数据治理与数据管理:定义之辩和责任外包的边界
最近,在数据领域的技术交流中,一位朋友探讨了两个很有意思的问题。这两个问题非常典型,也反映了大家在实际工作和学习中常会遇到的困惑:一是关于“数据管理”和“数据治理”的概念边界,尤其是在DAMA体系下如何理解;二是关于数据技术服务外包时,“唯一责任不能外包”这个说法是否有法律依据。
通过这次交流,以及对相关知识体系的梳理,我希望能从一个更加务实和体系化的角度,来聊聊这两个话题。
1. 数据管理 vs. 数据治理:是包含还是并列?
关于数据管理和数据治理,特别是它们之间的关系,确实存在不同的理解,这通常被称为“广义”和“狭义”之分。
在国际上,尤其是像DAMA (Data Management Association) 这样的权威组织构建的数据管理知识体系(DAMA-DM BOK)中,通常采用的是一种狭义的定义。
数据管理 (Data Management) 被视为一个宏观的体系,它涵盖了规划、开发、执行和监督一系列活动,以对数据资产进行管理。这些活动包括数据建模、数据存储与操作、数据集成与互操作、数据仓库与商务智能、数据安全、数据质量、数据治理、元数据管理、数据架构、数据标准等十几个知识领域。
数据治理 (Data Governance) 在这个体系中,是数据管理的一个关键知识领域。它侧重于定义和执行数据策略、标准、流程、组织角色和职责,以及提供必要的度量和监督机制,确保数据被有效、合规、安全地使用。简单来说,数据治理是为整个数据管理活动提供方向、规则和约束的部分。它是“做什么”的规范和“谁来负责”的约定。
因此,在DAMA等标准体系下,数据管理这个整体框架是包含数据治理的。数据治理是数据管理体系中不可或缺的“大脑”和“神经系统”,它确保其他各个数据管理活动都在正确的轨道上运行。
但在国内的一些语境下,有时会将“数据治理”的概念广义化,泛指与数据相关的很多工作,甚至包括一部分原本属于数据管理其他领域的活动。这可能是因为“治理”这个词汇本身带有很强的宏观调控、规范和优化的色彩,容易被引申到整个数据工作范畴。
所以,理解这个概念的关键在于明确你在讨论的语境。如果参考DAMA等国际标准,数据治理是数据管理框架下的一个重要组成部分;如果是在更宽泛的日常交流中,可能需要根据上下文来判断其具体含义。但从体系建设和规范实践的角度,区分二者并理解治理在管理中的定位,是更清晰和有益的。
关于数据治理 可哟看 DAMA 编写的教程
关于数据管理
截止到 2025/5/1 前 我国的 20231918-T-469 数据管理能力成熟度评估模型还在征求建议,
当前标准是 GB/T 36073-2018
链接如下
2. 数据技术外包:为何说“唯一责任不能外包”?有法律依据吗?
再来看第二个问题:在数据技术外包中,“唯一责任不能外包”是不是个普遍原则,有没有法律硬性规定?
根据我朋友的回答,以及业界的普遍认知,这个说法确实是成立的,但这更多地是基于**“最佳实践”和“风险管理”的原则**,而非一条具体的、直接的法律条文。
为什么说“唯一责任不能外包”?
这里的“唯一责任”通常指的是:
法律合规责任: 比如数据隐私(如《个人信息保护法》)、行业监管要求等。即使将数据处理、存储等技术工作外包,委托方仍然是数据的实际控制者或主要责任方。一旦出现数据泄露、不当使用等问题,首当其冲面临法律后果、监管罚款和用户诉讼的很可能是委托方,而不是外包服务商。
业务责任: 数据是企业的核心资产。数据服务和系统的稳定、安全直接影响企业的正常运营、决策质量和市场声誉。外包商负责提供技术服务,但服务质量、项目进度、以及技术选择是否真正满足业务需求并带来价值,最终责任在于委托方——是委托方选择了这家外包商,并对其进行了管理和监督(或者没有)。
最终决策权和控制权: 数据战略、数据使用策略、数据安全策略等核心决策权不可能外包。即使外包了具体的实施,委托方仍然保留对这些策略的审批、对项目方向的控制以及对外包成果的最终验收权。
有没有法律依据?
正如朋友所说,并没有一部法律明文规定“数据外包时唯一责任不能外包”。但在实践中,这种责任的认定常常体现在:
风险相关的法律法规: 例如,数据安全和个人信息保护相关的法律法规,通常会强调数据处理者的责任和义务,而委托方往往是主要的数据处理者或共同处理者,需要对整个数据处理链条(包括外包环节)的安全性和合规性负责。
合同法: 外包合同约束的是委托方和外包商之间的服务关系,约定了双方的权利和义务。但合同的效力只在双方之间,无法免除委托方面对外部(用户、监管机构、公众)应承担的法律和业务责任。
侵权法或相关判例: 在一些国家(包括朋友提到的美国的一些判例),当发生数据泄露、服务故障导致损失等情况时,法院在判决中可能会考虑委托方在选择外包商、合同条款制定、以及日常监督管理方面的责任。这些判例虽然不是直接规定“责任不能外包”,但实际上强化了委托方作为数据控制者的最终责任。
##对比
| 特征 (Characteristic) | 狭义数据治理 (Narrow Sense of Data Governance) | 广义数据治理 (Broad Sense of Data Governance) |
|---|---|---|
| 概念定位 (Concept Positioning) | 数据管理体系中的一个关键职能或知识领域。 | 指代与数据相关的广泛管理和控制活动,有时等同或包含大部分数据管理。 |
| 典型代表/来源 (Typical Source) | DAMA (Data Management Association) 等国际权威数据管理框架。 | 国内一些论文、文章、实践语境或厂商宣传,约定俗成用法居多,无单一权威来源。 |
| 核心关注点 (Core Focus) | 规则、决策、责任、监督: - 数据策略、标准、流程的制定与执行 - 角色与职责分配 - 合规性与风险管理 - 冲突决策与度量。 | 数据全生命周期的管理与优化: - 除了规则和责任,通常还包括: - 数据质量 - 数据安全 - 元数据管理 - 数据标准 - 数据架构规范等具体技术和管理活动。 |
| 与数据管理的关系 (Relation to Data Management) | 部分与整体:数据治理是数据管理这个大框架下的一个重要组成部分。 | 包含或等同:数据治理涵盖了大部分甚至全部数据管理的内容。 |
| 比喻 (Analogy) | 公司中的“董事会”、“合规部”、“内审部” - 负责定规矩、抓落实、促合规。 | 公司“如何有效运作的总方略或大体系” - 包含了从策略到具体生产、运营的方方面面。 |
| 常见语境 (Common Context) | 进行体系化数据管理建设时(如遵循DAMA体系)。 | 日常沟通、泛泛讨论数据挑战和解决方案时。 |
总结
“唯一责任不能外包”与其说是法律条文,不如说是数据时代下,企业进行数据技术外包时必须牢记的一个风险原则和管理理念。它提醒企业,外包是手段,不是甩锅,核心的合规、安全和业务风险始终需要委托方自己去识别、管理和承担。这要求企业在选择外包伙伴、签订合同以及日常项目管理中,必须保持高度的警惕和控制力。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
