浅析新基建领域中的合规风险类型与防范——以数据中心投资建设及运营为视角
来源:上海律协 作者:曹志龙 陆春晨 上海市联合律师事务所
进入2020年,应对疫情冲击和经济下行的压力,新型基础设施建设(下称“新基建”)越来越受到关注和重视。2020年4月20日,国家发改委首次明确新型基础设施的范围,初步研究认为,新型基础设施是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系。从国家发改委明确的范围来看,目前新基建包括信息基础设施、融合基础设施、创新基础设施三方面内容,具体涵盖 5G、物联网、人工智能、区块链、数据中心、智能交通基础设施、智慧能源基础设施、重大科技基础设施等。同时,国家发改委下一步将加强顶层设计,研究出台推动新型基础设施发展的有关指导意见,加快推动5G网络部署,促进光纤宽带网络的优化升级,加快全国一体化大数据中心建设等。
事实上,数据中心在新基建的规划版图中占据了重要地位。数据中心不仅连接了传统基建和新基建,同时也是新基建的基础设施,如为人工智能、物联网等新基建提供了最基本的存储和计算的基础设施。而随着中央及各地出台的法律、法规及政策,也为我国数据中心产业的发展提供了有利的支撑。
根据《数据中心白皮书(2018年)》,我国数据中心产业虽起步较晚,但从2013年以来,随着移动互联网、云计算、大数据等技术的发展,产业规模高速增长,产业布局逐步优化,能效水平总体提升,产业链不断完善并取得了一系列技术创新成果,已经有不少国内投资者和符合条件的境外投资者纷纷投资。
目前,对于数据中心尚无明确的定义,笔者认为我国住房和城乡建设部(下称“住建部”)制定的《互联网数据中心工程技术规范》(下称“《规范》”)中对数据中心的表述较为完整,根据该《规范》:“互联网数据中心(IDC)是一类向用户提供资源出租基本业务和有关附加业务、在线提供IT应用平台能力租用服务和应用软件租用服务的数据中心,用户通过使用互联网数据中心的业务和服务实现用户自身对外的互联网业务和服务。互联网数据中心以电子信息系统机房设施为基础,拥有互联网出口,由机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统组成。”
可见,数据中心既具有信息化、智能化、数字化的特点,又需要以传统基础设施建设为载体。本文将重点探讨数据中心在投资建设及运营过程中的合规风险类型与防范问题。
数据中心投资建设及
运营的主要合规风险
1、项目投资建设的主要合规风险
(1)投资监管的政策风险
从现有的中央相关部门政策来看,数据中心产业已从最初以新建为主的粗旷式发展模式渐渐转向规模化、集中化、绿色化、布局合理化的发展模式。投资者除需要符合基本的投资项目备案要求外,已经不能任意选址投产,而是应当特别关注政府部门对于数据中心产业发展的指导意见,尤其在布局选址以及能效控制上需符合政策导向,否则将有无法立项投产的风险。
(2)项目建设法律风险
由于数据中心仍然依赖于传统基础设施,因此不可避免会遇到建设过程中的合规风险。包括未依法进行招投标而导致合同无效,签订“黑白合同”引发工程款纠纷,工程质量不合格而引发赔偿纠纷,层层违法转分包而引起的工程款纠纷以及未取得建设工程相关许可证等等。建设工程的法律风险贯穿于项目的各个环节,需要企业在工程立项、招标、造价、建设、验收等环节规范相应的工作流程,强化工程建设全过程的监控,以确保项目的顺利完成。
2、项目运营的主要合规风险
(1)业务经营许可的政策风险
一方面,根据工信部的文件,凡要从事数据中心业务的企业均需符合市场准入要求,包括满足与开展经营活动相适应的资金要求、专业人员要求、场地、设施及技术方案要求等等。
另一方面,由于数据中心业务主要是基于利用公共网络基础设施提供的电信与信息服务的业务,因此,从事数据中心业务的企业还需要根据工信部《电信业务经营许可管理办法》的规定,取得增值电信业务经营许可证。
(2)网络安全风险
由于数据中心往往包含大量有价值的数据,因此数据中心的数据安全成为了各国关注的重点。对内而言,会出现员工窃取数据,出于个人目的出售这些信息而获利。对外而言,会存在黑客或者其他第三方恶意攻击服务器造成用户无法正常使用数据中心服务或者造成用户数据的泄漏等等网络安全风险。
(3)IDC业务合同风险
目前,数据中心业务主要包括主机托管、资源出租、系统维护、管理服务以及其他支撑、运行服务等。由于业务范围较广,企业与企业之间的合作、企业与用户之间的服务、合作关系等等均会在合同订立、合同履行以及纠纷处理上存在诸多合规风险。
3、企业治理结构合规风险
企业治理结构的合规风险主要是指企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。由于数据中心产业涉及投资、建设、运营等各个方面,法律法规庞杂且不完善、政策多变,因此,建立合规的治理结构有助于企业依法决策、合规管理,同时,避免导致企业投资失败、难以实现发展战略等风险。
数据中心投资
建设的合规风险防范
1、符合项目投资的管理性规定
(1)政府投资需审批
虽然目前政府部门已经从自建数据中心转而通过采购云服务来增加数据中心的利用率,但从近期的政策来看,不排除有政府直接投资的可能性。根据《政府投资条例》第9条第1款的规定:“政府采取直接投资方式、资本金注入方式投资的项目(以下统称政府投资项目),项目单位应当编制项目建议书、可行性研究报告、初步设计,按照政府投资管理权限和规定的程序,报投资主管部门或者其他有关部门审批。”
可见,若是政府投资的项目,则适用审批制,需要按照政府投资管理权限和规定的程序,报投资主管部门或者其他有关部门审批。
(2)企业投资需备案
从工信部等主管部门发布的数据中心建设相关政策文件中,可以发现政府其实更提倡由社会资本参与投资。根据《企业投资项目核准和备案管理条例》第3条规定:“对关系国家安全、涉及全国重大生产力布局、战略性资源开发和重大公共利益等项目,实行核准管理。具体项目范围以及核准机关、核准权限依照政府核准的投资项目目录执行。政府核准的投资项目目录由国务院投资主管部门会同国务院有关部门提出,报国务院批准后实施,并适时调整。国务院另有规定的,依照其规定。对前款规定以外的项目,实行备案管理。除国务院另有规定的,实行备案管理的项目按照属地原则备案,备案机关及其权限由省、自治区、直辖市和计划单列市人民政府规定。”《企业投资项目核准和备案管理办法》第4条、第5条亦有同样规定。
因此,对于企业投资的项目,若关系国家安全、涉及全国重大生产力布局、战略性资源开发和重大公共利益等项目(由国务院颁布的《政府核准的投资项目目录》确定),实行核准管理。其他项目实行备案管理。而数据中心未列入《政府核准的投资项目目录》,应适用备案制。
2、基础设施建设的合规要求
(1)符合传统基础设施建设的相关许可要求
根据住建部制定的《数据中心基础设施施工及验收规范》规定:“基础设施专指在数据中心为保证电子信息设备安全、可靠、连续正常运行提供基本支持的空调与新风、电力与照明配置、防雷保护、系统接地、消防与安全保障、信息网络与布线、系统监控、给水排水等设施。”
与传统基础设施的建设许可要求相同,数据中心的建设企业应当在工程项目立项后、正式施工前,依法取得建设用地、城市规划、环境保护、安全、施工等方面的许可。
需要注意的是,区别于传统基建,住建部针对数据中心的建设施工单独制定了工程技术规范、设计规范、基础设施运行维护标准等一系列国家标准,而这些标准是建设单位或者施工单位能否取得相关审批许可或者竣工验收的关键性依据。
(2)建立建设工程项目的全过程合规管理
关于项目立项,企业应当指定专门机构归口管理工程项目,根据发展战略和行业相关政策,提出项目建议书,开展可行性研究,编制可行性研究报告。同时,应当组织规划、工程、技术、财会、法律等部门的专家对项目建议书和可行性研究报告进行充分论证和评审,出具评审意见,作为项目决策的重要依据。
关于项目招投标,企业应当依照国家招投标法的规定,遵循公开、公正、平等竞争的原则,发布招标公告,提供载有招标工程的主要技术要求、主要合同条款、评标的标准和方法,以及开标、评标、定标的程序等内容的招标文件,择优选择具有相应资质的承包单位和监理单位。
关于合同签署,企业在签约时应重点审查合同是否具备以下内容:工程范围、建设工期、中间交工工程的开工和竣工时间、工程质量、工程造价、材料和设备供应责任、结算付款、竣工验收、质量保修范围和质量保证期、违约责任等基本条款;若使用建设、市场监督管理等主管部门颁布的示范合同文本的,应仔细阅读通用条款,并在专用条款中对通用条款作出选择、细化。
关于工程建设,企业应当加强对工程建设过程的监控,实行严格的概预算管理,切实做到及时备料,科学施工,保障资金,落实责任,确保工程项目达到设计要求。若发生工程变更的,企业应当按照规定的权限和程序进行审批,因工程变更等原因造成价款支付方式及金额发生变动的,应当提供完整的书面文件和其他相关资料,并对工程变更价款的支付进行严格审核。
关于工程验收,企业收到承包单位的工程竣工报告后,应当及时编制竣工决算,开展竣工决算审计,组织设计、施工、监理等有关单位进行竣工验收。由于数据中心项目在设计、质量等方面均有较高要求,企业在验收时应格外关注工程质量,竣工验收不合格的,依据《最高人民法院<关于审理建设工程施工合同纠纷案件适用法律问题的解释>》第三条之规定处理。
3、符合数据中心产业布局和选址要求
关于布局的政策导向,2013年,工信部联合发改委等五部委发布了《关于数据中心建设布局的指导意见》(下称“《指导意见(2013)》”),该《指导意见(2013)》根据气候环境、能源供给等要素区分了四类地区,鼓励优先在一类地区建设,也可在气候适宜、能源充足的二类地区建设。从集中在东部建设逐渐向西部以及北上广深周边地区转移。
关于选址的政策影响,2018年,北京市发布《北京市新增产业的禁止和限制目录(2018年版)》,明确规定全市禁止新建和扩建互联网数据服务、信息处理和存储支持服务中的数据中心,PUE值在1.4以下的云计算数据中心除外;中心城区全面禁止新建和扩建数据中心。2019年,上海市发布《上海市互联网数据中心建设导则(2019版)》,明确规定严禁本市中环以内区域新建IDC,原则上选择在外环外符合配套条件的既有工业区内,采用先进节能技术集约建设,并兼顾区域经济密度要求。
因此,投资者应结合国家及当地的相关政策、气候环境、能源供给等方面综合考虑数据中心的选址。
4、符合投资项目节能审查要求
由于数据中心项目建设能耗水平较高,根据《固定资产投资项目节能审查办法》第三条规定:“固定资产投资项目节能审查意见是项目开工建设、竣工验收和运营管理的重要依据。政府投资项目,建设单位在报送项目可行性研究报告前,需取得节能审查机关出具的节能审查意见。企业投资项目,建设单位需在开工建设前取得节能审查机关出具的节能审查意见。未按本办法规定进行节能审查,或节能审查未通过的项目,建设单位不得开工建设,已经建成的不得投入生产、使用。”同时,第十条规定:“固定资产投资项目投入生产、使用前,应对其节能审查意见落实情况进行验收。”即开工前以及投入生产、使用前,均需满足节能审查的要求。
目前,PUE(Power Usage Effectiveness)是节能审查的重要指标。PUE是评价数据中心能源效率的指标,是数据中心消耗的所有能源与IT负载使用的能源之比。根据工信部等五部委发布的《关于加强绿色数据中心建设的指导意见》(下称“《指导意见(2019)》”)明确提出到2022年,新建大型、超大型数据中心的电能使用效率值达到1.4以下。一线城市如北京,要求PUE值低于1.4才能在非中心城区新建数据中心,上海则要求新建数据中心的PUE值严格控制不超过1.3。
随着国家日益注重“绿色”数据中心的建设,各地政策会出台更严格的节能减排措施、标准以及监察计划等等,需要投资者关注。
数据中心业务
运营的合规风险防范
1、符合市场准入要求
根据工信部《关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》,明确了申请IDC业务的企业需要符合《电信业务经营许可管理办法》的规定。同时,对于取得IDC业务许可证的企业已建立信用管理制度,工信部根据《关于清理规范互联网网络接入服务市场的通知》,明确了会依法查处IDC业务市场存在的无证经营、超范围经营、“层层转租”、违规接入等违法行为。
另,根据《互联网信息服务管理办法》第7条规定:“从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证(以下简称经营许可证)。”第8条规定:“从事非经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。”
因此,企业在从事互联网信息服务时应严格履行先许可备案后接入的义务,否则企业将面临被行业主管部门行政罚款等风险。
2、履行网络安全保护义务
关于数据中心运营中的网络安全问题已日趋重要,住建部在《互联网数据中心工程技术规范》中明确要求保护IDC的信息资产,实现IDC网络运行安全和业务安全。IDC应对整个系统进行安全域划分,各个安全域应根据安全需求确定不同的安全级别,制定不同的安全策略。
同时,根据《网络安全法》第二十一条以及第三十四条规定,网络运营者应当履行的安全保护义务包括制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施;设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练等等。
为了防止网络安全事件发生的风险,企业应注重采取相应的技术手段建立监测预警与应急处置机制。同时,可以与用户约定在遇到服务器被攻击时采取相应的技术手段的免责条款,以避免在发生网络安全漏洞时,造成其他用户的服务投诉或者索赔等情况。
3、IDC业务合同的风险防范
目前,数据中心运营企业作为网络服务提供者,在与用户的合作过程中,往往通过签署合同的方式约束双方的权利义务关系。而合同在约定时应尽可能将网络安全管理、隐私保护、用户侵权、用户违约等常见问题设置相应的条款以降低法律风险。
同时,企业应注重在业务合作中的合同管理,至少应当关注下列风险:(1)未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害。(2)合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。(3)合同纠纷处理不当,可能损害企业利益、信誉和形象。
企业应进一步完善
治理结构与合规体系
完善的治理结构是企业合规工作顺利开展的重要前提。企业的治理结构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
近年来合规类的规范性文件不断出台,比如《企业境外经营合规管理指引》、《中央企业合规管理指引(试行)》等等,此类文件对于各类企业合规体系的搭建均具有极强的参考价值。企业可结合发展需要建立权责清晰的合规治理结构,在决策、管理、执行三个层级上划分相应的合规管理责任,具体而言:
1、决策层面:包括董事会、监事会、合规委员会,合规职责应以保证企业合规经营为目的,通过原则性顶层设计,解决合规管理工作中的权力配置问题。
2、管理层面:包括经理层、合规管理负责人、合规管理牵头部门,合规职责主要包括分配充足的资源建立、制定、实施、评价、维护和改进合规管理体系。
3、执行层面:包括企业的业务及相关部门,合规职责包括及时识别归口管理领域的合规要求,改进合规管理措施,执行合规管理制度和程序,收集合规风险信息,落实相关工作要求。
同时,企业在完善治理结构时,还应当重点关注党组织与三会一层的关系,包括党组织与股东会、党组织与董事会、党组织与监事会、党组织与经理层的关系。而解决党组织法定地位与公司治理体系完善的方法有两大关键:即一套机制和一套体系。一套机制是指以党组织为领导核心和政治核心,以加强党的领导和完善公司治理相统一为原则,形成各司其职、各负其责、协调运转、有效制衡的公司治理机制。一套体系是指借助互联网与大数据,培养法律思维、依法治企,构建以章程为制度核心、以流程、组织、职能组成、ACE动态企业法律风险体系。
需要注意的是,由于数据中心产业的特殊性,企业应结合自身实际情况,并根据内外部环境的变化不断调整和改进治理结构的合规性设计及运行,使企业兼顾成本与效率。
综上,我国数据中心产业的发展日趋成熟,同时技术也在不断创新,而我国在数据中心产业方面的法律法规尚不完善。伴随着国家及各地出台的新基建方面的利好政策,数据中心产业必将迎来新一轮投资热潮。此时,投资者、运营者在迎接“风口”的同时,应更加重视数据中心产业全过程的合规风险防范,以期获得相应的投资收益。