存算分离架构及 AI 应用在整个数据生命周期中如何确保合规性？

来源：市场资讯

（来源：twt企业IT社区）

【面向AI时代的数据中心未来——金融核心系统存算分离的战略必要性共识探讨】· 安全与双重目标保障视角

背景

随着 AI 治理与数据安全领域相关监管要求日益严格，技术架构趋向存算分离的背景下，数据生命周期管理涉及生产、汇聚和消费域协作，单一领域难以独立应对复杂的合规挑战。在此背景下，构建一种跨域协同、系统化、自动化的合规治理体系变得尤为必要。这一体系可有效解决三域在监管解读、合规实施及审计准备上的协同问题，其核心目标是确立三域共同遵循的监管解读原则，明确存算分离架构及 AI 应用全生命周期的合规要点，形成协同准备审计材料的机制共识，确保符合监管要求。

议题主持导语

议题主持人：徐园园 某城商银行 数据架构师

随着 AI 治理与数据安全领域监管要求日趋严格，存算分离架构下数据生命周期涉及多域协作，单一领域难以全面应对合规挑战。在本议题中，几位专家与我们分享在各领域的实战经验，提供针对该议题下关键点的主张，以供同行参考。

■ 陈宏 某城商行 AI 算法工程师

面对复杂监管，需将合规要求翻译为三域通用语言，方能高效协同作战。

现在 AI 治理和数据安全的监管越来越复杂，尤其是在存算分离的架构下，数据从生成到清理的整个生命周期，往往牵扯到多个团队甚至多个域的合作。单靠一个团队根本搞不定所有合规问题，把监管要求翻译成三域都能理解、能执行的语言，在存算分离和AI 应用的各个环节落实合规，尤其是审计来了能高效协同准备材料，而不是各做各的，最后导致口径不一致。

■ 王辉 某大型金融机构 技术专家

技术赋能合规建设，采集、存储、训练、推理环节需全面防护。

采集阶段通过联邦学习 + 差分隐私等技术实现原始数据“可用不可见”，存储侧采用国产分布式存储国密算法加密敏感数据。存储层部署国产化软件定义存储（SDS），实现“计算节点 - 存储资源”的细粒度访问控制，核心数据区仅允许授权计算节点读取。采用容器化部署 AI 应用时，避免数据越权调用。定期开展存算链路的合规性扫描。

训练阶段使用经过脱敏的合规数据集，推理阶段对输出结果添加数字水印并启用安全围栏插件，防止敏感信息泄露。针对金融大模型，需通过第三方机构的模型合规性评估（如算法公平性、可解释性验证）。

■ 金海波 某银行 数据治理专家

三域协作合规落地，统一监管解读、协同机制与合规要点是关键。

从技术实现上看，数据库存算分离架构、云原生存算分离架构等因其将数据存储与计算资源解耦，客观上形成了一个逻辑上统一的数据平台。这一特性使得追踪和审计数据从产生到消亡的全生命周期操作具备了更为清晰和集中的技术基础。 基于此，三域协作满足合规性要求，需要从统一监管解读、协同合作机制、监管合规要点三方面落地：

1. 统一监管解读：建立统一的监管解读机制，联合生产、汇聚、消费域梳理监管要求，并统一进行解读，明确数据分类分级、权限管控、模型可解释性等统一标准，避免跨域合规理解偏差。

2. 协同合作机制：三域建立分工协同机制，建立日常台账分别记录，台账可以共享查询和追溯，例如数据流转（生产域采集日志）、存算操作（汇聚域存储 / 计算日志）、AI 应用（消费域模型使用记录），共建共享合规审计台账，联合输出审计材料，确保监管追溯可穿透。

3. 监管合规要点：生产域要保障源头数据授权合规。汇聚域要保障数据安全、留存期限，其中数据安全包括静态和传输。消费域确保调用计算资源时敏感数据符合权限要求。

■ 范容 某股份制银行 研发主管

构建技术 - 管理 - 法律三域协同机制，实现全链条合规治理。

让存算分离架构和 AI 应用在数据全生命周期都符合合规要求，需要围绕数据生命周期各阶段的合规规定，结合存算分离的技术特点和 AI 应用的业务特性， 搭建 “技术-管理-法律” 三域协同的全链条机制。

首先，要明确涵盖数据安全、个人信息保护、AI治理的核心监管法规，重点关注存算分离中数据传输安全、访问边界、权限匹配等问题，以及 AI 应用里训练数据合规、 模型伦理、 生成内容合规等特殊要点。在数据采集、存储、处理、传输、使用、销毁的每个阶段，都要结合具体场景落实合法授权、安全存储、最小权限、加密溯源、合规输出、彻底销毁等要求。同时，技术、管理、法律三域要遵循目的锚定、风险导向、 可追溯的原则， 通过技术协同搭建一体化平台，流程协同成立跨域委员会，审计协同建立证据池和预审计机制，再配上技术、管理、法律方面的保障措施，实现技术创新与合规风险的平衡。

■ 徐园园 某城商银行 数据架构师

以跨域协同、全流程管控与技制融合，构建合规架构体系。

数据生产域的存算分离架构在技术上的一个显著特点是，它通过存储与计算的解耦，为实现数据全生命周期的可管理性与可审计性提供了一个逻辑集中的操作平面。确保存算分离架构及 AI 应用在整个数据生命周期中满足合规性，需要从跨域协同机制、全流程合规管控、技术与制度融合三个维度构建架构体系，覆盖数据从产生、存储、计算、AI 训练、推理到销毁的全环节，同时动态适配监管要求。

存算分离架构下，数据存储、数据计算、AI 应用分属不同领域，首先，通过协同解决监管解读分歧与实施断层问题；其次，在数据生命周期的每个阶段设计针对性措施，确保合规要求嵌入流程；然后将技术与制度融合，技术工具支撑全流程管控，制度流程确保可追溯与问责。

■ 汪照辉 某证券 架构师

合规的关键，在于将技术问题升为统一认知的管理与治理层面的问题。

以法律合规为指引，作为系统建设和应用生命周期管理的原则来遵循，就能满足合规性。存算分离是信息系统构建方式，这个对于 IT 大部分人员来说应该没有太大难度，关键是怎么用好相关技术工具而已。其中，“怎么用、怎么管、怎么决策”就涉及到管理和治理的问题，这也是目前大部分企业面临的困难，首先是认知问题，上下能否统一认知，认知能够达到相关技术应用的要求，沟通是否顺畅，决策是否正确，决定了能否满足技术和合规性要求。

■ 顾黄亮 某金融 技术总监

合规不囿于存算分离，而赖各域权责清晰、链路联动。

基于技术的角度，AI 应用在整个数据生命周期中的合规性不会从存算分离的技术架构角度进行约束。不过，如果从合规的角度，可以划分各域责任边界，存储域聚焦数据加密与访问日志留存，计算域强化任务权限最小化控制，应用域确保用户行为可审计，同时通过接口规范实现全链路合规节点联动，这个事项的推动是很有必要的。

议题共识总结

当前，AI 治理与数据安全监管趋严，存算分离架构下数据生命周期涉及存储、计算、应用等 多域协作，单一领域难以独立应对合规挑战已成为行业共识。各位专家围绕存算分离架构及 AI 应用全生命周期的合规性议题，从多维度展开了深入探讨，形成了丰富且具实践价值的共识与洞见。多位专家强调，解决这一问题的核心在于构建跨域协同机制，通过统一监管解读，避免各域对合规要求的理解偏差，明确数据分类分级、权限管控等统一标准。建立分工协同的操作与审计机制，依托共享台账、全链路日志等实现合规过程可追溯，确保审计材料的一致性。同时，专家们也指出，合规治理需融合技术、管理与法律维度，以法律合规为根本指引，明确各域责任边界，通过跨域委员会、自动化工具等推动流程与技术融合。此次研讨为行业提供了从理念到落地的清晰路径，未来需持续加强跨机构经验交流，共同完善协同合规体系，在保障合规的前提下推动技术创新与业务发展，助力金融行业 AI 治理与数据安全水平的整体提升。