大型科技公司可能无法实现其数据主权承诺,这使得首席信息官们不得不自行找出一条前进的道路。
图源:Aleksei Gorodenkov via Alamy Stock Photo
首席信息官们当然对数据主权的挑战并不陌生。
信息管理解决方案公司OpenText的执行副总裁、首席数字官兼首席信息官Shannon Bell(香农·贝尔)指出,数据存储的方式和位置一直是首席信息官们关注的焦点,从本地系统时代到超大规模云服务提供商和SaaS应用程序时代都是如此。她说道:“始终很重要的是要了解你的数据在哪里以及你是如何保护它的”。
但当前的一些因素使得这项工作比以往任何时候都更加复杂。人工智能如今也加入其中,地缘政治紧张局势不断升级,同样令人不安的是——大型科技公司不得不重新考虑他们的数据主权承诺。
一、2025年的数据主权挑战
制定数据主权战略并非一项简单的任务,首席信息官们需要考虑来自多个方面的潜在挑战。
监控法与隐私法规:美国的CLOUD Act(《澄清境外数据合法使用法案》)赋予了美国政府对美国科技公司的管辖权,使其能够获取这些公司客户的数据,无论这些数据存储在何处。这项2018年颁布的法律允许美国公司在披露数据存在违反外国法律的重大风险时挑战政府的生产数据命令,但并不能保证获得豁免。
因此,当面临抉择时,美国的监控法似乎可能会凌驾于其他司法管辖区(如欧盟)的隐私法规之上。今年夏天,一位微软高管在与法国参议院交谈时也表达了类似的观点。微软法国公司公共和法律事务总监Anton Carniaux(安托万·卡尼奥)表示,如果接到禁令,该公司“无法保证”不会将法国公民的数据移交给美国政府。
这种不确定性引发了人们的担忧。研究和咨询公司Forrester的首席分析师Tracy Woo说道:“现在有很多关于‘我们应该管理主权云吗,是否应该更多地使用本地部署,是否应该依赖我们北美以外的公共承包商’的讨论。”
然而,由于主权问题而放弃主要的公共云服务提供商并不是一个现实的选择。这些提供商通常支撑着广泛的全球工作负载,因此迁移到新的架构将是耗时、昂贵且复杂的。此外,如果企业想要避开公共云,也没有一个简单的直接切换选项。寻找替代方案必须经过深思熟虑,而不仅仅是对一个挑战的反应。
Woo表示:“归根结底,从北美公共云服务提供商中脱离出来太困难了。不管喜不喜欢,他们都是全球基础设施的支柱。”
二、客户数据保护
除了美国监控法与欧盟隐私法之间的紧张关系外,全球组织的首席信息官们还需要考虑其所有客户所在司法管辖区的数据保护要求。
Bell(贝尔)解释说:“德国客户的数据保护要求与美国或新加坡客户的数据保护要求不同。”
首席信息官们必须决定是针对不同司法管辖区实施不同的监管标准以遵守当地法律,还是在所有数据上应用单一的最高标准,无论地理位置如何,这很快就变得难以管理。Bell(贝尔)说道:“在我的技术团队中有一个完整的合规组织,这个组织在20年前可能根本不存在。”
随着数据的大量激增,很容易就会犯错误。数据可能会出现在它本不该出现的地方。
Woo说:“获取透明度、对齐以及将这些内容集中存储在一个地方是非常困难的。”
企业软件公司Infor的首席信息安全官Mignona Coté(米格诺娜·科特)表示赞同:“你可以测试、测试、测试,但仍然会遗漏一个用例。那么就会有后果,会有你需要修复的事情。”
虽然在公司运营中可能会犯错误,但Woo指出,数据监管方面的错误尤其代价高昂。主权问题可能导致与当地政府的法律纠纷、罚款,甚至全球声誉受损。
Woo说,为了应对这些挑战和责任,公共云提供商多年来一直在努力解决主权问题,并为那些难以采用公共云的、受到严格监管的行业开发特定的主权解决方案。但ChatGPT“彻底改变了这一切”。
三、人工智能带来的额外复杂性
首席信息官们被期望在人工智能创新方面发挥引领作用——但要实现人工智能所期望的结果,首席信息官们需要良好的信息管理。用于训练模型的数据是什么?这些数据来自哪里?它们安全吗?人工智能项目是否以符合不同司法管辖区隐私法规的方式进行部署?
Bell(贝尔)说:“在部署人工智能方面存在一种紧张情绪,我认为这种紧张情绪来自与其他首席信息官的交谈中——对数据的不了解。”
Woo说道:“尽管从主要云服务提供商那里脱钩在许多方面都是不切实际的,但主权问题以及成本问题仍可能促使首席信息官们更倾向于采用本地化的方法。”
Woo解释说:“人们正在意识到,我们不一定需要公共云服务提供商的所有花里胡哨的功能,无论是出于延迟或性能原因,还是出于成本或主权原因。”因此,出现了将人工智能推到本地环境并进行迁移的趋势。
反过来,首席信息官们应该了解他们如何能够利用人工智能来改进和自动化数据管理。Coté(科特)说道:“人工智能可以被用作一种工具以查看数据是否流向其他地方。”
四、压力来袭
与此同时,时间在流逝。随着全球数据隐私法的广泛传播以及遵守这些法律的要求,主权已经成为一个重要的董事会层面的关切。高管们希望确保数据安全,并且符合监管要求,同时又不阻碍公司的运营,客户则希望他们的数据能够留在其运营管辖区内。
Coté(科特)说:“首席信息官将被视为能够解决问题的人,他们面临着巨大的压力。”
Bell(贝尔)将这种责任描述为IT组织的一种平衡行为,因为他们必须努力满足所有监管要求,同时又为团队保留足够的灵活性和敏捷性以进行创新。管理这些压力需要围绕IT团队的运作方式以及他们在组织内的形象进行文化变革。
为了取得成功,Woo概述了首席信息官们需要实现的几个目标:了解所有数据的存储位置,对这些数据拥有控制权和透明度,并确保完全符合监管要求。至关重要的是,他们需要确保在数据的所有阶段(无论是静止状态、传输过程中还是使用中)都应用了主权和法规。
五、混合模型用于应对挑战和不确定性
如何推进是一个挑战。目前围绕超大规模云服务提供商、数据主权、美国监控法规以及美国CLOUD Act(《澄清境外数据合法使用法案》)的问题仍在变化之中。Bell(贝尔)说道:“我认为这些拼图的碎片仍在逐渐展开。”
Bell(贝尔)表示,首席信息官们无法确切地说明拼图最终会呈现什么样子,但他们确实需要在拼图碎片逐渐拼合的过程中引领他们的组织向前发展,构建并部署既能保护又能充分利用企业数据的系统。
他们部署的解决方案的灵活性和可移植性至关重要,因为围绕数据主权的法规、标准和期望正在不断发展。
她预计混合模型将是未来的选择方向。
Bell(贝尔)说道:“也许在五到十年前,首席信息官们会告诉你,‘我要把100%的工作负载都放在云端。’现在,首席信息官们非常清楚,混合生态系统才是他们最终会落脚的地方,这只是一个关于你的工作负载中有多少比例放在哪里的问题。”
作者:Carrie Pallardy(卡丽·帕拉迪)
译者:木青
睿观:
随着微软等大型科技公司公开承认,在美国《CLOUD Act》(云法案)等监控法规下,他们无法保证能保护他国的数据主权,全球CIO(首席信息官)正面临一场日益严峻的信任危机,这使得完全依赖单一超大规模云厂商的传统策略变得不再可靠。AI(人工智能)的兴起进一步加剧了这一挑战,它不仅对数据治理提出了更高要求,也因成本和主权考量,推动了部分工作负载回迁至本地的趋势。然而,彻底脱离作为全球基础设施支柱的北美云服务商又极不现实,这让CIO们陷入了两难境地。因此,在法规和地缘政治持续变化的背景下,“混合生态系统”已成为CIO们公认的未来方向。成功的关键不再是追求“100%上云”,而是构建一个灵活、可移植的架构,根据不同司法管辖区的要求,战略性地在公有云、主权云和本地部署之间,动态地分配工作负载的比例。
未来的云战略,不再是一个“去哪里”的终点问题,而是一个“多少比例放在哪里”的、永不停止的动态平衡问题。
