IDC一直密切关注主权云和AI主权的话题。特别是在当下地缘政治环境复杂的大背景下，企业如何在控制与创新之间找到平衡，在保障数据安全的同时实现业务发展，成为一道必答题。近日，IDC全球研究总监Massimiliano Claps、IDC中国研究副总裁周震刚联合撰文揭示，主权AI的核心理念并非追求绝对的封闭或开放，而是在安全合规与发展需求之间寻求和谐统一，真正将选择权掌握在自己手中。本文将梳理核心观点，与您一同探寻主权AI的破局之道。

各国政府机构与公共部门的高层管理者——如项目主管、CIO、CTO和CAIO等角色——始终肩负着双重使命：既要通过技术推动创新，又要控制好伴随而来的风险。从历史上看，私营部门的IT和业务领导者往往更敢于创新。不过，在受监管行业中，领导者所承受的压力与公共部门颇为相似。过去12到18个月里，这种张力在不断加剧。AI可能带来的巨大收益与颠覆性影响，引发了人们对于如何管理相关风险的担忧。同时，地缘政治的动荡，也让技术选择的战略自主性、数据的控制权以及运营韧性变得至关重要。这些变化交织在一起，汇聚成了当前关于主权AI的讨论。

主权辩论的演变：从战术控制到战略要务

速度与控制、创新与主权之间的张力，是当下数字化和AI战略的核心问题。这也正是主权辩论不断演变的焦点所在。之前，关于数字化和云主权的讨论，源于一个非常具体的担忧：敏感数据可能会被外国司法管辖区访问。如今，这种较为狭隘的担忧，已经扩展成了一个更宏大的命题。当前，主权已经成为一项战略要务，深刻影响着组织设计自身整个技术架构的方式。

今天，主权不再仅仅关乎“数据存放在哪里”，它涉及到对数据、基础设施、运营乃至供应链的控制。而AI主权则更进一步，它关乎对整个AI生命周期的控制——从模型开发、部署，到最终的治理。

IDC全球研究总监(Massimiliano Claps)

IDC研究表明，市场的信号非常清晰。各国政府正在积极投资主权AI能力，从国家云基础设施到本土的AI生态系统。它们通过各种激励措施推动本地数据中心建设，资助本土语言的AI模型，并制定指导方针，来规范主权解决方案的采购与部署方式。对于政策制定者而言，AI早已不再仅仅是一项技术，它已经成为提升经济竞争力和保障国家安全的重要工具。

对组织来说，这意味着一个全新的现实。如今，企业高层管理者（包括业务与IT负责人）面临的问题不再是设计单一的全球架构，而是如何在碎片化、多主权的世界中找到自己的方向。

选择正确的路径

面对这种复杂性，许多领导者都在寻找一个“标准答案”：到底哪种部署模式最有主权？实际上，市场上已经形成了一系列部署原型，从公有云到完全物理隔离的环境，不一而足。每种模式在控制力、敏捷性、创新速度和成本方面，都各有利弊。没有哪种模式可以包打天下。

一个受到高度监管的AI工作负载，可能确实需要一个主权环境，甚至是物理隔离的环境。而一个面向客户的应用程序，可能更适合利用公有云的可扩展性，同时辅以一些主权控制措施。

真正的挑战在于，要为不同的用例，甚至是同一个用例的不同组成部分，选择正确的模式。例如，AI训练用一个部署模型，检索增强生成用另一个，而代理型AI编排层可能又要选第三种。

正因如此，混合架构正成为公共和私营部门共同的主流模式。根据IDC 2025年数字主权调查（覆盖了900多名来自各行各业的IT及非IT领导者），37%的受访者表示“本地部署是目前的主要环境，主权云是（或将是我们唯一使用的）云类型”，而高达55%的受访者表示“主权云是（或将成为）我们多云/混合云战略的一部分”。

IDC预测⬇️

·“到2028年，跨国公司的CIO，将把对模块化、主权就绪的云和数据本地化环境的投资增加65%，以应对日益增长的主权需求，确保运营能够适应未来发展。”

·“到2026年，55% 的政府机构将采用混合主权云架构，将超大规模云服务商的能力与国家层面的控制相结合，确保AI应用合规、安全，并实现战略自主。”

公共和私营部门的领导者们，并未因此放弃云，而是在重塑云。他们将全球超大规模云服务商的能力与本地控制层相结合，构建出IDC所称的“主权就绪”环境。

这种做法也揭示了一个更深层次的真相：主权并不意味着自我封闭。主权的核心在于拥有选择权和控制权。

结合具体情况，IDC将主权云与主权 AI 划分为数据主权、技术主权、运营主权三个递进层级，主权掌控力度由低到高，企业无需追求一步到位，应结合自身合规要求、业务场景与创新节奏灵活选择适配层级。

1.数据主权的核心是数据的属地存储、访问权限与合规流转，确保敏感数据不出境、受本国司法管辖，是企业满足基础监管要求的最低门槛，也是主权 云和主权AI 的起点。　

2.技术主权聚焦算力硬件、模型框架、核心算法与供应链的自主可控，减少对单一外部技术的依赖，保障 AI 研发与迭代的技术自主性，适用于对安全与供应链韧性要求较高的场景。

3.运营主权指对云和AI 全生命周期的部署、调度、运维、治理、应急响应拥有完全掌控权，覆盖基础设施运维、服务连续性、权限管理与合规审计，实现从技术到落地运营的全流程自主。

IDC中国研究副总裁周震刚

IDC认为，企业不必盲目追求更高层级，可按业务属性分级适配：普通创新场景满足数据主权即可；核心 AI 业务需叠加技术主权保障安全；政务、金融、关键基础设施等高监管领域，则需完整实现运营主权，在安全可控与业务效率间取得最优平衡。

（刘立庆  图/文：IDC中国市场部）