2024 年 6 月起,工信部要求所有移动互联网应用(含 APP 和小程序)必须完成 ICP 备案。小程序备案不只是「填个表」——它要求提供合规检测报告、内容审核机制说明、个人信息保护自评估等一系列材料。本文按工信部最新要求逐项拆解。
一、备案的法规依据
核心政策文件:
- 《工业和信息化部关于开展移动互联网应用程序备案工作的通知》(工信部信管〔2023〕105 号)
- 《移动互联网应用程序信息服务管理规定》
- 《App 违法违规收集使用个人信息行为认定方法》
- 《互联网信息服务深度合成管理规定》(涉及 AIGC 内容时)
所有面向公众提供服务的小程序、APP 都在监管范围内。截至 2024 年底,全国累计完成备案的移动应用已超 200 万个。
二、备案 5 大要点
要点 1:主体信息真实可查
备案主体必须是依法成立的企业、事业单位或个体工商户。个人不能直接备案小程序(除非作为个体工商户)。
- 提供营业执照副本扫描件
- 法定代表人 / 主要负责人身份证扫描件
- 联系人姓名 + 手机 + 邮箱
要点 2:小程序基本信息明确
- 小程序中文名称(不能与已备案的同行业小程序重名)
- 服务类型(电商 / 资讯 / 工具 / 游戏 / 社交等)
- 服务范围 + 核心功能描述
- 是否涉及前置审批事项(如新闻、出版、教育、医疗、金融等需要先取得相应许可证)
要点 3:个人信息保护合规自评估
这是备案中最容易踩坑的一项。需要提供:
- 个人信息处理目的 / 范围 / 方式说明
- 收集的个人信息清单(最小必要原则)
- 用户授权同意机制(弹窗 / 协议)
- 个人信息存储期限、保护措施
- 第三方 SDK 的个人信息处理情况
- 跨境传输(如有)
建议由第三方测评机构出具《个人信息保护合规检测报告》——这份报告也是后续支付宝、微信小程序平台审核的重要参考。
要点 4:内容安全审核机制说明
涉及用户生成内容(UGC)的小程序需说明:
- 内容审核技术方案(自动审核 + 人工审核结合)
- 关键词过滤库的更新机制
- 举报投诉处置流程
- 违规内容应急下线机制
- 未成年人保护机制
要点 5:核心功能与备案信息一致
实际运行的功能必须与备案信息一致。常见踩坑:
- 备案时申报「电商」,实际运营「资讯 + 社交」 — 触发监管
- 备案后新增重大功能未做备案变更 — 违规
- 实际功能涉及前置审批事项但未取得许可证 — 高风险
三、第三方测评机构的 3 个介入点
1. 个人信息保护合规检测
测评机构按 GB/T 35273-2020《个人信息安全规范》和《App 违法违规收集使用个人信息行为认定方法》对小程序进行:
- SDK 第三方个人信息流向追踪
- 权限申请合理性核查
- 用户授权同意流程检测
- 数据存储 / 传输安全性验证
- 用户行使权利(查询 / 删除 / 撤回)功能检测
2. 内容安全检测
对涉及 UGC 的小程序:
- 关键词过滤库覆盖度测试
- 图片 / 视频内容审核能力测试
- 违规内容应急响应测试
- 未成年人保护机制测试
3. 功能符合性测试
核心功能与备案信息一致性测试,确保备案后的实际运行不与申报内容偏离。
四、备案流程时间预算
- 材料准备:2-4 周(含合规检测报告)
- 主管部门初审:5-15 工作日
- 反馈整改(如需要):1-2 周
- 取得备案号:通常 4-8 周内完成全流程
建议小程序上线前 2-3 个月就启动备案准备。
五、未备案的法律后果
- 2024 年 6 月起,未备案的小程序在微信、支付宝、抖音等平台无法上架或被限制访问
- 已上架未备案的小程序面临下架风险
- 违法成本:行政警告、责令整改、严重者罚款 1-10 万元
- 2025 年起监管将更严格,预计会从「整改通知」转向直接处罚
六、新亿诚的小程序合规服务
新亿诚提供以下小程序备案配套测评服务:
- 个人信息保护合规检测——出具盖章合规报告
- 内容安全检测(含未成年人保护专项)
- 功能符合性测试——确保备案信息与实际运行一致
- SDK 合规审查——第三方 SDK 的个人信息流向追踪
整套服务通常 10-15 工作日完成。具体的APP / 小程序测试服务与报价咨询可联系顾问。
