Data Owner 数据所有人
决定谁可以访问、编辑、使用、销毁某份数据的人。
通常是业务部门的负责人,不是 IT 的人。HR 总监是员工档案的 owner,CFO 是财务数据的 owner,产品负责人是用户行为数据的 owner。
Owner 干什么
| 责任 | 例子 |
|---|---|
| 分类定级 | 标这份数据是 PII、PHI 还是 Public |
| 授权策略 | 谁能读、谁能改、谁能导出 |
| 保留与销毁 | 保留多久、什么时候删 |
| 合规对接 | 出事时面对监管的人 |
| 签字背书 | 安全控制、审计结果谁签字 |
Owner vs Custodian
- Owner —— “数据归我管,我说了算”(决策)
- Custodian —— “你说咋办我就咋办”(执行)
例子:CFO 决定财务数据只有财务部 + 审计能看,DBA 负责在数据库里把权限真正配出来。CFO 是 owner,DBA 是 custodian。
为什么这个角色重要
很多企业把数据安全完全推给 IT——结果 IT 不懂业务上下文,要么过度限制把业务卡死,要么放得太松出事。Owner 制度强迫业务方对自己的数据负责,IT 只是工具人。