一、移动转售业务类型及未来发展前景
2012年6月27日,《工业和信息化部关于鼓励和引导民间资本进一步进入电信业的实施意见》发布,移动通信转售业务在我国电信市场正式启动。截止目前,工业和信息化部已向19家企业发放移动通信转售业务试点批文,其中18家为跨省牌照,1家为省内牌照。
根据行业属性和业务范围,移动转售企业大致可以分为6类:(1)终端、渠道类,对应企业为天音通信、话机世界、乐语、迪信通、爱施德、京东、国美、苏宁;(2)传媒类,对应企业为巴士在线、北纬通信、蜗牛数字;(3)行业应用类,对应企业为华翔联信、分享在线、远特通信;(4)云计算类,对应企业为万网志成、三五互联;(5)物流类,对应企业为中期集团、长江时代;(6)第三方支付类,对应企业为连连科技。
移动转售业务类型主要包括两类,一类是转售企业从基础运营商批发的移动语音、短信、彩信、移动数据业务等基础电信业务,所有转售企业均会提供该类型业务;一类是转售企业将自身原有的信息服务业务面向转售业务用户提供,主要提供方式包括智能终端业务内置、手机卡业务内置、短信/彩信/WAP业务推荐、网上营业厅业务推荐、应用商店业务提供、二维码扫描等,涉及提供该类型业务的转售企业一般拥有丰富的移动互联网应用资源,例如视频、阅读、社交、游戏、音乐等。
移动转售业务未来之路充满坎坷。目前,全球共有1100多家移动虚拟运营商,其中大部分位于欧美等发达地区。有机构预测到2015年,全球虚拟运营商的移动用户数将达到1.86亿,占全球移动电话用户数的2.6%。目前比较有名的移动虚拟运营商如维珍移动用户规模已经超过1500万户。虽然虚拟运营商在国外已经运营多年,但是成功案例总体偏少,所以民资进入电信业未来道路依然布满荆棘。预测在基础运营商夹缝中生存的虚拟运营商未来很可能会诞生少数巨头,大部分企业将出局。部分虚拟运营商企业在特定细分市场做大后,也可能被三大运营商收购,或者以后者入股企业的方式开展深入合作。
二、移动转售业务信息安全风险挑战
移动转售业务涉及的信息安全问题与基础运营企业面临的信息安全问题基本上是一样的,主要包括违法信息发现处置、违法信息投诉受理处置、信息安全事件应急处置和报告、用户日志留存、用户真实身份管理与信息保护等,同时也存在一些特殊问题和风险。
基础运营商协同配合必不可少。依据工信部《移动通信转售业务试点方案》中“移动通信转售企业不自建无线网、核心网、传输网等移动通信网络基础设施,可依据需要建立业务管理平台以及计费、营账等业务支撑系统”相关规定,移动通信企业在实施违法信息发现处置、违法信息投诉受理处置、信息安全重大事件应急处置、用户日志留存、用户个人信息保护等信息安全管理工作环节,需要借助基础运营商协同配合才能实现。因此,确保移动转售业务信息安全责任主体是移动转售企业,但具体保障机制实施和技术手段建设在很大程度上依赖于基础运营商参与。
业务应用存在信息安全风险。部分移动转售企业以前并非从事通信行业,由于缺少电信级的网络信息安全保障体系、网络信息安全意识弱于基础运营商、商业利益驱动等因素影响,在智能终端/手机卡业务内置、SP合作伙伴引入、业务推荐、应用商店APP下载等运营环节,存在信息安全隐患。此类信息安全风险责任主体与实施主体均为转售企业,亦应成为行业监管重点环节。
用户个人信息保护面临挑战。《移动通信转售业务试点方案》要求移动转售企业“必须建立客服系统”,但并没有明确界定客服系统的相关功能要求和技术标准,因此部分转售企业基于成本考虑建立的客服系统可能存在用户信息泄露安全隐患。另外,由于转售企业用户信息保护观念意识和技术力量不如基础运营企业,在转售业务运营过程中,可能会出现用户个人信息被贩卖、被盗窃问题。
三、国外虚拟运营商信息安全监管情况
从英、美、澳、港、台各主要国家和地区的国际经验来看,除台湾外,对纯粹转售型移动虚拟网络运营业务(MVNO)在准入、资费、批发价格、普遍服务、码号、安全方面几乎不存在监管,监管的主要关注点集中在用户权益保护方面,监管领域很窄。
英国注重虚拟运营商用户个人隐私保护监管。英国对虚拟运营商几乎不存在监管,但十分注重包括用户个人信息保护在内的用户权益保护。英国出台《1998年数据保护法》,并设有执行机构信息委员办公室(ICO)来切实监督该法的执行。任何拥有和处理个人信息的组织在开展活动前,均要事先通知ICO,虚拟运营商需严格执行ICO关于用户数据保护方面的相关规定。
台湾通过许可审批和公共监督加强用户信息保护。台湾地区对虚拟运营商准入/资费等领域监管较为宽松,但在法规中设计确保MVNO保障用户信息安全的制度。台湾出台专门的《电脑处理个人资料保护法》,搜集、处理个人资料要先获得相关政府机构的许可,并按照电脑处理个人资料的规定行事,虚拟运营商开展业务需获得相关许可。同时,在获得许可后,MVNO被要求就其服务有关的条件制定营业规章(包括“用户基本数据利用之限制及条件”),在实施前向监管机构报备,并在各营业场所及网站公开供消费者审阅,变更时亦同。MVNO和用户签订的服务契约,也应载明前述事项,并在实施前报请主管机关备查。
四、移动转售业务信息安全管理建议
基于移动转售业务信息安全风险挑战及国外虚拟运营商监管经验,提出我国移动转售业务信息安全管理建议:
明确安全管理要求。行业主管部门应针对违法信息发现处置、信息安全应急处置、用户信息保护等重点领域,进一步细化和明确管理要求,并清晰界定基础运营商与转售企业之间网络信息安全责任分工。
建立定期评估机制。在目前移动转售业务试点运营期内定期开展转售业务网络信息安全态势评估,监督指导转售企业履行安全责任。
实时业务动态监测。将移动转售业务纳入行业主管部门新技术新业务信息安全评估工作体系,开展实时动态监测,及时发现和处理信息安全隐患。
完善政企联动机制。行业主管部门应建立与基础企业、转售企业长效沟通协调机制,推动基础企业协同、指导转售企业加强网络信息安全管理。
发挥行业自律作用。目前虚拟运营商产业联盟已经成立,行业主管部门应积极推动其在网络信息安全管理体系中发挥关键作用。
作者简介:张振涛,信息通信安全研究所信息安全研究部,工程师,研究领域包括网络与信息安全政策、互联网新技术新业务信息安全、移动转售业务信息安全、用户个人信息保护等。