CIO应对数据主权挑战：5个实时治理策略

在地缘政治局势日益紧张、隐私法规频繁变更以及人工智能迅速渗透的背景下，数据主权已然成为CIO们面临的核心挑战。

对CIO而言，数据主权带来的挑战其实并不陌生。

信息管理解决方案公司OpenText的执行副总裁兼首席数字官CIO Shannon Bell指出，从早期的本地系统时代到超大规模云服务商和SaaS应用时代，数据的存储方式和位置始终是CIO们关注的重点。她解释道：“数据的具体存放位置以及如何有效保护数据，这一直都是至关重要的议题。”

然而当前多重因素的叠加，使得这项工作变得比以往任何时候都更为复杂。如今，人工智能的加入、地缘政治紧张局势的不断升级，同样令人不安的是，大型科技公司不得不重新审视其数据主权承诺。

2025年数据主权领域的关键挑战

制定完善的数据主权战略绝非易事，CIO们必须全面考量来自多方面的潜在挑战。

监控法规与隐私法律之间的博弈

美国的《澄清境外数据合法使用法案》(CLOUD Act)赋予了美国政府监管美国科技公司的权力，使其能够访问这些公司客户的数据，无论这些数据存储在全球何处。这项于2018年通过的法律允许美国公司在披露数据可能构成违反外国法律的重大风险时，对政府的数据调取令提出异议，但并未保证公司能够因此获得豁免。

正因如此，当面临监管压力时，美国监控法规的影响力往往会超越其他司法管辖区（如欧盟）的隐私法规。据The Register报道，今年夏天，微软一位高管在向法国参议院发表讲话时也表达了类似观点。微软法国公共与法律事务总监Anton Carniaux表示，如果面临强制性指令，公司“无法保证”不会将法国公民的数据交给美国政府。

这种不确定性引发了广泛担忧。Forrester咨询公司首席分析师Tracy Woo表示：“如今越来越多人开始讨论‘我们是否应该采用主权云方案，是否应该增加本地化部署，是否应该更多地依赖北美以外的公有云服务商？”

然而，单纯因为主权问题而放弃大型公有云服务商并不现实。这些服务商通常支撑着广泛的全球工作负载，因此迁移到全新架构将耗时漫长、成本高昂且过程复杂。此外，如果企业希望避免使用公有云，目前也没有简单直接的替代方案可供选择；寻找合适的替代方案必须经过深思熟虑，而不仅仅是对单一挑战做出被动反应。

“关键在于，要完全脱离北美公有云服务商实在太过困难，”Woo强调，“不管你个人是否偏好，它们都是支撑企业全球基础设施的核心支柱。”

客户数据保护的复杂性

除了美国监控法规与欧盟隐私法之间的紧张关系外，全球企业的CIO还必须充分考虑其所有客户所在司法管辖区的数据保护要求。

Bell对此解释道：“德国客户的数据保护要求，与美国或新加坡客户的数据保护要求存在显著差异。”

CIO们需要决定是在不同司法管辖区执行各自的监管标准以遵守当地法律，还是对所有数据采用统一的高标准——这种不分地理位置的策略可能很快就会变得难以管理。Bell进一步说明：“我的技术团队中设有完整的合规企业架构部门，而这在20年前几乎是不存在的。”

随着数据量的激增，很容易出现疏漏，数据可能会出现在不该出现的地方。

Woo指出：“要实现数据处理的透明度，同时确保数据一致性，并将这些信息集中存储在一个统一的数据仓库中，这一过程极具挑战性。”

企业软件公司Infor的首席信息安全官Mignona Côté对此深表认同：“你可以反复测试、再测试，但仍然可能会遗漏某些用例，从而产生需要你去解决的后继问题。”

Woo进一步分析道，虽然企业在日常运营中难免会出现错误，但在数据监管方面的失误可能带来尤为高昂的代价。数据主权问题可能导致与当地政府的法律纠纷、巨额罚款，甚至损害企业的全球声誉。

Woo补充说，为了有效应对这些挑战和责任，公有云服务商多年来一直在积极解决主权问题，并开发定制化的主权解决方案，包括为那些难以采用公有云的高度监管行业量身打造专属方案。但她同时指出，ChatGPT的横空出世“彻底颠覆了原有的格局”。

人工智能带来的额外复杂性

CIO们应当积极引领人工智能的创新浪潮，但为了让AI发挥预期效果，他们更需要完善的信息管理策略。哪些数据被用于训练模型？这些数据来源是否安全可靠？AI项目的部署是否符合不同司法管辖区的隐私法规？

Bell对此分析道：“人们对AI部署的担忧，主要源于——在我与其他CIO的交流中也能感受到——对数据本身缺乏足够了解。”

Woo认为，尽管从多个角度来看，完全脱离主要云服务商并不现实，但主权问题和成本考量仍可能促使CIO们采用更加本地化的部署方式。

Woo进一步阐释道：“越来越多人意识到，我们未必需要公有云服务商提供的所有功能。无论是出于延迟或性能原因，还是出于成本或主权考量。因此，业界一直在推动将AI创建并迁移到本地环境中运行。”

相反，CIO们更应该深入了解如何利用AI来改进和自动化数据管理流程。Côté对此表示赞同：“AI技术能够有效判断数据是否流向了不该出现的地方。”

日益增长的双重压力

与此同时，时间显得尤为紧迫。在全球数据隐私法规不断涌现且必须遵守的法律要求下，主权问题已成为董事会层面的首要关注点。企业高层希望确保数据安全且符合监管要求，同时不妨碍公司正常运营。客户则希望确保其数据保留在其业务运营所在的司法管辖区内。

Côté对此评论道：“CIO将被视为能够解决这些问题关键人物。他们正面临着前所未有的巨大压力。”

Bell将这种责任描述为IT企业需要采取的一种平衡之举，因为他们必须在满足各项监管要求的同时，为团队保留足够的灵活性和敏捷性来进行创新。有效管理这些压力需要从IT团队的运营方式以及他们在企业内部推动文化变革的方式进行根本性调整。

为了取得成功，Woo概述了CIO们需要实现的几个关键目标：清晰掌握所有数据的存储位置，对上述数据拥有完全控制权和透明度，并确保完全符合监管要求。至关重要的是，他们必须确保在数据的各个阶段（无论是静态存储、传输过程中还是正在使用的数据）都实施有效的主权和监管措施。

应对挑战与不确定性的混合策略

如何找到前行之路本身就是一项挑战。目前来看，围绕超大规模云服务商、数据主权问题、美国监控规则和美国《澄清境外数据合法使用法案》的难题仍在持续演变。“我认为这些难题正在逐步显现，”Bell这样评论道。

Bell表示，CIO们虽然无法准确预测这些难题的最终解决方案，但他们确实需要在问题逐渐显现时引导企业稳步前进，构建既能保护企业数据又能充分利用企业数据的系统架构。

鉴于数据主权领域的法规、标准和期望不断演变，他们部署的解决方案的灵活性和可移植性显得尤为重要。

她预计，未来混合部署模式将成为企业的首选方案。

Bell进一步阐述道：“或许在五到十年前，CIO们会告诉你‘我要把100%的工作负载都放在云上’。而现在，CIO们非常清楚，混合生态系统将成为他们的战略归宿。核心问题在于，你的工作负载中有多大比例需要放置在特定位置。”