去年帮一家区域性城商行做钉钉落地复盘时遇到一个典型场景:业务部门已经在公有云钉钉上自发跑了两年,建了 300 多个群、80 多张氚云表,工作流程已经深度依赖。直到合规部门一次内审,把所有用钉钉处理过客户身份证号、账户号的群聊和表格列了一张清单,整改令一发,业务停摆了三天。问题不是钉钉不安全,而是公有云形态本身就不该承载这一类数据,但没人在最开始把这条线划清楚。后来这家行重新走了一遍部署形态选型,核心业务迁移到专有云,协同层留在公有云,整个项目花了将近九个月。
这个案例不孤立。最近一年开沿接触的金融、医疗、政府类客户里,差不多有一半都卡在「公有云够不够用、专有云值不值得花、政企版是不是另一回事」这三个问题上。再往细里看,纠结点其实不是技术,而是合规边界和成本边界没人帮他们划清楚。这篇文章把开沿这一年在合规敏感行业里见到的真实情况整理成一份选型指南,覆盖五个合规维度、分行业底线、专有云真实成本、混合部署思路,最后给一张决策表。
一、钉钉三种部署形态:现在到底有什么
很多人以为钉钉只有「在线版」和「私有部署」两种,实际上现在主流的形态有三类,差别比想象的大。
第一类是钉钉公有云,就是大家在 App Store 下载、扫码注册就能用的版本,所有数据存储在阿里云的公共集群,按席位订阅,AI 能力跟随官方版本同步更新。绝大多数中小企业用的都是这一类,便宜、上手快、迭代跟得上。
第二类是钉钉专有云,过去也叫「钉钉专属」或「钉钉私有部署」。它是把钉钉的核心服务部署到客户指定的物理环境里——可以是客户自建机房、行业云、或者阿里云的专有云区域。账号体系、消息系统、文档、AI 推理都跑在隔离环境内,数据物理上不出客户的网络边界。形态又细分为「专有钉钉」(整套部署)和「混合云钉钉」(核心模块私有化、辅助模块公有云调用)。
第三类是钉钉政企版,是在专有云的基础上为政府机构、央国企、强监管行业做的定制形态,与电子政务外网、行业专网做了深度对接,并附带等保、密评、信创适配等合规证明。注册和采购通道也跟商业版分开,需要通过专门的政企渠道。
这三类形态的差异不是「贵 vs 便宜」这么简单,而是数据驻留位置、合规可证、AI 模型可达性、定制空间四件事都不一样。如果第一步把形态选错,后面无论花多少钱都补不回来。
二、数据合规的 5 个维度,公有云和专有云差在哪
很多人讨论部署形态时只盯着「数据存在哪」,但合规审计实际看的是 5 个维度。下面这张表是开沿在协助客户过等保三级和金融行业合规审查时常用的对照口径。
| 合规维度 | 公有云 | 专有云 | 政企版 |
|---|---|---|---|
| 数据驻留 | 阿里云公共区域,逻辑隔离 | 客户机房或专有区域,物理隔离 | 行业云或政务外网,物理隔离+地域要求 |
| 加密强度 | 传输 TLS+存储默认加密 | 可叠加客户自管密钥(BYOK) | 强制 BYOK+国密算法可选 |
| 审计能力 | 标准操作日志 30-180 天 | 全量审计日志,留存周期客户自定 | 全量+审计接口对接行业监管平台 |
| 外网隔离 | 公网可达,依赖账号策略 | 可全内网部署,对外零暴露 | 强制内外网物理隔离,专线接入 |
| 应急响应 | 阿里云值班团队统一响应 | 客户自有运维+原厂二线 | 原厂驻场或专属响应通道 |
这五个维度不是平均权重。数据驻留和外网隔离是合规一票否决项——一旦监管口径明确要求「数据不出域」,公有云不管做多少加固都没法满足。但加密、审计、应急响应这三项,公有云通过企业版的安全增强模块也能补到不错的水位,并不是非专有云不可。
实际选型时建议先回答两个问题:你处理的最高敏感等级数据,监管文件原文怎么写驻留要求?你内审或外审的频率是多少、要不要看明细日志?这两个答案出来,部署形态基本就定了一半。
三、公有云能不能满足合规:分行业看
抽象讨论「公有云够不够」没意义,必须分行业、分数据类型看。
金融行业里,城商行、农商行、券商、保险这类持牌机构,监管对客户敏感信息(身份证、账户、交易明细)有非常明确的「数据不出本机构」要求,这部分场景必须专有云或政企版。但行政办公、HR 考勤、协同审批这类不涉客数据的场景,公有云完全可以承担,并且能享受最新的 AI 能力。第三方支付、消费金融、互联网理财等持牌但科技驱动型的公司,会更倾向「公有云为主+专有云存敏感字段」的混合方案。
医疗行业里,三甲医院的电子病历、影像数据、检验结果按规属于受保护健康信息,必须本地化部署,钉钉只能作为协同入口接到医院的 HIS、EMR 上,敏感数据走专有云中转或者根本不进钉钉。社区医院、第三方检验机构、医美连锁这一类,监管口径相对宽松,公有云加脱敏策略就能满足,但要做好「哪些字段不能进群聊」的内部培训。
政府机构里,党政机关、事业单位基本只能走政企版,并且通常要求私有化部署在政务云上。国有企业则要看是哪一级的——央企总部和强监管行业(能源、电力、烟草、铁路)一般走政企版,地方国企和市场化竞争型央企子公司,部分已经开始用公有云做协同。
制造业和一般商业企业里,公有云是绝对主流,专有云只在两种情况下被推荐:一是有大量涉密图纸、工艺、研发数据需要严格隔离的国防工业相关、半导体、生物医药;二是营收 50 亿以上、有自己的法务和合规团队、明确要求数据自主可控的大集团。
教育和科研机构里,K12 和职校用公有云没问题,高校特别是承担涉密科研项目的,研究院所基本走专有云或政企版。
一句话总结:监管文件里有没有「数据不出域」「等保三级及以上」「关键信息基础设施」这几个词,是不是行业认证的「数据处理者」或「数据控制者」,决定了你能不能用公有云。
四、专有云的真实成本:不只是硬件那一笔
很多客户找开沿咨询专有云时,第一个问题就是「一年多少钱」。我们的回答一般是「请按 3 年 TCO 算,否则第二年开始你会被维护费打懵」。
专有云的成本不是一个数字,而是 4 个分项叠加,且彼此联动。
| 成本分项 | 起步盘(500-1000 人) | 中型盘(1000-5000 人) | 大型盘(5000 人以上) |
|---|---|---|---|
| 首年实施费 | 50-150 万元 | 150-400 万元 | 400-1000 万元起 |
| 年度订阅与维护 | 30-80 万元/年 | 80-200 万元/年 | 200-600 万元/年 |
| 硬件或私有云资源 | 20-50 万元/年 | 50-150 万元/年 | 150-400 万元/年 |
| 定制开发(按需) | 30-100 万元 | 100-300 万元 | 300 万元+ |
| 3 年 TCO 估算 | 200-500 万元 | 500-1500 万元 | 1500-5000 万元 |
需要特别提醒几个隐性成本:升级周期。专有云的版本升级不像公有云自动推送,需要原厂工程师现场或远程实施,每次升级 5-30 万元不等,一年 1-2 次。AI 模块单独计费。AI 表格、文档 AI、智能助理等模块在专有云形态下通常需要单独签 AI 数据处理协议并单独付费,年费区间 20-150 万元,按调用量浮动。异地灾备。监管对金融机构有同城双活、异地灾备的要求,这一块是另一套机房和带宽预算,差不多再加 50%-80%。
这就是为什么开沿一直建议合规敏感企业不要「全量上专有云」,而是按场景拆分——把真正涉敏的部分放进专有云,把协同、知识、文档这类放在公有云。下一节展开。
五、4 类必须上专有云的硬信号
什么样的企业绕不开专有云?开沿这一年总结了 4 类硬信号,符合任意一条基本就必须走专有云或政企版。
信号一:监管文件白纸黑字要求「数据不出域」。 银保监、证监、医保、网信办在行业细则里对持牌机构、关键信息基础设施运营者、重要数据处理者都有明确的本地化存储要求,公有云的「逻辑隔离」无法满足「物理隔离」的合规口径。
信号二:需要过等保三级及以上、密评、关基保护。 这些等级评测中有一类指标是「自主可控的物理边界」「日志全量留存」「BYOK 客户自管密钥」,公有云就算做了大量安全增强也很难拿到这个级别的证书。
信号三:内审或外审需要全量原始日志、按用户/按字段级追溯。 部分行业的合规审查要求 6 个月甚至 3 年内的全量操作日志、消息记录、文件版本能够调取查看,公有云的标准日志保留周期和导出接口往往不够。
信号四:核心客户或上游要求供应链合规承诺。 国防、能源、半导体、生物医药等领域的乙方企业,越来越多被要求出具数据处理形态证明,公有云的承诺函在采购评审中可能直接被扣分。
如果你只是「领导担心数据安全」、「友商出过事所以也想保险一点」、「不知道未来会不会被监管」,这些不是硬信号,纯粹为了心理踏实上专有云,3 年 TCO 翻倍但收益有限。
六、混合部署:核心走专有云、协同走公有云
开沿在大量金融、医疗客户身上验证下来的最优解,是「混合部署」而不是「二选一」。
混合部署的核心思路是按数据敏感度分层:最敏感数据(客户身份、账户、交易、病历、研发图纸)放专有云;业务流转层(审批、待办、表单、知识)按行业要求选择;协同沟通层(群聊、文档、视频会议、AI 助理)放公有云。
这种方案能带来三个好处。一是合规边界清晰,监管检查时一句话说明白;二是 AI 能力可以在协同层先用起来,不被专有云的版本滞后拖住;三是成本控制在专有云那一块,协同层按席位订阅相对便宜很多。
落地时有几个工程要点。SSO 互通:两套环境账号体系要打通,员工无感切换。消息桥接:专有云内的关键消息要能加密同步到公有云审批节点。数据脱敏管道:从专有云抽取数据到公有云做协同时,必须经过自动脱敏中间件。审计闭环:两边的操作日志要汇聚到客户的统一审计平台。
这块工程量并不小,单独做一次架构设计基本要 30-80 万元起,开沿这边碰到的项目周期通常在 4-8 个月。但相比一刀切上专有云,3 年 TCO 能省下 30%-50%。这里其实也是 AI Coding 让定制成本不再等比例贵的典型场景——脱敏管道、SSO 适配器、审计聚合这些胶水代码,借助 AI Coding 的辅助开发,原来需要 4-6 人月的工作量现在 2-3 人月就能交付,让混合架构在中型企业里真正变得可负担。
关于跨形态的数据同步细节,可以参考 /blog/dingtalk-data-sync-architecture/ 这一篇,里面写了多账号体系下的数据架构选型。如果你还在评估钉钉的版本差异,/blog/dingtalk-edition-comparison/ 有更细的对比。
七、AI Agent 在专有云下的能力边界
这是合规企业最关心、也是最容易踩坑的话题。专有云形态下,AI 能用到什么程度?
先说结论:结构化业务流程类的 AI 大部分可用,前沿多模态类的 AI 滞后或不可用。
可用的部分包括:文档摘要与改写、表格自动填充、审批意见生成、合同条款抽取、知识库 RAG 问答、客服话术生成、HR 数据问答、销售记录摘要。这些场景的共同特征是任务封闭、数据集中、能力收敛,开沿在合规客户上落地的 AI Agent 大多集中在这一类,效果上跟公有云没有本质差异。
滞后或受限的部分包括:最新一代多模态模型(图像、视频生成与理解)、联网搜索增强、跨企业 Agent 协作、最前沿的推理模型。这些能力依赖公有云的算力集群和实时联网,专有云通常滞后 1-2 个版本,部分能力只能通过「专有云出隐私查询、公有云回结果」的代理模式实现。
工程上有几点要提醒。模型隔离推理通道:专有云的 AI 推理必须在客户环境内或者通过加密专线进入隔离推理节点,不能直接调用公网模型 API。数据共享开关:每个 AI 模块在管理后台都有「是否参与模型优化」的开关,合规企业默认关闭。审计可追溯:所有 AI 调用要留存输入输出日志,便于事后审查。模型版本锁定:与公有云的自动更新不同,专有云的模型升级需要客户审批,避免不可预期的输出变化引发合规风险。
关于 AI Agent 在企业内的数据安全实践,/blog/ai-agent-data-security-enterprise/ 有更深入的工程视角。如果你关心 AI Agent 落地的可衡量性,/blog/ai-agent-implementation-roadmap/ 给了一份从 PoC 到生产的路线图——开沿一直强调 AI Agent 接业务出结果可衡量,专有云形态下这件事更重要,因为投入大,必须看到具体业务指标的改善才合理。
八、决策表:你的企业该选哪种形态
把前面 7 节的判断压成一张可以直接对照的决策表。
| 你的情况 | 推荐形态 | 备注 |
|---|---|---|
| 持牌金融机构(银行、保险、券商)核心系统 | 专有云或政企版 | 协同层可用公有云 |
| 三甲医院电子病历、影像 | 专有云 | 钉钉作为协同入口,敏感数据走院内系统 |
| 党政机关、央企总部、强监管央企 | 政企版 | 需走政企采购通道 |
| 上市公司、营收 30 亿+集团 | 专有云或混合部署 | 看具体行业监管要求 |
| 制造业、批发零售、连锁服务 | 公有云 | 涉密研发可单独考虑专有云 |
| 教育、文创、咨询、互联网 | 公有云 | 注意客户数据脱敏处理 |
| 高校、科研院所、设计院 | 视项目而定 | 涉密项目专有云,其他公有云 |
| 第三方支付、消费金融、医美连锁 | 混合部署 | 敏感字段专有云,协同公有云 |
| 营收 5 亿以下、无明确监管要求 | 公有云 | 不必为「假设的合规」付专有云溢价 |
| 监管文件明文要求数据本地化 | 专有云或政企版 | 一票否决项,必须走 |
再补一个自检清单,五题,回答前能不能填上:
- 你处理的最敏感数据,监管文件原文怎么定义驻留要求?
- 你过去 12 个月有没有被监管或客户要求出具部署形态证明?
- 你愿意为合规一年额外投入多少钱、未来 3 年呢?
- 你的 AI 场景里,最关键的 3 个能不能在专有云模型版本上运行?
- 你的协同层和核心业务能不能在架构上分开?
5 题全有清晰答案,可以直接进入选型。有 3 题以上答不上,建议先做一次部署形态梳理而不是急着下单。
结语
钉钉三种部署形态的选择,本质是合规边界、AI 可达性、成本承受力三件事的平衡。公有云不是不安全,专有云也不是万能保险。真正的踩雷往往不在「选错形态」,而在「没把合规边界划清楚就上量」——业务跑着跑着,敏感数据悄悄混进了协同群、混进了公有云上的氚云表,等到内审才发现,迁移成本和业务停摆代价比当初多花专有云钱还要高。
最稳妥的姿态是:先把监管文件里的硬约束逐条列出来,再把场景按敏感度分层,最后用混合部署的思路把核心数据锁在专有云、把协同和 AI 能力放在公有云。如果你正在做这件事,建议把合规、IT、业务三方拉到一张桌子上,先达成对「数据敏感等级」和「部署形态边界」的共同语言,再去看具体方案。形态选对了,后面的实施、AI 落地、年度续费才有意义。
