随着数据和云走向“区域化”,全球 CIO 愈发迫切地需要适应这个日益本地化的数字时代。
图源:NicoElNino / Shutterstock
数字主权运动正加速落地。全球各国相继出台区域性法规,要求数据必须在本地存储或处理:欧洲的Gaia-X 主权云计划、GDPR,印度的 DPDP 法案,加拿大各省条例,美国加州的 CCPA……一系列超本地化的数据法规层出不穷。
虽然“数据主权”已酝酿多年,但其重要性在近期骤然飙升,波及所有数字环境与云平台。数字转型服务公司 Sutherland Global 的 CIO 兼 CDO Doug Gilbert (道格·吉尔伯特)指出:“我明显感受到围绕数字主权的紧迫感在飙升,已到不容忽视的地步。”
地缘政治紧张、后全球化时代“重监管”氛围,正促使 CIO 探索与地理位置无关、可迁移的架构,重新评估本地部署、托管或国内私有云;也迫使超大规模云厂商和企业级平台推出更复杂的新产品以符合区域法规。
尽管认知度在提升,许多CIO 仍在努力评估形势并制定对策。“可参考的指南不多,”CIO 战略顾问兼行业分析师 Tim Crawford (蒂姆·克劳福德)提醒,“但绝不能被动观望。要保持警觉,勤勉推进。”
因此,行动刻不容缓。对全球CIO 而言,第一步是评估数字主权对组织当下的影响,再规划一条能抵御未来进一步碎片化的路线图。
一、全球紧张局势驱动主权回应
IT 服务与咨询公司 Xebia 的全球 CIO Smit Shanker (斯米特·尚克)指出,地缘政治冲突、全球不稳定和贸易摩擦,是数字主权焦虑升温的主因。“它已变成一个必须思考并解决的极端重要议题。”
尽管AI 仍占据聚光灯中心,Shanker(尚克)提醒:别让 AI 喧宾夺主,凌驾于核心数字战略之上。“为 AI 做好准备、并借其创造差异化,前提是你必须掌控自己的数字资产——这正是主权的关键所在。”
对另一些CIO 而言,日益增长的“可控与透明”诉求,以及把数据视为战略资产的共识,是聚焦数字主权的核心动力。“组织希望知道数据存在哪里、谁能访问、如何受到保护,”云数据存储公司 Snowflake 的 CIO Mike Blandina (迈克·布兰蒂纳)表示,“作为 CIO,我们要帮助企业在不牺牲创新的前提下应对这些变化。”
罚款风险同样不容忽视。ERP 厂商 Epicor 的客户与信息官 Rich Murr (里奇·默尔)指出:“区域性数据法规已实施多年,但越来越多司法管辖区正制定各自标准,不合规的代价水涨船高。”复杂度越大,行动越紧迫。
Sutherland Global 的 Gilbert (吉尔伯特)同样认为巨额罚金是催化剂,但其他因素同样重要。“诸如美中科技摩擦等地缘政治动态,正推动各国加强对自身数据生态的掌控。”
公众对隐私的日益担忧和持续不断的网络攻击,也进一步强化了构建韧性的必要性。“为何必须把数字主权应对置于优先位置,以保护他们的数据与声誉,如今已一目了然。”Gilbert(吉尔伯特)补充道。
二、数字主权开始重塑运营模式
层出不穷的主权数据法规持续挤压全球企业的运营空间。Asperitas Consulting 合伙人 Scott Wheeler (斯科特·惠勒)指出:“中国尤其值得关注,因其要求政府具备检查和评估基础设施的能力。”这些法规不仅让组织面临巨额罚款,还常常迫使它们在当地建设重复的基础设施,并对个人数据追加审计。
Lemongrass 的 CTO Eamonn O’Neill (埃蒙·奥尼尔)也注意到,企业对“Alternative clouds”(替代云)的兴趣正在上升。Lemongrass 专门帮助客户在云端运行 SAP。他表示,这不仅是出于合规考虑——与传统超大规模云相比,主权云在弹性与安全性上的提升同样吸引着企业。
为应对这一趋势,超大规模云厂商纷纷推出自己的主权云产品。“他们正密切跟踪不同区域、不同司法管辖区陆续发布的本地化控制框架,以确保自身能够满足要求。”O’Neill(奥尼尔)说,“这显然是一场由客户需求驱动的创新循环,而且我们预见它将迅速扩大。”在他看来,自动化是实现灵活、自适应主权云落地的关键。
三、未雨绸缪,胜过事后救火
面对这股多重因素交织的旋风,越来越多的组织已经开始行动。“我们已彻底摆脱观望心态,正在主动重塑战略,”Gilbert(吉尔伯特)表示,“转折点有两个:迫在眉睫的合规截止日期,以及维护利益相关者信任的迫切需求。”对 Gilbert(吉尔伯特)的团队来说,这意味着梳理数据流向、对齐区域法规,并投资于新的基础设施战略。
那些提早布局的组织已开始收获回报。“我们在政策转向之前就早早投入了资源,”Blandina(布兰蒂纳)说道。以 Snowflake 为例,他们提前布局本地化基础设施,并与云服务商合作,以满足各地的数据驻留、隐私和合规要求。“主动规划变化,而非被动应对变化,是应对动荡的唯一途径。”
其他高管也一致认为,唯有主动出击,才能降低风险、让组织具备面向未来的韧性。“作为一家业务遍及全球、受众多司法管辖区监管的公司,我们必须前瞻性地解决合规与风险规避问题,”Epicor 的Murr(默尔)强调,“在大多数情况下,观望等待根本行不通。”
当然,仍有部分CIO 正在评估整体形势、收集信息,以便做出务实决策。“我们正处于积极评估和审视的阶段,”Xebia的Shanker(尚克)说,“驱动落地的具体需求尚未完全明朗,这意味着我们必须回归基础,确保方案具备模块化、可扩展、安全与本地化等特性,以随时响应市场和区域监管的变化。”
四、CIO 如何主导适应性变革
数字主权和区域数据法规的兴起,正在重塑全球企业的云、数据和运营战略。为应对这一变局,各国CIO 正带头推进多项举措:将工作负载回迁、部署主权云或区域云专区、建设边缘数据中心,并加倍强化数据管控与审计。
“这些法规彻底改变了我们的运营版图,”Gilbert(吉尔伯特)说。“像阿联酋这样有严格数据驻留要求的国家,迫使我们重新评估敏感信息的存放位置。”Sutherland Global 的应对之策,是使用大型云厂商的本地化数据中心——即主权云——同时加强访问控制,以符合跨境传输限制。尽管成本随之上升,却势在必行。
Xebia 则更进一步,着手构建可跨区域、自研架构的数据基础设施。Shanker(尚克)表示。:“我们意识到,与其在未来法规变成硬性要求时手忙脚乱,不如现在就自建能力,在运营层面,我们正投入团队培训,涵盖数据驻留、加密密钥管理以及符合主权要求的 DevOps 实践。”
另一种面向未来的策略,是打造可在多司法管辖区通用的系统。“很多跨国经营的美国公司干脆在全球推行类 GDPR 的做法,”Asperitas 的Wheeler(惠勒)说。虽然这种方式比在每个国家分别运营更省钱,但整体成本仍会增加。
平台型厂商的CIO 面临的运营压力可能最大。Blandina(布兰蒂纳)解释说,数字主权促使 Snowflake 支持新的云区域、区域边界控制以及在主权市场内的本地部署。他说:“关键在于构建足够灵活、又能满足各地要求的安全数据架构,同时保持全球规模,主权要求并非绊脚石,而是打造更强大、面向未来数据战略的催化剂。”
五、合规责任(基本)落在平台肩上
数字主权合规的负担,到底由云平台承担,还是由使用它们的企业承担?尽管少数“硬核”企业会自建跨区域或自托管方案,但大多数企业仍指望云厂商提供区域化控制来满足合规需求。于是,“data localization-as-a-service”(数据本地化即服务)正成为新兴的云服务模式。
“我们多年来一直采用 SaaS 方案,同样也希望这些供应商帮我们在全球范围内满足数字主权合规要求,”Murr(默尔)表示。“就像历次技术演进一样,这最终会演变成一种 X-as-a-service (一切即服务)的现成能力,企业拿来即用。”
把合规压力“外包”给平台,还能让企业继续采用最佳组合方案。他补充道:“云厂商拥有所需的基础设施和专业能力,并有机会把主权服务变成可观的新收入来源”。
Crawford(克劳福德)指出,终端用户根本跟不上节奏——没人能成为所有法规的专家。因此,他们会依赖供应商把合规能力内嵌到工具中。谁离业务数据最近,谁就最适合做这件事:SAP 掌管交易数据、IBM 负责大型企业系统、Salesforce 管理客户数据、ServiceNow 或 Workday 处理员工数据,都是顺理成章的分工。
Xebia 的Shanker(尚克)也认为,CRM、ERP 等平台商理应把主权合规功能做成可选项。然而,企业仍需对架构决策、数据治理和运营治理负最终责任。
也有人主张“责任共担”。Blandina(布兰蒂纳)表示,合规最有效的方式是双方共同发力,平台方必须率先打造安全、默认合规的基础设施,并把复杂性抽象掉;终端用户则须主动治理工具如何落地。最终才能形成更强大、更具韧性的合规态势。
六、CIO 应对数字主权的行动指南
全球CIO,尤其是总部位于美国企业的首席信息官们,正面对日益碎片化的全球监管环境。Shanker(尚克)预判,这一现实将重塑技术供应商生态,为创新和新的领跑者腾出空间。他说:“不妨把眼光放到传统伙伴和联盟之外”。
在这动荡的形势下,企业必须未雨绸缪,而非被动应付,才能为下一轮监管变化做好准备。这意味着要在客户所处的具体司法辖区及其监管需求内提供服务,并优先选择默认具备这些能力的平台。
“应当优先选用已经把数字主权方案内嵌到平台的 SaaS 供应商。”Murr(默尔)建议。Blandina(布兰蒂纳)则补充,全球企业应重点投资于那些“按设计即可配置、透明且合规”的平台与伙伴关系。对他来说,这等同于利用模块化、即合规的架构,为未来的可选项而设计。“监管环境将持续演进,数字主权的要求只会越来越细致。”Blandina(布兰蒂纳)说。
同时,组织还需建立监控机制,以便在发生合规违规时第一时间知晓。Crawford(克劳福德)提醒:“法律要求一旦出现泄露,计时即刻开始,且必须通知受影响方。问题在于,如果缺乏治理,你甚至可能浑然不觉。”
七、云已不再无国界
在美国,已有20 个州通过了全面的数据隐私法;随着各国专属法规层出不穷,我们正迈向一个日益“去全球化、被分割”的世界。这股潮流折射出国家与地缘政治的不确定性、对隐私的焦虑升级,以及数字数据对社会整体的核心价值。
“随着数据在经济政策、国家安全和创新中的地位愈发关键,数字主权的重要性只增不减,”Blandina(布兰蒂纳)说,“我认为主权需求才刚刚显现,率先在这一领域创新的公司与平台将最能赢得未来。”
过去二十年,无拘无束的云计算全面取代本地部署;如今,钟摆正摆向“强治理”。Shanker(尚克)指出,“未来势必将出现更严格的数据本地化要求、更多监管碎片化,以及对数字资产更强控制力的期待。因此,企业 IT 必须从‘效率优先’演进为‘主权韧性’,在保留标准化与效率红利的同时,为多样化选择留足空间——这将是新命题。”
对多数全球CIO 而言,不合规的风险已大到无法坐视。除了罚款,市场禁入与声誉受损都可能给企业带来沉重打击。不同地区的主权形态各异,需要精细应对。综合上述因素,行动刻不容缓。
“你必须在应用架构与数据治理模型上做得更颗粒化、更老练。”Crawford(克劳福德)说。虽然生成式 AI 未来或许能提供助力,但属地数据法的独特性与持续演进,让非确定性 AI 成为高风险赌注。因此,保持敏捷,随时准备拥抱新的主权法规。正如Crawford(克劳福德)所言:“上车、系好安全带,然后抓紧了。”
作者:Bill Doerrfeld(比尔·多尔菲尔德)
Bill Doerrfeld(比尔·多尔菲尔德)是一位专注于企业级云软件前沿技术的科技记者,现任Nordic APIs(面向 API 实践者的全球知识社区)主编,同时为DevOps.com、Cloud Native Now(前 Container Journal)及Acceleration Economy撰稿。
他出生于美国西雅图,曾就读于华盛顿大学,现居住并工作在缅因州波特兰。
译者:小知
睿观:
在地缘政治紧张、网络攻击和隐私焦虑的共同推动下,全球正迎来一波以GDPR、CCPA为代表的、日益碎片化的“数字主权”法规浪潮,这宣告了“云无国界”时代的终结,并对全球CIO(首席信息官)的云与数据战略构成了根本性挑战。为应对这一变局,CIO们正积极采取行动:在战略上,从被动观望转向主动规划,将重心从“效率优先”转为“主权韧性”;在架构上,正探索可迁移的、与地理位置无关的架构,并倾向于采用云厂商提供的“主权云”或区域化解决方案;在治理上,则加倍强化数据管控与审计,并将大部分合规压力传导至SAP、Salesforce等平台型供应商。因此,CIO必须接受这个日益“区域化”的数字世界,将数据本地化与合规能力,视为未来架构的核心设计原则。成功的关键在于构建一个足够灵活、模块化且默认合规的IT生态系统,在满足各地主权要求的同时,仍能保持全球运营的效率与创新活力。
过去二十年,CIO们努力将业务“送上”无国界的云;未来二十年,他们必须学会如何让云“降落”到有国界的数据领土上。
