我要制作一个软件产品平台，但我不确定我需要哪些资质和会受到什么样的监管。我应该在前期做什么样的合规动作？

前期合规动作分四步：先定业务定位（属于哪个行业、做什么业务模式），再列适用法规和资质清单，然后做技术合规对齐（备案、隐私政策、审核机制），最后在产品上线前做一次自查。绝大多数项目都需要 ICP 备案 + 公安互联网安全备案这两项，再根据具体业务叠加增值电信、EDI、新闻、视听、医疗、金融等专项资质。

按我们做过的客户经历，可以照下面这个顺序走：

第一步：定位业务

写清楚三个问题：

• 用户是 C 端还是 B 端，付费给谁，平台抽成还是订阅；
• 服务的核心交付物是信息、内容、商品、金融、人力服务还是 SaaS 工具；
• 涉不涉及实名、支付、个人信息、UGC、跨境数据。

把这三个问题写在一页纸上，后面的合规边界都从这里展开。

第二步：列资质清单

不同业务对应不同证：

• 基础：ICP 备案（任何对外提供服务的网站 / App 都要）、公安互联网安全备案（30 天内办）；
• 经营性网站 / 平台：增值电信业务经营许可证（B11 / B12 / B25 等子类）；
• 电商交易类：EDI 许可证；
• 内容、社区、UGC：网络信息内容生态治理规定下的内部审核制度；推荐算法 / 生成式 AI 要做算法备案；
• 新闻信息：互联网新闻信息服务许可证（门槛高）；
• 音视频直播：信息网络传播视听节目许可证；
• 教育：在线教育相关备案、教培双减政策；
• 医疗：互联网诊疗资质、互联网医院牌照；
• 金融：支付牌照、小贷、理财、保险等专项牌照；
• 境外用户：GDPR、CCPA、东南亚 PDPA 等当地法规。

不确定的项可以咨询律师，但前期至少要列出"必须办、可能要办、不会涉及"三类清单。

第三步：技术合规对齐

• 隐私政策、用户协议、SDK 清单按 GB/T 35273 起草；
• 后台预留实名认证、内容审核、举报、留痕、删除、导出等接口；
• 数据分级，敏感字段加密，操作留痕；
• 服务器优先放国内（涉外业务除外），不要使用未备案 IP；
• 上架材料按应用商店要求准备好。

第四步：上线前自查

• 工信部"四方监管"通报会查 SDK 偷传数据、隐私政策不规范，建议自己先用第三方工具扫一遍；
• App 内是否能看到隐私政策入口；
• 实名注册和未成年人保护机制是否齐全；
• 投诉举报通道是否真实可达。

滚水科技在合作的项目里，一般会在合同前帮客户出一份"合规动作清单"，标明哪些客户自己办、哪些我们配合做、哪些建议找律师。前期把这个清单确认下来，开发期间就不会出现"功能做完了备案没办、应用商店上不了"的尴尬。