資料資產確權認責，確什麼權，認什麼責

2020年04月10日，中共中央、國務院印發《關於構建更加完善的要素市場化配置體制機制的意見》，《意見》將資料定義為與土地、勞動力、資本、技術並列的第五大生產要素——數字化時代的一種新型的生產要素。資料的價值越來越重要!

然鵝!土地有土地產權，勞動力有勞動產權，資本有資本所有權，技術有智慧財產權，這四大生產要素在法律上都有明確的權益和職責歸屬。但對於“資料”，各個國家的法律似乎還沒有準確界定資料資產權責體系。今天我們來聊聊資料資產管理中的確權認責問題。

01 資料確權，確的是什麼權?

所謂資料確權，就是確定資料的權利屬性，主要包含兩個層面：第一是確定資料的權利主體，即誰對資料享有權利。第二是確定權利的內容，即享有什麼樣的權利。

從這兩個層面看，資料從產生到消亡的整個生命週期中，主要涉及四類角色，即：資料所有者、資料生產者、資料使用者和資料管理者。而確權就是針對特定的資料資產明確定義這四類角色的過程。也就是說，不同的資料資產其所有者、生產者、使用者和管理者可能不同。引用我的新書《一本書講透資料治理》關於這四類資料角色的定義：

1、資料所有者

即擁有或實際控制資料的組織或個人。資料所有者負責特定資料域內的資料，確保其域內的資料能夠支援跨系統和業務線受到管理。資料所有者需要主導或配合資料治理委員會完成相關資料標準、資料質量規則、資料安全策略、管理流程的制定。資料所有者一般由企業的相關業務部門人員組成，根據企業釋出的資料治理策略、資料標準和資料治理規則要求，執行資料標準，優化業務流程，提升資料質量，釋放資料價值。在企業中，資料所有者並不是管理資料庫的部門，而是生產和使用資料的主體單位。

2、資料管理者

資料管理者不一定擁有資料的所有權，而是由資料所有者授權自行資料管理的職能。在很多傳統企業，資料管理者往往隸屬於資料所有者。資料管理者並不包攬所有的資料治理和管理工作，部分資料治理和管理工作需要由業務部門和IT部門共同承擔。

3、資料生產者

即資料的提供方，對於企業來說，資料生產者來自人、系統和裝置。例如：企業員工的每一次出勤、財務人員的每一筆賬單、會員的每一次消費都能一一被記錄;企業的ERP、CRM等系統每天都會產生大量的交易資料和日誌資料;企業的各類裝置會源源不斷地生產大量資料，並通過IoT整合到企業的資料平臺中。

4、資料使用者

即使用資料的組織或個人，例如：申請資料、下載資料、分析資料等。在企業中，資料的生產者、所有者和使用者有可能是同一個部門。例如，銷售部門以CRM系統為依託，既是客戶資料的生產者，也是客戶資料的使用者，還是客戶資料的所有者。

02 資料資產管理為什麼要確權?

“資料資產管理為什麼一定要確權，在過去的很多年，沒有明確資料確權不一樣也能用嗎?”，這可能是很大一部分人的疑問。

筆者認為資料資產管理之所以要進行確權，主要有以下3方面原因：

1、資料確權是資料資產化的基礎

“資料資產的是由組織合法擁有或控制並且能夠給企業帶來經濟效益和社會效益的資料資源”，這是資料資產的定義，從這個定義中也不難看出，資料要成為資產，必須要有一個明確的權屬主體。

• 從會計的角度，沒有明確的資料權屬，資料資產永遠也進入不了企業的財務報表。

• 從法律的角度，沒有明確的資料權屬，資料濫用的問題將無法解決。

• 從資料的管理和使用角度，沒有明確的資料權屬，資料的質量問題將無法溯源、無法解決。

2、資料確權是資料交易和流通的前提

任何東西要實現交易，首先都需要確權。資料同樣如此!

由於資料複製成本相對生產成本來說極低，資料易被複制和傳播，造成資料使用者損害資料所有者權益的情況十分普遍。故而合理界定資料權屬是亟須解決的問題。只有明確了資料的權屬，才能對資料進行估值，之後才是交易和流通。

3、資料確權是保護個人資料安全的重要手段

由於資料權屬一直是一個模糊不清問題，在ToC端尤為突出。網際網路使用者每天產生的大量的資料，到底是歸網際網路公司所有，還是歸使用者個人所有?從法律角度講，個人資訊歸個人所有，但事實上我們從來沒有享受到擁有這些資料的權益。而網際網路公司往往是通過所謂的使用者協議、個人資訊保護協議，約定了使用者產生的資料歸企業所有。由資料權屬界定不明，導致了資訊濫用，大資料殺熟，網路詐騙、非法資料交易等侵害個人資訊的問題日趨嚴重。

03 資料認責，認的什麼責?

權利和責任是一定是並存的，在享有資料權益的同時需要對資料負責。在企業資料資產管理實踐中，所謂的資料認責，更多的是指“誰對資料的質量屬性負責”!

通常，企業中資料的所有者、生產者、使用者、管理者都是比較容易識別的，但是一旦出現資料質量問題，在追責問責時候，它就常常會變成一個部門之間或業務與IT之間相互推諉的問題。

舉個例子，企業在盤點庫存時，經常會發現ERP系統中的物料庫存資料與實物的庫存資料存在差異。業務部門會說IT部門沒有提供完善的系統功能，導致資料錯誤，而IT部門則可能責怪業務部門操作不規範。事實上，出現這種問題，最大的可能是業務的出入庫操作重複或在列出庫存專案時有遺漏，或者庫存物料的描述不準確，位置不正確。

當涉及庫存時，通常是由倉庫管理員負責確保庫存數量準確。作為資料質量改進和控制的一部分，這可能需要對系統中的物料建立統一的編碼規則並實施資料清洗，還可能需要對實物庫存進行重新貼標籤。而這些決策永遠不會成為單純的IT問題，也不會落入IT部門，這很明顯。

很多企業搞資料治理專案，建立了資料問責制度。但在筆者看來，資料問責制只是資料治理的手段，而不是資料治理的目的，企業要做的是提高資料質量和實現業務目標，而不是在發生了資料問題後去追究責任。

資料問題的重點在於預防，問題發生了再去追責則為時已晚。

誰對資料質量負責?當你遇到這樣的困惑時，不妨試著先回答以下幾個問題。

認識問題：什麼是好的資料質量?為什麼它很重要?

定義問題：測量資料質量的維度有哪些?資料一致性、完整性、正確性、及時性?

衡量問題：資料質量對業務使用和管理決策有何影響?

分析問題：找到資料質量問題的根本原因，是管理問題、業務問題還是技術問題?

改善問題：哪些關鍵業務流程的改善有利於提高資料質量?如何改善?

控制問題：是否有資料質量管理章程，包括問題和目標描述、範圍、里程碑、角色和職責、溝通計劃?

把以上問題都想清楚之後，究竟“誰該對資料負責”就不是那麼重要了。

筆者認為，資料質量人人有責，誰生產誰負責，誰擁有誰負責，誰管理誰負責，誰使用負責。資料所有者主要負責制定資料管理政策，維護資料資產目錄並分配資料認責許可權，確保所擁有的資料可查、可用、可共享;資料生產者負責執行資料管理規則，按照資料標準進行規範化錄入各項資料並解決相關資料問題;資料使用者要確保資料的正確、合規使用，以及資料在使用過程中不失真;資料管理者主要協助資料所有者制定資料標準、質量規則、安全規則並監控相關資料問題，同時制定確保資料管理的流程，並確保其有效執行。

那麼，IT部門在這個過程中，扮演什麼角色，承擔什麼責任?

從筆者經歷的專案實踐來看，在大部分資料治理專案中IT部門都起著推動者的作用。而在資料運維/運營過程中，IT部門往往是承擔資料保管員的職責，同時為資料管理者提供技術支援，推動資料架構、標準和規則等內容的落地。

有人可能會提出質疑：資料管理員和資料保管員不是一回事嗎?你是不是又造概念了?

這還真的不是在造概念。接來下，我們就詳細分解，不要走開!

04 資料管理員 VS 資料保管員

1、資料管理員

資料管理員——顧名思義，就是資料管理者的一員。哈哈，這個定義是不是很接地氣!

大多數資料管理員來自各自的業務部門，他們隸屬於資料所有者，通常由資料所有者指定或授權執行資料的定義和控制活動。因此，在DAMA-DMBOK2中，也稱為他們“業務資料管理員”(Business Data Stewards)，一般都是業務領域的專業人士，公認的業務領域專家，對一個資料域負責。

以財務部門為例，CFO或財務總監很可能是所有財務資料的資料所有者，那麼財務部門的每個小組的負責人將被任命為資料管理員，例如：核算資料管理員——負責財務核算資料的管理，並出具企業財務報表和管理集團合併報表;資金資料管理員——負責資金資料管理，以及統計和分析;預算資料管理員——負責各企業經營預算執行情況的資料的管理，以及統計和分析。

我們經常看到，在很多資料治理組織結構體系中的資料管理員都是其中的一個重要組成部分，他們負責企業資料的運營和管理，並在資料管理的各種例行會議或專題會議中作為資料所有者的代表，提出資料管理的改進意見和建議。

在數字化時代，每個企業都需要培養起來一批懂業務、懂資料、甚至懂資料分析、資料管理的相關技術的資料管理員。這批人將是企業數字化轉型的中堅力量!

2、資料保管員

資料保管人通常由是 IT 部門負責，其職責與其他角色，如：資料所有者和資料管理員存在根本不同，業務資料管理員側重域業務，而資料保管員專注於技術。他們通常在其技術專業領域進一步劃分不同的角色，例如：資料建模、資料架構、資料整合、資料開發等，當然還有傳統的DBA(資料庫管理)，他們主要負責維護、歸檔、恢復、備份資料、防止資料丟失/損壞等。

關於資料保管員在DAMA-DMBOK2中也有相關的定義，DMBOK2稱其為：技術資料管理專員(Technical Data Stewards)，即：某個知識領域內工作的IT專業人員，如資料整合專家、資料庫管理員、商務智慧專家、資料質量分析師或後設資料管理員。

數字化時代，企業需要培養或引入一批具備專業的技術知識、技能和經驗，具有良好的資料管理最佳實踐的人才，他們是企業資料管理域組的一部分，是企業數字化轉型的主要支撐。

如果你覺得資料管理員、資料保管員實在不好區分，那就按DAMA的叫法：業務資料管理員、技術資料管理員。

筆者之前寫的《企業數字化轉型：IT部門的未來!》的時候，稱提到：企業數字化轉型需要技術和業務要深度融合，讓IT走進業務，讓業務融入IT。那麼，讓業務資料管理員和技術資料管理員一起工作就是一個很好實踐。

05 資料確權認責，怎麼做?

權利和責任就像一個硬幣的正反兩面一樣密不可分，享有多大大的權利就需要承擔多大的責任。

資料的確權認責首先需要破除的一個認知誤區：“認為資料是由IT部門負責的”。然而，從前文中的資料確權認責相關條例來看，企業資料質量和安全真的不應該由IT部門責任，IT部門也負不了這個責任。事實上，IT部門只是企業資訊系統的實施者、維護者或為資料管理提供技術支援，在企業的資料治理過程中，資料的生產者、所有者、使用者、管理者才需要真正對資料負責。

企業的資料資產項千千萬，資料確權認責是一個巨大的工程量，不可一蹴而就，需要分批次、分階段，循序漸進的去完成。企業資料資產確權認責流程如下：

1、資料梳理和盤點

劃分資料域，按資料域開展資源盤點工作，梳理本專業資料資源，梳理資料實體，識別資料屬性。資料資源盤點完成後，資料管理部門發起資料資源登記註冊，形成資料資產目錄。一般建議企業採用“問題+價值”雙驅動的策略，優先對問題多發且對業務影響較大的資料項開展認責管理，通過責任落實改善和提升資料質量，從而控制和解決問題，支撐業務發揮價值。

2、建立認責關係矩陣

基於資料資源目錄，識別各專業領域認責的資料實體，建立資料實體與組織機構各方(集團公司、分子公司的相關責任部門)之間的權責矩陣。認責關係矩陣需要將相關資料責任落實到對應崗位人員的日常工作和資料操作中。責任的落實需要結合資料標準的貫標開展，強調認責與規範錄入行為同步，避免資料問題的發生。

3、梳理操作細則

在公司層面梳理出認責資料項所對應的關鍵業務流程、節點名稱、系統名稱及其它關聯資料項，並組織資料管理者和使用者梳理所屬企業的資料管理要求，並明確到具體的二級部門、業務操作崗位，以及資料操作許可權(CURD)，明確相關崗位應用承擔的資料責任，明確崗位認責資料範圍，對資料錄入、稽核責任給出相應的操作指南。

4、制定認責制度

在認責矩陣和操作細則基礎之上，企業應從專業層面梳理相關資料實體、屬性的資料管理要求，例如：資料質量要求、資料安全和個人隱私保護要求、資料標準規範等，形成資料管理制度手冊。為進一步規範資料相關方的管理和使用行為提供製度約束。

06 資料確權認責，需要注意什麼?

資料的確權認責不是一個複雜的系統工程，需要結合企業的資料戰略、資料標準、資料管理制度和流程以及IT系統的建設，有目標、有重點、有範圍、有針對性的推進。

切記：一口吃不了個胖子，更不能眉毛鬍子一把抓!要注意以下六個“明確”：

1、認責目標要明確，資料認責資料治理並行，要能夠體現治理的價值，認責的效果。

2、認責範圍要明確，“問題+價值”雙驅動，優先對問題多發且對業務影響大的資料項開展認責管理。

3、認責粒度要明確，資料粒度，具體到資料庫、資料表還是資料欄位級別;責任主體粒度，具體到部門、崗位還是人員級別。

4、認責角色要明確，資料的應用價值鏈和生命週期中，誰是所有者、誰是生產者、誰是管理者、誰是使用者需要定義清楚。

5、認責職責要明確，配合認責關係矩陣和CURD，明確定義：誰，在什麼系統，操作什麼，操作規範。

6、認責機制要明確，制定及釋出資料標準，編制資料認責管理辦法及流程，資料標準與管理制度並舉，確保資料確權認責常態化運轉。