什么是Data Inventory

Data Inventory从字面理解是企业内拥有的所有数据资产的完整统计列表，它应该包含企业所收集，处理与存储的各类数据的详细描述。在GDPR Article 30中要求数据控制者和处理者要对数据处理活动进行记录，并在监管机构要求时可以及时提供。该条款同时对记录要覆盖的内容有了清晰的规定，包括了数据处理的目的，数据主体的类别及个人数据的分类，数据流转情况（披露对象，共享情况）。 这就要求我们的Data Inventory能够以数据处理活动为维度，全面的收集和展示相关的数据资产内容及全生命周期的处理情况。

所以我的理解是一个好用的Data Inveontry应该满足如下要求：

1. 能完整的描述每个业务活动的个人数据处理情况，包括数据处理的目的，数据的来源，处理的范围及数据量级；

2. 能完整的展示业务活动中涉及到的个人数据字段情况，包括每个字段的数据种类(Data Subject Type)，数据分类信息(数据)；

3. 能清晰的指明对相关个人数据安全采取的技术与组织控制措施；

4. 能清晰的描述出数据的存储位置（存储的形式及物理存储所在的国家/地区）及数据保存期限；

5. 能完整的列出可以访问个人数据的对象，以及数据跨境传输情况(如有)；

6. Data Inventory的信息是持续更新的。

Data Map是Data Inventory的一个图形化的展示方式，可以帮助我们直观的理解某个特定数据处理活动的情况。如下图中的例子，它介绍的是Marketing CRM这个业务活动中的整体数据处理情况，数据采集渠道是Website，采集了客户/潜在客户/员工三类的人的个人信息录入到Salesforce系统中。数据存储在数仓和分析平台中，开放给内部的市场团队和分析团队访问，外部供应商X和部分Contractor也被授予了访问权限。

图1- Data Map 示例 - 来自于OneTrust

在数据管理体系中，我们还有一个名词Data Catalog，它是一个保存和管理着所有数据资产metadata的系统，帮助企业内部用户快速理解我们有什么数据，它们分布在哪里，以及它们是什么。那Data Inventory和Data Catalog的区别是什么呢？首先他们的建设目的不一样，Data Inventory是为了识别不同业务活动中的数据处理情况，支持不同的合规需求。而后者是为内部用户挖掘现有数据资产提供技术支撑。另外，Data Inventory除了数据资产类的信息（这部分可以直接复用Data Catalog中的元数据），还需要收集数据处理活动层面的信息以及数据的访问对象情况，有更大的覆盖范围。

Data Inventory的建设方式各企业可以采取不用的方式，但最终的目标应该是一致的。那就是它应该能帮助内部团队和外部监管者便利地理解每个业务活动的数据处理情况和已采用的隐私保护措施，便于对隐私风险进行进一步的评估和管理。