科技型企业是创新和社会发展的前沿阵地，而初创型科技企业早期往往面临着众多法律问题，对创业者而言，该如何识别并解决日常运营中的法律风险呢？

笔者将结合案例经验通过本“法律生存指南”系列合集，为创业者梳理科技型企业创业过程中的法律痛点及合规管理重点。本篇文章将重点分析：TMT企业如何通过资质关？

TMT(Technology,Media,Telecom)即科技、媒体和通信三个领域的统称，TMT行业监管层面要求的资质门类众多且监管日趋严格，因此TMT企业应当结合其自身的业务模式，核查相关行业法规及政策来确定公司应该拥有的业务资质（包含有关部门颁发的资格、登记、备案、许可等），以保证业务的合规性。

下面笔者将重点分析TMT公司业务运营中较常涉及的重点业务资质。

A.网站经营类 ——增值电信业务经营许可证

根据《电信条例》的规定，国家对电信业务经营按照业务类型分类，实行许可制度。经营增值电信业务，必须取得《增值电信业务经营许可证》。

对于运营网站、从事电商等多数TMT创业公司而言，《增值电信业务经营许可证》可谓其最基本的业务资质，也是大多TMT企业的必备证照。

根据《电信业务分类目录》的规定，增值电信业务分为B1和B2两个大类，对于TMT企业而言，所涉及的增值电信业务许可主要集中在B2大类中的B25信息服务业务（“ICP许可证”）及B21在线数据处理与交易处理业务（“EDI许可证”）业务：

1.“ICP许可证”（信息服务业务）

（1）哪些企业需取得ICP许可/备案

ICP许可或许是大家比较熟悉的《增值电信业务经营许可证》类型，根据《电信业务分类目录》的规定，ICP证对应的业务是指“通过信息采集、开发、处理和信息平台的建设，通过公用通信网或互联网向用户提供信息服务的业务”，而具体信息服务类型又分为：信息发布平台和递送、信息搜索查询、信息社区平台、信息即时交互、信息保护和处理等服务。

此外，根据《互联网信息服务管理办法》的规定，国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。因此，如企业业务中涉及提供上述“互联网信息服务”的，必须具备ICP许可或备案。

（2）如何界定“经营性”互联网信息服务

如上所述，判断公司从事互联网信息服务业务是否需要取得ICP许可还是仅取得备案即可，关键在于确定相关业务是否具有“经营性”。

根据《互联网信息服务管理办法》的规定，“经营性互联网信息服务”是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动，“非经营性互联网信息服务”是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。实务中不少企业认为，如果网站不向用户收费，那么就不属于经营性网站，但事实真的如此吗？

根据工信部《信息产业部关于进一步做好互联网信息服务电子公告服务审批管理工作的通知》以及北京等地方通信管理局发布的相关通告，经营性互联网信息服务主要是指利用网上广告、代制作网页、电子商务、有偿提供特定信息内容及其它网上应用服务等方式获得收入的服务。

由此可见，只要公司通过提供互联网信息服务取得收益（包括网站登载广告收益和用户付费），都属于经营性“互联网信息服务”，均需获得ICP许可证。以笔者亲办的合规项目为例，某业内知名MCN公司主要为品牌方、商家提供推广投放服务，并且在其官网上向其潜在客户群体设置了付费入口，虽然其官网大部分内容属于无偿共享信息，但因该网站涉及用户付费，经与有关部门沟通，仍需取得ICP许可证。

2.“EDI许可证”（在线数据处理与交易处理业务）

（1）哪些企业需取得EDI许可

根据《电信业务分类目录》的规定，EDI许可对应的业务是指“利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台，通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务”。具体的业务类型包括：交易处理业务、电子数据交换业务和网络/电子设备数据处理业务。

通常来说，如企业从事与电商、在线商城等与在线交易相关的业务，一般需要取得EDI许可证。

（2）“自用型”平台无需办理EDI许可

如上所述，实务中电商平台、在线商城是需获得EDI许可的典型主体，原因在于电商平台、在线商城业务往往系企业作为运营方、为第三方商家和终端消费者提供交易机会，消费者通过平台购买商家提供的商品或服务；但如果该平台是“自产自销”性质而不涉及为第三方商家提供服务，一般不需要办理EDI许可证，但具体仍需咨询当地主管部门口径更加稳妥。

B.软件和信息技术服务类——网络安全等级保护备案、数据安全义务

1.网络安全等级保护备案

（1）什么是网络安全等级保护

2017年国家出台《网络安全法》，在信息系统安全等级保护的基础上，正式提出了我国实行“网络安全等级保护制度”，明确了网络运营者的安全等级保护义务。

2018年公安部公布《网络安全等级保护条例（征求意见稿）》（“保护条例”），根据网络的重要程度，以及其一旦遭到破坏等情况后对国家安全、社会秩序、公民权益的危害程度等因素，将我国网络安全保护等级分为五级。不同等级的网络运营者需要承担包括制度制定、系统备案、测评等在内的不同义务。

（2）哪些企业应当实施网络安全等级保护

根据《网络安全法》，网络安全等级保护的义务主体是“网络运营者”，网络运营者是指网络的所有者、管理者和网络服务提供者。根据笔者的实务经验，在网络高度渗透的当下，《网络安全法》适用于大多数企业，无论企业是运营互联网还是局域网，都属于网络安全保护的义务主体范畴。

（3）哪些企业需要进行网络安全等级保护备案

根据保护条例的规定，企业在开展网络安全等级保护时，需首先进行网络安全保护等级自评，若自评结果在第二级及以上，应当在安全保护等级确定后10个工作日内到县级以上公安机关备案。实务中，多数TMT企业网络安全等级集中在第二级或第三级，需要履行等级保护备案义务,以笔者亲办的合规项目为例：

某软件企业通过员工个人证券账户测试其客户公司（某知名证券公司）软件系统的性能，该软件公司未进行网络安全保护等级自评，根据笔者对当地公安部门的询问，公安窗口反馈“公司开展软件产品开发并使用该等软件产品进行数据分析与处理的，有可能评级二级以上并涉及备案手续办理，应当先展开自评”。

实务中，很多TMT企业容易忽视网络安全等级的测评及备案，并且忽视企业内部网络安全保护制度的制定，存在受到行政处罚的风险。因此，建议企业严格按照法律的规定，采取技术措施履行网络安全等级保护义务，并及时展开系统安全等级自评及相关备案。

2.数据安全保护义务

（1）什么是数据安全保护

在国家大数据战略背景下，根据《数据安全法》的规定，TMT企业在开展业务过程中涉及数据处理活动时，应(a)建立健全全流程数据安全管理制度，(b)组织开展数据安全教育培训，(c)采取相应的技术措施和其他必要措施，以保障数据安全和履行数据安全保护义务。