政策动态：数据主权与云安全监管在全球范围内收紧

本周全球云治理领域发生多项重要政策更新。美国总统签署”纳税人保护承诺”，要求AI公司承担数据中心能源成本；欧洲云服务商敦促欧盟防止数字主权被”洗白”；加州实施更严格的网络安全审计要求。同时，NIS2、DORA和GDPR的执法力度持续加强。

主要新闻

美国总统特朗普于3月4日签署”纳税人保护承诺”，要求主要科技和AI公司承担数据中心的新能源和基础设施成本，而非将这些成本转嫁给美国消费者。七家领先科技公司已接受该承诺的条款，承诺自行为数据中心建设、购买或租赁所需的新发电资源，并支付所有新的电力输送基础设施升级费用。

Source: Ratepayer Protection Pledge Proclamation

24家欧洲云和数字服务提供商的高管于3月18日联名致信欧盟委员会，敦促在即将出台的《云和AI发展法案》（CADA）中嵌入真正的技术主权原则。他们警告称，措施不应被大公司的”数字主权洗白”所利用，应基于实际控制而非仅仅是欧盟存在。

Source: Don’t let hyperscalers hijack digital sovereignty, EC told

特朗普总统于3月6日签署行政命令，打击网络犯罪并发布《美国网络安全战略》。该战略包含六个支柱，包括积极的进攻性网络行动、简化监管以”减轻合规负担”、使用AI防御现代化联邦网络等。战略明确指出网络安全”不应沦为一昂贵的检查清单”。

Source: Trump Cyber Strategy 2026: Executive Order and National Strategy

加州隐私保护机构（CalPrivacy）于3月12日发布详细指南，要求符合条件的企业实施强制性年度网络安全审计。根据新规定，年总收入超过1亿美元的企业需在2028年4月1日前提交首次网络安全审计报告，审计必须由独立合格审计师执行。

Source: Getting ready for California’s new cybersecurity audit requirements

欧盟成员国于3月6日开始加速NIS2指令执法。德国对一家中型云服务提供商处以85万欧元罚款，原因是未能实施风险管理和事件响应程序。DORA合规截止日期临近，仅剩9个月，金融机构正在加紧准备以满足新的ICT第三方服务提供商监督框架要求。

Source: March 2026 Security Regulations Update: NIS2 Enforcement Begins, DORA Deadlines Approach

ProPublica于3月18日发布调查报道，揭示联邦风险与授权管理计划（FedRAMP）在安全审查人员对微软GCC High产品”缺乏信心”的情况下仍授予授权。报告显示，审查人员发现微软”缺乏适当的详细安全文档”，但仍批准了该产品处理敏感政府数据的资格。

Source: Despite Doubts, Federal Cyber Experts Approved Microsoft Cloud Service

本周的政策动态揭示了全球云治理的几个关键趋势：

能源成本外部化问题得到关注：白宫的纳税人保护承诺反映了AI驱动数据中心扩张带来的能源压力。将成本从消费者转嫁给AI公司是罕见的两党共识。然而，这一承诺的实际执行机制和长期影响仍有待观察。

数字主权的定义之争：欧洲云服务商的联名信突显了”数字主权”概念的争议性。核心问题是：主权是基于地理位置还是基于实际控制？美国云服务商受《云法》约束，可以在特定情况下被要求提供数据，这使得形式上的欧盟存在不足以满足真正的数据保护需求。

从合规到实质的转变：加州网络安全审计要求和NIS2/DORA的执法加强都表明，监管机构正在从”文件合规”转向”运营验证”。传统的年度审计和书面政策已不再足够，企业需要展示安全控制在实际生产环境中的有效性。

网络安全与AI的交汇：特朗普政府的网络安全战略将AI防御和进攻性网络行动作为优先事项。同时，加州新规将AI驱动的自动决策技术（ADMT）纳入监管范围。这些发展表明，AI正在成为网络安全领域的核心要素。

2026年第一季度见证了全球云治理的重大演变。从能源成本分配到数据主权定义，从网络安全审计到AI监管，政策环境正在快速变化。对于跨国企业而言，这意味着需要更加关注合规的区域差异，并建立能够适应多司法管辖区要求的治理框架。