《网络安全法》管辖对象"网络运营者"是指网络（包括服务器）的所有者、管理者和网络服务提供者。IDC运营商主要业务模式包括对下游客户拥有的服务器提供放置、代理维护、系统配置及管理服务；向下游客户出租其拥有的服务器；向下游客户提供互联网资源协作服务业务。基于对上述业务模式的分析，IDC运营商可能构成网络（包括服务器）的所有者、管理者和网络服务提供者，属于《网络安全法》管辖对象。

《数据安全法》提出了"数据处理者"和"重要数据处理者"的概念。根据《数据安全法》，"数据处理者"是指从事数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动的组织和个人。IDC运营商的主要业务模式与数据的存储、传输等数据处理活动密切相关，因此数据中心可能构成"数据处理者"。 此外，《数据安全法》规定了重要数据的保护制度，要求国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护，重要数据处理者相对于数据处理者承担着更多的数据安全保护义务。虽然目前重要数据目录尚未出台，但IDC运营商可以参考2021年10月1日实施的《汽车数据安全管理若干规定(试行)》以及全国信息安全标准化技术委员会2021年9月发布的《信息安全技术重要数据识别指南（征求意见稿）》分析其数据处理活动是否涉及重要数据，若IDC运营商开展的数据处理活动涉及重要数据，则IDC运营商可能构成"重要数据处理者"，进而需要承担更高的数据安全保护义务。

《关键设施条例》所称"关键信息基础设施"，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。参考中央网络安全和信息化领导小组办公室网络安全协调局2016年6月发布的《国家网络安全检查操作指南》，关键信息基础设施包括大型数据中心和云计算平台，规模超过1,500个标准机架的数据中心。因此，若IDC运营商满足了上述条件，则有可能被认定为关键信息基础设施运营者（"CIIO"）。

即使IDC运营商自身可能不涉及重要数据的处理，亦尚未被认定为CIIO，但其客户可能属于CIIO或开展重要数据的处理活动，相应的义务也可能会通过与客户的合同被转移到IDC运营商，或者应客户要求协助客户履行相应的义务。

作为网络运营者，根据《网络安全法》第21条规定，IDC运营商应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。进一步而言，IDC运营商应按照《基本要求》的规定设置相关岗位和人员，根据不同级别会有所区别，例如《基本要求》的第四级[1]要求中包括：

1. 成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权；

2. 设立网络安全管理工作的职能部门，设立安全主管、安全管理各方面负责人岗位，并定义各负责人的职责；

3. 设立系统管理员、审计管理员和安全管理员等岗位，并定义部门及各个工作岗位的职责；配备一定数量的相关人员；配备专职安全管理员，不可兼任；关键事务岗应配备多人共同管理。

在人员录用方面，《基本要求》第四级要求中包括：

1. 指定或授权专门的部门或人员负责人员录用；

2. 对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核；

3. 应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议；

4. 应从内部人员选拔从事关键岗位的人员。

在人员离岗方面，《基本要求》第四级要求中包括：

1. 及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

2. 离岗人员应办理严格的调离手续，并承诺调离后的保密义务后方可离开。

若IDC运营商被认定为CIIO，根据《网络安全法》第34条规定，IDC运营商应设置专门安全管理机构和安全管理负责人。具体而言，IDC运营商应设置主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

在人员录用方面，《关键设施条例》第14条明确CIIO应当对专门安全管理机构负责人和关键岗位人员进行安全背景审查，且在审查时公安机关、国家安全机关应当予以协助。由此可见，若IDC运营商被认定为CIIO，则对其专门安全管理机构负责人和关键岗位人员的背景调查相对其他人员更为严格。并且安全背景审查是CIIO的一项法定义务，如果未履行安全背景审查义务，IDC运营商可能面临最高100万元的罚款等处罚。

根据《关键设施条例》第15条规定，专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

1. 建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

2. 组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

3. 按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

4. 认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

5. 组织网络安全教育、培训；

6. 履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

7. 对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

8. 按照规定报告网络安全事件和重要事项。

如IDC运营商涉及处理重要数据，作为重要数据处理者，IDC运营商应当根据《数据安全法》第27条的要求明确数据安全负责人和管理机构，落实数据安全保护责任。

作为网络运营者和数据处理者，IDC运营商在日常经营管理过程中需要遵守《网络安全法》和《数据安全法》的规定，依法采取管理措施保障数据安全。《网络安全法》第21条规定网络运营者需要履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；《数据安全法》第27条规定，开展数据处理活动应当依照法律、法规的规定，履行数据安全保护义务。

IDC运营商作为网络运营者和数据处理者需要采取的具体管理措施如下所示：

如IDC运营商被认定为CIIO，根据《网络安全法》和《关键设施条例》，除上述内容外，还将承担如下更严格的管理措施。

1.内部管理措施

2.外部管理措施

如IDC运营商涉及处理重要数据，作为重要数据处理者，除履行《数据安全法》针对数据处理者的要求外，IDC运营商还将承担对数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告的义务。风险评估报告应包括处理的重要数据的种类、数量、开展数据处理活动的情况，面临的数据安全风险及其应对措施等。如果未履行风险评估及报告义务，根据《数据安全法》第45条规定，IDC运营商将面临相应处罚。

此外，根据工信部2016年9月7日发布的《互联网信息安全管理系统使用及运行维护管理办法（试行）》（"《安全维护办法》"），从事互联网数据中心（含互联网资源协作服务）、互联网接入服务、内容分发网络服务等电信业务经营者（"企业"）按照有关管理规定和通信行业标准，建设或租用的互联网信息安全管理系统（"企业系统"），应遵守《安全维护办法》，包括：

a) 责任人：电信管理机构和企业应确立本互联网信息安全管理系统的使用与运行维护责任部门和责任人。

b) 上报要求：企业应按照有关管理规定和通信行业标准，进行企业系统基础数据和活跃资源数据的管理、核验和上报，确保数据完整、准确。企业应按照电信管理机构的要求，改正未上报、上报错误或上报不一致的异常数据，并于5个工作日内重新上报。

c) 访问日志：电信管理机构向企业系统下达访问日志查询要求的，企业应在收到要求后2个小时内报告查询结果。 

d) 运行维护： 电信管理机构和企业应建立互联网信息安全管理系统运行维护管理和故障处理机制，对本系统的运行和对接情况进行7*24小时实时监测，发现系统故障及时修复。

作为网络运营者和数据处理者，IDC运营商在日常经营管理过程中需要遵守《网络安全法》和《数据安全法》关于技术措施的规定，并采取与自身网络安全等级相对应的技术措施（网络安全等级保护技术要求涉及的事项见"（四）网络安全等级保护"部分），保障数据安全。

如IDC运营商被认定为CIIO或重要数据处理者，IDC运营商还应根据《网络安全法》《数据安全法》《关键设施条例》及其他配套法律法规、国家标准的要求，在日常经营管理过程中，除采取前述技术措施外，还应采取额外或更高的技术措施，保障数据安全。

公安部2018年6月27日发布的《网络安全等级保护条例（征求意见稿）》将网络分为五个安全保护等级：

1. 第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

2. 第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

3. 第三级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

4. 第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

5. 第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

IDC运营商的客户可能是公民、企业、金融机构和政府机关等，一旦遭到破坏，会对客户、社会甚至是国家造成危害，因此IDC运营商应当根据其遭到破坏对公民、法人和其他社会组织以及国家安全的影响，采取相应的安全保障措施，满足网络安全等级保护的要求。《网络安全等级保护条例（征求意见稿）》规定的数据合规义务应当包括一般安全保护义务、特殊安全保护义务和其他义务，包括履行备案的义务、委托第三方检测机构进行登记检测、年度网络安全等级测评义务、购买第三方产品服务时的注意义务、履行技术维护的相关要求、网络安全监测与报告义务并且需要注意对关键人员的管理等。

参考深圳市公安局公共信息网络安全监察分局发布的《关于落实网络安全等级保护制度要求的通知》，互联网数据中心和云平台运营方，原则上基础网络定级不得低于三级，且不得低于所承载信息系统的最高级别等。根据《基本要求》，第三级安全通用要求分为技术要求和管理要求两个层面。其中技术要求包括"安全物理环境"、"安全通信网络"、"安全区域边界"、"安全计算环境"和"安全管理中心"；管理要求包括"安全管理制度"、"安全管理机构"、"安全管理人员"、"安全建设管理"和"安全运维管理"。

因此，IDC运营商应当至少从上述几方面着手开展网络安全合规建设以满足网络安全等级保护的要求。同时，《基本要求》对云计算安全提出了扩展要求，若IDC运营商从事云计算服务，也应当满足相应的扩展要求。

《网络安全法》《数据安全法》以及《关键设施条例》还特别规定了安全审查和安全评估制度，IDC运营商在触发相应条件时，需要通过相应的安全审查或履行安全评估义务。

在现行《网络安全审查办法》的框架下，触发网络安全审查机制的情形如下：

1. CIIO采购

如IDC运营商被认定为CIIO，则其在采购网络产品和服务时，应当预判国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查，由网络安全审查办公室确定是否需要审查。被认定为CIIO的IDC运营商在评估采购网络产品和服务可能带来的国家安全风险时应按照《网络安全法》中的规定考虑如下主要因素：

（1）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（2）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（3）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（4）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（5）其他可能危害关键信息基础设施安全和国家安全的因素。

2. 网络安全审查办公室依职权启动

如IDC运营商未被认定为CIIO，但网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照《网络安全审查办法》的规定进行审查。

国家互联网信息办公室2021年7月10日发布的《网络安全审查办法（修订草案征求意见稿）》在上两种情形的基础上增加了如下触发情形：

1) 国外上市

如IDC运营商掌握超过100万用户个人信息的，那么该IDC运营商赴国外上市，必须向网络安全审查办公室申报网络安全审查。另外，由于《网络安全审查办法（修订草案征求意见稿）》暂未明确"掌握"的涵义，因此，针对当IDC运营商客户掌握的个人信息超过100万时，可否理解为IDC运营商"掌握"超过100万用户个人信息这一问题，暂不明确。

2) 数据处理活动

IDC运营商开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。如果IDC运营商未按照国家网络安全规定进行安全审查的，将由国家网信部门等有关主管部门进行处罚。

如IDC运营商被认定为CIIO，则根据《网络安全法》第37条、《数据安全法》第31条，其在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。近日，国家互联网信息办公室发布《数据出境安全评估办法（征求意见稿）》并公开征求意见，对涉及数据出境的企业进一步设置了相应的合规义务。

如IDC运营商涉及处理重要数据，作为重要数据处理者，则根据《数据安全法》第31条，IDC运营商在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。因此，从事重要数据处理活动的IDC运营商应当密切关注相应规则的出台。

如前所述，即使IDC运营商自身不构成CIIO或重要数据处理者，其客户如构成CIIO或重要数据处理者，相应的义务也可能会通过与客户的合同被转移到IDC运营商，或应客户要求协助配合其客户履行相应的义务，因此建议IDC运营商提前对上文提到的此类义务有一定了解。