数据自主与数据驻留：有什么区别？

核心区别在于，数据自主是一个法律概念，而数据驻留是一个地理类别。但这两个概念密切相关。

数据驻留通常决定了数据自主。例如，如果一家企业将数据存储在爱尔兰的数据中心，则该数据也位于爱尔兰。由于数据位于爱尔兰，因此爱尔兰对其拥有自主。企业必须遵守爱尔兰政府规定的任何数据保护法、数据隐私法和其他监管要求。

尽管如此，驻留地并不是决定谁拥有数据司法管辖权的唯一因素。其他因素，例如数据最初在哪里收集或与谁相关，也可能发挥作用。

数据自主和数据驻留是当今组织重要的数据治理概念。企业如今收集和处理的数据量空前庞大，且通常借助云计算与软件即服务 (SaaS) 应用来完成这一过程。

其结果是国际数据流大幅增加。企业可能会从一个国家或地区的人员收集数据，将其存储在第二个国家或地区的数据中心，并使用在第三个国家或地区运行的基于云的应用程序进行处理。数据可能必须满足这些地点的不同法律要求。

组织需要牢牢掌握数据在其生命周期的每个阶段的存储位置，以及在每个区域中必须遵循的规则。企业可能会因违反当地数据法律而受到重罚。

数据存储位置是指数据的物理位置。如果存储或处理数据的数据中心、服务器或其他机器实际位于特定的国家、州或地方，则可称数据位于该地方。

由于业务数据可以多次移动，因此单个组织的数据可能存在多个位置。

假设一家企业总部设在美国，收集美国消费者的个人数据，并将数据存储在美国的服务器上。显然，这些数据驻留于美国。

现在假设该组织使用 SaaS 应用程序来处理这些数据，并且该应用程序的服务器位于加拿大。传输到加拿大服务器进行处理的任何数据现在可能都驻留于加拿大，并且可能受加拿大数据法的管辖。

数据驻留要求通常源于组织的内部政策要求或合同承诺，独立于任何对数据本地化的监管要求。

但是，组织并不总是能够选择其数据的驻留位置。一些地区的法律提出了数据本地化要求，规定组织必须在特定位置保存或处理其数据。

虽然这两个术语有时可以互换使用，但它们指的是两个不同的概念。数据驻留描述了数据的存放位置。数据本地化是指将数据保留在创建数据的位置（即，保留在本地）的法律要求。

一些国家或地区有数据本地化要求，根据此类要求，组织必须将在该国家或地区创建的数据保留在该国家或地区境内。这些要求的范围从仅在该国家或地区保留数据副本到禁止将数据传输到该国家或地区之外。

数据自主是指数据受其产生或处理的国家或地区法律约束的概念。如果一个国家对某项数据拥有“自主”，即意味着该国对该数据拥有法律管辖权，包括出于国家安全目的。  

数据自主通常由驻留地决定。如果数据驻留在某个地方，则通常受该地方的法律约束。

部分数据自主法规会随数据流转而适用，无论数据流向何地，相关法规均对其具有约束力。例如，欧盟《通用数据保护条例》(GDPR) 适用于欧盟居民相关数据，即便这些数据在欧盟境外存储或处理。

因此，不仅数据所在的位置具有相关性，而且数据的收集位置或相关人员也具有相关性。

就像数据可以有多个驻留地一样，它也可以属于多个自主实体。例如，驻留在欧盟国家或地区的数据必须遵守该国家或地区的当地法律和欧盟范围内的 GDPR。

数据自主要求可能有所不同：

• 一些国家或地区限制公司可以收集的敏感数据种类以及收集数据的方式。
  
  
• 一些国家或地区对组织使用特定类型的数据施加限制。
  
  
• 一些国家或地区强制实施某些网络安全控制措施，并要求组织在发生数据泄露时遵循特定的流程。
  
  
• 一些隐私法规赋予数据主体对其数据的许多权利，包括删除数据的能力。

不遵守当地数据法可能会导致罚款或其他法律处罚。它还可能造成声誉损害。如果组织无视数据隐私法规，客户可能会将业务转移到其他地方。

数据驻留和数据自主要求可以影响组织做出有关其收集的数据类型、使用数据的方式及其构建的 IT 基础架构的决策。

如今，组织会从全球范围内的更多数据源（网络应用、业务系统、物联网设备）收集更多类型的数据（客户数据、运营数据、交易数据）。许多组织使用云服务来进行数据存储、处理、分析及其他关键工作负载。

当数据在组织的与云连接的 IT 基础设施中移动时，它可以跨越多个边界。无论数据流向何处，都可能会受到新法律的约束。与云供应商合作时，组织需要了解数据在哪里进行存储、备份和处理。

组织可选择与基础设施部署在本地区的公有云服务商合作。部分组织采用硬件部署在指定位置的私有云。

许多组织采用混合多云方法，使用多个公有云和私有云环境及提供商。这种混合多云方法可以帮助组织构建遵守不同地点的不同数据法所需的基础架构。

云端数据驻留和自主的复杂性促进了自主云的发展，自主云是一种旨在帮助组织遵守不同地区的法律和监管要求的云计算。

些组织选择本地部署数据系统，而不是云存储和云处理。将数据保留在本地有助于减少某些合规性问题，但这些安排也可能比云成本高昂，且可扩展性较差。

一些国家或地区要求组织采取某些措施来保护数据，例如应用特定的访问控制和威胁检测技术。

虽然防止未经授权访问敏感信息已经是大多数组织的首要任务，但数据驻留和自主可能决定他们必须采取的具体数据安全措施。

部分数据法规对组织处理其所持数据的行为作出了明确规定。

例如，部分法律规定，除非满足特定限制性条件，否则禁止使用敏感数据。部分法律赋予个人对其个人数据相当广泛的权利，包括按需删除其个人数据的权利。

受这些法律管辖的组织必须建立机制，确保数据得到合理使用，并确保消费者能够轻松行使自己的权利。

数据驻留和自主要求可能会对人工智能 (AI) 和机器学习 (ML) 工作负载产生影响。

一些国家和地区限制在某些类型的数据上使用 AI。例如，《欧盟 AI 法案》禁止诸如社交评分系统和 AI 系统利用某些漏洞，例如由于年龄或残疾而造成的漏洞。

此外，如今很少有组织会从零搭建自有 AI 模型。多数组织会使用由第三方提供商提供、部署在云端的 AI 系统，而这类系统同样会带来与其他云服务一致的复杂性问题。

对 AI 安全使用的担忧，使得人们对自主 AI 的关注度日益提升。自主 AI 是指各国致力于开发自主 AI 系统，并在其境内对 AI 实施监管的相关举措。

AI 治理工具可以帮助组织更好地了解和控制 AI 在其 IT 堆栈中的部署方式和位置。通过提高可见性和控制力，组织能够确保其 AI 和 ML 应用程序在遵守相关法规的同时创造价值。

免责声明：客户有责任确保遵守所有适用的法律和法规。IBM 不提供任何法律咨询，也不声明或保证其服务或产品确保客户遵循任何法律或法规。