ISP许可证合规新动向：用户信息保护，到底要听谁的？

最近不少客户在续办ISP许可证时被“卡”住了——不是材料不全，而是被问到：“你们的用户信息保护机制，符合《个人信息保护法》第21条吗？”

这可不是临时加戏。自2023年工信部《电信业务经营许可管理办法》修订实施以来，ISP许可证的合规审查已从“有没有制度”升级为“制度有没有真落地、能不能被验证”。说白了：光有《隐私政策》文档不行，得有可追溯的操作留痕、可复盘的权限管理、可响应的数据泄露预案。

别再只盯着“等保”，个人信息保护才是新门槛

很多企业还在按老思路做合规：等保三级做了、机房巡检记录齐了、防火墙日志存够6个月……但监管现场核查时，第一句就问：“用户实名认证数据存储在哪？脱敏规则怎么执行？员工调取用户通话记录的审批流走哪一级？”
这些细节，恰恰是《个人信息保护法》《电信和互联网用户个人信息保护规定》划出的硬杠杠——不是“建议参考”，而是“必须执行”。

三个动作，快速对齐监管要求

1. 查源头：检查用户注册、实名核验、账单查询等环节，是否默认开启非必要信息收集（比如强制上传手持身份证+人脸识别）；
2. 管权限：后台系统中，客服、运维、数据分析岗的账号能否看到完整手机号、身份证号？有没有分级脱敏（如仅显示后四位）？
3. 建闭环：用户提出“删除账户”申请后，72小时内是否同步清除其在CRM、日志系统、备份库中的全部标识性信息？

这些事，九蚂蚁服务过的80+家ISP持证企业都经历过——不是等被通报才补救，而是把合规嵌进日常运营里。

合规不是成本，是信任资产

用户越来越在意“我的号码为什么总被骚扰？”“刚查过宽带套餐，推销电话就来了？”
当你的系统能清晰回答“谁、何时、因何事、调用了哪类用户信息”，不仅是过审的底气，更是客户愿意续费、推荐的理由。

我们不做模板套娃，也不堆砌法律条文。而是帮您把法条变成工单流程、把监管要求转成系统配置项——让合规，长在业务里，而不是贴在墙上。