标准，这个标准在2017年正式发布了。

 

我今天围绕三个话题：

第一，数据治理的趋势

第二，ISO38505国际标准

第三，数据治理常见问题与实施路径

 

国际数据治理标准的趋势

 

图1.2

 

第一个大趋势是超越技术的数据治理。我分了几个方向来看，数据治理已经上升到国家层面，国家主权。在G20大阪峰上，安倍说我希望日本大阪峰会因为数据治理而被世界所记住。

 

图1.3 

 

国际治理层面

我们看到现在因为数据空间已经成了跟我们的生活相互映射的空间了，原来我们认为互联网是一个新兴的，我们能够自由发挥的空间，但是现在我们渐渐的把国家治理的概念映射到了网络空间，网络空间里面产生的数据，对它有数据主权，也就是说当数据治理到国际治理层面的时候就产生了数据主权的概念。国与国，区域联盟之间出现单边或多边协议允许数据的自由流动。

 

关于数据主权我们在座的组织和企业应关注的是什么呢？你的业务如果是一个跨国的业务，那么你业务的部署、基础架构涉及数据的存储地，访问权都是关注重点，因为我们现在有跨境传输的特定法规要求。

 

政府治理层面

政府方面的话，我们看到政府在促进政府的数据共享，要推动服务型政府转型，减少公民提交证据的重复率和提高办事效率。我们看到现在各个地方的政府都有陆续推出数据开放条例。这里最关键的就是政府要开放数据的一个分级分类，包括分级分类的流程、模型和原则到底是什么。

 

组织治理层面

我们看到数据治理成为公司治理的关键话题。这个组织到底是做什么的，这个组织的目的和目标或者它的战略定位到底是什么，组织现在和未来有多依赖于数据，决定了其数据的战略，也决定了其组织治理要讨论的话题，是否有跟数据投资相关的内容。

 

上升到公司治理的话，我们看到有这样一个路径，刚才杨部长也有举例，如果我是一个传统业务，不是一个天生的数字企业，我传统的业务会产生数据，我对这些数据的搜集、监控，从3个数据到11数据，我怎么样能反过来对业务进行优化，对业务的效率进行提高等。

 

现在大家也热衷谈数据的货币化，这个意义上数据已经脱离了它原来的业务属性，成为一个商品的时候，它的货币化，最后会促使其业务的转型，脱离了原有的业务。这样的案例很多，把数据作为你的新业务，甚至驱动你业务的转型。

 

我们也看到现在中国的企业渐渐走向国际，比如中国有一个很有名的连锁酒店，去收购欧洲连锁品牌的酒店，实际上他同步就收购了这些酒店的客户信息，他收来的这些1000多万的客户信息，这个资产真的能够成为他可用的数据资产吗，这个资产有没有瑕疵，就要看这个资产在当初采集的时候是不是一个合规的采集，有没有用户的许可和认可，怎么来用这些数据，所以你在做数据的估值的时候一定要考虑相应的法规要求，这是在做公司治理，要做大笔投资和收购的时候都要考虑的。

 

另外，数据资产怎么估值，现在很多企业遭受了勒索软件的袭击，有一个运动手环、手表品牌，国际上很知名，他被勒索了，后来他还是付了钱，这可能成为我们估值的维度，被勒索软件的要价。

 

个人层面

数据背后的人权，这也是数据治理的趋势。刚才讲了组织层面的，实际上还有一个对个人的影响，我的第一个观点是数据治理超越技术的治理，就是因为数据有可能有国家的主权，所以就变成了数据主权，有可能是企业业务的一些价值，那么就是公司治理要关心的话题。另外还有一类数据，跟在座的各位都有关系，就是如果是个人相关的数据，这个数据背后代表的是个人主体的权利。

 

对于个人权利的保障，当然最基础的是法规、法律。对我们做数据治理的影响就是我们在治理这类数据的时候，考虑法规的要求，对于个人数据的质量准确性、及时性、完整性还有保密性，还有个人权益的响应，要充分考虑。

 

数据资产层面

当数据真的脱离了你原有业务、你原有的属性之后，他作为一个资产的对象、资产的属性去看待时对数据治理带来的影响，中央将数据作为生产要素，如果参与分配的话，对公司治理的结构，从理论基础到实践，机制、制度怎么设计，这是超越技术的数据治理。

 

第二个大趋势是技术驱动的数据治理。我看今天下午的分论坛，包括这次评奖也看了很多的案例和产品，就是因为这些技术能够驱动我现在的数据治理跟原来有不一样，从本质上来说，如果我们现在的一些技术不够成熟，数据治理的手段和方式会受约束，反之是促进与驱动。比如这次的疫情后复工复产，国家治理一得益于我们的移动互联网，精准定位追踪管理。

 

 图1.4

 

数据治理也是这样，数据走到今天，它的一些新技术怎么用在我们治理的环节，包括治理规则的制定，它是人工的还是可以机器学习出来的一些标准？应用到数据质量这块，质量检核的规则是人来制定的、是专家经验的还是机器学习的？规则的执行是靠人，是我们每个部门坐在一起开一个协调会议来协调的？还是我已经把它代码化的，靠技术推动的？

 

治理的结果是数据以服务形式呈现：

• 服务于内部有数据中台；

• 服务于外部有API开放数据服务能力，欧洲的开放银行，新的商业模式依赖于数据技术的实现；

• 服务于个人有用户的权利中心，实现法规要求的用户的访问权、删除权等。

 

新技术带来治理模式的转变，应用于包括刚才汪主席提到我们有区块链的、隐私计算的等等，各种技术运用在我们的数据治理，这是我讲的技术使能的数据治理趋势。

 

数据治理国际标准

我这次也作为一个评委，看了我们这次申报的项目，和国外的企业相比的话我认为有三个方面我们还是有持续提升的空间。

 

图1.5

 

 

第一，这次项目大部分还是以项目级的，没有全面的数据治理这个概念。我们在一个组织内部，因为各种业务的驱动，有可能财务会推动一个跟财务数据相关的数据治理，以财务报表为例，监管报送也是以财务报表，风险管理为基础的，他会推动一个数据治理的项目。市场希望改进客户数据质量，推动一个客户数据治理项目，或者我们的IT希望说从IT的落地，从技术的层面，也想推动一个数据治理或者说数据质量等，这样一些特定领域的数据治理项目。

 

但是没有组织级的全面数据治理项目，或者说至少在你的提报的项目里面，是不是有一个总的蓝图。这是第一个跟国外优秀企业的差距。

 

第二，因为是项目级别的数据治理，无法转变为到一个常态化的运营、体系化的运营，就和我们常常说的搞了一场运动，那这个运动完了之后怎么去巩固或优化你运动的成效，你需要一个系统化的运营方式。

 

第三，我们做数据质量的就仅仅考虑数据准确性，特别是我看到一个项目，它在做客户主数据质量的提升，但是在这个项目里我没有看到一个字在提安全与隐私，这个项目里面全是个人数据，联系方式与行为习惯。那么从管理系统框架层面，我觉得你这个项目还是有一些缺陷的，项目目标需要做到安全隐私保护和数据质量提升，也就是说要做到挖掘数据价值与风险合规的有机融合。

 

国际标准ISO 38505，实际上它很早就提出了对数据治理的定义，即在现在和未来对数据利用的指导与控制的系统，首先它是一套系统，一个常态化运行的系统，然后它是现在和未来你对数据利用的一个态度。

 

图1.6

 

我们到底多么依赖于这些数据，刚才杨部长也说了，数据不一定是最重要的，我到底多依赖于这个数据决定了我们以后组织战略层面对数据相关的技术也好、人员也好，我的投资到底占多少程度。

 

指导和控制，一个是从技术层面来看，我是把数据作为一个管理的对象，它有相关的一些流程，比如说元数据管理、数据全生命周期的管理，另外一个是数据的运营，也就是我们说的价值维度，数据通过共享，甚至通过现在的交易，去产生它的价值。对内就是内部的共享、内部提升效率，这是38505-1定义的数据治理，是高层的态度、决策、投资、监督。

 

我们2015年也出版了一本书《大数据治理与服务》，在这本书里面，我们非常前瞻的提到数据治理的价值模型，基于数据以服务的形式去展现价值，数据交易是服务的一种形式。

 

在治理层最主要的一些任务是什么呢？就是EDM，即评估、监督、指导，这三个最主要的任务。为什么我们说要把数据治理上升到公司治理的层面，因为这个标准定位是给企业和组织用的，所以它定位是一定要上升到组织治理的层面。跟治理相关的定义，我这里就不展开了，这个图很清晰的展现了它跟组织治理的关系。

 

图1.7

 

这个标准，著写者有来自于微软的，也有DAMA的专家，也有阿里巴巴的专家。治理和管理在学术上，在这个标准里头是把它分了一个清晰的区隔，当然我们在实际当中一个企业里面，特别是一个小的企业，有可能治理和管理是混在一起的，但是我们是通过标准模型，把治理和管理的任务进行了一个很清晰的区隔，包括他能用到什么样的模型，有什么样的工具，他最主要的输出物是什么。

 

这是一个展示，中国银监率先提出金融业数据治理要求，根据要求和ISO的标准做映射，我们画出这样一个银行组织的数据治理框架图，首先覆盖了顶层设计，然后就是相关管理领域，最基础的支撑是我们人员能力和环境的，还有技术能力的支撑。最后是要通过一个体系化的运营，既PDCA这样一个模型去完成这样的一个数据治理体系。

 

图1.8

 

因为时间关系，数据治理标准我就不再详细展开了。跟数据治理相关的标准就是ISO 38505，刚才做了一个简单的介绍。跟数据质量相关的标准是ISO 8000，其借助了我们传统ISO 9000的概念，对质量的一个定义，正好符合刚才杨部长说的，质量是满足特定需求的一组特性，ISO 8000一系列的标准就是告诉你怎么去做数据质量管理。

 

图1.9

 

下面系列的标准是基于隐私保护的，从趋势来看，这个数据代表了个人的权利，基于隐私保护的，隐私保护的这些标准基本上会覆盖信息系统的设计，或者业务的设计，覆盖系统生命周期、数据的生命周期，有技术层面的标准、管理层面的、治理层面的标准，有一系列各种各样跟隐私相关的，具体到你怎么去写一个隐私声明，你怎么去制定你的隐私政策，这有非常多细的一些标准。比较通用的，我用颜色已经标识出来了。

 

图1.10

 

隐私或者数据安全相关的标准，这是分行业、分领域、分国家的一系列标准，由于时间关系，我不展开了。

 

图1.11

 

我们做数据治理的实施，到企业，常常被问到的三个问题:

1. 数据治理从哪开始？

2. 我怎么跟决策层去做沟通，能够得到支持？

3. 我是自下往上做还是自下往上做？

 

从哪开始？你要识别一个机遇，在每一个阶段有重要的活动和输出物。

 

图1.12

 

怎么跟治理层沟通？ISO 38505给出了一种沟通方式，从我们的治理到管理，他建议是从战略到策略再到控制再到过程，分层次结构化地去部署。我们在企业里往往觉得难做，可能就是因为在治理层还没有建立一个很好的机制。跟治理层沟通，这三点是必须要看到的，治理层关心的价值，有什么风险，有什么样的限制，限制可能更多是法规的，或者是你要去关注的一些区域文化的，有内部的、有外部的。你如果是一个分公司，你的限制可能来自于总公司，你要从这几个维度去考虑。从我们说的常态化管理、体系层面又分了几层，最下面基础层就是数据资产这一层，然后以数据服务的形式展现出来，最前面是我们的业务（前台的业务），业务的展现，这都是要遵循一个管理体系，同时又要贯穿价值风险和限制，在标准里是给了一些具体的工具。

 

图1.13

 

我们是要从下往上做还是从下往上做？刚才我看到嘉宾讲非结构化数据和结构化数据也提到了80/20原则。我们从上往下还是从下往上，实际上我们看到不管是传统企业还是互联网企业，特别互联网企业，他们大量的数据，80%以上是非关键数据或者说它是一些我们非结构化的数据。在这个时候可以考虑自下往上，现在有一些工具也能帮助你，比如在互联网公司，采用众包的工具，用一些AI辅助的、知识发现的工具可以自下往上地做；从上往下的话更多的我们认为一些重要的数据资产，他更重视流程和管控，要自上而下地做。

 

图1.14

 

这是一个具体的展示，从策略层面怎么考虑数据的价值，数据的风险和数据的限制，从我们的Policy策略这个层面怎么做展开，这个正好是从标准里摘的一张图。

 

图1.15

 

我的分享就是这些，从数据治理的趋势到数据治理与公司治理的融合，到具体的实施路径探讨，谢谢各位。