习近平总书记强调要“增强数字政府效能”。增强数字政府效能,必须抓住数据共享开放这个“牛鼻子”,政府推动城市数字化、智能化的目标,不仅是追求安全、稳定,更优质的社会治理,更希望推动产业增长、民生改善,数字政府建设与数字经济建设密不可分。
2021(第十六届)中国电子政务论坛暨首届数字政府建设峰会于11月26日-27日在广州举行,围绕数字政府建设和数字化发展探索与实践进行交流,共享创新实践、共商发展之策、共谋未来之计。南都大数据研究院数字政府研究中心专访政界、学界、业界数据领域研究者、践行者,深入剖析数据开放新思路,观察跨境交易流动新趋势,深度挖掘城市数据应用优秀案例,以访谈为引,以案例为鉴,充分呈现数字时代数据新作为,应用新思考,数据新价值。
同时,面向全国企事业单位、科研机构等征集数据应用优秀案例(资料或线索请发邮箱nandubdi@163.com),我们将组织大数据领域有关权威专家对案例进行解读、评估,并进行更深入采访,实现更广泛推广应用。
“数据”,当代社会重要的潜在资源之一,数据治理已经成为全球治理的重要议题。综观当前全球数据治理,个人数据滥采滥用、企业数据交易纠纷频发、公共数据开放利用滞后、数据跨境流动风险较大等一系列问题,亟须解决。数据治理是否有统一标准?国际数据治理趋势如何,有哪些路径?南都大数据研究院数字政府研究中心专访了BSI英国标准协会亚太区首席数据治理标准专家、《大数据治理与服务》作者潘蓉,希望探究政府、企业如何更好进行数据治理与价值创造。
人物简介
潘蓉,BSI英国标准协会亚太区首席数据治理标准专家,中国区ICT总监兼首席安全官。早在2015就出版国内第一个关注大数据治理的专著《大数据治理与服务》,国际数据治理标准ISO38505-1联合编辑,国标数据治理规范GB/T 34960.5核心编辑,DAMA会员,上海市政府数据开放分级分类标准负责人。曾获2004年“中国十大IT女性”称号。在BSI带领团队高绩效增长,连续获得BSI创新奖,最强团队。
数据治理没有统一的实施路径 治理标准主要从三大维度思考
南都:标准是发挥数据生产要素价值、推动高效融合应用的前提与基础。你曾经参与制定数据治理国际标准、上海市政府数据开放分级分类标准,请介绍一下数据治理标准。
潘蓉:我和国内外的专家团队2014年开始研究数据治理方法论,调研了很多企业,突破了原有数据治理的局限,联合DAMA、ISACA,微软等国际组织和企业等一起推动制定适合大数据环境下的ISO38505数据治理国际标准,并在2021年5月于伦敦出版了《数据治理》一书,清晰地看到数据治理应该包括对数据本身的治理和利用数据的治理、技术和业务两个层面。
标准是一个世界的语言,让我们进行沟通的时候,在语义上,谈的概念范围上首先达成一致。标准的形成,它是一个共识的过程,ISO标准也是成员体一个共识的结晶。
ISO38505很早提出对数据治理的定义,是现在和未来对数据利用的指导与控制的系统。首先它是一套系统,一个常态化运行的系统,然后它是现在、未来你对数据利用的一个态度,也就是组织的战略。指导、控制,一方面从技术层面来看,把数据作为管理对象,有相关流程,比如元数据管理、数据全生命周期管理,另一方面是基于数据的利用,包括运营与服务,数据通过共享,甚至通过交易去产生价值。对内就是内部的共享、内部提升效率,对外可能脱离原有产生数据的业务环境,完成跨领域的数据流通和融合,产生新的价值;这是38505-1定义的数据治理,是组织高层对数据的态度、关于数据的决策、投资、对数据使用、数据相关计划实施的监督。
ISO38505数据治理国际标准提醒高层主要从三大维度去思考数据相关的决策:一是价值维度。对于价值本身的解释,在不同治理主体下,解释可能不同,例如服务商业企业是货币化的价值,公共服务企业可能是服务了多少企业;二是法律法规、伦理道德、特殊的区域文化要求;三是风险,需要考虑企业在合规之上自身风险偏好是什么,平衡企业内需的价值动力与外在合规压力,建立平衡企业的内驱动力机制。
ISO38505数据治理标准的定位,是为组织的高层、治理层提供一套数字化时代平衡数据合规与价值的工具,通过一系列原则,指导当前和将来使用的创建、收集、存储、分发、共享等的数据,并依赖数据决策,影响相关管理过程,发挥数据价值,减少数据风险。
南都:数据治理要确保数据“存、管、用”等各环节数据质量,如果数据不通,标准不一致,质量不高,就无法做分析,目前数据治理有哪些多元路径?
潘蓉:数据治理要看驱动力。驱动力不同,治理路径不同。我觉得没有一个统一的具体实施路径方法论,但从管理科学角度有治理和管理体系的通用要素及要素在数据方面的具体要求,ISO38505提出了6个管理原则、6个管理抓手、1个治理模型、3个数据维度、1个数据责任图。从这个维度是有方法的,但真正具体实施的路径,到底是做财务数据治理,还是人力资源数据治理,还是为了响应监管要求,提升数据质量、报表质量等等——驱动力不同,涉及的业务不同,目的不同,数据治理的路径、参与部门也不同。因为数据背后就是业务,数据与业务是分不开的,具体路径如通向成功的道路,实际上没有统一的实施路径,但有通用的成功要素。
我从管理视角总结了几百个案例的结果,有几种路径:从数据资产管理角度出发,通常数据技术部门为了做好全局数据试图和后期资产的共享与应用,先从这个数据资产盘点、登记、溯源管理等基础性数据管理出发;从数据服务能力构建与展示,政府数据开放都能看到数据开放目录,互联网公司的数据中台从服务能力的角度看就是数据服务能力的搭建和共享,特别是从管理层希望看到业务的实时报表,基于各系统的数据共享融合,需要建立数据标准、主数据等等;从业务需求排序出发,比如金融业的监管报送,风控与拓客,由业务部门牵头,技术部门辅助的路径;上述几个路径实施过程中是有依赖关系的,一个理论上完整的模型应该覆盖上述技术管理与业务需求满足两方面。
大湾区可建联席商讨机制 细化数据分级分类的标准
南都:有质量的数据流动对经济发展意义显而易见,随着粤港澳大湾区的建立,数据的跨境流通已成为大湾区城市融合新课题,对此你有哪些建议?国外对数据跨境管理有哪些经验?
潘蓉:粤港澳大湾区城市之间要做数据跨境流动,国家顶层设计已有相应规则。重要数据出境管理,《网络安全法》、《数据安全法》已经明确基本框架,重要数据原则上要在境内存储,向境外提供的时候应该进行安全评估。你要做跨境流动,至少要遵循这个基本框架。跨境流动的就是其他非重要数据,那么什么是非重要数据?目前国家层面还没有特别清晰的定义,各条线、各产业自己定义,等于要去很细颗粒度、精细化地制定数据目录。
我觉得大湾区做数据跨境流通,要确定原则,考虑各自产业特点,再去做融合融通,包括经济产业人才创新等各方面去互补。湾区城市之间的数据流动,实际上要服务于现有的实体贸易、现有的金融、现有的物流等。比如商品物流数据,最大困难是因为不同的法律体系下,一定要有整体归一的数据治理框架,跨法律体系的。
要制定一个适用于不同法律体系下的治理框架,包含什么?我觉得主要有几个方面:一是要建立一个联席数据治理协调机构。提出相应数据价值的原则与权力,比如数据的权力维度定义与划分,管辖权、使用权、所有权、收益权等。二是联调的机制。价值的共享,数据的标准,要用市场化机制进行跨境流动的符合性评估,保证安全可信的数据流动,建立价值原则下的定期和面向问题的解决机制,三是要细化数据分级分类的标准,几个区域共同认可才行。各级政府在建自己的数据,国家层面应有统一标准,不是各级政府自己重复建设,应该在宏观导则或者国家标准之下,细化操作规范。
具体而言,做湾区数据跨境流动,跨境融合的基础,包括数据存储、相应算力算法等,是不是要共享?是不是要融入国家战略?要考虑各地资源优势、增长数据量的不同。所以一定要考虑各地的优势,统一去规划数据。国家战略层面去做基础设施的共享,能源的消耗,能源效率的提升,发挥各自区域的优势又促进碳达峰的国家策略实现。从数据安全标准层面而言,提供实体贸易协议的合作方式也是可以借鉴的,如WTO,它是各方利益协调的结果。我刚才强调一定要有联调机构。跨境流动方面,我们接触到的更多需求集中个人金融,如跨境理财、就医保健、旅游求学等,需要数据跨境是必然的。企业方面主要是资金流、业务信息流,还有跨境电商信息流、物流。另外,第三方服务企业,需要个人和企业信用数据,也是围绕金融需求、金融数据。
至于公共数据跨境,涉及一些公共服务支撑,是不是可以跨境提供服务,如企业的执照办理。总体而言,数据的跨境流动主要是从服务、需求出发,梳理出常见业务场景需求是什么,再看这个数据能不能跨境。比如欧盟,它是单一区域市场,遵循统一法律框架,在区域内免征税,人员、数据、货物可以自由流动。大湾区是否可以做到欧盟区域内的人员、货物、货币与数据自己流动,成为单一区域市场,数据是服务于现有金融、海关政策的,因此我说仅从数据角度来看问题的话,实质上要服务于现有体制机制的。根据数据跨境确定的原则,然后确定协调机构的成员,期望的协调目标。
国际数据治理有两大趋势 新技术带来治理模式转变
南都:目前,国际数据治理有哪些趋势?
潘蓉:国际数据治理主要是两大趋势:第一大趋势就是超越技术的数据治理。超越技术的数据治理目标是在兼顾各方参与主体的权利、责任和利益的前提下,发挥数据价值,包括“数据治理上升到国家主权与竞争力”“政府促进数据共享开放、法治建设”“数据治理成为公司治理的关注话题”等。
以往,我们认为互联网是一个新兴的、完全自由发挥的空间,但现在国家治理概念映射到了网络空间,产生的数据就有了主权。也就是说,数据治理已经上升到国家主权层面,就产生了数据主权的概念。如果是一个跨国的业务,业务部署、基础架构涉及数据的存储地,访问权都是关注重点,数据跨境传输有特定法规的要求。当数据脱离原有业务、原有属性,作为一个资产的对象、资产的属性去看待时,就会对数据治理带来影响。中央将数据作为生产要素,从理论基础到实践,机制、制度怎么设计,这些都是超越技术的数据治理。
在政府治理层面,很多地方政府陆续出台数据开放相关条例,关键就是数据的分级分类,需要明确分级分类的流程、模型、原则。政府促进数据共享,推动向服务型政府转型,就要减少公众提交证据的重复率、提高办事效率。在组织治理层面,数据治理也是公司治理的关键话题。如果是传统业务,会产生数据,这些数据的收集、监控,怎么反过来对业务进行优化,提升效率?现在,大家热衷谈数据的货币化,把数据作为新业务,甚至驱动业务的转型。例如,中国有一家有名的连锁酒店,去收购欧洲连锁品牌酒店,同步就收购了这些酒店的客户信息,这个能成为可用的数据资产吗?就要看当初采集的时候是不是合规,有没有获得用户许可、认可。这些数据怎么用,在做数据估值的时候,一定要考虑相应法规要求,这就是在做公司治理。
第二个大趋势是技术使能的数据治理。数据治理要有相应规则,规则的发现、规则的形成可以靠技术来实现,比如原来可能都是人工去制定规则,现在可以靠机器学习制定。同时,规则的执行,用什么样机制执行,以前可能是人治,现在规则的代码化了,不是用人来做执行、监督,而是依靠代码化的规则来做监督。技术使能数据治理核心就是规则的自动化学习,规则的执行也是代码化。
新技术带来治理模式的转变,应用于包括区块链的、隐私计算等等,各种技术运用在数据治理,这就是技术使能。治理结果是数据以服务形式呈现,包括服务于内部数据中台;服务于外部API开放数据服务能力;服务于个人的有用户权利中心,实现法规要求的用户的访问权、删除权等。比如疫情后复工复产,国家治理得益于我们的移动互联网,精准定位追踪管理。
分级分类是数据确权前提 法律来确权,技术来护权
南都:随着《网络安全法》、《数据安全法》、《个人信息保护法》陆续实施,要用好数据,自然需要把握数据价值发挥与数据安全合规之间的平衡,监管保护尺度如何把控?
潘蓉:合规肯定是底线。从国家监管而言,用什么工具监管,是依照法律监管,还是行政政策?监管工具在法律比较滞后的情况下,可能需要及时制定相应政策规章。如果法律法规比较健全,肯定要按照法律法规来做的,其他就交给市场,交给企业自主决策。企业自主决策动力是追求数据价值最大化,但需要做相应风险评估,企业风险偏好是什么?其实,在ISO38505数据治理标准里已经提到,高层要从价值、法律法规与道德伦理、风险等三大维度去思考数据相关的事物。
数据背后代表不同的数据主体,可能是国家、企业组织,也可能是个人。数据可能有国家主权,所以变成了数据主权;数据可能是企业业务价值,就是公司治理关心的话题;个人相关数据背后,代表的就是个人主体的权利。代表不同数据主体的时候,怎么保证权利、权益,这是数据治理考虑的问题。
对于个人权利的保障,最基础的是法规、法律。治理这类数据的时候,既要充分考虑法规的要求,又要充分考虑个人数据的质量准确性、及时性、完整性、保密性,以及个人权益的响应。2021年11月1日开始实施的《个人信息保护法》,构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。
南都:数据是企业重要资产,全国首张公共数据资产凭证在广州发布。如何在推进数据要素市场化改革中解决好数据资产确权难等问题?
潘蓉:2015年我们已经提出“数据要成为资产,才能发挥它的价值”,而价值实现路径大致分为两类。一类是原有业务相关的效率提升,产品设计等,一类是与原有业务无关的数据商品化服务和交易。数据确权有两个概念,一个是权力,一个是权益。个人的隐私数据,相关数据权利肯定受法律保护,这点无论在国内还是欧盟等,都是明确的。数据确权比较复杂,从工具层面来说,肯定需要国家的政策、法规法律来确定,正如我国土地资源是国有,这是国家政策,不是企业市场主体能够定义的,因此确权是国家数据治理要解决的问题。法律来确权,技术来护权。
数据确权是大数据应用和数据产业发展必须解决的核心问题之一,针对不同来源的数据以法律形式明确其产权归属,推动数据整合,加速数据共享流通,降低交易成本,从而激活庞大的数据资产价值、创新应用,使数据产业得以迅速发展。
数据分级分类是数据权力保护基础与前提。我们当时在做上海市政府数据开放分级分类标准,就做了三个维度:一是针对数据本身分级分类,根据使用场景、评估风险决定开放方式,有的免费开放,有的有条件开放,有的是非开放数据;二是针对开放数据授权使用主体,比如电力数据授权给银行,我要对使用者的数据治理规范性、信用做评级,或者说我要授权,如果对方不守信用,没有良好数据治理制度,没有一套机制保证,给的数据可能被滥用或泄露,我就不授权给他用;三是数据场景的管理,到底用于什么数据场景,会融合哪些维度,当维度增加的时候,可能产生数据密集变化。所以数据分级分类除了静态数据分级分类,还要叠加升降级因素。需要主动去发现使用场景融合之后产生新的数据,补充原来数据目录,数据的密集可能发生变化。数据场景的积累是大数据环境下最复杂的,尽可能用机器学习不同的场景,制定相应规则,监督规则的执行,但也不可能完全摆脱人的因素,可以做相应控制,“分级分类不是一成不变的,是持续动态变化和调整的”。
广东省政务服务数据管理局、南方电网及银行、企业合作完成了国内首张资产凭证的发行与利用是个很好的试验,验证了数据资产化的一种方式,也是借鉴传统金融资产融通的方式,如传统的金融资产凭证支票一样,由授权的金融或企业单位发行,背后的信任机制是政府授信或市场授信,授信的基础是其公司治理水平可信,同理数据资产凭证的授信前提是其公司的数据治理水平可信;广东的尝试是政府授信的机制;后期的市场化授信更需借助新的数据保护技术,如区块链、差分隐私、同台加密等技术确保数据全生命的安全、数据主体权益的保护,广泛使用的市场化授信机制和数据安全隐私技术,及数据治理体系可能会成为数据市场繁荣的积极力量。
出品:南都大数据研究院 数字政府研究中心 统筹:邹莹 研究员:袁炯贤
