數(shù)據(jù)中心已成為英國數(shù)字基礎(chǔ)設(shè)施的核心組成部分，對推動經(jīng)濟增長、技術(shù)創(chuàng)新和AI部署至關(guān)重要。它們已被正式認定為國家關(guān)鍵資產(chǎn)，并由此進入監(jiān)管審查日趨嚴格的新階段。

在確保符合英國數(shù)據(jù)隱私義務(wù)的同時，數(shù)據(jù)中心運營商還將依據(jù)英國更新的網(wǎng)絡(luò)與信息系統(tǒng)（NIS）框架被納入"基本服務(wù)"提供商范疇，這將重塑風險管理、治理結(jié)構(gòu)和執(zhí)法責任。確保在多重交叉、錯綜復雜的監(jiān)管體系下保持合規(guī)，是避免合同違約或監(jiān)管違規(guī)、防范重大財務(wù)損失的關(guān)鍵所在。

網(wǎng)絡(luò)風險與監(jiān)管挑戰(zhàn)

數(shù)據(jù)中心是高價值攻擊目標。對此，英國政府通過《網(wǎng)絡(luò)韌性法案》引入新的網(wǎng)絡(luò)安全標準，將數(shù)據(jù)中心納入網(wǎng)絡(luò)與信息系統(tǒng)（NIS）法規(guī)的監(jiān)管范圍。

新規(guī)要求中大型托管服務(wù)提供商必須采取適當措施，管理其所提供服務(wù)面臨的安全風險。監(jiān)管機構(gòu)將有權(quán)對嚴重安全漏洞處以基于營業(yè)額比例的罰款，同時要求在24小時內(nèi)上報有害事件。

此外，數(shù)據(jù)中心將作為"基本服務(wù)運營商"，由交通部（DFT）和能源監(jiān)管機構(gòu)Ofgem在數(shù)字基礎(chǔ)設(shè)施方案框架下實施監(jiān)管。更頻繁、更規(guī)范的事故通知要求（面向監(jiān)管機構(gòu)及客戶）不僅增加了合同索賠、過失追責和數(shù)據(jù)保護賠償?shù)娘L險，還可能面臨因違規(guī)而招致的巨額罰款。

勒索軟件事件尤其構(gòu)成真實的法律與商業(yè)風險，可能引發(fā)保險理賠糾紛，并加劇集體訴訟風險。

各組織應(yīng)對照英國國家網(wǎng)絡(luò)安全中心（NCSC）最佳實踐進行自查，在適當情況下推行"網(wǎng)絡(luò)核心認證"（Cyber Essentials，即NCSC認證方案），具體措施包括：分層安全控制、事故響應(yīng)預案、威脅驅(qū)動測試及完善的第三方風險管理。

在合同中嵌入網(wǎng)絡(luò)安全保障條款，可有效覆蓋供應(yīng)鏈安全、治理與事故管理、數(shù)據(jù)保護及業(yè)務(wù)連續(xù)性等方面的要求與最佳實踐。

數(shù)據(jù)與安全責任必須明確界定：清晰劃定設(shè)施、系統(tǒng)及共享服務(wù)的安全責任主體，將違規(guī)責任限額與保險覆蓋范圍及實際風險敞口相匹配。在網(wǎng)絡(luò)安全事件發(fā)生后，明確各方協(xié)作義務(wù)正變得越來越關(guān)鍵。

數(shù)據(jù)隱私合規(guī)導航

絕大多數(shù)數(shù)據(jù)中心服務(wù)涉及個人數(shù)據(jù)處理，因此必須滿足適用數(shù)據(jù)保護法律的要求。

通常，數(shù)據(jù)中心運營商須履行英國《通用數(shù)據(jù)保護條例》（UK GDPR）下的以下義務(wù)：采取"適當?shù)募夹g(shù)與組織措施"保護個人數(shù)據(jù)；維護合規(guī)的數(shù)據(jù)處理協(xié)議；確保對次級處理商的管控及審計權(quán)；配合數(shù)據(jù)控制方在72小時內(nèi)向信息專員辦公室（ICO）完成個人數(shù)據(jù)泄露通報；以及在數(shù)據(jù)被訪問或傳輸至英國境外時確保合法保障措施到位。

《2018年數(shù)據(jù)保護法》（DPA 2018）就特殊類別數(shù)據(jù)的保障措施新增了具體規(guī)定，并對執(zhí)法及公共部門數(shù)據(jù)作出專項規(guī)范。

《隱私與電子通信條例》（PECR）適用于以下情形：數(shù)據(jù)中心為用戶設(shè)備上的信息存儲或訪問提供支撐、承載電子通信服務(wù)，或托管客戶的營銷與通信平臺。

盡管PECR的適用往往較為間接，但其風險不容忽視——ICO的執(zhí)法權(quán)限現(xiàn)已與UK GDPR的處罰標準接軌（最高罰款為1750萬英鎊或全球年營業(yè)額的4%，以較高者為準）。

數(shù)據(jù)中心運營商應(yīng)審查并強化現(xiàn)有的處理商條款（如適用，還需完善次級處理商審批及審計機制），并就責任劃分和監(jiān)管合作保存完整文檔。此外，詳細說明安全架構(gòu)與監(jiān)管合規(guī)狀態(tài)的透明度文件同樣不可或缺。

數(shù)據(jù)主權(quán)與數(shù)據(jù)跨境傳輸

英國目前沒有統(tǒng)一的數(shù)據(jù)主權(quán)法律或普遍適用的數(shù)據(jù)本地化要求，數(shù)據(jù)主權(quán)問題通常由UK GDPR跨境傳輸規(guī)則、網(wǎng)絡(luò)韌性法規(guī)與國家安全法律共同交織作用而產(chǎn)生。

英國政府在促進跨境數(shù)據(jù)流動、鼓勵云服務(wù)商擴張與投資的同時，也充分認識到數(shù)據(jù)中心運營中斷所帶來的國家風險，以及對高價值數(shù)據(jù)實施管控的必要性。

跨司法管轄區(qū)法律義務(wù)相互沖突的風險確實存在。然而，《網(wǎng)絡(luò)安全法案》表明，強制性數(shù)據(jù)本地化并非當前的政策方向，相關(guān)風險將通過監(jiān)管手段和更嚴格的政府管控加以化解。

在多個司法管轄區(qū)之間實現(xiàn)數(shù)據(jù)流動的同時保持UK GDPR合規(guī)，應(yīng)是數(shù)據(jù)中心運營商的核心關(guān)注點之一。數(shù)據(jù)保護法通常禁止將個人數(shù)據(jù)傳輸至英國境外。近期，英國《數(shù)據(jù)（使用與訪問）法》對數(shù)據(jù)跨境傳輸法律進行了更新，引入了新的"數(shù)據(jù)保護測試"標準，適用于國際數(shù)據(jù)傳輸。

在將個人數(shù)據(jù)傳輸至英國境外時，組織通常依賴以下機制：接收方國家獲得英國充分性認定，或采用其他保障措施（如國際數(shù)據(jù)傳輸協(xié)議或英國附錄）。例如，英美"數(shù)據(jù)橋"協(xié)議允許將數(shù)據(jù)傳輸至經(jīng)認證的美國接收方，無需額外保障措施，從而簡化了跨大西洋數(shù)據(jù)流動。

在適用相關(guān)保障措施時，數(shù)據(jù)出口方須開展傳輸風險評估。各組織應(yīng)全面遵守英國數(shù)據(jù)傳輸法律及相關(guān)指引（例如ICO國際傳輸指南），及時更新國際數(shù)據(jù)傳輸?shù)膬?nèi)部政策、流程與文檔，并審查合同中的數(shù)據(jù)傳輸條款。

英國數(shù)據(jù)中心的前路

英國數(shù)據(jù)中心正處于數(shù)據(jù)隱私、網(wǎng)絡(luò)安全與數(shù)據(jù)主權(quán)政策的交匯中心。即將落地的NIS監(jiān)管認定將正式確立其國家關(guān)鍵角色，隨之而來的是Ofcom的監(jiān)管介入、規(guī)范化的事故報告要求以及更嚴厲的處罰機制。在監(jiān)管范圍內(nèi)的組織應(yīng)將理解并落實法律要求列為首要任務(wù)。

英國隱私法律持續(xù)要求建立有據(jù)可查、完備健全的安全與治理體系。政府監(jiān)管力度不斷加強，數(shù)據(jù)中心面臨的合規(guī)壓力日益上升，尤其是在數(shù)據(jù)隱私與網(wǎng)絡(luò)安全領(lǐng)域。

英國數(shù)據(jù)中心行業(yè)具有顯著的增長潛力，但也面臨錯綜復雜的監(jiān)管格局與法律風險。

清晰的操作流程、嚴謹?shù)奈臋n管理以及周密的合同安排，是保護法律權(quán)益與商業(yè)利益的根本所在。

Q&A

Q1：英國NIS法規(guī)更新后，數(shù)據(jù)中心運營商需要滿足哪些新要求？

A：根據(jù)更新后的NIS法規(guī)，中大型托管服務(wù)提供商須采取適當措施管理服務(wù)風險，并在24小時內(nèi)上報有害事件。數(shù)據(jù)中心將被納入"基本服務(wù)運營商"范疇，受交通部和Ofgem監(jiān)管。違規(guī)處罰將采用基于營業(yè)額比例的罰款機制，同時還需向監(jiān)管機構(gòu)及客戶進行更頻繁的正式事故通知。

Q2：英國數(shù)據(jù)中心在跨境數(shù)據(jù)傳輸方面需要遵守哪些規(guī)定？

A：英國數(shù)據(jù)保護法通常禁止將個人數(shù)據(jù)傳輸至英國境外。組織可依據(jù)以下機制進行合規(guī)傳輸：接收方國家獲得英國充分性認定，或采用國際數(shù)據(jù)傳輸協(xié)議、英國附錄等保障措施?！稊?shù)據(jù)（使用與訪問）法》還引入了新的"數(shù)據(jù)保護測試"。此外，英美"數(shù)據(jù)橋"協(xié)議允許向經(jīng)認證的美國接收方傳輸數(shù)據(jù)，無需額外保障措施。在使用相關(guān)保障措施時，還須開展傳輸風險評估。

Q3：數(shù)據(jù)中心如何通過合同條款加強網(wǎng)絡(luò)安全保障？

A：數(shù)據(jù)中心可在合同中嵌入多類網(wǎng)絡(luò)安全保障條款，涵蓋供應(yīng)鏈安全、治理與事故管理、數(shù)據(jù)保護及業(yè)務(wù)連續(xù)性等方面。合同中需明確數(shù)據(jù)與安全責任歸屬，清晰劃定設(shè)施、系統(tǒng)及共享服務(wù)的安全責任主體，同時將違規(guī)責任限額與保險覆蓋范圍相匹配，并明確網(wǎng)絡(luò)安全事件發(fā)生后各方的協(xié)作義務(wù)。