这十年来，地缘政治紧张、混乱和战争，促使企业想办法在强烈的不确定性中寻求发展。对于大多数公司及其首席信息官（CIO）来说，这意味着在严格的控制和监督下建立弹性运营。实现数字主权是这一努力的重要组成部分。

在Gartner的《2025年数字主权炒作周期》报告中，他们将数字主权定义为“对数据、运营和技术的自主权，同时能够在特定地理范围内遵守监管框架”。这家咨询公司还指出，数字主权包括：

• 数据所在的位置。
• 如何保护数据。
• 数据物理位置，包括处理数据的基础设施。
• 技术如何让企业保持运转。

当然，数字主权公司会降低失去对其数据控制的机会。但Gartner的结论更进一步：数字主权超越了保护个别组织免受伤害。其研究指出，“这对国家安全、经济复原力和运营连续性至关重要。”

无视数字主权的风险

专注于技术的公司Linthicum Research的创始人兼首席研究员David Linthicum表示，忽视数字主权会带来几种风险。其中有：

• 不遵守法律法规。
• 业务连续性受到损害。
• 声誉受损。

Linthicum指出，地缘政治极大地影响企业对其数据的控制权。

例如，A公司将其数据存储在位于欧盟（EU）国家的云提供商B的服务器上。云提供商B发现A公司正在与流氓国家开展业务（即受到欧盟制裁的国家）。云提供商B将A公司踢出其平台，让该公司不得不迅速地寻找替代选择。

其结果是：业务连续性中断。这种停机时间，加上A公司与不友好政权接触的消息，导致不良的公共关系（PR）以及客户和投资者之间的信任度下降。

Linthicum表示，企业有时会遇到与管理其云提供商总部所在国家的法律冲突。

他说：“很多欧洲公司非常担心与美国云公司打交道，因为美国执法部门存在风险——如果数据存储在美国服务器上，则无法传唤其数据。”

Linthicum补充说，这些担忧延伸到数据存储在欧盟的服务器上，但由美国云提供商管理的情况。此外，行政部门发生变化，这些法律也是如此，造成更加动荡的局面。

数字主权的好处

Linthicum说，尽管如此，当企业实现数字主权时，它们会降低与业务连续性、合规性和声誉相关的风险。他进一步表示，这增加了人们对如何处理其数据的理解，这反过来又促进了信任。

例如，如果一家德国公司证明，他们将其与德国客户有关的信息存储在位于德国的主权云中，那么这些人会放心，他们的个人数据不在半个地球的设施中，那里可能适用不同的法律。

Linthicum称，这在公关和客户关系方面具有价值。

首席信息官和业务领导者的行动计划

实现数字主权需要公司对其现状保持深刻理解。需要考虑的最佳做法包括：

建立情境意识

咨询公司Public Digital的合伙人兼首席技术官James Stewart说，组建一个团队，这个团队必须非常熟悉公司运营以及任何相关和潜在有害问题。

这个团队应清晰了解企业整个供应链所在地理市场的情况。此外，该团队监控企业的运营市场，以了解可能影响存储在那里的数据的变化或发展。

Stewart补充说，这个团队最好包括来自所有业务领域的代表。另一方面，高层领导优先考虑公司必须绝对控制的数据。

Stewart说：“这个团队需要共同努力，以便企业能够全面了解我们现在的工作方式，以及我们想要的工作方式。”

认识到数字主权超出数据中心的范围

虽然企业的信息通常存储在角落的数据中心，但确保数字主权不止于此。Stewart指出，必要基础设施的其他部分通常位于其他地方——有时甚至位于公司所在国家之外。

例如，如果一条关键的海底电缆被切断，互联网中断，数据中心无法访问该场外基础设施，会发生什么？

Stewart指出，当团队未能仔细审查端到端数字主权的要求时，他们往往缺乏数据控制，而他们以为自己拥有这种控制。

战略性地分析风险

对于伦敦经济与政治学院管理系信息系统副教授Will Venters来说，数字主权是一种平衡行为，既确保保持对企业数据的控制，同时又承担一些风险以获得竞争优势、简化工作流程或创新。

Venters说：“从安全的角度来看，将数据锁定在企业内部可能是最安全的选择。但从商业角度来看，这不一定是最安全的选择，因为你想推动价值，并建立业务流程，让你能够利用其他服务的生态系统。”

Venters称，企业必须避免笼统地分析风险。相反，领导者必须为特定的数据集分配风险容忍度。Venters承认，这不是一件容易的事情。

例如，一家公司正确地考虑对客户数据采取零风险政策。然而，如果数据挖掘可带来真正的商业创新呢？在这种情况下，Venters建议企业寻求技术，使他们能够在保持安全和数字主权的同时进行数据挖掘。

要求云提供商透明

有时，企业的数字主权很薄弱，因为其云提供商没有对其数据提供充分的控制。这就是Linthicum强调企业在与云提供商签署服务级别协议（SLA）时必须要求完全透明的原因，这包括：

• 有关云提供商的客户如何对提供商进行审计的详细信息。
• 云提供商的客户端如何访问其数据。
• 云提供商遵循哪个国家的法律。
• 数据物理存储的位置。

Linthicum说，如果企业要保持对其数据的控制，敲定这些细节至关重要。企业不希望他们的云提供商在不通知他们的情况下移动数据；这会产生合规风险，特别是如果该信息现在位于另一个国家。

相反，Linthicum表示，强大的SLA明确指出，云提供商必须在移动数据之前发出充分的通知，并在迁移过程中与客户合作。

明确审计云提供商的权利

Linthicum说，云客户有权审计其提供商的运营，SLA必须说明这一点。他补充说，企业在任何时候都应该能够：

• 访问存储他们信息的数据中心。
• 验证存储它的服务器。
• 检查备份和恢复系统，以确认数据没有发送到其他国家/地区进行备份和恢复操作。

Linthicum称：“你应该能够看到为特定应用程序存储数据的服务器，这些应用程序对你的业务至关重要。”

Linthicum承认提供商可能不情愿授予此访问权限；云提供商经常引用安全问题来防止客户访问。然而，如果供应商拒绝现场审计，Linthicum敦促企业考虑选择另一个供应商。

Linthicum说：“即使更换供应商花费更多的钱，你仍然会在降低风险方面弥补这一成本。”

他补充说，在过去，只有少数云提供商主导了这个领域。如今，企业拥有更透明的更好的选择。

投资数字主权规划

归根结底，实现数字主权需要仔细规划。Linthicum强调，这是一个复杂的过程，需要一支由熟练人员组成的多元化团队。

Linthicum说：“这需要一个更大的战略架构框架，以构建、部署和托管你的应用程序，这需要经过深思熟虑。你需要意识到，这会是一个复杂的异构系统。”