基于國際比較的數據治理體系及優化策略

韋 葦 任錦鸞 李文姬

1.中國傳媒大學經濟與管理學院，北京，100024；2.北京科技創新促進中心，北京，100142

數據作為繼勞動力、土地、資本、技術后的新型生產要素，在社會經濟發展中的作用日益凸顯。國際數據公司發布的《數據時代2025》顯示，2025 年，全球數據量將達到163ZB（十萬億億字節）。[1]數據的爆發式增長在為社會創造價值的同時，也帶來如數據泄露引發國家安全問題和企業利益損失、數據壟斷損害勞動者和消費者權益等安全隱患。國際商業機器公司（International Business Machines Corporation，簡稱“IBM”）發布的《2021 年數據泄露成本報告》顯示，2020—2021 年，每單個數據泄露事件令受訪公司所承擔的平均成本高達424 萬美元，平均成本同比增長了10%[2]，這無疑給數據要素供給過程帶來了數據安全風險。在此之前，各國已紛紛出臺相應政策探索數據治理的路徑，以進一步規范數據治理行為。例如，2018 年，歐盟發布《通用數據保護條例》，賦予了歐盟居民對個人數據的掌握控制權，明確了服務提供商收集個人數據的規則和責任；2019 年，美國白宮發布《聯邦數據戰略與2020 年行動計劃》，將“數據作為戰略資源開發”上升為國家數據戰略；2020 年，歐盟委員會發布《歐洲數據治理條例》，該條例強調數據共享對經濟發展的促進作用。我國全國人民代表大會常務委員會于2021 年起陸續通過了《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等多項法律，同時修訂了《中華人民共和國反壟斷法》等，運用法律手段在數據治理的諸多環節對企業的行為進行規制。數據作為生產要素的價值正逐步滲透到企業運營、社會服務、國家發展的各個環節。

一、數據治理研究綜述

（一）數據治理的定義

現有研究中針對數據治理定義的探討主要從流程、權屬和要素方面展開。在流程上，數據治理研究所（The Data Governance Institute，簡稱“DGI”）指出，數據治理是通過建立達成共識的模型來執行與信息相關過程的決策權及職責分工的系統。[3]《信息技術服務 治理 第5 部分：數據治理規范》（簡稱《數據治理規范》）指出，數據治理是數據資源及其應用過程中相關管控活動、績效和風險管理的集合。[4]在決策權上，數據管理協會（The Data Management Association，簡稱“DAMA”）提出，數據治理是對數據資產管理行使權力和控制的活動集合。[5]將數據作為企業戰略資產進行管理，能明確數據使用的決策權和責任。[6]在要素上，數據治理是為滿足企業內部信息使用需求，提升企業信息服務水準而制訂的業務流程、政策、標準以及相關技術手段[7]，數據治理涵蓋了數據控制的質量、數據的開放以及數據的安全[8]。

（二）數據治理體系相關研究

數據治理體系的研究最早是由大型信息咨詢公司和標準化組織機構發起的，隨后學術界結合實際情況從政府數據和企業數據維度逐步構建了數據治理體系。在政府數據治理方面，數據治理體系包括治理主體、戰略目標、標準與規范、關注范圍、治理過程等[9]，數據治理體系提煉出共性價值，結合法律政策與技術規范，對數據生命周期各環節提出治理重點和思路[10]。在企業數據治理方面，數據治理體系由組織架構和政策、標準與過程、技術組成[11]，通過對決策領域的劃分，幫助企業履行數據治理職責[12]。從平臺數據治理政策和公眾感知角度看，數據治理體系的核心要素為數據質量、數據安全、產品真實、價格調節、評論客觀、系統完善等。[13]

學術界針對數據治理定義與體系的研究在不斷完善，學者們在參考具有代表性的數據治理體系的基礎上，結合行業實際情況構建了新的數據治理體系。但現有研究中治理體系構成要素大多較為繁雜，缺少相對統一的構成要素。基于此，筆者對具有代表性的數據治理體系進行對比分析，探討不同數據治理體系的相關要素，以期為我國數據治理體系的優化提供參考。

二、國內外數據治理體系的對比分析

數據治理概念發展至今，形成了各具特色的數據治理體系。其中，具有代表性的有DGI 數據治理體系、IBM 數據治理體系、DAMA 數據治理體系和《數據治理規范》國家標準體系。

（一）DGI 數據治理體系

2004 年，DGI 推出了DGI 數據治理體系，對數據治理的相關活動進行規劃。該體系從組織數據治理的目標或者需求出發，描述了誰采取何種行動來處理哪些信息，以及何時在何種情況下使用什么方法。[3]該體系側重從人員與組織結構入手，對數據治理過程進行規范，為企業數據管理的戰略決策者提供參考。DGI 數據治理體系分為3 個層次和10 個要素，如圖1 所示。

（二）IBM 數據治理體系

2005 年，IBM 成立了數據治理委員會，開始探索企業數據管理領域的治理方法；2007 年，IBM提出了包含數據治理層次與關鍵領域的數據治理體系。[14]該體系分為4 個層次和11 個關鍵要素，如圖2 所示。

圖2 IBM 數據治理體系圖

（三）DAMA 數據治理體系

DAMA 成立于1988 年，其借助自身豐富的企業數據管理經驗，于2009年提出DAMA數據治理體系。[5]2020年，DAMA 對數據治理體系進行了更新，將數據治理部件增加到11 個，將數據開發改名為數據建模與設計、數據操作管理改名為數據存儲和操作，新增了數據集成與互操作。[15]該體系側重于從企業職能劃分的維度明確數據治理的功能，如圖3 所示。

圖3 DAMA 數據治理體系圖

（四）《數據治理規范》國家標準體系

2018 年6 月7 日，中國國家市場監督管理總局、中國國家標準化管理委員會發布《信息技術服務 治理第5 部分：數據治理規范》，此項國家標準于2019 年1 月1 日實施，其提出的數據治理的總則和框架規定了組織機構數據治理的頂層設計、數據治理環境、數據治理域及數據治理過程的要求[4]，如圖4 所示。

圖4 《數據治理規范》國家標準體系圖

（五）典型數據治理體系對比分析

通過對4 種數據治理體系進行分析，可歸納出不同數據治理體系的構建邏輯，如表1 所示。

表1 典型數據治理體系對比分析

4 種數據治理體系從不同層面提出數據治理應關注的維度，但在具體的構成要素設計上各有側重。DGI 數據治理體系從組織架構和治理需求出發，對數據治理的責任主體、治理范圍、治理方式等要素進行規范，更注重流程層面的規范。IBM 數據治理體系是由企業自身提出的，結合企業數據使用過程中的實際情況，通過評估企業數據治理的有效性，規避數據風險，利用數據為企業創造價值，更側重于對企業自身運營情況的評估。DAMA 數據治理體系根據企業數據治理的要求提出10 個治理職能，并在2020年對原有的部分要素進行了修訂，增加到11 個治理職能，進一步細化了職能范圍。《數據治理規范》國家標準體系主要是明確數據治理過程中的工作標準，為組織實現數據運營合規提供了方法和思路，更偏向于宏觀層面的標準把控。

三、當前數據治理體系存在的問題

（一）數據治理缺乏細化標準

《數據治理規范》闡述了當前我國的數據治理現狀、數據治理體系和數據管理能力，雖有提及數據治理標準的重要性，但在數據權屬、使用、交易等方面的規定較為寬泛。當前，數據治理標準大多是結合企業組織的內部情況，制定出滿足自身需要的數據分級分類標準。但一個組織的數據分級分類，很可能并不能滿足另一個組織的數據分級分類需求。[16]在數據治理的過程中，企業從自身需求制定出的標準往往不具有普適性。有的企業數據分級分類的標準僅關注如何利用數據實現收益最大化，忽視了對數據提供者數據權益的保護。現階段我國數據治理缺乏從宏觀層面提出的各行業數據治理細化標準，導致各行業在數據使用與交易過程中出現壟斷現象。缺乏細化的數據治理標準容易導致數據交易價格混亂、擾亂市場秩序，也容易引發數據提供者與數據使用者因數據權屬不明產生的權益糾紛。

（二）組織間聯動尚未發揮作用

現有數據治理體系的構建大多由單一機構牽頭開展，缺乏與其他機構或企業的聯動，不同體系各有核心要素、難以達成統一。當前，數據治理體系主要從組織架構、治理需求、工作標準等維度，為企業制定數據治理體系提供參考，但各發布數據治理體系的機構或企業間并未形成合作。政府作為主要的治理主體，須對企業的數據治理活動進行監督。近年來，數據在企業運營和社會發展中的作用日益突出，但政府在數據治理活動中更多發揮的是事后監管的作用。行業協會是政府與企業間連接的紐帶，在數據治理活動中依附于政府存在，因此其在發揮治理功能時未能充分考慮各類企業的需求，以致覆蓋面不足。企業在數據治理活動中有豐富的實踐經驗，但大部分僅限于自身經驗的積累，企業間數據治理經驗的交流和借鑒較少。如何促使各機構有效聯動，帶動資源整合，優化數據治理體系是當前亟須解決的問題。

（三）數據泄露難以避免

數據在采集、交易、共享等過程中存在泄露的風險。當前，各企業或單位一般采用數據庫或云存儲的形式進行數據存儲，當企業出現管理漏洞時數據泄露問題難以避免。企業管理機制不規范或存在漏洞，將導致企業內工作人員有意販賣數據或無意泄露數據。[17]部分企業只考慮自身利益忽視社會責任，對用戶數據進行不合理采集和交易。網絡安全漏洞會使企業面臨系統入侵、數據泄露的風險。當數據已無法再發揮價值時將被銷毀，有的企業忽視銷毀過程中的數據安全性，不重視對數據生命周期的追溯管理，造成進入銷毀階段的數據被恢復甚至被盜用，這既損害了數據提供者的權益，也使企業損失經濟收益甚至還要面臨法律風險。

四、數據治理體系優化策略

（一）厘清數據權屬關系，明確數據治理標準

數據權屬是數據治理過程中的難題，政府部門可從法律保障和標準制定兩方面盡快界定數據權屬，使數據治理活動標準化。在法律保障層面，我國已在網絡安全、數據安全、個人信息保護層面出臺了相關法規確保國家數據安全和個人隱私受到保護。但數據權屬的界定并不清晰，應從立法層面明確數據的使用權和所有權，規范服務提供商的數據采集行為，確保數據流轉過程中的安全可控；維護數據提供者的自身利益，當遇到信息泄露或者侵權事件時，可以通過相關法律法規保障權益。在標準制定層面，由國家職能部門牽頭制定普適化的數據治理標準。“自上而下”的數據治理形式能夠使組織有效地吸收其數據處理行為所產生的負面外部性。[18]可結合數據生命周期各環節細化數據標準，規范數據使用者行為。

（二）構建數據治理聯盟，形成行業自律規范

行業協會通過制定行業準則對其成員進行約束。行業協會作為政府與企業、企業間的中介組織，具有促進政府政策貫徹落實、表達企業訴求、協調政府與企業關系、促進資源優化配置等重要作用。[19]通過協會內成員間的配合構建行業自律聯盟，促進數據治理活動良性發展。行業協會內吸納了眾多企業、專家學者等的力量，具有整合資源和提供服務的能力，在規范數據使用行為、協調企業矛盾、指導行業發展等方面具有不可替代的作用。行業協會應發揮其資源優勢，構建數據治理聯盟平臺[20]，引導相關企業加入數據治理聯盟，根據企業自身的實際情況和經營現狀，定期開展行業內部交流；鼓勵企業圍繞數據交易流通、賦能社會發展的思路，參與行業規范的制定，增強行業自治能力。

（三）追蹤數據流動過程，確保數據安全合規

企業需加強對數據治理的重視，實現管理理念從“數據管理”向“數據治理”的轉變。企業通過技術、資本、人力等要素的投入，將數據轉變成資產；再通過硬件設備、數據分析與處理技術，將數據能力發揮至最佳狀態；最后將數據投入平臺的優化，提升平臺的競爭力。企業通過設立數據保護官、定期開展數據安全風險評估等手段，建立防范操作風險的內控內審制度和賠償機制，積極主動承擔保護用戶個人數據的責任。[21]數據應用貫穿在企業數據生命周期的各個環節，在數據采集環節，應明確數據來源，依據行業標準規范對數據進行有選擇的采集，確保數據采集過程合規；在數據存儲環節，應明晰存儲要求與數據權屬，根據數據級別的重要程度選擇合適的存儲方式，降低數據存儲成本；在數據使用環節，應依照安全策略，對數據進行預處理，確保技術人員在使用數據的過程中做到數據安全可控；在數據傳輸環節，應通過數據脫敏、加密等方式保障數據流通安全可控，降低數據傳輸中的泄露風險；在數據共享環節，應明確數據共享的規則，通過技術手段實時監測數據的去向，做到數據過程可記錄、數據使用可回溯；在數據銷毀環節，應明確銷毀的思路與方式，確保被刪除和銷毀的數據不能被再次還原。通過對數據生命周期各環節的細化，盡可能地提升數據質量，在合規使用數據的過程中最大限度地發揮數據價值。