业务界定:通过数据处理平台为用户提供在线交易处理(如电商平台支付结算)、数据交换处理(如供应链信息同步)等服务,典型应用包括跨境电商通关系统、企业间数据对接平台;
法定框架:《电信业务分类目录(2015 年版)》《电信业务经营许可管理办法》,2024 年试点政策进一步放宽外资准入;
与 IDC/ISP 的核心差异:聚焦 “数据交互处理能力”,无需机房等重资产设施,安全审查重点偏向交易数据合规性。
核心人员:至少 3 名技术人员(需持计算机技术与软件专业资格证书),提供近 3 个月社保缴纳证明;
应急保障:明确 2 名 7×24 小时应急联系人,需提供劳动合同及社保连续缴纳 6 个月证明(与 IDC/ISP 要求一致);
外资附加:外方技术负责人需提供境外数据处理业务从业经历证明(经使领馆认证)。
境内部署红线:数据处理系统、交易数据库必须全部设置在境内,禁止采用境外云服务器(如 AWS、Azure 海外节点),需提供服务器托管协议及机房位置说明;
域名与备案:需持有有效期内的域名证书,且域名已完成 ICP 备案(提供工信部备案系统截图);
接入合规:提交与基础电信运营商签订的网络接入协议,带宽需满足预估业务量(如支持 5000 笔 / 秒交易需≥1Gbps 带宽)。
技术方案核心要素:
系统架构图:需标注数据流转路径、加密节点、备份机制(参考辽宁省通管局模板);
性能指标:交易并发处理能力≥5000 TPS(每秒事务数),响应延迟≤200ms,系统可用性≥99.99%;
合规证明:第三方机构出具的系统安全检测报告(需涵盖 SQL 注入、跨站脚本等漏洞检测)。
存储与备份:交易日志需实时同步至异地备份服务器,备份周期≤24 小时,数据留存期限≥3 年(符合《数据安全法》要求)。
技术防护:部署入侵防御系统(IPS)、数据脱敏系统,交易数据传输采用 TLS 1.3 加密协议,敏感字段(如银行卡信息)需符合 PCI DSS 标准;
管理机制:
制定《数据安全管理制度》《交易风险处置预案》(需法人签字盖章);
每季度开展安全应急演练,留存演练记录及整改报告;
建立交易异常监测机制,对单日超 10 万元交易或异地登录自动触发风控预警。
实名核验:对接国家身份认证平台,实现用户身份信息核验率 100%,留存核验记录≥3 年;
数据加密:用户敏感信息(姓名、身份证号、支付信息)需采用 AES-256 算法加密存储,密钥管理符合《信息安全技术 密钥管理基本要求》(GB/T 35273);
跨境限制:向境外传输数据需通过国家数据安全评估,试点地区外资企业需额外提交数据出境安全评估报告。
试点地区放开:北京、上海临港新片区、海南自贸港、深圳先行示范区取消外资股比限制,允许外资 100% 控股;
非试点地区限制:外资持股比例≤50%,且外方不得担任董事长或总经理职务;
业务限制:试点地区企业服务设施需与注册地同属试点区域(如上海试点企业不得使用江苏机房)。
前置审批(内资无此环节):
工信部外方资质预审(10 工作日):出具《外资准入符合通知书》;
商务部门审批(15 工作日):领取《外商投资企业批准证书》。
许可审批:
试点地区:通过 “外资试点绿色通道” 提交,审批周期 40 工作日;
非试点地区:省通管局初审(20 工作日)→工信部终审(60 工作日),合计 80 工作日。
必选项:
外方股东电信业务运营证明(经公证及中文翻译);
股权穿透图谱(追溯至最终受益人,标注外资层级占比);
工信部试点业务备案通知书(试点地区必备);
《跨境数据处理承诺书》(承诺不擅自向境外传输未评估数据)。
续期管理:许可有效期 5 年,需在届满 30 日前提交续期材料,外资企业需额外提供商务部门经营期限延期批复;
变更备案:
内资:持股 5% 以上变更需 30 日内报备省通管局;
外资:任何股权变动需重新申请《外商投资经营电信业务审定意见书》(禁止先变更后补手续);
年报报送:每年 1-3 月通过工信部平台报送,外资企业需额外填报跨境交易占比、外方持股变动等信息(同步抄送商务部门)。
误区 1:系统使用境外云服务(如阿里云新加坡节点)→ 整改:迁移至境内节点并重新出具检测报告;
误区 2:技术方案缺失数据加密说明→ 整改:补充加密算法选型及密钥管理流程;
误区 3:外资未完成前置审批直接申请→ 整改:先取得商务部门批准证书再提交许可申请。
官方渠道:
工信部政务服务平台:https://ythzxfw.miit.gov.cn/(下载申请表、技术方案模板);
试点地区咨询:上海通管局外资试点专线 021-63905000;
材料清单下载:广东省通管局 ICP/EDI 业务材料包(含承诺书模板、股东追溯表)。
