作者简介
杨 涵
上海建纬(成都)律师事务所 专职律师
本科及硕士分别毕业于电子科技大学通信工程及项目管理工程硕士专业,取得工学学士及工程硕士学位,目前正于西南政法大学攻读法学硕士学位,具备工学、工程、法学的复合教育背景。执业前,曾于某央企运营商专业化子公司工作十余年,从事工程管理、网络优化、法律风控等工作。拥有通信工程师、高级劳动关系管理师等职业资格,中国法学会会员。主要服务对象为建筑及通信建设施工企业、通信运营商等央企、国企、上市公司,在基建特别是新基建领域拥有丰富经验。
本文分为上下两篇,上篇内容:一、大数据中心概览;二、大数据中心的投资合规。下篇内容:三、大数据中心的建设合规;四、大数据中心的运营合规;五、结语。
三、大数据中心的建设合规
(一)是否属于必须招标的工程
根据发改委《必须招标的基础设施和公用事业项目范围规定》第二条的规定:"不属于《必须招标的工程项目规定》第二条、第三条规定情形的大型基础设施、公用事业等关系社会公共利益、公众安全的项目,必须招标的具体范围包括:(一)煤炭、石油、天然气、电力、新能源等能源基础设施项目;(二)铁路、公路、管道、水运,以及公共航空和A1 级通用机场等交通运输基础设施项目;(三)电信枢纽、通信信息网络等通信基础设施项目;(四)防洪、灌溉、排涝、引(供)水等水利基础设施项目;(五)城市轨道交通等城建项目。"
《规定》中必须招标的范围包含了IDC类大数据中心,而对EDC类大数据中心并无相应的明文规定。但笔者倾向性认为,即便是EDC类大数据中心,若其功能包含有对社会公众用户的数据处理,依然可被认定为关系社会公共利益、公众安全的项目,应当纳入必须招标的工程项目范围。
(二)发承包模式及施工资质要求
根据《建设工程分类标准》(GB/T 50841-2013)的规定,建设工程可分为建筑工程、土木工程和机电工程三大类。而根据住建部2022年2月发布的《建筑业企业资质标准(征求意见稿)》中的定义,机电工程施工总承包资质却并未列入港口与航道、水利水电、电力、矿山、冶金、石油化工、通信、民航工程的机械、电子、轻工、纺织、船舶、兵器等其他工业工程的机电安装工程。根据如上定义,广义的机电工程范围包含通信工程施工总承包资质项下的工作内容,业内一般也将包含通信等设备安装的机电工程称之为“大机电”工程,而未包含通信等设备安装的机电工程称之为“小机电”工程(即机电工程施工总承包资质项下的工程范围)。
大数据中心按其属性,在《建设工程分类标准》的定义下,由建筑工程和机电工程两部分组成,IDC或EDC类数据中心均可拆分为建筑工程和机电工程两个独立标段分别发包,也可将建筑工程与机电工程整体发包(一般以EPC工程总承包方式呈现)。建筑工程部分与普通房建工程并无太大区别,只是在设计和施工方面需要考虑其特有的荷载、消防、抗震等要求。对于机电工程部分而言,IDC类数据中心归属通信施工总承包资质范围内的通信电源、传输设备安装工程等并不包含在机电工程施工总承包资质范围内,而发电机组系统、空调制冷系统等设备安装工程也未包含于通信工程施工总承包资质范围之内,因此总承包单位应当同时具备通信工程总承包及机电工程施工总承包资质。对于EDC类数据中心,如无对社会公众提供数据处理服务的功能,一般情况下总承包单位在建筑工程总承包资质外,具备机电工程施工总承包资质即可。
需要特别注意的是,有观点认为建筑工程施工总承包资质或可涵盖整个数据中心项目的建设范围,理由在于建筑工程施工总承包资质项下的承包工程范围包含了“电气”设备的安装。但笔者对此持不同意见,首先,根据《建筑业企业资质标准》中的规定,建筑工程施工总承包资质项下的承包工程范围对“电气”设备的规定是基于该“电气”设备是整个建筑工程的配套设施,其安装的目的是服务于整个建筑工程,而非大数据中心类项目中典型存在的建筑工程是为其中安装的IT、电气等电力设备服务的情形,在建筑工程施工总承包资质中涵盖部分为建筑工程服务的“电气”设备安装,是基于工程的便利性和一体化管理的需要;其次,根据住建部对建筑业企业资质的划分标准,建筑工程施工总承包资质是平行于机电工程施工总承包、通信工程施工总承包等其他子类的资质而设立,而建筑工程与通信等建设工程子类的行业主管部门、行业标准、行业规范及惯例均不相同,如果赋予其工程范围涵盖完整的“电气”设备安装,有逃避行业主管部门监管的嫌疑。
对于专业承包资质而言,机电工程部分则明显不同于传统意义上的建筑机电安装工程,具有鲜明的行业特征。在大数据中心类项目当中,房屋建筑是为其中安置的IT、电气、制冷等工艺设备提供物理承载空间而服务的辅助设施,而在原建筑机电安装工程资质项下工程范围包含的设备、线路、管道则恰好相反,均是为建筑本身服务而非为生产服务的工艺设备。但值得注意的是,资质改革后,根据《建筑业企业资质标准(征求意见稿)》的规定,原建筑机电安装工程专业承包与电子与智能化工程专业承包合并为新的建筑机电工程专业承包资质,已无需对此进行区分。
因此,将大数据中心的建筑工程及其配套基础设施及机电工程拆分为各专业工程,各工作涉及的资质为建筑装修装饰工程专业承包、建筑机电工程专业承包、消防设施工程专业承包等。需要特别注意的是,原工信部颁发的计算机信息系统集成资质已由国务院(国发〔2014〕5号)明令取消,该资质已不可承接数据中心类业务。
工程总承包及专业分包对资质的要求如图所示:
▲ 资质改革后大数据中心涉及资质
(三)资质改革背景下的工程总承包合规性问题
在“放管服”的大背景之下,2022年2月住建部发布的《建筑业企业资质标准(征求意见稿)》,对沿用多年的资质序列进行大幅度的调整,压减勘察、设计、施工、监理资质数量并将原有的10类施工总承包企业特级资质调整为施工综合资质,可承担各行业、各等级施工总承包业务。这也意味着通信工程施工总承包与机电工程施工总承包资质将不再是通信工程和机电工程行业的门槛,原本因资质壁垒而需要与通信工程施工企业或机电工程施工企业组成联合体投标的10类综合资质企业,如今可自行承接施工业务。
如前所述,数据中心的建筑本身是为IT设备等提供物理承载空间而存在,是数据中心项目的辅助设施,而通信工程与机电工程涵盖的施工任务为本项目的核心关键,且具有较强的专业性。如果在施工总承包合同关系下,对《建筑法》第二十九条中所述的“主体结构”做扩大解释为主体工作、核心工作,将该部分施工任务分包,有较大可能被法院认定为违法分包。而在工程总承包合同关系下,综合资质企业承接数据中心项目后,将本属于核心关键的通信工程或机电工程分包,在符合《建筑法》第二十九条规定的有总包合同的事先约定或取得发包人同意的情形下,此种分包行为是否涉嫌违法,现行相关法律法规均未作出明确规定,相关法律适用问题有待国家进一步明晰。但笔者个人认为,在工程总承包单位具备相应施工资质的情形下,将项目核心关键的施工任务分包,不符合国家近年来大力推行工程总承包的本意,不利于发包人在招投标阶段选择符合本项目实际施工要求的中标人,损害发包人利益的同时也不利于维护建设工程市场的秩序,应将该种情形纳入违法分包的范畴。
四、大数据中心的运营合规
(一)经营许可证办理
根据《中华人民共和国电信条例》的规定,国家对电信业务经营按照业务分类,实行许可管理制度。电信业务可分为基础电信业务和增值电信业务,两者应当分别取得《基础电信业务经营许可证》和《增值电信业务经营许可证》。根据大数据中心的属性,IDC类数据中心涉及办理包含互联网数据中心业务(不含互联网资源协作)、互联网资源协作业务(云牌照)、互联网接入业务(ISP)、内容分发网络业务(CDN)四个增值电信业务许可证。此外,根据2017年7月工信部印发的《关于清理规范互联网网络接入服务市场的通知》中的要求,开展IDC、ISP、CDN等实际业务的企业,还应当接入业务实际地的通信管理局信息安全管理系统、域名信息备案系统、企业接入资源管理系统,并通过相关评测。
企业在我国经营增值电信业务办理经营许可证,需符合《电信业务经营许可管理办法》第六条规定的条件:
跨地区增值电信业务经营许可证由工信部审批,省、自治区、直辖市范围内的增值电信业务经营许可证由省、自治区、直辖市通信管理局审批。外商投资电信企业的经营许可证,根据《外商投资准入特别管理措施(负面清单)(2021年版)》的规定,限于中国入世承诺开放的电信业务,增值电信业务的外资股比不超过50%(电子商务、国内多方通信、存储转发类、呼叫中心除外)。外商除应当符合《外商投资电信企业管理规定》第四、五、六条规定的条件外,还应当符合《电信条例》规定的经营增值电信业务需具备的条件。
(二)数据合规
近年来,我国逐渐加强对网络运营安全、数据(含个人信息)安全的保护力度,全国人大陆续颁布了《网络安全法》《个人信息保护法》《数据安全法》三大维护数字经济安全的法律支柱,构成了我国数据合规领域立法体系的顶层设计。随着上位法的频频出台,与之配套的法规、规章、标准也随之颁布,逐步完善了我国数据合规领域的立法体系。与大数据中心相关的主要内容如下表所示:
▲ 数据合规领域相关立法及标准
现行立法体系中,网络运营者如果达到关键信息基础设施运营者的条件,则赋予其额外的安全保护义务,所以厘清大数据中心是否属于关键信息基础设施(CII:Critical Information Infrastructure)是明确运营者网络安全防护义务的前提条件。《关键信息基础设施安全保护条例》第二条对关键信息基础设施的定义为:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。数据中心作为数据处理的核心单元,是算力与网络结合下的产物,在未来数字经济活动中占据重要位置,作为政府、企事业单位云化业务的承载实体,其一旦遭破坏、丧失功能或者数据泄露,就会造成严重的不利后果,故在《关键信息基础设施确定指南(试行)》中,将“数据中心/云服务”列为电信与互联网行业的关键业务,数据中心运营者应当认定为关键信息基础设施运营者(CIIO:Critical Information Infrastructure Operator)。
《网络安全法》第二十一条规定,我国实行网络等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,落实安全等级定级、备案、测评以及整改工作,保障网络和数据安全。根据《网络安全等级保护条例(征求意见稿)》的定义,网络等级如下表所示:
▲ 网络等级保护
将如上的网络安全等级定义与关键信息基础设施的定义相比较可以发现,关键信息基础设施应当定级为三级及以上,履行与该等级相应的安全防护义务,并向公安机关备案。实践中,部分IDC运营商对网络安全等级保护工作重视程度不够,其根源在于传统IDC运营商正处于由仅提供机房、宽带租用及服务器托管、维护向额外提供“云计算”、“云存储”、“云托管”等互联网资源协助服务转型的过程当中,数据中心运营者正由原来的数据处理者的角色向数据控制者角色转变,未意识到自身处于数据合规全生命周期当中的关键角色,因此并不能满足《关键信息基础设施安全保护条例》的相应要求。
1.设置专门的安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。运营者应当保障专门安全机构的运行经费、配备相应的人员;
2.建立健全网络安全保护制度和责任制,保障人力、财力、物力投入;
3.定期对从业人员进行安全教育、技术培训和技能考核;
4.对重要系统和数据库进行容灾备份;
5.制定网络安全事件应急预案,并定期进行演练;
6.CIIO采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任;如果可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查;
7.CIIO应当自行或者委托网络安全服务机构对CII每年进行至少一次网络安全检测和风险评估,对发现的问题及时整改,并按照保护工作部门要求报送情况;
8.在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动;安全技术措施应当同步规划、同步建设、同步使用;
9.CIIO在境内收集和产生的个人信息和重要数据原则上应当境内存储,如确需向境外提供个人信息的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估;
10.CII发生较大变化,可能影响其认定结果的,CIIO应当及时将相关情况报告保护工作部门;
11.在CII发生重大网络安全事件或发现重大网络安全威胁时,CIIO应当按照有关规定向保护工作部门、公安机关报告;
12.当CIIO发生合并、分立、解散等情况,应当及时告知保护工作部门,并按照保护工作部门的要求对CII进行处置,确保安全。
若CIIO不满足如上要求,根据相关法律法规的规定,可对公司处以罚款,并可能对直接负责的主管人员及其他直接责任人员并处罚款。部分情况下,公司可能被责令暂停相关业务,停业整顿、关闭网站,甚至吊销相关业务许可证或营业执照。
大数据中心作为新基建七大领域中唯一将建筑与机电,算力与网络结合的物理实体,承载着数字经济时代最核心的生产力——“算力”。在5G、千兆光网等新型信息网络基础设施的赋能下,正由以机房、带宽租用为主要盈利的传统模式向额外提供“云计算”“云存储”“云托管”等互联网资源协作业务为主要盈利的新模式转型。在此过程中,大数据中心无论从投融资、建设批文、发承包模式还是从施工资质、运营资质等均与传统基建项目存在诸多差异,作为投资人、代建、施工、运营单位均应重点关注其中的合规性问题。
手机:18990123929 电话:028-85033400
邮箱:jianwei_chengdu@jianwei.com
律师研究