潘老師:感謝組委會的邀請,今天我想跟大家分享的是跟標準相關的數據治理趨勢,和我們慣常理解的數據治理的概念可能稍微有一些不同。
我們對數據治理這個概念的研究實際上是從2014年開始,在國內也調研了很多企業,從製造業、服務業,再到網際網路,參閱了IBM,DAMA, DGI ,Gartner等對數據治理的定義與方法論,借鑑了原有方法論的經驗,同時看到原有方法論在大數據環境下的局限,發布了數據治理白皮書,聯合了國際企業與組織,包括微軟,DAMA的專家,ISACA,還有美國、英國、德國、荷蘭、日本等ISO的國家組織,一起推動了ISO 38505的數據治理國際標準,這個標準在2017年正式發布了。
我今天圍繞三個話題:
第一,數據治理的趨勢
第二,ISO38505國際標準
第三,數據治理常見問題與實施路徑
國際數據治理標準的趨勢
圖1.2
第一個大趨勢是超越技術的數據治理。我分了幾個方向來看,數據治理已經上升到國家層面,國家主權。在G20大阪峰上,安倍說我希望日本大阪峰會因為數據治理而被世界所記住。
國際治理層面
我們看到現在因為數據空間已經成了跟我們的生活相互映射的空間了,原來我們認為網際網路是一個新興的,我們能夠自由發揮的空間,但是現在我們漸漸的把國家治理的概念映射到了網絡空間,網絡空間裡面產生的數據,對它有數據主權,也就是說當數據治理到國際治理層面的時候就產生了數據主權的概念。國與國,區域聯盟之間出現單邊或多邊協議允許數據的自由流動。
關於數據主權我們在座的組織和企業應關注的是什麼呢?你的業務如果是一個跨國的業務,那麼你業務的部署、基礎架構涉及數據的存儲地,訪問權都是關注重點,因為我們現在有跨境傳輸的特定法規要求。
政府治理層面
政府方面的話,我們看到政府在促進政府的數據共享,要推動服務型政府轉型,減少公民提交證據的重複率和提高辦事效率。我們看到現在各個地方的政府都有陸續推出數據開放條例。這裡最關鍵的就是政府要開放數據的一個分級分類,包括分級分類的流程、模型和原則到底是什麼。
組織治理層面
我們看到數據治理成為公司治理的關鍵話題。這個組織到底是做什麼的,這個組織的目的和目標或者它的戰略定位到底是什麼,組織現在和未來有多依賴於數據,決定了其數據的戰略,也決定了其組織治理要討論的話題,是否有跟數據投資相關的內容。
上升到公司治理的話,我們看到有這樣一個路徑,剛才楊部長也有舉例,如果我是一個傳統業務,不是一個天生的數字企業,我傳統的業務會產生數據,我對這些數據的搜集、監控,從3個數據到11數據,我怎麼樣能反過來對業務進行優化,對業務的效率進行提高等。
現在大家也熱衷談數據的貨幣化,這個意義上數據已經脫離了它原來的業務屬性,成為一個商品的時候,它的貨幣化,最後會促使其業務的轉型,脫離了原有的業務。這樣的案例很多,把數據作為你的新業務,甚至驅動你業務的轉型。
我們也看到現在中國的企業漸漸走向國際,比如中國有一個很有名的連鎖酒店,去收購歐洲連鎖品牌的酒店,實際上他同步就收購了這些酒店的客戶信息,他收來的這些1000多萬的客戶信息,這個資產真的能夠成為他可用的數據資產嗎,這個資產有沒有瑕疵,就要看這個資產在當初採集的時候是不是一個合規的採集,有沒有用戶的許可和認可,怎麼來用這些數據,所以你在做數據的估值的時候一定要考慮相應的法規要求,這是在做公司治理,要做大筆投資和收購的時候都要考慮的。
另外,數據資產怎麼估值,現在很多企業遭受了勒索軟體的襲擊,有一個運動手環、手錶品牌,國際上很知名,他被勒索了,後來他還是付了錢,這可能成為我們估值的維度,被勒索軟體的要價。
個人層面
數據背後的人權,這也是數據治理的趨勢。剛才講了組織層面的,實際上還有一個對個人的影響,我的第一個觀點是數據治理超越技術的治理,就是因為數據有可能有國家的主權,所以就變成了數據主權,有可能是企業業務的一些價值,那麼就是公司治理要關心的話題。另外還有一類數據,跟在座的各位都有關係,就是如果是個人相關的數據,這個數據背後代表的是個人主體的權利。
對於個人權利的保障,當然最基礎的是法規、法律。對我們做數據治理的影響就是我們在治理這類數據的時候,考慮法規的要求,對於個人數據的質量準確性、及時性、完整性還有保密性,還有個人權益的響應,要充分考慮。
數據資產層面
當數據真的脫離了你原有業務、你原有的屬性之後,他作為一個資產的對象、資產的屬性去看待時對數據治理帶來的影響,中央將數據作為生產要素,如果參與分配的話,對公司治理的結構,從理論基礎到實踐,機制、制度怎麼設計,這是超越技術的數據治理。
第二個大趨勢是技術驅動的數據治理。我看今天下午的分論壇,包括這次評獎也看了很多的案例和產品,就是因為這些技術能夠驅動我現在的數據治理跟原來有不一樣,從本質上來說,如果我們現在的一些技術不夠成熟,數據治理的手段和方式會受約束,反之是促進與驅動。比如這次的疫情後復工復產,國家治理一得益於我們的移動網際網路,精準定位追蹤管理。
數據治理也是這樣,數據走到今天,它的一些新技術怎麼用在我們治理的環節,包括治理規則的制定,它是人工的還是可以機器學習出來的一些標準?應用到數據質量這塊,質量檢核的規則是人來制定的、是專家經驗的還是機器學習的?規則的執行是靠人,是我們每個部門坐在一起開一個協調會議來協調的?還是我已經把它代碼化的,靠技術推動的?
治理的結果是數據以服務形式呈現:
服務於外部有API開放數據服務能力,歐洲的開放銀行,新的商業模式依賴於數據技術的實現;服務於個人有用戶的權利中心,實現法規要求的用戶的訪問權、刪除權等。新技術帶來治理模式的轉變,應用於包括剛才汪主席提到我們有區塊鏈的、隱私計算的等等,各種技術運用在我們的數據治理,這是我講的技術使能的數據治理趨勢。
數據治理國際標準
我這次也作為一個評委,看了我們這次申報的項目,和國外的企業相比的話我認為有三個方面我們還是有持續提升的空間。
圖1.5
第一,這次項目大部分還是以項目級的,沒有全面的數據治理這個概念。我們在一個組織內部,因為各種業務的驅動,有可能財務會推動一個跟財務數據相關的數據治理,以財務報表為例,監管報送也是以財務報表,風險管理為基礎的,他會推動一個數據治理的項目。市場希望改進客戶數據質量,推動一個客戶數據治理項目,或者我們的IT希望說從IT的落地,從技術的層面,也想推動一個數據治理或者說數據質量等,這樣一些特定領域的數據治理項目。
但是沒有組織級的全面數據治理項目,或者說至少在你的提報的項目裡面,是不是有一個總的藍圖。這是第一個跟國外優秀企業的差距。
第二,因為是項目級別的數據治理,無法轉變為到一個常態化的運營、體系化的運營,就和我們常常說的搞了一場運動,那這個運動完了之後怎麼去鞏固或優化你運動的成效,你需要一個系統化的運營方式。
第三,我們做數據質量的就僅僅考慮數據準確性,特別是我看到一個項目,它在做客戶主數據質量的提升,但是在這個項目裡我沒有看到一個字在提安全與隱私,這個項目裡面全是個人數據,聯繫方式與行為習慣。那麼從管理系統框架層面,我覺得你這個項目還是有一些缺陷的,項目目標需要做到安全隱私保護和數據質量提升,也就是說要做到挖掘數據價值與風險合規的有機融合。
國際標準ISO 38505,實際上它很早就提出了對數據治理的定義,即在現在和未來對數據利用的指導與控制的系統,首先它是一套系統,一個常態化運行的系統,然後它是現在和未來你對數據利用的一個態度。
我們到底多麼依賴於這些數據,剛才楊部長也說了,數據不一定是最重要的,我到底多依賴於這個數據決定了我們以後組織戰略層面對數據相關的技術也好、人員也好,我的投資到底佔多少程度。
指導和控制,一個是從技術層面來看,我是把數據作為一個管理的對象,它有相關的一些流程,比如說元數據管理、數據全生命周期的管理,另外一個是數據的運營,也就是我們說的價值維度,數據通過共享,甚至通過現在的交易,去產生它的價值。對內就是內部的共享、內部提升效率,這是38505-1定義的數據治理,是高層的態度、決策、投資、監督。
我們2015年也出版了一本書《大數據治理與服務》,在這本書裡面,我們非常前瞻的提到數據治理的價值模型,基於數據以服務的形式去展現價值,數據交易是服務的一種形式。
在治理層最主要的一些任務是什麼呢?就是EDM,即評估、監督、指導,這三個最主要的任務。為什麼我們說要把數據治理上升到公司治理的層面,因為這個標準定位是給企業和組織用的,所以它定位是一定要上升到組織治理的層面。跟治理相關的定義,我這裡就不展開了,這個圖很清晰的展現了它跟組織治理的關係。
這個標準,著寫者有來自於微軟的,也有DAMA的專家,也有阿里巴巴的專家。治理和管理在學術上,在這個標準裡頭是把它分了一個清晰的區隔,當然我們在實際當中一個企業裡面,特別是一個小的企業,有可能治理和管理是混在一起的,但是我們是通過標準模型,把治理和管理的任務進行了一個很清晰的區隔,包括他能用到什麼樣的模型,有什麼樣的工具,他最主要的輸出物是什麼。
這是一個展示,中國銀監率先提出金融業數據治理要求,根據要求和ISO的標準做映射,我們畫出這樣一個銀行組織的數據治理框架圖,首先覆蓋了頂層設計,然後就是相關管理領域,最基礎的支撐是我們人員能力和環境的,還有技術能力的支撐。最後是要通過一個體系化的運營,既PDCA這樣一個模型去完成這樣的一個數據治理體系。
因為時間關係,數據治理標準我就不再詳細展開了。跟數據治理相關的標準就是ISO 38505,剛才做了一個簡單的介紹。跟數據質量相關的標準是ISO 8000,其藉助了我們傳統ISO 9000的概念,對質量的一個定義,正好符合剛才楊部長說的,質量是滿足特定需求的一組特性,ISO 8000一系列的標準就是告訴你怎麼去做數據質量管理。
下面系列的標準是基於隱私保護的,從趨勢來看,這個數據代表了個人的權利,基於隱私保護的,隱私保護的這些標準基本上會覆蓋信息系統的設計,或者業務的設計,覆蓋系統生命周期、數據的生命周期,有技術層面的標準、管理層面的、治理層面的標準,有一系列各種各樣跟隱私相關的,具體到你怎麼去寫一個隱私聲明,你怎麼去制定你的隱私政策,這有非常多細的一些標準。比較通用的,我用顏色已經標識出來了。
隱私或者數據安全相關的標準,這是分行業、分領域、分國家的一系列標準,由於時間關係,我不展開了。
我們做數據治理的實施,到企業,常常被問到的三個問題:
從哪開始?你要識別一個機遇,在每一個階段有重要的活動和輸出物。
怎麼跟治理層溝通?ISO 38505給出了一種溝通方式,從我們的治理到管理,他建議是從戰略到策略再到控制再到過程,分層次結構化地去部署。我們在企業裡往往覺得難做,可能就是因為在治理層還沒有建立一個很好的機制。跟治理層溝通,這三點是必須要看到的,治理層關心的價值,有什麼風險,有什麼樣的限制,限制可能更多是法規的,或者是你要去關注的一些區域文化的,有內部的、有外部的。你如果是一個分公司,你的限制可能來自於總公司,你要從這幾個維度去考慮。從我們說的常態化管理、體系層面又分了幾層,最下面基礎層就是數據資產這一層,然後以數據服務的形式展現出來,最前面是我們的業務(前臺的業務),業務的展現,這都是要遵循一個管理體系,同時又要貫穿價值風險和限制,在標準裡是給了一些具體的工具。
我們是要從下往上做還是從下往上做?剛才我看到嘉賓講非結構化數據和結構化數據也提到了80/20原則。我們從上往下還是從下往上,實際上我們看到不管是傳統企業還是網際網路企業,特別網際網路企業,他們大量的數據,80%以上是非關鍵數據或者說它是一些我們非結構化的數據。在這個時候可以考慮自下往上,現在有一些工具也能幫助你,比如在網際網路公司,採用眾包的工具,用一些AI輔助的、知識發現的工具可以自下往上地做;從上往下的話更多的我們認為一些重要的數據資產,他更重視流程和管控,要自上而下地做。
這是一個具體的展示,從策略層面怎麼考慮數據的價值,數據的風險和數據的限制,從我們的Policy策略這個層面怎麼做展開,這個正好是從標準裡摘的一張圖。
我的分享就是這些,從數據治理的趨勢到數據治理與公司治理的融合,到具體的實施路徑探討,謝謝各位。
更多精彩點擊「閱讀原文」查看視頻回放
往期回顧:
DAMA中國汪廣盛:DAMA數據治理與數據質量--非結構化數據的數據質量管理
某大型商業銀行:銀行金融監管與數據質量管理
華矩科技譚海華:跨越周期 · 回歸本質—中國數據質量管理現狀及發展趨勢
鴻翼羅永秀:基於ECM內容管理的非結構化數據管理體系與實踐分享
畢馬威陳立節:監管數據治理及質量提升路徑