自民族国家诞生以来,主权就一直至关重要——它由边界、法律和税收来定义,适用于境内和境外。尽管许多人试图定义它,但其核心理念始终如一:国家或司法管辖区寻求保持控制,通常是为了其境内人民的利益。
数字主权是一个相对较新的概念,同样难以定义但易于理解。数据和应用程序不理解边界,除非在政策条款中明确规定,并编码到基础设施中。
万维网在诞生之初没有这样的限制。像电子前沿基金会这样的社群团体、服务提供商和超大规模云服务商、非营利组织和企业都接受了一种模式,认为数据会自我管理。
但数据不会自我管理,原因有几个。首先,数据已严重失控。我们不断生成更多数据,而根据我进行的历史调查,至少在过去二三十年里,大多数组织并未完全理解其数据资产。这导致了低效和风险——尤其是普遍存在的网络攻击漏洞。
风险是概率乘以影响——而现在,概率已急剧上升。入侵、关税、政治紧张局势等带来了新的紧迫性。去年此时,关闭另一个国家IT系统的想法还不在考虑范围内。现在我们看到它正在发生——包括美国政府阻止对海外服务的访问。
数字主权不仅是欧洲关注的问题,尽管它常被如此描述。例如,在南美洲,我被告知主权正在主导与超大规模云服务商的对话;在非洲国家,它被规定在供应商协议中。许多司法管辖区正在观察、评估和审查其对数字主权的立场。
正如谚语所说:危机是没有时间解决的问题。数字主权曾是一个等待中的问题——但现在它变得紧迫。它已从抽象的“主权权利”转变为政府思维、企业风险以及我们如何架构和运营计算机系统中的明确而现实的问题。
自去年此时以来,情况发生了很大变化。未知因素仍然存在,但去年此时许多不明确的事情现在开始固化。术语更清晰了——例如,谈论分类和本地化,而不是泛泛的概念。
我们正看到从理论到实践的转变。政府和组织正在制定以前根本不存在的政策。例如,一些国家将“境内”作为主要目标,而其他国家(包括英国)则采用基于可信地点的风险导向方法。
我们还看到风险优先级的转变。从风险角度看,机密性、完整性和可用性这一经典三元组是数字主权对话的核心。历史上,由于对美国《云法案》的担忧,重点更多放在机密性上:本质上,外国政府能看到我的数据吗?
然而今年,由于地缘政治和对第三国数据可访问性的真实担忧,可用性的重要性正在上升。从主权角度谈论完整性较少,但作为网络犯罪目标——勒索软件和欺诈是两个明确而现实的风险——它同样重要。
更广泛地思考,数字主权不仅关乎数据,甚至不仅关乎知识产权,还关乎人才流失。国家不希望他们最聪明的年轻技术人才大学毕业后最终都去了加利福尼亚或其他更具吸引力的国家。他们希望将人才留在国内,进行本地创新,以利于本国GDP。
超大规模云服务商正在追赶,仍在寻找满足法律字面要求而忽视(在法语意义上)其精神的方法。如果微软或AWS在法律上已被要求做相反的事情,那么他们说会尽一切努力保护司法管辖区数据是不够的。在这种情况下,立法——美国立法——说了算,我们都知道这在当前是多么脆弱。
我们看到超大规模云服务商的进展,他们提供由第三方而非自己本地管理的技术。例如,谷歌与泰雷兹的合作,或微软与Orange的合作,两者都在法国(微软在德国也有类似合作)。然而,这些是点解决方案,不是通用标准的一部分。与此同时,AWS最近关于创建本地实体的公告并未解决美国过度干预的问题,这仍然是一个核心问题。
非超大规模云服务商和软件供应商的作用日益重要:例如,Oracle和HPE提供可本地部署和管理的解决方案;Broadcom/VMware和Red Hat提供本地私有云提供商可以托管的技术。因此,数字主权是“云支出”在更广泛参与者中重新分配的催化剂。
首先,将数字主权视为数据和应用程序战略的核心要素。对一个国家来说,主权意味着拥有稳固的边界、对IP、GDP等的控制。这也是企业的目标——控制、自决和韧性。
如果主权不被视为战略要素,它会被推到实施层,导致低效的架构和重复工作。最好提前决定哪些数据、应用程序和流程需要被视为主权,并定义支持这一点的架构。
这为做出明智的供应决策奠定了基础。您的组织可能已对关键供应商或超大规模云服务商下了大赌注,但多平台思维日益占主导地位:多个公共和私有云提供商,具有集成的运营和管理。主权云成为结构良好的多平台架构的一个要素。
实现主权并非成本中性,但整体业务价值应是切实的。主权倡议应带来明显优势,不仅为其自身,还通过更好的控制、可见性和效率带来的益处。
知道数据在哪里,理解哪些数据重要,高效管理数据以避免跨系统重复或碎片化——这些都是有价值的成果。此外,忽视这些问题可能导致不合规或完全非法。即使我们不使用“主权”这样的术语,组织也需要掌握其信息资产。
组织不应认为所有基于云的内容都需要主权,而应基于数据分类、优先级和风险制定策略和政策。构建这一图景,您就可以首先解决最高优先级的项目——分类最强、风险最大的数据。仅这一过程就能处理80-90%的问题空间,避免使主权成为另一个问题却什么也没解决。
主权和系统思维相辅相成:这都关乎范围。在企业架构或业务设计中,最大的错误是试图一口吃成胖子——试图一次性解决所有问题。
相反,专注于您自己的主权。担心您自己的组织,您自己的司法管辖区。知道您自己的边界在哪里。了解您的客户是谁,他们的要求是什么。例如,如果您是向特定国家销售的制造商——这些国家有什么要求?解决这个问题,而不是其他所有问题。不要试图为每一个可能的未来场景做计划。
专注于您拥有的、您负责的以及您现在需要解决的问题。基于实际风险对数据资产进行分类和优先级排序。做到这一点,您就已经在解决数字主权的道路上走了一大半——并随之获得所有效率、控制和合规益处。
数字主权不仅是监管性的,更是战略性的。现在行动的组织可以降低风险,提高运营清晰度,并为基于信任、合规和韧性的未来做好准备。
帖子 重获掌控:2025年的数字主权 首次出现在 Gigaom。
