寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
——《数据守望》专栏
▽
图1:增值电信业务扩大对外开放试点
《中华人民共和国电信条例》第八条规定,增值电信业务是指利用公共网络基础设施提供的电信与信息服务的业务。在基础电信网络提供的基本电信业务的基础上,通过采用不同的技术、市场策略为客户提供的新的电信业务应用。其实现的价值使原有基础网络的经济效益或功能价值增高。
参照《电信业务分类目录(2015年版)》,电信增值业务分两大类,第一类增值电信业务包括四类,分别是互联网数据中心业务、内容分发网络业务、国内互联网虚拟专用网业务、互联网接入服务业务。
图2:第一类增值电信业务许可
第二类增值电信业务包括六类,分别是在线数据处理与交易处理业务、国内多方通信服务业务、存储转发类业务、呼叫中心业务、信息服务业务、编码和规程转换业务(互联网域名解析服务业务)。
图3:第二类增值电信业务许可
具体特点及典型应用场景如下表:
2022年 《外商投资电信企业管理规定》
《电信业务经营许可管理办法》第九条 经营许可证分为《基础电信业务经营许可证》和《增值电信业务经营许可证》两类。其中,《增值电信业务经营许可证》分为《跨地区增值电信业务经营许可证》和省、自治区、直辖市范围内的《增值电信业务经营许可证》。
《跨地区增值电信业务经营许可证》和省、自治区、直辖市范围内的《增值电信业务经营许可证》的有效期为5年。如下图所示:
图4:电信经营许可证
一家企业成立后开展相关业务,需要搭建企业门户网站、业务系统等,通常可能会涉及四类备案工作:工信部ICP备案、公安部联网备案、工信部定级备案、公安部等保定级备案。
属于最基础的备案类型,任何在中国大陆地区提供服务的网站都必须完成ICP备案。它由工信部管理,主要审核网站主办者的身份、域名、服务器等信息。备案成功后,会获得一个ICP备案号,需要在网站的显著位置标明此编号。
ICP备案的主要依据
两种ICP备案类型
(2)公安部联网备案
图6:公安联网备案
(3)工信部定级备案
针对增值电信业务的备案,需要对通信网络和信息系统进行安全定级,并在工信部进行备案。这通常涉及到新建、改建、扩建通信网络工程项目的备案,以及定期进行的安全风险评估和符合性评测。
根据《信息安全等级保护管理办法》,运营、使用单位在确定信息系统的安全保护等级后,需要到所在地设区的市级以上公安机关办理备案手续。这通常涉及到信息系统的安全评估和保护措施的备案。
对四类备案的对象、归口管理部门、备案对象、备案网站等方面进行整理,如下表所示:
企业如果涉及特定行业及特定业务时,需要遵循国家相关要求规定,如下:
主要参考依据
202年发布的《互联网信息服务算法推荐管理规定》国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布的规定,旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。规定明确了算法推荐服务提供者的信息服务规范、用户权益保护要求,以及备案制度等。
图8:互联网信息服务算法备案
由国家互联网信息办公室负责管理和运营的,它为区块链信息服务提供者提供了一个在线填报、变更和注销备案的平台。根据《区块链信息服务管理规定》(国家互联网信息办公室令第3号),在中华人民共和国境内从事区块链信息服务的机构或个人,必须通过该系统履行备案手续。
备案网址:https://bcbeian.ifcert.cn/index
图9:区块链信息服务备案
(1)备案责任主体不清晰问题
工信部信管〔2023〕105号《工业和信息化部关于开展移动互联网应用程序备案工作的通知》要求对APP、小程序、快应用(在一些业务网关上快速上线的轻应用)开展备案工作。特别提醒部分代为开发的小程序及APP,相关主体责任应切换至甲方客户,避免职责不清晰。
(2)同一责任主体申请备案可能存在冲突
针对网站及小程序的ICP备案,同一责任主体同时申请时,可能会被打回,即建议先申请网站,通过后再申请小程序或APP备案。
(3)不采用域名方式,IP也需要ICP备案
对于在中国境内提供服务的网站,无论是通过域名还是IP地址访问,都需要进行ICP备案。如果企业使用公有云,ICP备案大部分可以直接在公有云配套的备案路口和相关步骤。
(4)等保定级备案中,公司支撑类系统容易忽略
在实际开展信息系统等级备案时,企业的门户网站经常容易被忽视,实际也是企业安全合规工作之一,通常也需要进行等保定级备案及测试,非经营性的网站门户通常可定级二级,二级可以自主开展等保测评且可以每两年开展一次。
(5)以淘宝官网为例,参考整理相关备案信息
表4:淘宝官网的许可及备案图10:淘宝官网的许可及备案
本文从增值电信业务扩大对外试点新通知后,对增值电信业务相关知识进行学习和消化,梳理相关标准规范及分类情况。同时,针对企业经营过程中需要满足安全合规基础工作,梳理常规四类备案工作,分析他们的特点和区别,针对特定行业互联网信息服务算法推荐和区块链信息服务备案进行整理。特别提醒,企业安全合规体系建设中,梳理清楚各个类型的资产对象非常重要,比如网站、APP、小程序、信息系统、互联网暴露面、个人信息分布及规模等,尤其对新成立企业,都属于企业安全合规基础动作。
本文作者 Smart
成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验,曾牵头完成400余个系统的数据安全风险评估。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。
Smart
「 数据守望 」专栏合集
日志留存和数据保留的监管要求 | 附表格 | No.026
数据删除和数据销毁的监管要求|详细步骤+案例 | No.027
重要领域数据安全管理办法汇编&框架要点|附下载 | No.028
数据要素流通下,数据安全的十个新特性 | No.033
数据安全业务流、数据流和网络流 | No.34
安全视角精读《网数条例》| 责任主体及监管结构 | No.35
🎁合规社知识星球已运营426天、530+成员
🔓获取嘉宾精心整理的数据安全与合规领域独家资料!
🎥 享受星球内丰富的视频资源,每月持续更新!
🤝还可加入合规社专业微信群,与行业精英建立联系!
⬇️⬇️⬇️