IDC产业链全解析(四):互联网数据中心的数据安全保护义务
IDC产业链全解析(四):互联网数据中心的数据安全保护义务
互联网数据中心("IDC")作为数据存储的基础设施,其安全性对IDC运营商客户、社会乃至国家安全至关重要。随着2017年6月1日实施的《网络安全法》,2020年6月1日实施的《网络安全审查办法》,2021年9月1日实施的《数据安全法》以及《关键信息基础设施安全保护条例》("《关键设施条例》")相继落地,我国法律法规对保障数据安全、网络安全的管理措施和技术措施均提出了严格的要求。
在网络、数据安全保护方面,IDC运营商应当关注《网络安全法》《数据安全法》《关键设施条例》等法律法规,从负责人和管理机构、管理措施、技术措施等方面进行详细规定。此外,国家市场监督管理总局和中国国家标准化管理委员会2019年5月10日发布的《信息安全技术 网络安全等级保护基本要求》("《基本要求》")规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求,针对共性安全保护需求提出安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求。
本文主要从《网络安全法》《数据安全法》《关键设施条例》等法律法规关于数据安全的要求出发,分析IDC运营商的数据安全保护义务。此外,IDC运营商若开展个人信息处理活动,还应当符合《个人信息保护法》的相关要求,本文对此不展开分析。
一
IDC运营商在数据保护中的主体角色
《网络安全法》管辖对象"网络运营者"是指网络(包括服务器)的所有者、管理者和网络服务提供者。IDC运营商主要业务模式包括对下游客户拥有的服务器提供放置、代理维护、系统配置及管理服务;向下游客户出租其拥有的服务器;向下游客户提供互联网资源协作服务业务。基于对上述业务模式的分析,IDC运营商可能构成网络(包括服务器)的所有者、管理者和网络服务提供者,属于《网络安全法》管辖对象。
《数据安全法》提出了"数据处理者"和"重要数据处理者"的概念。根据《数据安全法》,"数据处理者"是指从事数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动的组织和个人。IDC运营商的主要业务模式与数据的存储、传输等数据处理活动密切相关,因此数据中心可能构成"数据处理者"。 此外,《数据安全法》规定了重要数据的保护制度,要求国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护,重要数据处理者相对于数据处理者承担着更多的数据安全保护义务。虽然目前重要数据目录尚未出台,但IDC运营商可以参考2021年10月1日实施的《汽车数据安全管理若干规定(试行)》以及全国信息安全标准化技术委员会2021年9月发布的《信息安全技术重要数据识别指南(征求意见稿)》分析其数据处理活动是否涉及重要数据,若IDC运营商开展的数据处理活动涉及重要数据,则IDC运营商可能构成"重要数据处理者",进而需要承担更高的数据安全保护义务。
《关键设施条例》所称"关键信息基础设施",是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。参考中央网络安全和信息化领导小组办公室网络安全协调局2016年6月发布的《国家网络安全检查操作指南》,关键信息基础设施包括大型数据中心和云计算平台,规模超过1,500个标准机架的数据中心。因此,若IDC运营商满足了上述条件,则有可能被认定为关键信息基础设施运营者("CIIO")。
即使IDC运营商自身可能不涉及重要数据的处理,亦尚未被认定为CIIO,但其客户可能属于CIIO或开展重要数据的处理活动,相应的义务也可能会通过与客户的合同被转移到IDC运营商,或者应客户要求协助客户履行相应的义务。
二
数据安全合规义务
(一)负责人和管理机构
作为网络运营者,根据《网络安全法》第21条规定,IDC运营商应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。进一步而言,IDC运营商应按照《基本要求》的规定设置相关岗位和人员,根据不同级别会有所区别,例如《基本要求》的第四级[1]要求中包括:
-
成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;
-
设立网络安全管理工作的职能部门,设立安全主管、安全管理各方面负责人岗位,并定义各负责人的职责;
-
设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责;配备一定数量的相关人员;配备专职安全管理员,不可兼任;关键事务岗应配备多人共同管理。
在人员录用方面,《基本要求》第四级要求中包括:
-
指定或授权专门的部门或人员负责人员录用;
-
对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的技术技能进行考核;
-
应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议;
-
应从内部人员选拔从事关键岗位的人员。
在人员离岗方面,《基本要求》第四级要求中包括:
-
及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
-
离岗人员应办理严格的调离手续,并承诺调离后的保密义务后方可离开。
若IDC运营商被认定为CIIO,根据《网络安全法》第34条规定,IDC运营商应设置专门安全管理机构和安全管理负责人。具体而言,IDC运营商应设置主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
在人员录用方面,《关键设施条例》第14条明确CIIO应当对专门安全管理机构负责人和关键岗位人员进行安全背景审查,且在审查时公安机关、国家安全机关应当予以协助。由此可见,若IDC运营商被认定为CIIO,则对其专门安全管理机构负责人和关键岗位人员的背景调查相对其他人员更为严格。并且安全背景审查是CIIO的一项法定义务,如果未履行安全背景审查义务,IDC运营商可能面临最高100万元的罚款等处罚。
根据《关键设施条例》第15条规定,专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
-
建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
-
组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
-
按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
-
认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
-
组织网络安全教育、培训;
-
履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
-
对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
-
按照规定报告网络安全事件和重要事项。
如IDC运营商涉及处理重要数据,作为重要数据处理者,IDC运营商应当根据《数据安全法》第27条的要求明确数据安全负责人和管理机构,落实数据安全保护责任。
(二)管理措施
作为网络运营者和数据处理者,IDC运营商在日常经营管理过程中需要遵守《网络安全法》和《数据安全法》的规定,依法采取管理措施保障数据安全。《网络安全法》第21条规定网络运营者需要履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;《数据安全法》第27条规定,开展数据处理活动应当依照法律、法规的规定,履行数据安全保护义务。
IDC运营商作为网络运营者和数据处理者需要采取的具体管理措施如下所示:
事项 |
内容 |
法条 |
罚则 |
制度 |
制定内部安全管理制度和操作规程; 建立健全全流程数据安全管理制度。 |
《网络安全法》第21条 《数据安全法》第27条 |
《网络安全法》第59条: 网络运营者不履行本法第21条、第25条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5千元以上5万元以下罚款。 《数据安全法》第45条: 开展数据处理活动的组织、个人不履行本法第27条、第29条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。 |
培训 教育 |
组织开展数据安全培训教育。 |
《数据安全法》第27条 |
|
监测 |
采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; 制定数据活动风险监测机制,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。 |
《网络安全法》第21条 《数据安全法》第29条 |
|
应急 预案 |
制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 |
《网络安全法》第25条 |
如IDC运营商被认定为CIIO,根据《网络安全法》和《关键设施条例》,除上述内容外,还将承担如下更严格的管理措施。
1.内部管理措施
事项 |
内容 |
法条 |
处罚责任 |
培训 教育 |
定期对从业人员进行网络安全教育、技术培训和技能考核。 |
《网络安全法》第34条 |
《网络安全法》第59条 关键信息基础设施的运营者不履行本法第34条、第38条规定,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 《关键设施条例》第39条: 由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 |
定期演练应急预案 |
制定网络安全事件应急预案,并定期进行演练。 |
《网络安全法》第34条 |
|
建立网络安全保护制度和责任制 |
建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。 |
《关键设施条例》第13条 |
|
开展与网络安全和信息化有关的决策 |
保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。 |
《网络安全法》第34条 《关键设施条例》第16条 |
|
网络安全检测和风险评估 |
自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。 |
《网络安全法》第38条 《关键设施条例》第17条 |
2.外部管理措施
采购网络产品和服务应签订安全保密协议 |
采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。 |
《网络安全法》第36条 《关键设施条例》第20条 |
《网络安全法》第59条 关键信息基础设施的运营者不履行本法第36条规定,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 《关键设施条例》第39条 由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 |
关键信息基础设施发生较大变化的报告义务 |
关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。 |
《关键设施条例》第11条 |
|
运营者发生合并、分立、解散等的报告义务 |
运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。 |
《关键设施条例》第21条 |
|
关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁的报告义务 |
关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。 发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。 |
《关键设施条例》第18条 |
《关键设施条例》第40条 运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。 |
经批准对关键信息基础设施实施漏洞探测、渗透性测试等 |
未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。 |
《关键设施条例》第31条 |
《关键设施条例》第43条 实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。 单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 |
如IDC运营商涉及处理重要数据,作为重要数据处理者,除履行《数据安全法》针对数据处理者的要求外,IDC运营商还将承担对数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告的义务。风险评估报告应包括处理的重要数据的种类、数量、开展数据处理活动的情况,面临的数据安全风险及其应对措施等。如果未履行风险评估及报告义务,根据《数据安全法》第45条规定,IDC运营商将面临相应处罚。
此外,根据工信部2016年9月7日发布的《互联网信息安全管理系统使用及运行维护管理办法(试行)》("《安全维护办法》"),从事互联网数据中心(含互联网资源协作服务)、互联网接入服务、内容分发网络服务等电信业务经营者("企业")按照有关管理规定和通信行业标准,建设或租用的互联网信息安全管理系统("企业系统"),应遵守《安全维护办法》,包括:
a) 责任人:电信管理机构和企业应确立本互联网信息安全管理系统的使用与运行维护责任部门和责任人。
b) 上报要求:企业应按照有关管理规定和通信行业标准,进行企业系统基础数据和活跃资源数据的管理、核验和上报,确保数据完整、准确。企业应按照电信管理机构的要求,改正未上报、上报错误或上报不一致的异常数据,并于5个工作日内重新上报。
c) 访问日志:电信管理机构向企业系统下达访问日志查询要求的,企业应在收到要求后2个小时内报告查询结果。
d) 运行维护: 电信管理机构和企业应建立互联网信息安全管理系统运行维护管理和故障处理机制,对本系统的运行和对接情况进行7*24小时实时监测,发现系统故障及时修复。
(三)技术措施
作为网络运营者和数据处理者,IDC运营商在日常经营管理过程中需要遵守《网络安全法》和《数据安全法》关于技术措施的规定,并采取与自身网络安全等级相对应的技术措施(网络安全等级保护技术要求涉及的事项见"(四)网络安全等级保护"部分),保障数据安全。
事项 |
内容 |
法条 |
处罚责任 |
安全 防护 |
采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。 采取相应技术措施和其他必要措施保障数据安全。 针对互联网数据中心的物理安全采取相应的防护措施,包括保障供电系统、消防系统、网络接口安全等。 |
《网络安全法》第21条 《数据安全法》第27条 《数据中心设计规范》(GB50174-2017) 《计算机场地安全要求》(GB/T 9361-2011) |
《网络安全法》第59条 网络运营者不履行本法第21条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5千元以上5万元以下罚款。 《数据安全法》第45条 开展数据处理活动的组织、个人不履行本法第27条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。 |
备份 |
采取数据分类、重要数据备份和加密等措施。 |
《网络安全法》第21条 |
如IDC运营商被认定为CIIO或重要数据处理者,IDC运营商还应根据《网络安全法》《数据安全法》《关键设施条例》及其他配套法律法规、国家标准的要求,在日常经营管理过程中,除采取前述技术措施外,还应采取额外或更高的技术措施,保障数据安全。
(四)网络安全等级保护
公安部2018年6月27日发布的《网络安全等级保护条例(征求意见稿)》将网络分为五个安全保护等级:
-
第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
-
第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
-
第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
-
第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
-
第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
IDC运营商的客户可能是公民、企业、金融机构和政府机关等,一旦遭到破坏,会对客户、社会甚至是国家造成危害,因此IDC运营商应当根据其遭到破坏对公民、法人和其他社会组织以及国家安全的影响,采取相应的安全保障措施,满足网络安全等级保护的要求。《网络安全等级保护条例(征求意见稿)》规定的数据合规义务应当包括一般安全保护义务、特殊安全保护义务和其他义务,包括履行备案的义务、委托第三方检测机构进行登记检测、年度网络安全等级测评义务、购买第三方产品服务时的注意义务、履行技术维护的相关要求、网络安全监测与报告义务并且需要注意对关键人员的管理等。
参考深圳市公安局公共信息网络安全监察分局发布的《关于落实网络安全等级保护制度要求的通知》,互联网数据中心和云平台运营方,原则上基础网络定级不得低于三级,且不得低于所承载信息系统的最高级别等。根据《基本要求》,第三级安全通用要求分为技术要求和管理要求两个层面。其中技术要求包括"安全物理环境"、"安全通信网络"、"安全区域边界"、"安全计算环境"和"安全管理中心";管理要求包括"安全管理制度"、"安全管理机构"、"安全管理人员"、"安全建设管理"和"安全运维管理"。
因此,IDC运营商应当至少从上述几方面着手开展网络安全合规建设以满足网络安全等级保护的要求。同时,《基本要求》对云计算安全提出了扩展要求,若IDC运营商从事云计算服务,也应当满足相应的扩展要求。
三
安全审查和跨境传输的安全评估
《网络安全法》《数据安全法》以及《关键设施条例》还特别规定了安全审查和安全评估制度,IDC运营商在触发相应条件时,需要通过相应的安全审查或履行安全评估义务。
(一)网络安全审查
在现行《网络安全审查办法》的框架下,触发网络安全审查机制的情形如下:
1. CIIO采购
如IDC运营商被认定为CIIO,则其在采购网络产品和服务时,应当预判国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查,由网络安全审查办公室确定是否需要审查。被认定为CIIO的IDC运营商在评估采购网络产品和服务可能带来的国家安全风险时应按照《网络安全法》中的规定考虑如下主要因素:
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(5)其他可能危害关键信息基础设施安全和国家安全的因素。
2. 网络安全审查办公室依职权启动
如IDC运营商未被认定为CIIO,但网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照《网络安全审查办法》的规定进行审查。
国家互联网信息办公室2021年7月10日发布的《网络安全审查办法(修订草案征求意见稿)》在上两种情形的基础上增加了如下触发情形:
1) 国外上市
如IDC运营商掌握超过100万用户个人信息的,那么该IDC运营商赴国外上市,必须向网络安全审查办公室申报网络安全审查。另外,由于《网络安全审查办法(修订草案征求意见稿)》暂未明确"掌握"的涵义,因此,针对当IDC运营商客户掌握的个人信息超过100万时,可否理解为IDC运营商"掌握"超过100万用户个人信息这一问题,暂不明确。
2) 数据处理活动
IDC运营商开展数据处理活动,影响或可能影响国家安全的,应当进行网络安全审查。如果IDC运营商未按照国家网络安全规定进行安全审查的,将由国家网信部门等有关主管部门进行处罚。
(二)数据出境安全评估
如IDC运营商被认定为CIIO,则根据《网络安全法》第37条、《数据安全法》第31条,其在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。近日,国家互联网信息办公室发布《数据出境安全评估办法(征求意见稿)》并公开征求意见,对涉及数据出境的企业进一步设置了相应的合规义务。
如IDC运营商涉及处理重要数据,作为重要数据处理者,则根据《数据安全法》第31条,IDC运营商在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。因此,从事重要数据处理活动的IDC运营商应当密切关注相应规则的出台。
如前所述,即使IDC运营商自身不构成CIIO或重要数据处理者,其客户如构成CIIO或重要数据处理者,相应的义务也可能会通过与客户的合同被转移到IDC运营商,或应客户要求协助配合其客户履行相应的义务,因此建议IDC运营商提前对上文提到的此类义务有一定了解。
[注]