近日以来,中央发文强调,支持包括大数据中心在内等新型基础设施的建设[1],引发了广泛关注。大数据中心本质上属于互联网数据中心(Internet Data Center,以下简称“IDC”),指利用互联网或其他网络向公众提供的数据中心服务。本文将从数据合规的角度,对IDC的基本情况以及实践重点关注的法律问题进行简要介绍,以和相关同仁共同探讨。
一、对IDC业务进行数据合规治理的必要性
根据《电信业务分类目录(2015年版)》(2019年修订)第B11项,IDC业务包括基础资源出租服务、代维代管等传统的数据中心服务,以及新兴发展的互联网资源协作服务[2]。IDC运营商出租、代管的基础资源包括实体机房、服务器等网络相关设备,也包括虚拟存储空间、通信线路及带宽等。互联网资源协作服务则主要用于云计算、云储存、云托管等场景。该服务主要利用数据中心的机房、设备和资源等,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,向用户提供数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。例如,云服务PaaS模式下,用户可以在IDC运营商提供的基础设施之上开发和部署自己的软件等。
我们理解,随着互联网及信息技术的飞速发展,IDC业务的服务内容呈现出多样化的趋势。IDC运营商向用户提供的服务类型不同,其与用户之间的责任划分也会不同。例如,如果仅提供机房出租服务,其对于用户的数据安全承担的责任通常可能在于保障机房土地使用权合法合规,供水供电防火防盗等物理环境稳定等;但是,如果向用户提供出租服务器的存储空间、通信线路等服务,其还可能会因为托管用户的数据而需承担作为数据处理者的安全义务;如果提供的是互联网资源协作类服务,IDC运营商对整个数据托管平台的控制力会更强,其作为数据处理者的安全义务更大,甚至还有可能与用户作为共同数据控制者承担相关责任。
尽管如此,IDC业务始终离不开利用互联网或其他网络为用户提供集中、安全、专业的资源出租或托管等服务范畴,本质上属于网络产品和服务,并且通常还因涉及对数量巨大、行业广泛的各类数据(包括个人信息)的托管及处理,因此,国家对其网络安全、数据治理、个人信息保护等方面的监管力度也不断加强。特别地,对于涉及重要数据、重点行业、提供云服务业务的那类IDC(如可能构成国家关键信息基础设施等),由于可能会对国家安全、社会公益等造成重要影响,而受到更为严格的监管。
在IDC建设以及后续运营过程中,按照法律法规要求实施数据合规治理客观上是有必要的,这实际上是为资本市场的投融资活动以及国家信息化建设打下坚实的基础。具体而言,一方面,IDC业务的治理有利于提升IDC服务的安全水平以及对用户数据的保护程度,提升用户体验;另一方面,反过来也将促进IDC业务以及整个IDC产业链往高水平的方向健康发展。否则,恶劣的服务品质将导致IDC业务及产业链走向用户流失、资本市场对其投融资活跃度下降的恶性循环,在国家战略层面上也会导致丧失信息技术领先发展的重要机遇。我们理解,IDC所依托的信息技术的不断发展是必然趋势,IDC产业链上的所有主体需要抓住国家推动新基建建设的宏观政策机遇,在保障IDC业务合法合规的前提下获得更高标准的发展。
在此背景下,IDC业务的数据合规治理水平也日渐受到各级监管部门的重视。实践中,各级监管部门已经开始对IDC业务的合规性提高审查与监管的力度,以下将进行具体分析。
二、IDC业务涉及的数据合规具体问题分析
我国目前对IDC业务的监管规则包括法律规定、国家标准及相关行业标准。在立法层面上,IDC业务与其他数据相关服务统一受到国内网络及数据安全保护相关立法的规制;在国家标准及行业标准层面,全国信息安全标准化技术委员会、全国信息技术标准化技术委员会等机构曾经发布或正在制定关于IDC的标准,也将指导IDC在实操层面上进行具体落实。
IDC业务涉及的数据合规问题与IDC运营商向其用户提供的具体服务内容密切相关。如果IDC运营商向用户提供多样化服务,可能涉及的数据合规问题也会有多方面。可能涉及的风险范围包括,物理环境、通信网络、计算环境、管理制度/机构/人员、安全建设、运维管理等多个方面,需要IDC运营商采取充分的技术措施与制度手段来落实。否则,一旦发生网络安全事件,IDC运营商可能会面临向用户承担违约责任的后果;并且依据《网络安全法》、《数据安全管理办法(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》等规定,受到监管机关的行政处罚;涉及个人信息的,还可能面临个人信息主体提起的民事赔偿责任;以上情节严重的,还可能触犯《刑法》承担刑事责任等。
(一)网络安全等级保护
根据《网络安全法》第21条,我国实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,落实网络安全等级定级、备案、测评以及整改等工作,保障网络和数据的安全。我们理解,IDC按照网络安全等级三级或以上进行定级、开展网络安全保护工作可能较为适宜[3]。原因在于,首先,IDC可能因为用户涉及国家重点关注的行业且IDC服务可能面向较多公众,一旦遭到破坏、丧失功能或者数据泄露,很可能导致严重危害国家安全、国计民生、公共利益的后果,而被纳入关键信息基础设施范畴(具体分析见下文)进行管理,需要三级或以上水平的网络安全防护;其次,针对新兴的互联网资源协调型服务,由于IDC业务涉及提供云服务,一般也建议运营商具备三级或以上水平的网络安全保护能力;再次,实践中监管机关目前的态度也倾向于对IDC以及云服务进行更严格的保护。例如,深圳市公安局公共信息网络安全监察分局在《关于落实网络安全等级保护制度要求的通知》中指出,“互联网数据中心和云平台运营方,原则上基础网络定级不得低于三级,且不得低于所承载信息系统的最高级别等[4]。”
我们理解,网络安全等级保护要求是IDC运营商落实安全义务的重要依据,与此同时,IDC运营商面临的很多合规义务也由之衍生而出。然而,IDC运营商往往产生误区,认为只有用户需要进行相应等级的网络安全等级保护工作,IDC运营商自身并不需要。产生这种想法的原因可能在于,通常情况下IDC运营商承担数据处理者的角色,用户承担数据控制者角色且对托管数据享有控制权。因此,在实践中,IDC运营商要么往往不进行等保定级备案,要么将自己的网络安全等级保护水平定为较低的等级。这些都会存在问题,因为IDC运营商在提供多样化服务同时,自身也承担着重要的网络安全及数据保护义务,落实相关法规、受到相应的监管也是情理之事。
如果IDC未按照《网络安全法》、《网络安全等级保护条例(征求意见稿)》以及相关国家标准进行定级、备案或开展相应的安全保护工作,IDC运营商将会面临按照《网络安全法》第59条和第64条、《网络安全等级保护条例(征求意见稿)》第63条至第65条等规定的行政处罚,责任形式包括责令改正、警告、对公司及直接负责的主管人员进行罚款等。经监管部门责令采取改正措施而拒不改正且造成法定严重后果的,还可能涉及触犯《刑法》第286条之一拒不履行信息网络安全管理义务罪,责任形式包括单位主体承担罚金,直接负责的主管人员和其他直接责任人员承担三年以下有期徒刑、拘役或者管制,并处或者单处罚金等责任。此外,相关监管部门还可能约谈IDC运营商的法定代表人、主要负责人等。
(二)网络与数据安全管理制度
根据《网络安全法》第10条,网络运营者应当保证网络稳定运行,网络数据的完整性、保密性和可用性[5]。根据《数据安全管理办法(征求意见稿)》第2条规定[6],数据处理活动受到监管,数据安全受到保护和监督管理。因此,IDC作为网络运营者,重要的法律风险之一来自于保障网络安全。IDC运营者需要尽可能杜绝网络安全方面的风险以及数据泄露、毁损等网络安全事件的发生。如本文第一部分提到的,IDC传统的服务内容是向用户出租或代管实体网络设备和虚拟的存储空间、通信线路及带宽等,其目的在于利用互联网的发展为用户提供集中、安全、专业的租用或托管等服务,降低用户自行建设数据中心、维护以及管理信息系统安全的成本。这其中既涉及网络运行,也涉及数据托管(甚至是控制)的问题,因而在中国境内提供IDC服务需要受到《网络安全法》、《数据安全管理办法(征求意见稿)》及其配套规定等的规制。
发生安全事件的企业,具体表现形式通常有:缺乏网络及数据安全治理组织框架,未按照《网络安全法》、《数据安全管理办法(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》等规定落实相关要求,未设置网络及数据安全管理负责人和执行机构,未明确各岗位对应的职责,以及未对各岗位人员进行资质审查或定期进行相关安全要求的培训等。
在应急管理制度上,IDC运营者往往为所提供的IDC服务设置应急管理制度(例如用户在使用服务过程中发现任何问题的,IDC运营商常会提供及时的运维服务,并协助用户进行应急演练等),或在与用户签署的合同中约定相应的条款来体现其优质的服务水平。但是,IDC运营商对于自身系统的运维,往往较为忽视,为用户提供应急服务时却忘记为自身制定相应的应急管理制度,或未按照法定要求对自身可能触发的网络及数据安全事件进行定期演练等。
此外,IDC运营商往往对新出台的规定做出反应时间较长,不能及时更新自身的制度体系、响应最新的安全制度和技术标准的要求。这一点也会给IDC自身网络及数据安全保护合规工作造成障碍。值得注意的是,网络及数据安全内控制度建设是监管机关审查的重点内容之一。例如,在提供数据服务的相关企业进行IPO申报的过程中,证监会作为监管机关基本上会对每一个企业的内部控制制度及执行效果进行审查。从已上市的提供数据服务的相关企业的申报情况来看,企业基本上会都按照网络安全等级保护的要求,制定全面的内控制度并定期检查进行更新和优化。
实践中,有观点认为,虽然IDC业务保持着高速的发展,但IDC网络安全管理系统部署往往滞后于网络建设。一方面,随着互联网市场的快速发展,用户数量和业务需求大规模增长,IDC运营者投入了更多的资金用于建设快速、稳定、高效的网络,但对于网络安全管理系统的规划和建设的重视程度可能有所不足;另一方面,根据网络安全等级保护的要求,IDC运营商应当同步规划、建设、使用网络安全管理系统,但是实践中当 IDC业务需要增加带宽容量时,常会出现信息安全管理系统未通过测评,无法对IDC进行扩容的情况[7]。因此,建议在IDC建设之初,就对网络安全的合规工作进行同步规划与设计,以达到业务与合规的双向达标。
(三)网络与数据安全技术措施
实践中,IDC运营商会采取一定的网络安全技术措施,保证托管数据等的安全性。但是,这些技术有时并不充分,不能达到《网络安全法》、《数据安全管理办法(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》及其相关配套规则的要求。网络安全技术措施是保证IDC服务安全性的重要保障,如果这一点未能充分做到,将不利于保障网络安全,以及数据的完整性、可用性及保密性。
我们理解,IDC运营商需要在整个IDC业务生命周期采取充分的技术防护措施,以保障数据安全。例如,用户在IDC存储相关数据时,可以建议用户对数据进行分级分类、差异化安全存储,并对数据质量进行监控;对存储数据的设备及基础设施重点做好安全防护,包括落实数据存储的操作终端安全管控措施及接入鉴权机制等;对于多个用户共享存储的需求,建立安全管理策略,提供多租户数据安全管控机制;以及,建立完备的数据容灾备份和恢复机制,提供基本的完整校验机制,保障数据的可用性和完整性等。
在数据传输过程中,可以根据业务流程、职责界面等合理划分安全域,在安全边界上配置相应的访问控制策略及部署安全措施,对传输通道进行相应的加密措施,保证传输过程中的安全保密;强化传输接口安全管控,实施系统间接口的设备鉴权等方式,限制违规设备接入;采用密钥加密时,对密钥进行严格管理确保密钥安全;以及,类似地需要对传输过程实施数据完整性校验措施,保证所传输数据完整性和可用性。
在数据交换过程中,建议加强数据交换接口安全管控,落实加密传输、访问控制、MAC地址或IP地址绑定等手段;根据客户需求,限制数据批量导出权限的授权;以及做好共享操作流程、操作账号分配等日志记录里对数据共享场景进行分析等。
在数据销毁过程中,可以建立对超期保存等情况下的数据销毁机制;对数据销毁进行日志记录以支持安全审计;落实安全销毁措施,采用可靠技术手段保证已经销毁的数据不可还原并进行效果验证;针对逻辑销毁操作,需要为不同数据的存储方式制定相应的逻辑销毁方法等。
如前所述,IDC运营商一般处于数据处理者的角色,并非数据控制者,因此可能较少会涉及用户数据收集、数据使用的问题。当然,如果在具体个案中IDC运营商和用户的角色较难区分,此时IDC运营商也应该采取相应的安全措施来应对因身份界定不清而导致的责任混同。
(四)物理设施的管理
与企业自建机房、数据中心相比,IDC机房因利用互联网面向众多用户提供服务,用户量大且更为广泛,而需要对机房管理更加规范化,以便能较为容易地识别不同用户占用的机柜及设备。实践中,一些地区的多数IDC机房为老机房改造而成,机柜编号较为混乱,用于表示用户占用的机柜标签和设备标签不规范,一些设备不能直观看出属于哪些用户,在实际管理中造成很多不便。企业应当遵照有关IDC机房、介质等其他物理设施的技术标准进行维护,以保证合法合规。
虽然IDC信息安全管理系统的部署常常滞后于网络建设,但IDC业务在当下获得了高速的发展,网络与数据安全技术措施一直以来都是监管机关审查的重点。例如,在提供数据服务的相关企业进行上市申报的过程中,证监会作为监管机关基本上会对每一个企业所采取的数据资源防泄密措施及其效果进行审查。从已上市的提供数据服务的相关企业的申报情况来看,基本上都会按照等级保护的要求,采取充分的安全技术保障措施,来提升企业的网络安全治理水平与能力。又如,“净网2018”专项行动以来,湖南常德警方、浙江金华警方对IDC公司机房进行检查,对于未落实安全技术保护措施的IDC公司要求整改或进行处罚,主要执法依据为《网络安全法》、《互联网安全技术保护措施规定》、《计算机信息网络国际联网安全保护管理办法》等[8]。
(五)对第三方及用户的控制
IDC运营商在提供服务过程中,不可避免需要采购外部第三方的网络产品和服务,例如采购防火墙等;同时,IDC运营商提供的服务中还可能包括第三方产品或服务,例如各种类型的插件等。由于IDC业务涉及网络和数据安全要求,网络产品和服务的供应商或者其他第三方也需要履行相应的义务。否则,IDC运营商将承担无法控制由于第三方原因引起的风险。通常我们建议IDC运营商可以在双方签订的合同中增加要求第三方承担安全保障义务的条款,或者让第三方提供承诺声明函,以及要求第三方提供相关安全产品(例如网络关键设备和网络安全专用产品)的资质证明等。但是,实践中IDC运营商的采购合同往往条款简单,仅有购买产品或服务等条款,不会特别重视设置相关网络及数据安全保护条款,这使得由第三方带来的网络和数据安全风险仍然可能存在。
类似地,IDC运营商对其用户的网络及数据安全义务控制能力也可能存在问题。实践中,IDC运营者往往为了扩展用户,增加业务量,有时在没有签署完整服务协议的情况下为用户开通互联网业务,或者先开通业务后期再补签服务协议,致使服务协议版本管理混乱,协议主要内容不全,例如缺失约束用户网络及数据安全义务的条款等,或者未要求用户对于托管数据的处理行为进行合法性承诺,未约定用户违反相关承诺的后果等。以上对于整体维护网络及数据安全都会产生风险。
(六)IDC服务终止后的数据处理
如前文所述,IDC运营商可能作为数据处理者提供大量数据托管服务,需要按照数据控制者(用户)的指示进行工作。因此, IDC运营商与其用户签署的合同中通常会约定托管期间双方的权利、义务。其中,还可能包括合同到期后对所托管数据的处理方式,例如及时删除或向用户归还等。但是,从实践来看,对于用户委托IDC运营商托管数据的情形,IDC运营商有可能并未按照合同约定,在服务终止后对曾托管的数据仍然进行相应的处理,并且永久存储了这些数据。我们理解,永久保存用户数据的行为具有极高的风险性,既可能给用户数据造成泄露的风险,甚至还会对其终端用户的个人信息造成隐私侵害,同时还会让IDC运营商陷入承担高额违约责任的风险。基于此,即使双方未约定合同到期后数据处理方式的,IDC运营商也最好在委托事项结束后,及时删除用户及终端用户数据或者进行匿名化处理,而非永久存储,除非法律另有规定。
(七)关键信息基础设施保护
根据《网络安全法》第31条,关键信息基础设施(Critical Information Infrastructure, 以下简称“CII”),需要在一般网络安全保护要求的基础上进行重点防护。IDC是否会被认定为CII,取决于IDC业务在遭到破坏、丧失功能或者数据泄露时,是否会对国家安全造成损害、对社会秩序和公共利益产生重大损害,通常用户所处的行业会对此判断产生重要影响。例如,受金融、电子政务、健康医疗等行业委托的IDC在发生安全事件时较为容易受到影响,因此托管此类业务的IDC很可能因为用户行业或向其出租基础资源等行为而被认定为CII,需要进行重点的网络安全保护。
但是,根据实践中的部分观点,IDC本身亦有可能直接构成CII的范畴。根据《网络安全法》第31条、《关键信息基础设施安全保护条例(征求意见稿)》第18条,CII运营者包括提供云计算、大数据和其他大型公共信息网络服务的单位[9]。我们理解,由于IDC面向公众提供数据中心的服务,在服务规模较大时,有可能属于大型公共信息网络服务;或者,如果IDC服务本身涉及云计算,那么也将属于CII的范畴。此外,实践中部分监管机关,例如北京公安等亦认为数据中心属于基础生产类的CII[10]。
基于此,我们理解,虽然目前立法认定CII的标准还未十分明确,但在IDC面向公众提供数据中心的服务且服务规模较大时,或者涉及提供云计算服务时,很有可能被直接认定为关键信息基础设施运营商(CIIO),因此需要承担额外的安全保护要求。根据《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全审查办法》等规定,主要包括:同步规划/建设/使用安全技术措施、重要系统及数据库容灾备份、采购网络产品和服务的国家安全审查(具体请参考《<网络安全审查办法>七大要点解读》)、签署专项保密协议、设置专门的网络安全管理机构/人员、进行监测预警和信息通报、每年安全风险评估、以及对境内存储的个人信息及重要数据、数据出境等进行安全评估等方面。
如果违反以上规定,IDC运营商不但将面临因违反网络安全等级保护制度对网络运营者一般安全保护要求所应承担的责任(详见1.网络安全等级保护部分的分析),还将面临违反关键信息基础设施特殊义务所产生的后果。例如,按照《网络安全法》第59条、《关键信息基础设施安全保护条例(征求意见稿)》第45至49条等规定的行政处罚,责任形式包括责令改正、警告、罚款、没收违法所得,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证,对直接负责的主管人员和其他直接责任人员罚款,终身禁止受到刑事处罚的人员从事关键信息基础设施安全管理和网络运营关键岗位的工作等;如果经监管部门责令采取改正措施而拒不改正且发生法定严重后果的,还可能涉及触犯《刑法》第286条之一拒不履行信息网络安全管理义务罪,责任形式包括单位主体承担罚金,直接负责的主管人员和其他直接责任人员承担三年以下有期徒刑、拘役或者管制,并处或者单处罚金等责任。
(八)云服务的监管要求
如上所述,IDC业务如今已经越来越多地与云服务相结合。根据《电信业务分类目录(2015年版)》(2019年修订)第B11项,IDC业务包括互联网资源协作服务,主要用于云计算、云储存、云托管等场景。可见,传统的IDC服务商正在逐渐转型,例如,世纪互联、首都在线等传统IDC运营商已经通过合作的方式开展了云服务。IDC运营商提供云服务的具体模式可能有私有云、公有云和混合云等。我们理解,云服务相关的网络及数据安全监管要求应当同时适用于这类IDC运营商。此外,根据《信息安全技术 云计算服务安全指南》,云计算模式下,不同的云能力类型和部署模式、云计算环境的复杂性增加了界定云服务商与用户之间责任的难度,还可能会出现云服务商(IDC运营商)与用户责任难以界定面的问题。
我们理解,云服务本身需要有相应的网络及数据的技术与管理措施来确保排除这些风险,IDC运营商可以参考《信息安全技术 云计算服务安全指南》等国家标准的要求执行。举例而言,在实践中,云服务商需要确保不恶意接触用户数据;用户数据在网络传输过程中,云服务商能够确保网络的安全性和稳定性;虚拟化技术与物理主机的通信不被攻击(如果物理主机和虚拟机不通信,可能存在虚拟机逃逸的问题);确保云服务平台不被攻击、非法访问等,从而确保用户存储的数据不被丢失或损坏;当云平台遭受攻击时,云平台需要及时恢复业务;当云平台有多个租户时,需要对应用进行有效的数据隔离等。
此外,如前文所述,云服务的安全保护要求通常也需要达到网络安全等级保护第三级及以上。根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)“云计算安全扩展要求”,云平台需要专门通过针对该部分标准合规的测评才可以达到等级保护的要求,完成云等保。对于责任难以界定的问题,则可能要求双方能够提前在服务协议中进行明确约定,以尽量避免后期可能出现的纷争等。
如有可能,IDC运营商还可以考虑进行第三方安全评估,例如可信云评估,C-STAR云安全评估等,来评估云服务的安全合规性。另外,还可以考虑获得相关的国际标准认证,比如ISO27001、ISO20000、ISO22301、ISO27018等,来获得平台安全性的证明。
(九)个人信息保护
IDC托管用户数据还可能引发个人信息保护问题。根据《网络安全法》第40至46条,以及《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等国家标准,如果用户托管于IDC的数据中包含用户员工、用户客户/供应商(含员工)或者终端用户的个人信息的(以下统称“用户个人信息”),且IDC运营商不能采取有效的个人信息保护措施的,IDC服务可能会造成个人信息泄露等数据安全事件,或者无法按约定保障个人信息主体充分行使主体权利等问题。此外,因为IDC运营商一般不直接触及用户个人信息也不会直接面向个人信息主体,因此IDC往往无法保障托管在其平台的个人信息来源的合法性,无法确保提供服务前,用户是否遵守了知情同意等个人信息处理原则。
这里的风险主要体现在:当IDC运营商为数据处理者时,其一般不直接承担行政责任,但是可能会面临个人信息主体的侵权主张,同时IDC运营商将面临向用户承担违约责任。但是,如果IDC运营商与用户在数据处理方面的角色划分不明时,IDC运营商还可能与用户作为共同数据控制者,共同受到监管机关依据《网络安全法》等个人信息保护规范作出的行政处罚,以及共同面临个人信息主体依据《民法总则》(《民法典》生效后将依据民法典)等规定提起的民事诉讼。值得注意的是,无论IDC运营商作为数据处理者,还是共同数据控制者,IDC运营商及其员工还有可能因为触犯《刑法》第253条之一、第285条、第286条等关于保护公民个人信息、禁止(协助)侵入计算机信息系统、以及要求履行网络安全保护义务等相关规定,而受到刑事处罚。
(十)网络信息内容管理
根据《网络安全法》第47条[11],《网络信息内容生态治理规定》第8、10条[12],以及《数据安全管理办法(征求意见稿)》第30条[13],IDC运营商作为网络信息内容服务平台应当对平台内用户发布的信息内容履行管理责任,对接入平台的第三方应用明确数据安全要求并进行监督管理。
“净网2018”专项行动开展以来,为有效清理违法犯罪信息传播源头,全国公安机关对119家IDC进行了挂牌督办整治[14]。其中,整治内容包括,例如对IDC运营商服务器进行检查,确认用户是否租用IDC运营商服务器从事发布违法或不良信息的行为等[15]。北京市公安局5月21日发布的“北京市公安局部署开展网上秩序打击整治“净网2020”专项行动”中,明确提到要求网络运营者强化网上违法有害信息治理,即依法对违法有害信息突出的IDC(互联网数据中心)、云平台和App等各类网络应用服务进行清理整治,完善信息安全管理责任制度和技术防范措施,切断网络违法有害信息的传播渠道。督促网络运营单位落实网络安全义务,即推进“一案双查”制度,整治非法VPN(虚拟专用网络)。
如果IDC运营商没有按照以上规定的要求及时采取措施,抵制违法违规或不良信息发布、消除恶劣影响的,可能会被依据《网络安全法》、《网络信息内容生态治理规定》以及《数据安全管理办法(征求意见稿)》等受到行政处罚。如果平台违法违规或不良信息涉及侵犯个人信息主体权益的,IDC运营商应当根据《侵权责任法》相关规定,在接到个人主体针对网络平台从事违法违规、违反社会风俗或侵害他人合法权益的行为通知时,对以上不当内容及时删除,否则还可能需要向受害人承担相应的民事侵权责任等。
(十一)数据本地化要求
伴随着跨境商业活动的增多,数据的跨境流通也成为我国立法监管的重点。根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)的相关规定,由于IDC为云服务提供基础设施,为云服务处理数据及个人信息提供存储或托管等服务,所以涉及云服务的IDC设施应当在中国境内设立。《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》第6条规定,为政府机关提供服务的数据中心、云计算服务平台等要设在境内,也侧面印证了这一点。实践中,微软云、苹果iCloud、亚马逊云等云服务提供商也纷纷将数据中心设立在中国境内,以符合监管的要求。
此外,根据《网络安全法》第31条,IDC还有可能因为被归入CII的范畴(具体分析见上文),需要将收集的个人信息及重要数据在境内存储。相关责任主体须按照法律规定或者主管部门要求,采取将服务器设置在中国境内或者将相关数据、材料保存在中国境内的形式,实现数据的本地化存储。
结合《网络安全法》及2017年网信办出台的《个人信息和重要数据出境安全评估办法(征求意见稿)》来看,目前我国监管的态度基本是,原则上禁止网络运营者的个人信息和重要数据出境。虽然,2019年《个人信息出境安全评估办法(征求意见稿)》对不得出境的个人信息范围进行了缩限,即经评估认定出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的部分才不得出境,但整体上,我国监管对于个人信息及重要数据的出境监管仍然严格。因此,我们理解,对于网络运营者在中国大陆境内收集、产生的个人信息及重要数据,存储于设立在中国大陆境内的IDC或者自建的数据中心可能更为妥当。
如果企业不按照数据本地化存储要求建立IDC,可能会面临《网络安全法》第66条等规定的行政处罚,形式包括被责令改正、警告、没收违法所得、罚款,并可以被责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;直接负责的主管人员和其他直接责任人员会被罚款等。
三、IDC业务涉及的数据合规问题的解决方案
结合监管要求以及实践中监管机关的执法态度,我们针对本文第二部分讨论的IDC业务涉及的数据合规具体问题提出以下解决方案和建议,供相关IDC运营商参考:
(一)辨析IDC业务内容,明确可能涉及的法律风险类型
作为IDC运营商,首先需要厘清公司本身提供的IDC业务类型有哪些,是否涉及传统的数据、设备及网络资源的租用及托管,以及是否涉及云服务相关的工作。企业需要在明确IDC业务类型的基础上,知晓自身可能面临的法律风险类型,并采取有针对性的合规措施进行整改。例如,开展传统的IDC服务一般按照网络安全等级保护的要求进行,但是对于与云服务相关的IDC业务可能还需考虑云服务场景下可能会特别出现的风险(例如云服务商与用户责任有时难以划分),需遵守云服务安全相关的特殊要求等。
(二)完善IDC业务服务协议,明确约定IDC运营商与用户的角色及责任分配
如前所述,通常情况下,IDC运营商承担数据处理者的角色,而用户承担数据控制者角色。对基础资源出租服务、代维代管等传统的IDC服务,IDC运营商通常是数据处理者;而对于新兴发展的互联网资源协作IDC服务,IDC运营商的角色可能会发生转变,需要此类IDC运营商额外关注并针对具体情况进行具体分析。
考虑到IDC运营商通常难以对托管数据及个人信息进行直接管理控制的情况,IDC运营商可以在与用户签署的服务协议中,明确约定自身仅为数据处理者,这在很大程度上能够减轻其作为(共同)数据控制者承担数据合规责任较高的风险。当然,IDC运营商作为数据处理者仍然需要按照服务协议的约定,以及《网络安全法》、《信息安全技术 个人信息安全规范》(35273-2020)等国家标准的要求,履行数据处理者所应承担的所有义务。值得注意的是,在IDC运营商提供云服务的场景下,情况可能发生反转,由于用户的数据和系统都位于云计算平台,用户有时难以对云服务商(IDC运营商)进行管控,依赖于IDC运营商所采取的安全措施。此时,从保护用户、约束IDC运营商的角度,双方可能会通过服务协议就双方权利义务进行约定。
此外,IDC运营商还可以在服务协议中,要求用户承诺其所托管数据及个人信息、用户自行创作或第三方创作的内容,不存在侵犯第三方主体民事权益的情形,以规避可能出现权利人提出权利主张的风险。IDC运营商还可以在订立服务协议前,审查用户的隐私政策等文件,以确认用户对个人信息的处理是否合法合规,如果用户无法向终端用户展示隐私政策的,IDC运营商可以向用户提供相关隐私政策的模板,已保障其用户所处理个人信息的合规性;同时,IDC运营商还可以要求审查用户的相关合规性证明等文件,但这项工作对于IDC运营商来说工作量较大,具体的落实可能存在一定难度,但从后期对自身责任的排除上来看,还是有必要而为之的。
(三)完善IDC系统的网络安全等级保护定级备案等网络安全保护工作
IDC运营者应当按照《网络安全等级保护管理条例(征求意见稿)》及《信息安全技术 网络安全等级保护实施指南》等要求,开展网络安全等级保护定级工作,并尽快向公安机关备案。根据目前实践中的观点,我们理解,将IDC系统定义为第三级及以上可能更为妥当。当然,IDC运营商可以最终参考专业机构的意见确定定级,以提高定级的准确性。
同时,IDC运营者还应参考《网络安全法》、《网络安全等级保护管理条例(征求意见稿)》及配套国家标准,完善网络安全技术措施及企业内控制度,内容包括:物理环境、通信网络、区域边界、计算环境、管理制度/机构/人员、人员访问、安全建设、运维管理、应急演练、评估审计等多方面措施。我们理解,企业还可以尝试邀请专业机构就IDC网络安全保护的措施进行测评、梳理并规划企业内控制度,协助公司整改需要进一步完善的问题。
除遵守我国法律法规、国家标准及行业标准等规则,公司可以考虑获取适用于一般主体的国际标准认证,以及专门针对特殊事项的国际标准认证,以增强IDC运营商合规性的证明。例如,一般性的标准例有ISO 27001、ISO27701、ISO20000、ISO22301等;而对于IDC业务涉及云服务的情形,IDC运营商可以考虑获得ISO 27018等的安全认证,或者通过其他第三方的安全评估,例如可信云评估,C-STAR云安全评估等,来评估涉及云服务的IDC服务的安全合规性。
(四)完善网络及数据安全管理制度
如前文所提及,IDC运营商应当按照网络安全等级保护的要求,完善网络及数据安全保护制度。此外,IDC运营商还需要及时了解和跟进新规的出台,及时更新自身的制度体系,以响应最新的安全要求。
具体完善措施需要针对企业确实发生的问题,对照法定要求进行个别的整改,可能包括但不限于:(1)完善网络及数据安全治理组织框架,按照法定要求,设置网络及数据安全管理负责人及机构,明确各岗位对应的职责,对各岗位人员进行资质的审查,定期进行IDC服务相关安全要求的培训与考核等。(2)完善系统权限管理制度,对数据访问权限限定在必要范围内,并监督访问行为。(3)完善供应商管理制度,对供应商的资质能力、网络及数据安全能力进行评估后方可聘用,并对供应商提供的产品和服务进行审查等。(4)完善员工安全管理制度,要求员工不得从事损害网络及数据安全的任何行为。(5)完善机房、介质及设备管理制度,保障物理环境的安全可靠。(6)完善安全事件的应急管理制度,包括自身、及用户出现安全事件两个方面,并切实落实到位。同时,定期进行演练,提高应对能力等。(7)完善安全风险评估机制,建议IDC运营商建立风险评估机制,在网络及数据安全可能发生风险的重要环节进行风险评估,并采取相应的安全措施。同时,IDC运营商可以建立定期的风险评估制度,定期开展安全风险评估,检查在日常工作中可能出现的漏洞,并及时根据最新的网络及数据安全保护要求进行优化等。
(五)完善网络及数据安全保护技术措施
IDC运营商还应当按照等级保护的要求,采取有效的技术措施保护网络及数据安全。具体措施可以按照IDC业务涉及的数据生命周期的不同阶段来考虑,除了需要采取保障机房等物理环境满足防水防火防雷击及静电,满足电力供应要求等基础性安全要求以外,还应当提供物理环境保障、物理边界安全、网络安全隔离、数据备份恢复等方面的解决方案,例如通过物理隔离将办公网与生产网隔离,降低互联网入侵和攻击的风险;建议用户对数据进行分级分类,监控数据质量,并进行差异化存储;对数据传输通道加密,采购合格的密码产品等多种措施保证数据安全;采取数据备份、恢复、冗余措施,采购认证或检测合格的网络关键设备及网络安全专用产品等,同时对于合同终止后无需继续保存的数据(包括个人信息),应当及时删除、归还给用户或者进行匿名化处理等。具体可参见本文第二部分的讨论。
(六)完善与第三方签署的合同,明确供应商的网络及数据安全保护义务
如果IDC运营商采购第三方供应商提供的网络安全保护或数据处理的产品与/或服务,或者IDC服务中含有/嵌入第三方产品和服务的,IDC运营商应当在与该第三方供应商签署的合同中约定,第三方供应商应当承担哪些具体的维护网络及数据安全、个人信息保护的义务,明确要求第三方采取的具体安全措施。如果IDC被认定为CIIO,则还应要求第三方供应商的产品和服务满足网络安全审查的要求,如发现有威胁国家网络安全的风险的,需要根据《网络安全审查办法》的要求及时履行申报义务,对所提供的网络关键设备和网络安全专用产品承诺获得了认证证书或检测合格等。类似地,IDC运营商还可以在订立合同前,要求审查第三方的资质证明等文件,以保证其所提供服务的质量以及安全能力。
除了合同约定外,IDC运营商也可以考虑采用定期审计等其他合理方式对第三方网络及数据安全义务进行约束,排除潜在外部网络及数据安全风险。
(七)在中国境内设立IDC,存储在中国境内收集、产生的重要数据及个人信息
根据前文分析,托管在中国境内收集、产生的数据及个人信息需要在中国境内存储,因此需要在中国境内设立IDC机房。这也是众多跨国云服务提供商的选择,也是目前世界范围内IDC运营商的发展趋势,例如,微软云在中国境内的收据数据都存储在中国的IDC,且中国的IDC完全独立于其在世界其他区域的IDC;苹果公司将中国用户的iCloud数据通过云上贵州公司存储于贵州的IDC等。
如前所述,我国目前严格限制网络运营者的个人信息和重要数据出境,但是如果在中国设立的IDC确实具有向境外传输数据的需求时,应该如何操作以保证合规性?我们理解,IDC相关服务器与境外联网时,应通过工业和信息化部批准的互联网国际业务出入口进行连接,不能通过专线、虚拟专用网络(VPN)等其他方式自行建立或使用其他信道进行国际联网[16]。未经电信主管部门批准,任何单位和个人不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。因此,IDC运营商如果需要向进境外传输数据,应当通过租用中国电信、中国移动、中国联通这几家具备上述业务经营资质的基础电信企业的专线方式实施,不能自行架设专线或VPN等。此外,进行国际联网,IDC运营商可能还需要报请工信部门批准或者备案[17],并按照及时向公安机关进行备案[18]。
当然,IDC运营商从事数据出境活动,必须遵守《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见稿)》等监管规则的要求。例如,在出境之前评估可能带来的安全风险,并报监管部门同意;与数据接收方签署合同,明确数据出境目的、类型、保存时限等相关事项,数据传输方与数据接收方的必须履行的安全责任、权利义务安排及责任分配等条款。当然,具体措施可能还需要结合数据出境的具体情况对进行分析,有待进一步讨论。
四、结语
本文从宏观角度,粗略梳理了IDC服务可能涉及的数据合规问题,以及相应的合规措施。不难发现,IDC业务涉及的数据合规问题很多,落实到个案细节,可能会存在更多需要进一步分析和探讨的问题。此外,对于某些问题目前的监管规则本身可能还不够清晰,这有待我国立法、监管、行业协会、IDC运营商主体、用户等多方主体,共同推进IDC业务在数据合规领域监管规则的进步与研究。
IDC产业在数据合规建设的道路上刚刚起步,未来发展仍然任重而道远,但是,相信这些合规工作的努力必将会促进企业行为合规水平的提高、促进IDC产业链的良性循环,并能促使我国在国家层面上抓住新基建发展的机遇,在网络空间战略上抢占先机。
注释:
[1]http://www.cac.gov.cn/202003/16/c_1585906911404629.htm,最后访问于2020年5月12日。
[2]《互联网数据中心(IDC)安全防护要求》(YD/T 2584-2015)3.1.1:互联网数据中心(IDC)指,利用相应的机房设施,以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务,以及提供数据库系统或服务器等设备的出租及其存储空间的出租、通信线路和出口带宽代理租用和其他应用服务。互联网数据中心业务经营者应提供机房和相应的配套设施,并提供安全保障措施。
《电信业务分类目录(2015年版)》(2019年修订) B11 互联网数据中心业务:
互联网数据中心(IDC)业务是指利用相应的机房设施,以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务,以及提供数据库系统或服务器等设备的出租及其存储空间的出租、通信线路和出口带宽的代理租用和其他应用服务。
互联网数据中心业务经营者应提供机房和相应的配套设施,并提供安全保障措施。
互联网数据中心业务也包括互联网资源协作服务业务。互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。
[3] 《网络安全等级保护条例(征求意见稿)》第15条:根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
[4]《深圳市公安局:IDC、云平台「信息安全等级保护」不得低于三级,否则从严处罚》,https://www.sohu.com/a/226909680_465914,最后访问于2020年5月5日。
[5] 《网络安全法》第10条:建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
[6]《数据安全管理办法(征求意见稿)》第2条:在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。
[7] 杨兴武:《以陕西省为例,看IDC安全保障及监管对策》,《通信世界》,2018年第3期,http://www.cww.net.cn/article?id=426494,最后访问于2020年5月12日。
[8] http://www.phototex.com/it/internet/4594.html,最后访问于2020年5月12日。
http://zj.sina.com.cn/jinhua/news/2018-10-10/detail-ifxeuwws2672004.shtml,最后访问于2020年5月12日。
[9] 《关键信息基础设施安全保护条例(征求意见稿)》第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。
[10] 关键信息基础设施可以分为三类:公众服务类:如党政机关网站、企事业单位网站、新闻网站等;民生服务类:如金融、电子政务、公共服务等;基础生产类:如能源、水利、交通、数据中心、电视广播等。首都网警:《网络安全重防护,企业责任要落实》, https://mp.weixin.qq.com/s?src=11×tamp=1588679670&ver=2320&signature=-AboeSbNi1SpsgO5au*gfWuRsk*2sA2oVZObzbdkhVV8Wo7YR0Q4fqhHrpaaQoJUvwZH13vVZPvnOTZRaLpN3rLa9MXtSYZOgRuKRcHDxkPYwkWMLI*ORME7BX-E6Rmz&new=1,最后访问于2020年5月5日。
[11] 《网络安全法》第47条:网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
[12] 《网络信息内容生态治理规定》第8条:网络信息内容服务平台应当履行信息内容管理主体责任,加强本平台网络信息内容生态治理,培育积极健康、向上向善的网络文化。
第10条:网络信息内容服务平台不得传播本规定第六条规定的信息,应当防范和抵制传播本规定第七条规定的信息。网络信息内容服务平台应当加强信息内容的管理,发现本规定第六条、第七条规定的信息的,应当依法立即采取处置措施,保存相关记录,并向有关主管部门报告。
[13] 《数据安全管理办法(征求意见稿)》第30条:网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。
[14]http://www.cac.gov.cn/201809/08/c_1123397101.htm,最后访问于2020年5月12日。
[15]http://zj.sina.com.cn/jinhua/news/2018-10-10/detail-ifxeuwws2672004.shtml,最后访问于2020年5月12日。
[16] 根据《电信业务分类目录(2015年版)》,国际专线的建设、出租、出售属于国际通信设施服务业务,为国际闭合用户群提供的数据传送服务属于互联网国际数据传送业务或国际数据通信业务。
[17] 《国际通信出入口局管理办法》第二十二条 以经营电信业务为目的,通过互联网国际出入口设置虚拟网络的,应当报信息产业部批准。以内部使用为目的,通过互联网国际出入口设置虚拟专用网的,应当报信息产业部备案。
[18] 《计算机信息网络国际联网安全保护管理办法》第十二条:互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。