数据安全法规的经济性权衡 —— 对数据存储的影响

Source: DavidFriend, Datasovereignty:Thehiddeneconomictrade-offs, July24,2022

按：

• 本文内容有点隐晦，实际上是想表达数据安全相关法规从全球不同区域来讲对数据存储（云存储，本地存储）的影响。

• 所有跨国企业工作的IT人员估计已经被数据安全合规（PIPL/GDPR/...）搞得焦头烂额！
  

• 经常有人把“数据”比作“石油”，或者把“云计算”比作“发电厂”，这都是偏颇的。最本质的区别是，“数据”本身就是有价值的，数据本身是有标识的，并且“数据”本身就是“资产”。但是，一滴石油、一个电离子自身没有价值，只是在被利用后才有价值。归根到底，作为用户（特别是行业用户）必须要把掌握“数据主权”。

• 数据不会像“发电”一样都集中到“发电厂”，而是大多数分散或集中在客户有充分掌控力的区域范围内（数据中心和边缘）。

数据主权——各国可以规范其境内数据存储的原则——已经成为一项重要的政治任务。欧盟、美国、印度和许多其它司法管辖区正在努力建立全面的法律框架，严格管理数据的跨境收集、存储和分发方式。

这场辩论的大部分都是通过政治和管理哲学的视角来看待的，被框定为个人隐私与技术创新的斗争，或者大型科技公司和国家政府之间的权力斗争。

虽然这些是围绕数据主权的辩论的主要内容，但它们掩盖了辩论的另一部分，我们没有看到太多讨论：来自这些法律的经济权衡。在关于保护公民数据隐私的崇高宣言背后，隐藏着一些顽固的民族主义经济考虑。政策制定者和行业参与者需要了解数据主权法律的真正成本和收益，包括政治和经济。

数据主权的优点：更多就业和投资

在实施过程中，数据主权法律将要求用户明确同意将其数据传输到其它司法管辖区。对于大型组织和企业而言，这意味着将其客户数据移出收集数据的国家/地区可能是非法的。因此，数据主权法可能会迫使组织在本地存储数据，即使这样做可能会花费更多。在不同国家/地区存储许多数据可能不仅更昂贵，而且可能会使数据分析和正常业务流程显著复杂化。

从本质上讲，组织需要投资本地数据存储，而不是利用可能在其边界之外可用的较便宜的存储。例如，印度的一家公司可能不被允许在英国存储其数据，而巴西的公司不能在美国存储某些数据。对于存储供应商，特别是云存储供应商来说，数据主权意味着必须在它想要推销其服务的每个国家/地区建立物理设施。

虽然人们可能会争论通过禁止在外国领域内存储来保护公民隐私的好处，但对于迫使供应商建立本地数据中心以遵守数据主权法的经济利益却没有争议。这些法律促进了资本投资的涌入，当地创造了就业机会，并增加了对当地商品和服务供应商的需求。

实际上，数据主权法具有推高国家市场对数据中心需求的效果。伦敦的组织以前可能能够将数据存储在阿姆斯特丹等低成本位置，而现在则需要在本地数据中心购买计算和存储空间。

虽然对本地数据存储的这种要求意味着对建造和安装数据中心的材料，零件和工人的更大需求，以及人们运营这些数据中心的永久工作，但在伦敦运营数据中心可以说比在阿姆斯特丹运营数据中心更昂贵。增加的成本可能会拖累利润，最终必须转嫁给消费者。

然而，从表面上看，数据主权似乎是一个非常积极的事情 —— 各国正在创造更多的就业机会，扩大税基，同时引导自己的技术生态系统，鼓励进一步的增长和创新。

数据主权的缺点：客户成本较高

单位经济学有利于更大规模：也就是说，运行一个大数据中心比运行十几个小型数据中心更便宜。在一个国家/地区运行数据中心的成本可能与在附近国家/地区运行数据中心的成本有很大不同。数据存储向云的迁移降低了存储和计算的成本，正是因为公司能够将存储和处理能力集中到高效、低成本的位置，并从维护、人员配置成本和采购的规模经济中受益。

例如，德国的电力成本约为每千瓦时24欧元，而隔壁荷兰的电力成本仅为其一半。通过迫使德国组织将其数据存储在德国境内，客户最终可能会支付更多费用，并且在安全性或性能方面不会带来重大好处，因为荷兰的数据保护法与德国的数据保护法相当。

运营商现在被迫建造许多较小的数据中心，而不是全球范围内的几个大型数据中心。因此，数据存储的消费者最终会支付更多费用，至少抵消了资本流入和创造就业机会的部分经济效益。

数据主权法还有一个值得注意的环境角度。放置数据中心的最佳地点是寒冷的地方，并且可以使用廉价能源，例如冰岛或斯堪的纳维亚半岛。如果您可以通过简单地从外部引入冷新鲜空气来冷却数据中心，而不必在炎热的气候下运行大型空调工厂，那么数据中心对环境的影响就会小得多。考虑到数据中心使用的大量能源，数据主权法对环境的影响可能会在未来几年被视为一个更严重的问题。

数据主权的评估

对于组织以及那些为它们提供云服务的组织来说，确保正确安全地处理最终用户的数据是一项基本职责。如果一个司法管辖区的数据主权法律是客户期望正确和安全处理的标准，那么这是客户应该能够毫不犹豫地期望的。这不仅是良好的道德规范，也是良好的商业意识——最终，组织需要遵守这些法律，因为它们代表了在其领域开展业务的法律和要求。

但是，在评估不同程度的严谨性下，许多不同的国家数据主权法律的后果时，我们必须记住，这些法律确实会产生连锁反应。虽然围绕数据主权的大部分辩论都是从原则和理论的角度来构建的，但我们需要记住，这些法律可以而且确实对人们的生计产生重大影响，对于负责任的政策制定者来说，在辩论和决定这些法律时牢记这一点至关重要。

以最经济的方式为客户提供存储。数据主权法要求建立许多小型数据中心而不是几个大型数据中心。但也可以理解为什么那些想要创造就业机会和发展国家科技生态系统的人可能会认为数据主权是一种福音。

最终，政策制定者的工作是权衡这些相互竞争的利益，并决定哪种行动方针在原则上和符合共同利益方面是最好的。