在中国提供公有云服务,核心需要获取的核心牌照是 《增值电信业务经营许可证》,具体业务种类通常包含 “互联网数据中心业务(IDC)” 和 “互联网资源协作服务业务(IRCS)”,根据服务具体内容和范围,还可能涉及内容分发网络业务(CDN)、互联网接入服务业务(ISP)、以及严格遵循网络安全和数据合规要求。
核心牌照:增值电信业务经营许可证 (B类)
这是进入公有云服务市场的“入场券”,由工业和信息化部(工信部)及各省通信管理局审批颁发,主要涉及两种关键业务:
-
互联网数据中心业务 (IDC – B11):
- 核心作用: 这是基础,IDC牌照赋予企业利用自有或租用的机房设施,通过标准化的电信级互联网接口(带宽资源),对外提供服务器托管、租用、空间租赁、网络批发带宽等基础资源服务的能力,公有云服务商必须拥有符合标准的物理数据中心基础设施来承载其云平台。
- 审批要求: 对机房场地、设施(供电、空调、消防、安防)、网络与信息安全管理系统、技术人员等方面有严格的技术规范和评测要求(需通过第三方评测)。
-
互联网资源协作服务业务 (IRCS – B12):
- 核心作用: 这是公有云服务的直接体现,IRCS牌照明确允许利用数据中心基础设施,通过互联网以按需分配、弹性扩展的方式为用户提供计算、存储、网络、应用软件等资源的服务模式,这正是公有云(IaaS, PaaS)的核心定义,没有IRCS牌照,提供弹性计算、对象存储、云数据库等服务即为违规。
- 审批要求: 在满足IDC要求的基础上,特别强调平台自身的资源管理、调度、安全保障能力,以及用户数据保护、网络信息安全管理制度等,同样需要通过相关评测。
重要提示: IDC和IRCS通常是捆绑申请的,仅持有IDC牌照无法合法提供云主机、云存储等弹性资源服务;而IRCS的申请前提通常是企业已经或同步具备提供IDC服务的资质和能力,部分早期获得IDC牌照的厂商,若未及时增项IRCS,其公有云业务也存在合规风险。
可能涉及的辅助性或关联性牌照
根据公有云服务商的具体业务模式、服务内容和技术架构,还可能需要以下牌照:
-
内容分发网络业务 (CDN – B12):
- 适用场景: 如果公有云服务商自身提供或集成CDN服务(全球加速、视频点播/直播加速、下载加速等),则需要单独申请CDN牌照,该牌照允许利用分布在不同区域的节点服务器群,通过流量调度等技术为用户提供内容加速服务。
- 审批要求: 重点考察节点分布、网络能力、流量调度系统、内容分发技术及安全管控措施。
-
互联网接入服务业务 (ISP – B14):
- 适用场景: 如果服务商不仅提供云资源,还直接为用户提供宽带上网接入服务(例如某些特定场景的融合服务),则需要ISP牌照,单纯提供云服务(用户通过自有ISP接入互联网使用云资源)通常不强制要求ISP牌照,但拥有ISP牌照可能有助于优化网络接入体验。
-
信息服务业务(ICP – B25):
- 适用场景: 如果公有云服务平台上直接提供经营性信息服务(例如云市场中的SaaS应用由云厂商自己运营并提供内容),则云厂商本身可能也需要ICP证,但平台本身作为技术承载方,其上运行的第三方SaaS应用应由应用提供商自行负责ICP许可。
网络安全与数据合规:超越牌照的必备要求
获得牌照只是第一步,在中国运营公有云服务,必须将网络安全和数据合规置于核心位置,这不仅是监管要求,更是赢得客户信任的基础:
-
网络安全等级保护 (等保):
- 强制要求: 公有云平台系统本身必须按照国家要求进行等级保护定级(通常要求三级或以上),并通过测评,云平台需具备帮助租户(用户)满足其系统上云后等保要求的能力和机制(如提供安全产品、合规镜像、审计日志等)。
- 关键点: 云服务商需承担平台自身安全责任,并明确与用户的安全责任边界。
-
数据安全法与个人信息保护法:
- 核心义务: 严格遵守《网络安全法》、《数据安全法》、《个人信息保护法》的规定,建立完善的数据分类分级、数据生命周期安全管理、数据出境安全评估/认证/标准合同申报、个人信息处理规则、用户权利响应机制等制度。
- 关键点: 作为数据处理者(处理用户数据)甚至可能成为重要数据处理者/关键信息基础设施运营者(视业务规模和数据重要性),承担相应法律责任,需部署强有力的技术和管理措施保障数据安全。
-
网络安全审查:
- 适用情形: 根据《网络安全审查办法》,掌握超过100万用户个人信息的网络平台运营者赴国外上市,或者关键信息基础设施运营者采购网络产品和服务(包括公有云服务),可能触发网络安全审查,作为云服务商,一方面自身若符合条件需接受审查,另一方面其平台可能被CIIO采购,需配合审查要求。
- 关键点: 需建立符合国家要求的供应链安全管理和数据安全风险防控体系。
专业见解与解决方案:构建合规竞争力
- 牌照是起点,安全合规是生命线: 单纯拥有牌照不等于高枕无忧,持续投入安全技术(如零信任、加密、入侵检测、DDoS防护)、完善安全运营中心(SOC)、建立常态化合规审计机制,是应对日益严格监管和复杂威胁的必然选择。
- “牌照组合+安全能力”是核心竞争力: 清晰梳理自身业务所需的牌照组合(IDC+IRCS是核心,CDN/ISP按需),并同步构建强大的内生安全能力和透明化的合规管理体系,将其作为市场宣传和客户信任的基石。
- 关注属地化与生态合作:
- 数据本地化: 深刻理解并满足数据境内存储的要求,尤其对于政府、金融等强监管行业客户,建设和运营符合标准的数据中心基础设施是关键支撑。
- 生态合规: 明确云平台与ISV(独立软件开发商)、SaaS提供商、用户之间的责任边界,在云市场等生态中引导合作伙伴遵守各自的合规要求(如SaaS商的ICP证、数据合规责任)。
- 积极拥抱监管,参与标准制定: 主动关注工信部、网信办等监管机构的最新政策动态和技术标准,积极参与行业组织活动,将合规要求融入产品设计和服务流程,化被动为主动。
无照/违规经营的风险
未取得必要牌照或违反相关法规提供公有云服务,将面临严重后果:
- 行政处罚: 由通信管理部门责令改正、没收违法所得、处以高额罚款(最高可达违法所得的10倍或1000万元人民币),情节严重者吊销相关许可。
- 业务关停: 被要求停止违规业务,导致服务中断,客户流失,声誉严重受损。
- 法律风险: 涉及数据泄露、网络安全事件等,可能承担民事赔偿责任,甚至相关责任人面临刑事责任(如拒不履行信息网络安全管理义务罪)。
- 市场准入限制: 失去参与政府、国企等重要客户采购项目的资格。
您企业的公有云合规之路进行到哪一步了?
- 正在规划进入市场,了解牌照要求?
- 已启动IDC/IRCS牌照申请流程?
- 关注如何提升平台安全以满足等保和数安法要求?
- 需要厘清在生态合作中的合规责任边界?
无论您处于哪个阶段,深入理解并持续投入满足中国特色的牌照与合规要求,是公有云服务商在中国市场立足、发展并赢得长期信任的必经之路。
首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/17408.html
