云计算的快速应用从根本上改变了组织存储和管理数据的方式。根据IDC的预测，到2029年，全球公有云服务市场预计将达到18,060亿美元，高于2024年的7730 亿美元。组织可以通过AWS、Azure、Google和阿里云等主要云提供商轻松地将数据存储在低成本和灵活的云环境中。但是，将数据存储至全球云提供商也可能导致失去直接控制权，因为数据可能会在客户不知情的情况下跨多个司法管辖区复制和存储。跨国组织在采用跨境云服务时必须应对复杂的法律和监管挑战，这需要战略规划和合规措施，以确保成功实施并降低潜在风险。此外，当前的挑战，例如欧盟（EU和美国（US）之间在数据传输协议上的紧张关系加剧，凸显了在快速发展的全球数据环境中解决这些复杂性的紧迫性。

云数据主权的概念

计划实施第三方数据管理解决方案的组织必须应对敏感数据的相关风险。这引发了对数据主权的担忧，即数据受其存储所在国家/地区法律管辖的原则。在考虑云计算时，这个概念变得复杂，因为数据可能存储在多个国际数据中心或司法管辖区。组织必须仔细考虑这些因素，以确保合规性并保护其数据。例如，2020年，尽管爱尔兰和欧盟法律根据《欧盟通用数据保护条例》（GDPR）保护存储在爱尔兰数据中心的数据，但美国政府命令微软提供对这些数据的访问权限，微软因此面临挑战。这一案例凸显了管辖权法律冲突的问题，并表明了在全球云环境中管理数据主权的复杂性。

数据由谁的法律管辖？

在全球云环境中，来自不同国家的法律可能同时适用于某些数据。例如，欧盟公民的数据仍将受GDPR的约束，即使该数据存储在美国的云中也是如此。然而，当各国的法律相互矛盾时，就会出现冲突。例如，美国CLOUD Act允许美国机构向美国云提供商索取数据，即使该数据存储在国外，而GDPR则限制向非欧盟国家传输数据。具体以哪部法律为准，取决于各国政府之间的合同和谈判。除了中国、欧盟和美国的成熟法规外，其他地区也在制定自己的数据主权框架。例如，巴西的《通用个人数据保护法》（LGPD） 与GDPR密切相关，并执行严格的数据保护措施。同样，尼日利亚的2019年数据保护条例（NDPR）已成为非洲的关键法律框架，确保跨境数据处理的合规性。在中东地区，沙特阿拉伯和阿拉伯联合酋长国（UAE）等国家正在引入隐私法来保护数据主权，以应对人们对跨境数据传输日益增长的担忧。这些不断发展的法规凸显了全球在不同法律环境下向更严格的数据管理转变。

法规如何适用？

企业必须评估数据流以确定适用的法规。例如，存储在AWS法兰克福数据中心的瑞士医疗数据仍必须遵守瑞士卫生隐私法。使用Azure、AWS或阿里云等全球云的组织必须制定合规流程，考虑到所有相关法律，这些法律可能要求本地存储、通知和同意要求，或限制外国实体访问公民数据。为了管理这种复杂性，企业通常使用合规性工具和自动化治理框架，如微软的Compliance Manager 和云安全联盟的CCM，以确保数据处理符合各种国际法规。这些工具有助于持续监控、自动报告和实时警报，确保企业无缝地保持跨境合规性。

跨境数据归谁所有？

当数据跨国界移动时，就会出现谁能访问、修改或删除数据的所有权问题。例如，美国签发的搜查令是否允许访问某组织存储在爱尔兰AWS的数据？所有权方面的争论还涉及知识产权保护，因为全球的商业秘密法各不相同。总之，与云提供商签订合同时确认跨境情况下的数据所有权是不可或缺的条款。

云数据主权涉及应对数据管辖权、适用法律和本地化合规性之间的重叠。它还涉及在使用跨境存储数据的全球云服务时确定数据控制权。这一程序需要在不同的法律环境和云提供商协议之间进行协调。

跨境云存储的治理挑战

使用全球云服务进行跨境数据流动给企业带来了复杂的治理挑战。主要问题包括：

司法管辖复杂性

在我们的数字世界中，大多数数据都存储在全球范围内。这意味着企业必须应对相互矛盾的国家法律法规。例如欧盟的GDPR则限制将数据传输到缺乏“充分”隐私保护的国家。这种司法管辖权的复杂性源于各国网络主权利益之间的根本冲突，并给跨国公司带来合规问题。因此，企业必须投入大量资金，监控各辖区的监管变化。

合规与审计

如果没有一致的审计和控制，很难证明符合各种法规。CSA的控制矩阵（Controls Matrix）等框架可提供帮助，但确保云提供商跨境合规处理数据仍具有挑战性。例如，在澳大利亚，《澳大利亚隐私法》的更新或修改要求对离岸数据处理发出通知，因此有必要调整管理流程。各组织必须定期进行内部审计和供应商审计，以降低违规风险。

供应商锁定

虽然多云使用可减轻地理依赖性，但在不同提供商之间传输大型数据集却很困难。此外，更换提供商并不能保证数据主权得到改善。这实际上将组织锁定在特定的云环境中。要避免锁定，就需要在做出云承诺之前制定可移植性政策并进行评估。这种方法使 Dropbox能够保留对其数据的控制，提高运营灵活性，并避免完全依赖于单一云提供商。

共同责任

合规职责的模糊性增加了治理难度。云提供商负责云的安全性，而客户仍负责云中的安全。然而，由于数据跨越国界，法律责任不明。因此，明确划分合规义务的强有力的服务合同至关重要。组织必须投资于治理框架，以克服跨境云固有的管辖权、审计、锁定和责任的挑战。

组织必须采用结构化方法来应对云数据主权的多方面挑战。一种方法是利用三层框架，将云挑战分为三个关键层：法律、治理和技术。法律层级侧重于确保全球法律合规性和管理司法管辖权冲突。例如，组织必须遵守GDPR、中国PIPL、美国CLOUD Act和其他当地数据隐私法规等法律，以降低跨境法律风险。

治理层强调治理中的最佳实践，包括审计和监控。组织应实施持续审计，跟踪监管变化，并保持各个司法管辖区的供应商合规性。最后，技术层强调加密和云基础设施以保护数据。在传输中和静态下的强加密，以及强健的访问控制，可降低泄露风险并确保遵守数据本地化法律。此框架可帮助组织系统地管理全球云环境中数据主权的复杂性。

虽然治理挑战会带来运营和法律风险，但它们也会影响隐私。确保跨多个司法管辖区的合规性本质上涉及管理用户隐私问题，尤其是在政府出台更严格的数据本地化和监控法律的情况下。

跨境存储的隐私问题

由于政府监控和不同的法律保护，跨境存储数据会带来重大的隐私风险。主要问题包括：

政府访问和监控

允许国内监控云数据的法律使外国政府能够在数据跨境后对其进行跟踪。例如，美国CLOUD法案允许美国机构访问由美国云组织控制的任何数据，即使这些数据存储在国外。

用户同意和控制

透明度是用户同意有效处理数据的关键，但云计算的复杂性掩盖了数据存储、处理和访问的位置。例如，许多用户没有意识到微软通常会在美国存储欧盟数据。不了解数据流，用户就无法合理地同意或控制自己的数据。对于敏感的医疗或财务信息来说，这尤其成问题。

数据本地化法律

许多政府颁布了本地化法律，要求公民数据存储在国内，以限制国外监控。例如，印度强制要求健康数据本地化以保护患者隐私。然而，通过限制数据流，本地化也会使云生态系统碎片化。管理本地化数据孤岛会增加全球提供商和用户的成本和技术负担。这些法律对全球云战略产生了重大影响，因为组织必须投资于特定地区的数据中心和基础设施，以遵守各国的法规。这会增加运营成本，尤其是对于依赖全球云提供商的跨国公司而言。例如，Amazon和Microsoft不得不在欧盟、美国、印度和其他国家建立本地数据中心以满足本地化要求，这增加了其全球运营的复杂性和费用。

总之，跨境数据使用户面临更大的隐私风险，这些风险包括政府过度干预、数据处理缺乏透明度以及本地化法律与云连接之间的冲突。解决这些问题需要让用户更好地控制跨境数据流。

跨境存储的法律风险

由于司法管辖权冲突、违约责任和合同差距，使用全球云服务的组织可能面临法律风险。主要风险领域包括：

相互冲突的法律管辖权

随着数据跨越国界，组织面临着相互矛盾的法律义务。GDPR禁止将欧盟公民的数据传输到隐私法较弱的地区，但美国CLOUD Act强制向美国机构披露美国公司持有的数据，即使这些数据存储在国外。美国的监控法律与亚洲和拉丁美洲的数据保护法规之间也存在类似的冲突。这种冲突网络增加了法律风险。因此，主动跟踪主要司法管辖区的数据法规至关重要。

数据泄露通知和责任

多国云环境中的数据泄露会引发复杂、重叠的通知责任，因为根据数据位置、公司总部和客户居住地适用不同的泄露通知法律。不通知会增加罚款和责任。影响欧盟和美国公民的违规行为可能会同时招致GDPR、美国健康保险流通与责任法案（HIPAA）和美国州级罚款。法律、合规和 IT 团队之间的密切协调是及时通知的关键。

云服务合同义务

当前的云合同通常存在管辖权差距，无法概述跨境合规性的问责制。为了管理风险，云服务级别协议（SLA）应指定与数据主权、每个地理位置的安全保障措施和法律变更管理相关的责任和义务。组织必须在这些协议中协商特定条款，例如数据位置、审计权利和数据传输条款，以降低法律风险。例如，组织应确保SLA定义数据的存储位置以及在什么条件下可以跨境传输数据。此外，必须建立明确的审计权，使组织能够核实数据保护法律的合规性，而数据传输条款应概述不同监管框架下合法数据传输的程序。审计权和云可移植性选项也应得到解决。

总之，对云中数据的管辖权主张相互冲突，为跨国公司创造了法律雷区。他们需要大量投资来了解监管分歧并重新设计提供商合同以消除责任。

降低风险的策略

企业可以实施各种数据治理、合同和技术控制措施，以降低全球云计算应用的法律、监管和隐私风险。这些控制措施包括：

数据映射和分类

通过数据映射对数据类型、位置、应用和用户访问进行编目，可提供跨境数据流的可见性，并支持合规性分类。根据敏感性和辖区进行分类，可对高风险数据进行选择性加密、本地化和限制访问。图1展示了如何在多个辖区内安全地处理化名数据，同时遵守当地的数据主权法律。它展示了数据在AWS和Azure等云服务中的流动，确保原始源数据仍然受到数据所有者的保护和控制。
图1-匿名化数据处理

定期审核数据映射文档对于跟上云架构和数据流的变化非常重要。为帮助企业有效地跨境映射数据，图2提供了如何按管辖区对数据进行分类并确保符合相关法规的分步直观表示法。
图 2--跨境数据映射分步指南

设计合规

从一开始就将合规性纳入云架构，比事后再改造治理节省成本。设计合规意味着应用司法数据分类方案，根据法律义务和主权风险来指导数据的存储、镜像和访问位置。合规团队应参与云解决方案的设计，以识别并解决数据主权风险。

供应商尽职调查

评估提供商的基础设施、加密方法、管辖权合规性和保证测试对于管理外包数据主权风险至关重要。合同应强制要求通知数据处理、存储位置和新的政府访问请求的变更。为进一步确保遵守跨境数据法规，企业可采用结构化流程来降低风险。实施数据主权措施有四个步骤：

• 数据映射——确定数据的存储位置和管辖范围。

• 司法管辖区合规性——确保遵守当地法规（例如欧盟的GDPR、中国的PIPL和巴西的LGPD）。

• 供应商尽职调查——核实云提供商是否符合当地法律要求，并对其合规性实践进行审计。

• 安全控制——根据数据的敏感性和相关司法管辖区的规定，实施加密和访问控制。

持续监控供应商的安全和合规实践，对于确保在签订合同后保持标准至关重要。

加密和访问控制

当法律保护不足时，强大的加密技术可提供技术保护。对敏感数据（如传输中和静态的医疗记录）进行加密可降低监控和违规风险。对加密数据的严格访问控制也有助于执行数据本地化要求。应定期审核加密和访问控制的质量和正确实施情况。

总之，三层框架为企业应对跨境云存储的复杂法律、治理和技术挑战提供了一种结构化的方法。通过将问题拆解成不同的类别——法律合规、治理实践和技术保障——企业可以系统地解决数据主权问题，并同时保持运营效率。对于在分散的法律环境中运营全球云的公司来说，积极的数据治理、合同承诺和安全控制是必不可少的。除了基本的治理实践外，企业还应采用稳健的数据本地化策略，确保在保持运营灵活性的同时遵守管辖法律。此外，组织必须集成自动化合规性工具，以持续监控数据流和法律框架的变化，从而能够及时响应不断变化的法规。强大的加密和访问控制对于保护敏感数据至关重要，但组织还必须优先考虑对其数据处理实践的定期审计，以确保跨云提供商的问责制。此外，企业应协商明确的服务水平协议（SLA），概述与跨境数据处理、审计权和数据传输协议相关的具体责任。通过建立全面的数据分类系统并与法律和合规团队密切合作，企业可以降低相互冲突的国际法规带来的风险，并确保全球云基础设施的长期数据主权。

结论

总体而言，随着云技术的加速应用，企业将努力使数据治理与围绕跨境数据流动的复杂法律和监管环境保持一致。数据管辖权的冲突、监控权力的扩大以及本地化授权的分散都加剧了合规风险。企业必须投资于分类敏感数据，绘制其跨境移动图，确保在提供商合同中进行合规处理，并应用加密等控制措施来帮助减轻这些挑战。解决数据主权问题对我们全球互联云的治理至关重要。人工智能（AI）等新兴技术开始在监管跟踪和合规方面发挥关键作用，帮助企业走在法律框架变化的前面。虽然法律冲突在很大程度上仍未得到解决，但技术控制和国际政策合作方面的进步为未来平衡数据流动的隐私、安全和经济效益带来了希望。

作者：ALEX MATHEW, PH.D., CISSP，伯大尼学院（美国西弗吉尼亚州）网络安全系副教授。

翻译：李京（Randy Li)，CGEIT，ISACA微信公众号特邀通讯员，关注IT治理、信息安全。  

校对：张锋，CISA，CIA、CISP、ISACA微信公众号特邀通讯员。