一、數據泄露亂象頻發

前不久剛發生了Facebook數據泄露事件，Facebook首席執行官馬克·扎克伯格在長達10個小時里接受了近百名美國議員的拷問，回答了關于數據隱私、虛假信息、監管等共計600個問題。

[[227443]]

今年5月25日，歐盟《通用數據保護條例》(GDPR)將會生效，該條例包含了263頁共99條詳細規范，其核心目標是讓企業真正將用戶個人數據保護起來，真正將嚷嚷多年的數據安全保護理論轉化為行為實踐。該條例還規定了嚴苛的處罰條款，對于違反條例的企業，“處以2千萬歐元或者企業上一年度全球營業收入的4%，兩者取其高。”

據新京報4月23日消息，外賣平臺用戶信息泄露，賣家、網絡運營公司以及外賣騎手參與其中，泄露的信息包括姓名、電話、性別和地址等。據記者調查，報價甚至可以低至1萬條個人隱私僅需800元。特別可怕的是，這些數據每天更新4萬條左右。

根據2015年11月1日起施行的刑法修正案九：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”

規定懲罰不可謂不嚴厲，火中取栗者依然絡繹不絕。

據黑奇士訂閱號從中國裁判文書網上查到，3月22日公開的一份判決書顯示：某外賣平臺網陽江地區銷售主管方某指示藍某，在2017年7月27日至8月2日期間，通過方某的外賣平臺賬號密碼竊取了大量商戶客戶個人信息，未來得及出售。2017年12月1日，法院宣判，因為侵犯公民個人信息罪，方某被判6個月有期徒刑，緩刑一年;藍某被判7個月有期徒刑，緩刑一年。

而新京報報道的是已經或正在發生的已經出售和正在泄露的數據。“專家表示，類似外賣平臺外泄這樣的數據，是黑產界的原油，通過這些數據，可以衍生出很多安全問題。”如果參照GDPR的懲罰標準，外賣平臺2017年營收330億，懲罰4%將是13.2億人民幣。

無獨有偶，在英國，2017年有近一半的企業報告至少發生一次數據泄露或數據泄露未遂。在中國，大家從收到的手機垃圾短信就可以知道，發生數據泄露的企業的比例只會更高。

二、數據管理不良的后果

全球數據中心服務提供商Telehouse建立了一個信息圖表，展示了數據管理不良將有12種最壞的危險面：

1. 可能面臨安全漏洞或攻擊。公司越大，擁有的數據越多，就越會被網絡犯罪盯上。
2. 可能丟失或泄露數據。在2017年5月中旬至7月發生的著名的Equifax數據泄露事件中，有80萬英國消費者的個人身份信息被黑客竊取。
3. 員工數據處于危險境地。最近，英國一名15歲的少年通過社會工程(他是怎么做到的?假裝是中情局局長。)獲得了在阿富汗和伊朗的秘密行動的情報信息。
4. 遭受DDOS攻擊。
5. 損失很多錢財。預計到2021年，全球網絡犯罪造成的損失將超過60億美元。所以我國2017年6月1日起施行了《網絡安全法》，2018年4月23日人民日報客戶端發表的文章《網絡安全，沒有意識到風險是最大的風險》一天的瀏覽量是43.5萬，文章講述習近平在4月20日至21日的全國網信會議上強調“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行”，而網絡安全的核心就是數據安全。
6. 可能違反法律。
7. 知識產權或商業秘密處于危境。
8. 可能感染病毒。
9. 成為黑客攻擊目標。
10. 遭受破壞性停機。
11. 聲譽受損。
12. 丟失物理數據。在卷入重大事故的企業中，70%以上未能重新開張，或者在事故發生后的三年內倒閉。

三、企業面臨數據管理兩難境地

數據管理不良所可能引發后果的確引起了業界對數據管理的思考。

最近跟一些金融行業的客戶交流，國家近年來對數據的管控要求更嚴格(當然，數據治理水平都要跟監管級別掛鉤了)，上個月銀監會為了引導銀行業金融機構加強數據治理就發布了《銀行業金融機構數據治理指引(征求意見稿)》，詳情可見此前我在社群發布過的文章《規避FB數據危機，詳解銀監會數據治理指引落地路線》。

所以說，不論是出于合規性要求，還是出于提高市場競爭力的渴望，都迫使金融企業們加強數據的管理。研究機構IDG對100多位美國企業IT高層進行過調查，75%的人表示，與兩年前相比，IT安全問題變得更加重要。數據安全問題向來令人糾結，企業致力于保護數據的同時，又要顧及業務發展。

這似乎進入了一個兩難境地，企業一方面要加強自身數據的安全管理不要泄露或被攻擊，另一方面又千方百計地想從其他企業獲取更多維度的數據，補全已經擁有的客戶信息以完善用戶畫像，實現精準營銷或風險控制。

其實企業不管數據多少，如果不管理、不治理，企業的數據就沒有質量、沒有數據安全，那存儲再多數據都是浪費資源，甚至可能因為安全問題功虧一潰。

隨著智能設備、物聯網的發展，企業將來的數據量，每年都會比上一年有更大幅度的增加。數據增長越來越快，管理起來將非人力所能及，所以就必須有一種質量控制或者是衡量的方法。

四、落實數據資產管理的方法

1、高層領導組織架構

開啟數據資產管理第一步，是由高層領導的組織架構。

很多人都聽過數據治理、數據質量管理、數據資產管理，但很難分得清楚它們都是在干些什么。對于缺乏數據管理基礎的傳統企業來說，第一步往往需要把散落在各個部門和系統中數據進行梳理，制定統一的數據管理制度和流程，使數據重新回到企業的掌握之中。

這個階段，其實叫什么名字關系不大，重要的是啟動數據管理這輛列車。在啟動數據管理的實際過程中常常會遭遇到來自不同部門的抵觸，他們站在自己部門的立場，可能會擔心失去數據的擁有權而導致利益受損，而不愿意合作梳理、整合和共享數據。

因此，需要建立一個企業高層領導下的數據管理組織架構，如數據資產管理委員會，或數據管控委員會，又或是數據治理委員會，來協調企業內各職能部門和技術部門共同完成企業數據管理。這個組織中負責人可以由CDO擔任，也可以由CIO兼任，但務必是由企業CXO層面的高層領導下。

2、做元數據管理

數據管理的列車啟動，不同部門數據梳理整合，首先要做的元數據采集、梳理和整合，搞清楚從企業高管、數據開發人員、分析人員到數據運維人員等企業不同角色對元數據管理的期望，采用合適的元數據管理工具搞定元數據采集、存儲、查找，并能分析數據的來源和流向方便用戶跟蹤關鍵信息，完善血緣分析。

3、做數據標準

傳統企業大多數IT系統建設的時候都是豎井式的建設模式，只考慮自身業務需求而從不考慮與其他系統數據設計一致性，缺乏對數據的通盤整體設計考慮，所以造成了數據存儲結構各異、數據標準依據不同統計口徑無法匹配，業務口徑不統一等問題，因此要做數據標準管理。

統一的數據標準管理可以在業務、技術和管理等多個方面給企業提供支撐：

• 在技術層面，相同的數據標準可以減少大量的數據轉換和清洗工作，提升數據處理效率并易于數據共享和交換;
• 在業務層面可以提升業務規范性，明確數據業務含義，不同業務部門以及業務技術之間溝通更加流暢，可以提升數據對業務分析的支持力度;
• 在管理層面，數據標準管理有助于及時、準確、完整地提供高質量的數據，有利于決策支持。

數據標準管理的落地分為標準規劃(確定實施范圍并根據優先級和難易度定計劃)、調研(調查問卷、訪談、文檔資料搜集等)、設計(業務描述定義、類型長度定義等)、映射(定義好的數據標準與已有業務應用映射，實現數據關系轉換)和執行(分析出數據缺失或不一致問題，補錄數據)等階段，在標準執行的過程中再進行不斷改進和完善。

4、做安全管理

與此同時，更重要的是做好數據安全管理。我在與一個交易所客戶交流的時候，他提了一個問題：怎么識別敏感數據、怎么脫敏才安全?交易所的數據很多，但是怎樣能放心放開來做大數據分析?

按照網絡安全法的規定：

• 個人信息，是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

所以脫敏工具需要能自動識別、發現敏感數據，能夠對敏感信息進行管理(用戶自定義敏感數據)和審計。

但需要注意，在向第三方人員提供敏感數據的時候，例如進行應用開發、測試、培訓以及數據分析時，必須對數據進行嚴格脫敏。

數據脫敏需要遵從以下兩個原則：首先，數據不能被反向還原;不同表之間的數據被脫敏后，其數據關系依然能夠保持。也就是說如果多個表中需要脫敏同一數據，比如手機號碼，采用相同MD5加密算法，則多個表中同一個手機號碼脫敏后的MD5值應保持一致，以保持數據之間的關聯關系進行后續多維關聯分析。

5、做數據共享

數據的價值只能在流動中才能充分發揮和體現，只有這樣數據才能保持增值。傳統企業中由于數據沒有共享，各部門、各政府單位、各企業之間的數據流通渠道不暢。

近年來，政府的“一站式服務大廳” / “全科式綜合服務窗口”提升了政務服務效率和服務水平，其背后就是各級政府在打通不同部門之間的數據互聯互通。

傳統的數據共享，存在多種交換方式或交換工具，不易于維護管理，也不利于數據安全。通過建立統一的數據共享平臺，支持對多源、多類型數據的統一接口管理、統一模型管理，并在不同系統之間做好安全認證管理，易于引用數據集成，幫助企業屏蔽底層技術平臺的差異，保護投資。

6、做數據分析

通過數據治理，不僅企業自身數據質量得以提升，同時通過第三方數據獲取到其他行業維度的高質量共享數據信息，這些全部的數據存儲到大數據平臺中。企業中業務人員、技術人員甚至可以引入第三方廠家應用企業大數據平臺中的數據資產，通過數據可視化、即席查詢、全文檢索、數據挖掘、機器學習以及數據大屏等手段實現精準營銷、風險評估、趨勢預測、用戶畫像等多種企業數據應用場景。

這些都是新炬網絡數據資產管理及大數據平臺解決方案在做的事情，大數據平臺建設與數據治理、數據安全管理、數據共享可以依據企業目前數據管理水平和重點制定適應企業現狀的數據資產管理統一的規劃和實施路線圖，循序漸進地實現數據資產管理和數據增值。

作者介紹

楊志洪，DBAplus社群聯合發起人，新炬網絡首席布道師，對數據庫、數據管理有深入研究，合譯《Oracle核心技術》。