2025数字主权:掌控数据与系统的战略指南

本文深入探讨2025年数字主权的发展现状,分析云计算提供商应对策略,并提出企业组织实施数字主权的具体方法。文章涵盖数据分类、系统架构设计、风险管理等关键技术内容,帮助企业构建可控的数字基础设施。

重获控制权:2025年的数字主权

数字主权的兴起

主权自民族国家发明以来就一直很重要——由边界、法律和税收来定义内外适用。虽然许多人试图定义它,但核心思想始终如一:国家或司法管辖区寻求保持控制,通常是为了其境内人民的利益。

数字主权是一个相对较新的概念,同样难以定义但易于理解。数据和应用程序不理解边界,除非在政策条款中明确规定,就像编码到基础设施中一样。

万维网在最初并没有这样的限制。像电子前沿基金会这样的社群团体、服务提供商和超大规模云厂商、非营利组织和企业都接受了一种模式,认为数据会自我管理。

但数据不会自我管理,原因有几个。首先,数据严重失控。我们一直在生成更多数据,至少在过去二三十年(根据我进行的历史调查),大多数组织并未完全理解其数据资产。这造成了低效和风险——尤其是普遍存在的网络攻击漏洞。

风险是概率乘以影响——而现在,概率已经飙升。入侵、关税、政治紧张等带来了新的紧迫性。去年此时,关闭另一个国家IT系统的想法还未被考虑。现在我们看到这种情况正在发生——包括美国政府阻止访问海外服务。

当前数字主权格局

自去年此时以来,情况发生了很大变化。未知因素仍然存在,但去年此时许多不明确的事情现在开始变得清晰。术语更加明确——例如讨论分类和本地化,而不是泛泛的概念。

我们正在见证从理论到实践的转变。政府和组织正在制定以前根本不存在的政策。例如,一些国家将"境内"作为主要目标,而其他国家(包括英国)则采用基于可信地区的风险方法。

风险优先级也在发生变化。从风险角度看,机密性、完整性和可用性这一经典三要素是数字主权对话的核心。历史上,由于对美国云法案的担忧,重点更多地放在机密性上:基本上,外国政府能否看到我的数据?

然而今年,由于地缘政治和对第三国数据可访问性的真实担忧,可用性的重要性正在上升。从主权角度讨论完整性较少,但作为网络犯罪目标同样重要——勒索软件和欺诈是两个明显而现实的威胁。

更广泛地思考,数字主权不仅关乎数据,甚至不仅关乎知识产权,还关乎人才流失。各国不希望他们最聪明的年轻技术人才大学毕业后最终都去了加利福尼亚或其他更具吸引力的国家。他们希望将人才留在国内并在本地创新,以利于本国GDP。

云提供商的响应

超大规模云厂商正在追赶,仍在寻找满足法律字面要求而忽略(法语意义上的)其精神的方法。如果微软或AWS在法律上已经被要求做相反的事情,那么他们说将尽一切努力保护司法管辖区数据是不够的。在这种情况下,立法(美国立法)说了算——我们都知道这现在有多么脆弱。

我们看到超大规模云厂商的进展是他们提供由第三方而非自己本地管理的技术。例如,谷歌与泰雷兹的合作,或微软与Orange的合作,两者都在法国(微软在德国也有类似合作)。然而,这些是点解决方案,不是通用标准的一部分。同时,AWS最近关于创建本地实体的公告并未解决美国过度干预的问题,这仍然是一个核心问题。

非超大规模提供商和软件供应商的作用日益重要:例如,Oracle和HPE提供可以本地部署和管理的解决方案;Broadcom/VMware和Red Hat提供技术,本地私有云提供商可以托管。因此,数字主权成为在更广泛参与者之间重新分配"云支出"的催化剂。

企业组织可以做什么

首先,将数字主权视为数据和应用程序战略的核心要素。对一个国家来说,主权意味着拥有稳固的边界、控制知识产权、GDP等。这也是企业的目标——控制、自决和韧性。

如果主权不被视为战略要素,它就会被推到实施层,导致低效的架构和重复工作。更好的做法是预先决定哪些数据、应用程序和流程需要作为主权处理,并定义支持这一点的架构。

这为做出明智的资源配置决策奠定了基础。您的组织可能已经在关键供应商或超大规模云厂商上下了大赌注,但多平台思维日益占主导地位:多个公共和私有云提供商,具有集成的运营和管理。主权云成为结构良好的多平台架构的一个要素。

实现主权并非成本中性,但整体业务价值应该是切实的。主权倡议应带来明显优势,不仅是为了自身,还通过更好的控制、可见性和效率带来的好处。

了解数据在哪里,理解哪些数据重要,有效管理数据以免在系统间重复或碎片化——这些都是有价值的成果。此外,忽视这些问题可能导致不合规或完全非法。即使我们不使用"主权"这样的术语,组织也需要掌握其信息资产。

组织不应认为所有基于云的东西都需要主权,而应基于数据分类、优先级和风险构建战略和政策。构建这样的图景,您就可以首先解决最高优先级的项目——分类最强、风险最大的数据。仅这个过程就解决了80-90%的问题空间,避免在解决任何问题的同时使主权成为另一个问题。

从哪里开始?先照顾好您自己的组织

主权和系统思维齐头并进:这都是关于范围的。在企业架构或业务设计中,最大的错误是煮海——试图一次性解决所有问题。

相反,专注于您自己的主权。关心您自己的组织,您自己的司法管辖区。知道您自己的边界在哪里。了解您的客户是谁,他们的要求是什么。例如,如果您是一家向特定国家销售的制造商——这些国家有什么要求?为此解决,而不是为其他一切。不要试图为每个可能的未来场景做计划。

专注于您拥有的东西,您负责的东西,以及您现在需要解决的东西。基于实际风险对数据资产进行分类和优先级排序。这样做,您就已经在解决数字主权的道路上走了一半以上——同时获得随之而来的所有效率、控制和合规性好处。

数字主权不仅是监管性的,更是战略性的。现在采取行动的组织可以降低风险,提高运营清晰度,并为基于信任、合规和韧性的未来做好准备。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次