新基建主题系列——互联网数据中心网络和数据安全合规性分析(上)
一.
安全是互联网数据中心的生命
随着新基建政策的出台,互联网数据中心(“数据中心”)的建设发展进入快车道。在建设、运营数据中心过程中,数据中心的网络与数据安全是运营者自始至终需要重视的课题。保障数据中心的安全,既是《电信条例》[1]项下电信业务经营者从申请到经营过程中应遵守的法律义务,也是《网络安全法》[2]项下网络运营者应当履行的网络安全义务。
1. 数据中心安全应从选址开始
在从电信业务合规和网络安全保护的角度对数据中心的安全问题展开讨论之前,我们需要先关注数据中心的选址,数据中心建在何处影响着数据中心自身的安全。为确保数据中心的安全,数据中心企业需要从源头上让数据中心远离各类安全风险。安全风险既包括自然因素,如雷击、洪水、地震等,也包括人为因素,如周遭的化工厂、断电事故,甚至该地区的高犯罪率。
数据中心安全事件并非耸人听闻,国内外均有发生。2011年4月,上海电信大楼13楼机房起火致4人死亡。2011年8月,亚马逊爱尔兰数据中心附近的一个变压器因为雷击导致起火爆炸,连带附近的供电设施无法启动导致停电。2014年5月,位于美国德克萨斯州的一家名为ThePlanet H1的数据中心因电力短路引发爆炸。[3]
在数据中心选址上,我国的相关国家标准提供了重要的参考要求。根据《数据中心设计规范》(GB50174—2017)[4],独立的数据中心在选址上应符合电力供给充足可靠,通信快速畅通,交通便捷;采用水蒸发冷却方式制冷的数据中心,水源充足;远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的场所;远离水灾、地震等自然灾害隐患区域;远离强振源和强噪声源;避开强电磁场干扰等要求。设置在建筑物内局部区域的数据中心,在确定主机房的位置时,应对安全、设备运输、管线敷设、雷电感应、结构荷载、水患及空调系统室外设备的安装位置等问题进行综合分析和经济比较。[5]
数据中心内部署了大量的计算机和相关设备,《计算机场地安全要求》(GB/T 9361-2011)[6]同样对选址提出了要求,例如,应避开火灾危险程度高的地区;应避开低洼、潮湿、落雷、重盐害区域和地震频繁的地方等。[7]
云计算服务是当下飞速发展的一项业务,而提供云计算服务需要一个用以存储大量数据的数据中心。对于云计算数据中心,根据《云计算数据中心基本要求》(GB/T 34982-2017)[8],在选址方面,应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;宜建在土地资源较充裕的地区;宜建在空气质量较好的地区;宜建在人力资源有基本保障的地区等。[9]
2. 数据中心安全既要避免天灾也要避免人祸
安全稳定的自然和社会环境与数据中心的安全息息相关,以上述提到的“人力资源有基本保障”为例,看似与数据中心的安全并无直接关联,却体现着应对潜在安全风险的考虑。当数据中心运维发生问题急需人手时,该人力资源有保障的优势就将得以体现。
以苹果在贵州的数据中心为例,不仅选址符合安全的要求,整体环境气候适合服务器运行,远离自然和人为的安全隐患,还能享受优惠的地方政策,在当地运营的经济成本也较低,有助于配备充足的运维团队。像这样的数据中心,既契合监管机关在安全方面对电信业务经营者审查监管的要求,也符合网络运营者保障网络和数据安全方面的要求。本篇分为(上)(下)两篇从电信业务合规和网络安全保护两个角度,为数据中心企业梳理相关要求。
二.
数据中心电信业务经营者的合规义务
根据《电信条例》,国家对电信业务经营按照电信业务分类,实行许可制度。经营电信业务,应当取得电信业务经营许可证,未取得许可证不得从事电信业务经营活动。《电信业务分类目录(2015版)》中明确规定了“B11互联网数据中心业务”这一类别。因此,数据中心电信业务经营者应当取得“互联网数据中心业务”增值电信业务许可证(“电信许可证”)。除申请许可外,数据中心电信业务经营者还应当遵守电信安全的相关规定,建立健全内部安全保障,与国家安全、电信网络安全的需要做到“三同步”。[10]
1. 电信许可证申请环节的安全性要求
在审核电信业务资质的申请时,网络与信息安全是监管机关考虑的重要因素。法律法规中关于增值电信业务经营者的规定适用于数据中心业务的申请者。根据《电信业务经营许可管理办法》,增值电信业务的申请材料中包括“网络与信息安全保障措施”[11],工信部的《电信业务经营许可审批服务指南》[12]中对网络安全方面提出了具体要求,包括内部机构、管理人员及相关制度、工作等。具体来说,申请企业需要:
(1) 设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全相关工作;
(2) 确定网络与信息安全第一责任人,对机构内的信息安全工作负有领导责任,并且确定网络与信息安全责任人,对企业内信息安全工作负有直接领导责任。申请企业需要配备有资质的网络与信息安全管理人员,明晰其归属部门与工作内容。人员资质包括注册信息安全专业人员(“CISP”)、注册信息系统安全专业人员(“CISSP”)、注册信息系统审计师(“CISA”)等;
(3) 建立健全网络与信息安全规章制度、网络与信息安全事件应急处置和上报制度、从业人员网络与信息安全教育培训以及考核制度、违法有害信息监测处置制度、用户信息保护制度等。[13]
不仅如此,根据《关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的实施方案》[14],对于数据中心业务的申请者,增值电信业务的申请材料中的“有与开展经营活动相适应的资金和专业人员”和“有必要的场地、设施及技术方案”被进一步细化明确。
在人员方面,对数据中心企业提出了以下要求:
(1) 建立网络和信息安全专人专岗制度,配备与本企业接入网站数量相匹配的网络和信息安全管理人员;
(2) 明确2名应急联系人,负责7×24小时应急联系处置工作,每接入1万个网站至少配备2名专职网络和信息安全工作人员,并根据需要配备必要的技术、管理、客户服务等工作人员;
(3) 建立相应的客户服务部门,配备专职投诉处理人员,设置用户投诉处理公开服务热线。[15]
在场地、设施和技术方面,对数据中心企业提出了以下要求:
(1) 机房要满足《通信机楼消防安全监督管理办法》和《通信网络供电系统运行安全监督管理办法》的相关规定。数据中心机房应包括UPS、发电设备、冷却系统、机柜等设备;
(2) 网络安全管理要求。按照《通信网络安全防护管理办法》、《互联网网络安全信息通报实施办法》、《木马和僵尸网络监测与处置机制》、《移动互联网恶意程序监测与处置机制》的要求,落实通信网络安全防护系列标准,制订并完善网络安全应急预案,开展应急演练,接受主管部门对各项网络安全工作落实情况的监督检查;
(3) 信息安全管理要求。按照《中华人民共和国电信条例》和《互联网信息服务管理办法》的要求,建立违法网站和违法信息的巡查与处置、用户信息安全管理、信息安全评估等管理制度。按照《互联网数据中心和互联网接入服务信息安全管理系统技术要求》和《互联网数据中心和互联网接入服务信息安全管理系统接口规范》等标准要求,建设数据中心信息安全技术管理手段,具备基础数据管理、访问日志管理、违法违规网站及违法信息发现处置等技术能力。[16]
2. 电信业务经营过程中的安全性要求
在取得电信业务资质后,数据中心业务的经营者应当依法合规经营。根据《电信业务经营许可管理办法》,电信业务经营者应当按照国家和电信管理机构的规定,明确相应的网络与信息安全管理机构和专职网络与信息安全管理人员,建立网络与信息安全保障、网络安全防护、违法信息监测处置、新业务安全评估、网络安全监测预警、突发事件应急处置、用户信息安全保护等制度,并具备相应的技术保障措施。[17]为加强电信业务事中事后管理体系的建设,监管部门将通过信息年报和公示制度、随机抽查制度、不良名单和失信名单制度[18]等加强对电信业务经营者的监督检查。可见,数据中心业务的经营者并非申请获得电信业务资质后便能高枕无忧,网络与信息安全等合规要求将始终贯穿于企业的经营活动。
(1) 信息年报和公示制度是由原来的经营许可证年检制度变革而来,为电信企业设立了主动报告的义务。
持证的电信企业需要在每年第一季度通过电信业务市场综合管理信息系统向发证机关报告,填报时需要如实填写“网络与信息安全”表格,具体内容包括了安全管理组织机构和人员、安全管理制度建设、信息安全技术保障措施、信息安全工作落实情况、数据安全工作落实情况等[19]。信息年报将自动入库,网络与信息安全方面的信息可由企业自选是否向社会公示。
(2) 随机抽查机制是为电信企业设立的配合监管、接受检查的义务。
监管机关的随机抽查遵循“双随机一公开”[20]的原则,对电信业务经营者进行检查,检查的形式包括书面检查、实地核查、网络监测、委托第三方检查等。[21]监管机关对电信企业的抽查内容中包括电信企业的“网络信息保障措施”。[22]
(3) 不良名单和失信名单制度将信用管理与行政处罚、企业年报义务履行有机结合。
若企业未按规定履行年报的义务,责令整改仍未在限期内完成的,将被列入电信业务经营不良名单。[23]若企业列入电信业务经营不良名单后三年内再次受到责令停业整顿、吊销经营许可证处罚的,或直接被吊销经营许可证的,或具有工业和信息化部规定的其他情形的,将被列入电信业务经营失信名单。[24]根据监管机关的随机抽查、日常监督检查及行政处罚记录等,违规经营的企业将进入电信业务经营不良名单和失信名单。[25]
实践中,工信部每个季度都将更新这两张名单,例如,2020年第一季度就有24家违规企业被纳入电信业务经营不良名单。列入不良名单或失信名单后对于企业本身及企业的负责人均有严重的负面影响。一方面,这两份名单是其他电信业务经营者进行网络接入、代收费、业务合作时选择合作伙伴的重要因素,数据中心业务的经营者在这方面的合作需求可能较高,因此尤其需要注意。另一方面,列入名单的不仅仅是电信企业,也包括电信企业的主要经营管理人员,个人在一家数据中心企业被列入这两张名单,将成为其污点,日后在数据中心行业的工作可能都会受影响。
除《电信业务经营许可管理办法》中提及的事中事后监管制度外,关于数据中心的相关政策通知、经营许可证上的“特别注意事项”中也涵盖了网络与信息安全的相关合规义务。例如,《工业和信息化部关于清理规范互联网网络接入服务市场的通知》[26]中反复强调要求“落实IDC机房运行安全和网络信息安全要求,并通过相关评测”。数据中心许可证附页上的“特别注意事项”要求持证企业“开展网络和系统定级备案、符合性测评和风险评估;落实网络安全防护措施;落实安全主体责任,完善管理制度和技术手段,加强数据访问权限管理”等。
下篇预告
《新基建主题系列——互联网数据中心网络和数据安全合规性分析(下)》一文将从网络安全保护角度为数据中心企业梳理在建设、运营数据中心过程中保障数据中心安全的相关要求,敬请期待。
[注]
[1]《电信条例》,国务院于2000年9月25日发布实施,于2016年2月6日最新修订。
[2]《网络安全法》,全国人民代表大会常务委员会于2016年11月7日发布,2017年6月1日实施。第76条,“网络运营者,是指网络的所有者、管理者和网络服务提供者”。
[3] 中国IDC圈,“引以为鉴!盘点世界各地数据中心爆炸事件”,http://dc.idcquan.com/aqjk/75898.shtml 访问时间:2020年5月2日。
[4]《数据中心设计规范》(GB50174—2017),中华人民共和国住房和城乡建设部、中华人民共和国国家质量监督检验检疫总局于2017年5月4日发布,2018年1月1日实施。
[5]《数据中心设计规范》(GB50174—2017),4.1选址。
[6]《计算机场地安全要求》(GB/T 9361-2011),中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会于2011年12月30日发布,2012年5月1日实施。
[7]《计算机场地安全要求》(GB/T 9361-2011),5.1选址。
[8]《云计算数据中心基本要求》(GB/T 34982-2017),中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会于2017年11月1日发布,2018年5月1日实施。
[9]《云计算数据中心基本要求》(GB/T 34982-2017),5.1.1场地位置。
[10]《电信条例》第59条、第60条。三同步:同步规划、同步建设、同步运行。
[11]《电信业务经营许可管理办法》第8条。
[12]《电信业务经营许可审批服务指南》,工业和信息化部信息通信管理局于2017 年5 月31 日发布,2019 年8 月1 日更新。
[13]《电信业务经营许可审批服务指南》附录二:申请表单填写说明。
[14]《关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的实施方案》,工业和信息化部于2012年11月30日发布实施。
[15]《关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的实施方案》,三、IDC和ISP业务许可申请,(一)申请条件。
[16]《关于进一步规范因特网数据中心(IDC)业务和因特网接入服务(ISP)业务市场准入工作的实施方案》,三、IDC和ISP业务许可申请,(一)申请条件。
[17]《电信业务经营许可管理办法》第26条。
[18]《电信业务经营许可管理办法》第35-38条。
[19]《电信业务经营许可信息年报指南》、《2019年度增值企业年报空表单(仅供参考,以在线填写表单为准)》。
[20] “双随机一公开”:随机抽取检查对象、随机选派执法检查人员,及时公开抽查情况和结果。
[21]《电信业务经营许可管理办法》第36条。
[22]《电信业务经营许可事中事后监管政策解读》,中国信息通信研究院(CAICT),2018年12月7日。
[23]《电信业务经营许可管理办法》第38条。
[24]《电信业务经营许可管理办法》第42条。
[25]《电信业务经营许可管理办法》第37条。
[26]《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,工业和信息化部于2017年1月17日发布实施。
新基建主题系列阅读
点击下列文章标题可查看原文
1. 《新基建主题系列——关注特高压及新能源项目的用地法律风险》
2. 《新基建主题系列——IDC行业有关运营和架构的法律考量》
3. 《“新基建”风口下投资新能源汽车充电桩项目的法律问题》
4. 《新基建主题系列——智能家居出海的八个数据保护关键词》
5. 《“新基建”投资背景下PPP-ICT项目交易结构设计要点》
6. 《新基建主题系列——数字金融的应用、监管及合规思考》
7. 《新基建主题系列——人工智能之间达成“垄断协议”?算法合谋的反垄断法律风险分析》
8. 《新基建主题系列——人工智能技术开发中的知识产权法律风险》
9. 《新基建主题系列——大数据从何而来,涉足大数据业务需留意的网络爬虫技术合规风险》
10. 《新基建主题系列——移动互联网产品跨境出海的合规风险与对策》
11. 《新基建主题系列——机器学习行业如何避免个人信息合规风险?》
12. 《新基建主题系列——IDC工程建设的“危”与“机”(上)》
13. 《新基建主题系列——IDC工程建设的“危”与“机”(中)》
14. 《新基建主题系列——IDC工程建设的“危”与“机”(下)》
15. 《新基建背景下的投资新贵(上):中国数据中心行业发展》
17. 《新基建背景下的投资新贵(下):数据中心基础设施准入》
18. 《新基建主题系列——金融机构建立数据中心的合规要点分析》
19. 《新基建主题系列——投资IDC项目的法律尽职调查要点(上)》
20. 《新基建主题系列——投资IDC项目的法律尽职调查要点(中)》
21. 《新基建主题系列——投资IDC项目的法律尽职调查要点(下)》
The End
作者简介
周洋 律师
上海办公室 合伙人
业务领域:收购兼并, 资本市场/证券, 合规/政府监管, 科技、电信与互联网
王佳一
上海办公室 公司部
作者往期文章推荐:
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。