第9篇:数据治理(二):数据确权与主权边界管理
数据所有权、使用权、能力经营权——DISC-DAMA的三权分置框架一、一个跨境数据传输的合规困境某跨国企业的中国子公司供应链成本连续三个季度高于全球平均水平。总部希望用部署在欧洲的AI分析能力来优化本地供应链成本——这套模型已经在欧洲和北美验证有效能够通过分析采购数据、物流数据和供应商绩效数据自动识别成本优化机会。[1]但问题来了。中国《数据安全法》规定重要数据不能出境[2]。子公司的供应商数据和采购数据属于重要数据范畴——它们反映了企业的成本结构和供应链布局一旦泄露将严重损害企业竞争力。子公司的CIO提出了一个折中方案“数据不出境让总部的AI模型来中国运行不就行了”这个方案听起来完美但法务总监随即提出了三个问题。“第一谁有权做这个决定总部有权把AI模型下发到中国的服务器上吗第二中国子公司有权接受这个模型、让它访问本地数据吗第三模型运行后产生的分析结果——那些成本优化建议——归谁是归总部因为模型是总部的还是归中国子公司因为数据是子公司的”会议室安静了几秒。这三个问题没有任何一个能在现有的数据管理章程中找到明确答案。现有的章程只定义了“数据所有权”——数据是子公司的这很清楚。但当“能力流动”加入方程式后“所有权”这个概念突然不够用了。它无法回答在不转移数据的前提下谁有权让外部能力在数据上运行运行产生的价值归谁这个困境不是个案。当DISC架构让“数据不动能力流动”成为现实时传统的“数据所有权”单一维度已经无法覆盖所有权利场景。我们需要一套更精细的数据确权框架。二、传统确权模式的局限——所有权掩盖了一切要理解为什么需要新的确权框架需要先看清传统确权模式的边界。传统DAMA体系下数据确权的核心是“数据所有权”——谁创建或持有了数据谁就拥有对数据的所有权利。这套框架在数据集中管理的时代是够用的数据汇聚到中央平台数据所有者授权中央平台进行管理和分析。所有权的链条清晰——数据从业务系统进入数据仓库数据所有者授权数据管理员进行治理数据分析师基于授权使用数据。但在DISC架构下这套框架暴露出三个结构性局限。第一个局限所有权不能分离使用权。 在传统模式下数据所有者如果想让第三方分析自己的数据唯一的办法是把数据“交出去”——要么上传到第三方的云平台要么拷贝一份发给第三方。数据一旦交出去所有者就失去了对数据的控制。但在DISC架构下数据所有者可能愿意授权第三方在自己的本地数据上运行分析模型分析完成后只拿走结果不拿走数据。这种“授权使用但不转移数据”的模式在传统的“所有权”框架中找不到对应位置。第二个局限所有权不能覆盖能力流动。 当外部AI模型被下发到本地数据面执行时这个行为涉及两方模型提供方和数据所有方。模型提供方说“这是我的模型我有知识产权我授权你在你的数据上使用它。”数据所有方说“这是我的数据我有所有权我授权你的模型访问它。”这两个授权是双向的、对等的但传统“所有权”框架只关注数据这一侧忽略了能力这一侧的权利归属。第三个局限所有权不能定义边界。 当数据分散在多个司法辖区时每个辖区的法律对“所有权”的定义和效力不同。中国《数据安全法》定义了数据分类分级和出境限制[2]欧盟GDPR定义了数据主体权利和数据可移植权[3]美国各州法律对数据所有权的界定各不相同。单一“所有权”概念无法处理这种法律多元性——同一个数据资产在不同辖区可能受到不同的法律约束。这三个局限指向同一个结论在“数据不动能力流动”的新范式下我们需要将传统的一元“所有权”拆解为更精细的权利维度。每一维度独立定义、独立授权、独立审计。三、DISC-DAMA的三权分置框架DISC-DAMA将传统的一元“数据所有权”拆解为三项独立权利数据所有权、数据使用权、能力经营权。这三项权利各自独立可以分属不同主体通过不同的机制进行授权和验证。第一项权利数据所有权。数据所有权回答的问题是“谁创建或持有这份数据”数据所有者拥有对数据的最高控制权。有权决定数据存储在哪里——哪个数据中心的哪台服务器。有权决定数据保留多长时间——什么时候归档什么时候销毁。有权决定数据是否可以被外部能力访问——哪些能力可以进入数据面。但数据所有权的权利边界也受到法律约束。所有者不能单方面决定将包含个人信息的数据交给第三方处理——这需要数据主体的授权或法律豁免。所有者不能单方面决定将核心数据或重要数据转移出境——这需要国家安全审查[2]。数据所有权不是绝对的它嵌套在国家数据主权和个人信息权利的法律框架内。在DISC架构中数据所有权的物理载体是数据面。数据存储在数据所有者控制的数据面中数据所有者通过数据治理工作台管理数据质量、数据访问权限和数据处理行为。数据所有权决定了数据面的部署位置和管理者——谁的数据就部署在谁的领地内。第二项权利数据使用权。数据使用权回答的问题是“谁有权访问或处理这份数据”数据使用权是DISC-DAMA确权框架中最关键的创新。它可以与数据所有权分离——数据所有者可以授权第三方在自己的本地数据上运行分析模型而无需交出数据本身。这是“数据不动能力流动”在法律和治理层面的核心支撑。数据使用权的授予是有限制的。限定目的——只能用于特定分析任务不能超范围使用。限定时间——授权有明确的有效期过期自动失效。限定范围——只能访问特定的数据视图和字段不能访问未授权数据。限定输出——分析结果需经过审核确认不包含原始数据片段后才可输出。在DISC架构中数据使用权的授予和验证通过主权合规网关自动执行。当外部能力胶囊请求访问数据时网关验证该能力是否持有有效的临时准入令牌——令牌中包含了目的、时间、范围、输出等全部限制条件。令牌过期或超出授权范围网关自动拦截。数据使用权的每一次行使都被能力血缘追踪记录形成完整的审计证据链。第三项权利能力经营权。能力经营权是DISC-DAMA独有的新权利维度回答的问题是“谁有权在数据上运行什么样的能力”在传统模式下分析能力通常是内嵌在系统里的——ERP自带的报表模块、数据仓库上的BI工具。能力没有独立的权利归属。但在DISC架构下能力来自外部能力市场是一个独立的交易标的。能力提供者——AI厂商、ISV——拥有能力的知识产权和经营权。他们决定能力的定价、授权方式、使用限制。他们授权数据所有者在自己的数据上使用能力。这是“能力流动”的商业基础。能力经营权与数据使用权的授权是双向的。数据所有者授权能力提供者的能力胶囊进入自己的数据面——这是数据使用权的授予。能力提供者授权数据所有者使用自己的能力胶囊——这是能力经营权的授予。两个授权互为条件缺一不可。能力经营权在能力注册中心中进行登记和管理。能力胶囊携带的数据访问声明就是经营权契约的组成部分——它明确声明了能力需要访问哪些数据、用于什么目的、预期产生什么输出。三权分置的核心价值在于让“数据不动能力流动”在法律和治理层面成为可能。数据所有权保障了数据主权的归属——数据永远在所有者控制之下。数据使用权保障了数据价值的安全释放——外部能力可以在授权范围内处理数据但无法带走数据。能力经营权保障了能力市场的交易秩序——能力提供者的知识产权得到保护交易可以规模化进行。三者互相支撑互相制衡共同构成了DISC-DAMA数据确权的完整框架。四、主权边界登记——每一数据资产的“护照”三权分置框架需要一套技术机制来落地。DISC-DAMA设计了“主权边界登记”机制——可以理解为每一数据资产的“护照”。在传统数据资产目录中每一数据资产的元数据包含表名、字段名、数据类型、业务含义。在DISC-DAMA数据资产目录中每一数据资产还增加了主权边界信息。物理位置——数据存储在哪台服务器、哪个数据中心、哪个城市。司法辖区——该物理位置受哪个国家的数据主权法律管辖。敏感等级——核心数据、重要数据还是一般数据[2]。跨境流动限制——绝不出境、经审批可出域还是无限制。授权使用记录——哪些外部能力已被授权访问本数据资产授权范围是什么有效期到何时。主权边界登记不是一次性工作而是动态维护的。当数据从一个数据面迁移到另一个数据面时——比如从上海数据中心迁移到杭州灾备中心——物理位置和司法辖区信息自动更新。当新的能力胶囊请求访问数据并获得授权时授权使用记录自动追加。当法律变更时——比如某类数据从“重要”升级为“核心”——所有该类数据的跨境流动限制批量更新相关能力授权自动撤销或触发重新审批。主权边界登记为三权分置提供了事实基础。当监管机构问“这份数据在哪里、受什么法律管辖”时答案在边界登记中。当审计师问“这个能力胶囊凭什么可以访问这份数据”时授权记录在边界登记中。当法务总监问“数据从上海迁移到杭州合规状态有没有变化”时更新日志在边界登记中。五、三权分置的实践场景让我们回到开头那个跨国企业的困境用三权分置框架重新审视它。[1]中国子公司的供应链数据数据所有权归中国子公司。数据存储在上海数据中心的数据面中受中国《数据安全法》管辖。中国子公司作为数据所有者有权决定这些数据是否可以被外部能力访问。总部的AI成本优化模型能力经营权归总部。模型的知识产权属于总部总部有权授权中国子公司在本地数据上使用该模型。中国子公司通过主权合规网关向总部的AI模型签发临时准入令牌——授权该模型在限定时间本次分析任务期间、限定范围仅访问供应商数据和采购数据视图、限定输出仅输出成本优化建议不得包含原始数据记录的条件下访问本地数据。这是数据使用权的授予。总部通过能力注册中心授权中国子公司使用该AI模型。这是能力经营权的授予。分析任务完成后AI模型输出成本优化建议——建议更换三家供应商、调整采购批量、优化物流路线。这些分析结果归谁根据三权分置框架结果归中国子公司——因为是子公司的数据产生了这些洞察。但总部的模型知识产权仍然属于总部——子公司不能将模型复制或转卖。双方通过能力经营权的授权契约获得各自应得的价值。这个场景展示了三权分置如何解决传统所有权无法解决的问题。数据没有出境但全球的分析能力触达了本地数据。所有权没有转移但使用权被精确授予。能力没有被复制但经营权的授权让双方都获得了价值。六、根深扎于地枝叶自由伸展在数据主权的世界里所有权是你的根——它决定了数据的归属和物理边界深扎于地不可动摇。使用权是你的枝——它可以向外部延伸授权第三方在数据上进行分析但延伸的范围和条件由你精确控制。能力经营权是你的叶——它让外部的分析模型和规则引擎在你的数据上运行产生价值但叶不带走根的任何养分。根深扎于地枝叶自由伸展。三权分置让数据主权的守护与数据价值的释放不再是矛盾——你可以同时做到“数据不出门”和“能力引进门”。下一篇预告《数据治理三跨域数据协作的治理机制》——当多个企业需要在数据不出各自边界的前提下联合训练模型、联合查询数据、联合审计合规时治理规则应该如何设计下一篇将引入“数据空间治理”框架——参与方身份认证、使用策略协商、能力流动审批、协作审计追踪。参考国际数据空间IDS[4]和Catena-X[5]的治理实践建立DISC-DAMA的跨域协作治理规则。引用内容注释与来源说明[1] 开篇与结尾场景跨国企业中国子公司的合规困境及后续三权分置应用场景均为基于企业数据跨境协作典型痛点的虚构描写用以引出和演示数据确权框架。其中涉及的企业、人物及具体商业情景均为创作。[2] 中国《数据安全法》重要数据出境规定《中华人民共和国数据安全法》于2021年9月1日起施行。第二十一条规定国家建立数据分类分级保护制度第三十一条规定关键信息基础设施的运营者以及其他数据处理者向境外提供重要数据应当经过安全评估。法律全文中国人大网[3] GDPR数据可携权欧盟《通用数据保护条例》GDPRRegulation 2016/679第20条规定了“数据可携权”Right to data portability允许数据主体以结构化、通用和机器可读的格式接收其个人数据并转移给其他控制者。法律原文Art. 20 GDPR – Right to data portability - General Data Protection Regulation (GDPR)[4] 国际数据空间IDSInternational Data Spaces由国际数据空间协会IDSA提出的参考架构旨在创建安全、可信的数据共享生态系统实现数据所有权与使用权分离。是跨域数据协作治理的重要参考实践。官网Home - International Data Spaces[5] Catena-XCatena-X是一个面向汽车行业的开放数据生态系统基于GAIA-X和IDS标准构建在供应链碳足迹追溯等跨企业数据协作场景中进行了规模化实践。官网Home - Catena-X

相关新闻