从增值电信业务扩大对外试点,看企业安全合规的四类“备案”工作

文摘   2024-10-24 15:47   上海  

寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击  "合规社"  > 点击右上角“···” > 设为星标⭐
探索数据安全要塞,守护数字世界。

——《数据守望》专栏

No.036
从增值电信业务扩大对外试点,看企业安全合规的四类“备案”工作

 

1
增值电信业务扩大对外开发试点
2024年10月23日,工业和信息化部组织召开增值电信业务扩大对外开放试点工作座谈会,正式启动北京、上海、海南、深圳四地增值电信业务扩大对外开放试点工作。

会上,工业和信息化部向北京、上海、海南、深圳四地发放开展试点复文。试点实施后,外资企业可在试点地区独资经营互联网数据中心(IDC)、在线数据处理与交易处理等电信业务,深度参与我国算力、云服务等市场,共促我国数字产业发展。
据统计,截至2024年9月,获准在华经营电信业务的外资企业增加至2220家,一批国际知名企业在华投资经营电信业务,为促进我国电信市场繁荣发挥了积极作用,有力推动了全球数字经济发展。

图1:增值电信业务扩大对外开放试点

2
什么是增值电信业务

《中华人民共和国电信条例》第八条规定,增值电信业务是指利用公共网络基础设施提供的电信与信息服务的业务。在基础电信网络提供的基本电信业务的基础上,通过采用不同的技术、市场策略为客户提供的新的电信业务应用。其实现的价值使原有基础网络的经济效益或功能价值增高。

3
增值电信业务分类

参照《电信业务分类目录(2015年版)》,电信增值业务分两大类第一类增值电信业务包括四类,分别是互联网数据中心业务、内容分发网络业务、国内互联网虚拟专用网业务、互联网接入服务业务。

图2:第一类增值电信业务许可

第二类增值电信业务包括六类分别是在线数据处理与交易处理业务、国内多方通信服务业务、存储转发类业务、呼叫中心业务、信息服务业务、编码和规程转换业务(互联网域名解析服务业务)。

图3:第二类增值电信业务许可

具体特点及典型应用场景如下表:

表1:增值电信业务典型场景
4
相关政策及标准
2021年 《数据安全法》

2016年 《网络安全法》

2016年 《中华人民共和国电信条例》

2015年 《电信业务分类目录(2015年版)》

2017年 《电信业务经营许可管理办法》

2005年 《电信服务规范》

2024年 《关于开展增值电信业务扩大对外开放试点工作的通告》

2022年 《外商投资电信企业管理规定》

5
电信经营许可证


《电信业务经营许可管理办法》第九条 经营许可证分为《基础电信业务经营许可证》和《增值电信业务经营许可证》两类。其中,《增值电信业务经营许可证》分为《跨地区增值电信业务经营许可证》和省、自治区、直辖市范围内的《增值电信业务经营许可证》。

《跨地区增值电信业务经营许可证》和省、自治区、直辖市范围内的《增值电信业务经营许可证》的有效期为5年。如下图所示:

图4:电信经营许可证

前段时间在设计《数据安全管理训练营课程》时,模拟新成立一家企业后所需要关注的安全合规情形,首先从识别企业安全合规需求,再考虑如何组建安全管理部门、配备相关人员及主要职责等内容,每年重点安全工作有哪些。其中梳理企业安全管理必须要开展的合规工作是基础类合规动作,例如企业必须要开展的“备案类”工作,进行过详细整理,分享如下:

1
企业四级“备案”工作


一家企业成立后开展相关业务,需要搭建企业门户网站、业务系统等,通常可能会涉及四类备案工作:工信部ICP备案、公安部联网备案、工信部定级备案、公安部等保定级备案

(1)工信部ICP备案

属于最基础的备案类型,任何在中国大陆地区提供服务的网站都必须完成ICP备案。它由工信部管理,主要审核网站主办者的身份、域名、服务器等信息。备案成功后,会获得一个ICP备案号,需要在网站的显著位置标明此编号

图5:ICP备案网站
  • ICP备案的主要依据

《互联网信息服务管理办法》(国务院令第292号)

《非经营性互联网信息服务备案管理办法》(信息产业部第33号令)
  • 两种ICP备案类型
包括经营性备案和非经营性备案,其中经营性互联网信息服务需要申请ICP许可证,非经营性则需要进行ICP备案。
ICP备案实务过程中,可能涉及业务资质的前置审批,即相关必要业务资质的审批,根据互联网信息整理,参考如下(非全量):

表2:ICP备案的前置业务许可

(2)公安部联网备案

根据《计算机信息网络国际联网安全保护管理办法》,网站在完成ICP备案后,如果为中国大陆提供服务,必须在30天内向公安机关申请联网备案。审核通过后,将获得一个公安备案号,也需要在网站的底部明显位置展示。

图6:公安联网备案

(3)工信部定级备案

针对增值电信业务的备案,需要对通信网络和信息系统进行安全定级,并在工信部进行备案。这通常涉及到新建、改建、扩建通信网络工程项目的备案,以及定期进行的安全风险评估和符合性评测。

(4)公安部等保定级备案

根据《信息安全等级保护管理办法》,运营、使用单位在确定信息系统的安全保护等级后,需要到所在地设区的市级以上公安机关办理备案手续。这通常涉及到信息系统的安全评估和保护措施的备案。

图7:四类常见备案

2
四类备案的区别


对四类备案的对象、归口管理部门、备案对象、备案网站等方面进行整理,如下表所示:

表3:四类常见备案分析

3
特定行业企业的备案


企业如果涉及特定行业及特定业务时,需要遵循国家相关要求规定,如下:

(1)互联网信息服务算法备案

根据中国法律法规的要求,使用算法推荐技术提供互联网信息服务的组织或个人,需要向国家互联网信息办公室或其指定的机构进行备案的过程。算法推荐技术通常包括生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等,这些技术通过互联网站、应用程序等形式向用户提供信息。
  • 主要参考依据

202年发布的《互联网信息服务算法推荐管理规定》国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布的规定,旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。规定明确了算法推荐服务提供者的信息服务规范、用户权益保护要求,以及备案制度等。

备案网址:https://beian.cac.gov.cn/#/index

图8:互联网信息服务算法备案

(2)区块链信息服务备案管理系统

由国家互联网信息办公室负责管理和运营的,它为区块链信息服务提供者提供了一个在线填报、变更和注销备案的平台。根据《区块链信息服务管理规定》(国家互联网信息办公室令第3号),在中华人民共和国境内从事区块链信息服务的机构或个人,必须通过该系统履行备案手续。

备案网址:https://bcbeian.ifcert.cn/index

图9:区块链信息服务备案

1
备案相关的实务经验

(1)备案责任主体不清晰问题

工信部信管〔2023〕105号《工业和信息化部关于开展移动互联网应用程序备案工作的通知》要求对APP、小程序、快应用(在一些业务网关上快速上线的轻应用)开展备案工作。特别提醒部分代为开发的小程序及APP,相关主体责任应切换至甲方客户,避免职责不清晰。

(2)同一责任主体申请备案可能存在冲突

针对网站及小程序的ICP备案,同一责任主体同时申请时,可能会被打回,即建议先申请网站,通过后再申请小程序或APP备案。

(3)不采用域名方式,IP也需要ICP备案

对于在中国境内提供服务的网站,无论是通过域名还是IP地址访问,都需要进行ICP备案。如果企业使用公有云,ICP备案大部分可以直接在公有云配套的备案路口和相关步骤。

(4)等保定级备案中,公司支撑类系统容易忽略

在实际开展信息系统等级备案时,企业的门户网站经常容易被忽视,实际也是企业安全合规工作之一,通常也需要进行等保定级备案及测试,非经营性的网站门户通常可定级二级,二级可以自主开展等保测评且可以每两年开展一次

(5)以淘宝官网为例,参考整理相关备案信息

4:淘宝官网的许可及备案图10:淘宝官网的许可及备案

2
简要总结

本文从增值电信业务扩大对外试点新通知后,对增值电信业务相关知识进行学习和消化,梳理相关标准规范及分类情况。同时,针对企业经营过程中需要满足安全合规基础工作,梳理常规四类备案工作,分析他们的特点和区别,针对特定行业互联网信息服务算法推荐和区块链信息服务备案进行整理。特别提醒,企业安全合规体系建设中,梳理清楚各个类型的资产对象非常重要,比如网站、APP、小程序、信息系统、互联网暴露面、个人信息分布及规模等,尤其对新成立企业,都属于企业安全合规基础动作。

  本文作者 

Smart

成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验,曾牵头完成400余个系统的数据安全风险评估。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。

「 数据守望 」专栏合集  

从0到1,我的数据安全观察录  | No.001
深入剖析数据安全、网络安全、信息安全的区别  | No.002
数据安全六要素,CIA之外还有哪三个?| No.003
用“问题链”方法论,理解密码技术之间的联系 | No.004
IT领域各类应急预案的思考和实践,样例|No.005
数据安全应急预案的最佳实践,全套模版 |No.006
数据安全做到什么程度才算安全?如何平衡安全工作中的灰度?|No.007
API接口的6大安全风险、3个风险管控措施,附检查清单|No.008
你真的了解“数字”和“数据”吗?一文读懂数字化转型中的关键要素||No.009
数据库加密:防止数据泄露的第一道防线 | 6种关键技术|No.010
数据安全风险评估的新认识和4点不同见解No.011
数据安全检查评估与自评估:内容、区别及角色分工| No.012
数据安全风险评估和安全审计的区别|No.013
25项关键控制点 | 数据处理活动安全评估 | No.014
为什么要做数据安全风险评估?(附下载)| No.015
合作方数据安全管控及实践(附模板) No.016
再看《数据安全法》:合规要求、企业落地及未来重心 | No.017
传统安全运营是什么?到底该怎么做? | No.018
数据安全运营的难点与构建步骤 | No.019
如何正确构建应急预案体系?附模版 | No.020
数据要素背景下数据安全 | 安全人视角 | No.021
数据分类分级为什么难落地? | No.022
“安全+合规”:新时代的职场需求 | No.023 
软件供应链安全 | 基础解析 | No.024
数据安全的三个目标:合规、风险和业务 | No.025

日志留存和数据保留的监管要求 | 附表格 | No.026

数据删除和数据销毁的监管要求|详细步骤+案例 | No.027

重要领域数据安全管理办法汇编&框架要点|附下载 | No.028

网络和数据安全领域,8个重要的框架及思维方法 | No.029
数据安全风险评估案例学习:政务领域的大数据平台和政务应用方向 | No.030
数据安全风险评估案例学习:卫生健康领域的移动应用和数据使用 | No.031
《网络数据安全管理条例(草案)》要点解读 | No.032

数据要素流通下,数据安全的十个新特性 | No.033

数据安全业务流、数据流和网络流 | No.34

安全视角精读《网数条例》| 责任主体及监管结构 | No.35


🎁合规社知识星球已运营426天、530+成员

📚畅享丰富好内容,文件不限下载!
🔓获取嘉宾精心整理的数据安全与合规领域独家资料!
🎥 享受星球内丰富的视频资源,每月持续更新!
🤝还可加入合规社专业微信群,与行业精英建立联系!

⬇️⬇️⬇️

合规社
数据安全与隐私保护新知分享平台
 最新文章