《小型個人信息處理者個人信息保護簡化措施規定（征求意見稿）》公開征求意見

為支持中小微企業創新發展，簡化小型個人信息處理者履行個人信息保護法律法規義務的措施，根據《中華人民共和國個人信息保護法》、《中華人民共和國民法典》、《網絡數據安全管理條例》等法律、行政法規，國家互聯網信息辦公室起草了《小型個人信息處理者個人信息保護簡化措施規定（征求意見稿）》，現向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

1.登錄中國網信網（www.cac.gov.cn），進入首頁“網信要聞”查看文稿。

2.通過電子郵件方式發送至：shujuju@cac.gov.cn。

3.通過信函方式將意見寄至：北京市海淀區阜成路15號國家互聯網信息辦公室網絡數據管理局，郵編100048，并在信封上注明“小型個人信息處理者個人信息保護簡化措施規定征求意見”。

意見反饋截止時間為2026年5月3日。

國家互聯網信息辦公室

2026年4月3日

小型個人信息處理者個人信息保護簡化措施規定

（征求意見稿）

第一條 為支持中小微企業創新發展，簡化小型個人信息處理者履行個人信息保護法律法規義務的措施，根據《中華人民共和國個人信息保護法》、《中華人民共和國民法典》、《網絡數據安全管理條例》等法律、行政法規，制定本規定。

第二條 在中華人民共和國境內的小型個人信息處理者實施個人信息保護，適用本規定。

本規定所稱小型個人信息處理者，是指處理不滿10萬人個人信息的個人信息處理者。

第三條 支持小型個人信息處理者在遵守個人信息保護相關法律、行政法規基礎上，依據本規定采取與小型個人信息處理者規模、能力等相當的簡化措施保障個人信息安全，保護個人信息權益。

第四條 小型個人信息處理者個人信息處理規則至少包括下列內容：

（一）小型個人信息處理者名稱或者姓名；

（二）個人行使權利的受理人員及其聯系方式；

（三）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限等。

小型個人信息處理者線下收集個人信息的，可以通過在經營場所醒目位置張貼公告等簡便方式公開個人信息處理規則；線上收集個人信息的，可以通過服務協議等方式公開個人信息處理規則。

第五條 支持園區、產業基地、商業物業等服務管理單位，為其服務管理范圍內開展相同線下業務的小型個人信息處理者統一制定并公開個人信息處理規則，同意遵守統一個人信息處理規則且在該規則中被列明的小型個人信息處理者，可以不再制定個人信息處理規則。

第六條 小型個人信息處理者同時符合下列條件的，可以僅通過公開個人信息處理規則向個人履行告知義務，個人信息處理規則應當便于查閱和保存：

（一）處理個人信息（不含敏感個人信息）為提供產品或者服務所必需；

（二）不向其他個人信息處理者提供且不對外公開個人信息，并在個人信息處理規則中明示。

第七條 個人因獲取產品或者服務需要，主動向小型個人信息處理者提供獲取產品或者服務所必需的個人信息，小型個人信息處理者已公開個人信息處理規則并履行告知義務的，即可按照公開的個人信息處理規則處理其個人信息。

第八條 同時符合下列條件的小型個人信息處理者可以不再制定個人信息處理規則、履行告知義務：

（一）小型個人信息處理者僅通過網絡平臺處理個人信息，且不向網絡平臺外的其他個人信息處理者提供；

（二）網絡平臺已制定發布個人信息處理規則，并履行了告知義務；

（三）小型個人信息處理者聲明遵守網絡平臺制定的個人信息處理規則，且處理個人信息為提供產品或者服務所必需。

符合前款條件的，網絡平臺已開展個人信息保護合規審計、個人信息保護影響評估的，小型個人信息處理者可以不再重復開展。

第九條 小型個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的，可以通過在經營場所醒目位置張貼公告等簡便方式告知接收方的名稱或者姓名以及聯系方式；小型個人信息處理者提供線上產品服務的，還應當通過產品服務客戶端彈窗公告等方式，告知接收方的名稱或者姓名以及聯系方式。

小型個人信息處理者應當至少提前30個工作日公開發布前款規定的告知事項，時長不少于30個工作日。

第十條 小型個人信息處理者為特定目的處理敏感個人信息的，應當在個人信息處理規則中告知處理敏感個人信息的必要性以及對個人權益的影響。

個人在知情情況下主動配合提供人臉信息、生物樣本等敏感個人信息的，小型個人信息處理者即可按照已告知的個人信息處理目的、方式、種類等處理其敏感個人信息。

第十一條 小型個人信息處理者向境外提供個人信息，符合下列條件之一的，免予申報數據出境安全評估、訂立個人信息標準合同、通過個人信息保護認證：

（一）為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的；

（二）按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；

（三）緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的；

（四）為履行法定職責或者法定義務，確需向境外提供個人信息；

（五）關鍵信息基礎設施運營者以外的個人信息處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的；

（六）法律、行政法規或者國家網信部門規定的其他條件。

前款所稱向境外提供的個人信息，不包括重要數據。

小型個人信息處理者確需向中華人民共和國境外提供個人信息，依法依規向網信部門申請數據出境安全評估的，可以由所在地省級網信部門評估形成評估結論建議報國家網信部門核準。

鼓勵履行個人信息保護職責的部門、數據跨境服務中心等，為小型個人信息處理者個人信息出境提供咨詢等服務。

第十二條 小型個人信息處理者可以通過公開個人行使權利的受理人員及其聯系方式，建立個人行使在個人信息處理活動中權利的申請受理和處置機制。

第十三條 停止產品或者服務的小型個人信息處理者，確無能力刪除個人信息的，可以向所在地有關主管部門報告并請求提供幫助；主管部門不明確的，可以向所在地設區的市級網信部門報告。

第十四條 小型個人信息處理者可以按照本規定附件《小型個人信息處理者個人信息保護合規審計自查表》的簡便方式，至少每五年開展一次個人信息保護合規審計，并保存合規審計自查表至少五年。

第十五條 小型個人信息處理者可以按照本規定附件《小型個人信息處理者個人信息保護影響評估表》的簡便方式開展個人信息保護影響評估，并保存影響評估表至少三年。

第十六條 小型個人信息處理者可以通過在組織管理文件中明確個人信息保護內部管理要求、個人信息安全事件應急處置要求等簡便方式，建立個人信息保護管理制度、個人信息安全事件應急預案。

第十七條 發生或者可能發生個人信息泄露、篡改、丟失的，小型個人信息處理者應當立即采取補救措施，按照法律、行政法規規定通知個人，確因客觀條件限制無法通過其他方式通知個人的，可以僅通過在經營場所醒目位置張貼公告、在產品服務客戶端中彈窗公告等簡便方式通知個人，并按照規定通知履行個人信息保護職責的部門；涉嫌犯罪的，應當及時向公安機關報案。

第十八條 支持個人信息保護認證機構針對小型個人信息處理者開展認證工作，提高服務質量。

通過個人信息保護認證的小型個人信息處理者，在認證有效期內可以免予開展個人信息保護合規審計。

第十九條 小型個人信息處理者開展個人信息處理活動有下列情形之一的，不予處罰：

（一）違法行為輕微并及時改正，沒有造成危害后果的；

（二）初次違法且危害后果輕微并及時改正的；

（三）其他依法不予處罰的情形。

不予處罰的，履行個人信息保護職責的部門應當視情采取約談、發送提示函等行政監管措施。

第二十條 小型個人信息處理者開展個人信息處理活動有下列情形之一的，應當從輕或者減輕處罰：

（一）主動消除或者減輕違法行為危害后果的；

（二）主動供述履行個人信息保護職責的部門尚未掌握的違法行為的；

（三）發生個人信息安全事件時，及時告知個人和采取補救措施，并主動向有關部門報告的；

（四）配合履行個人信息保護職責的部門查處違法行為有立功表現的；

（五）其他依法從輕或者減輕處罰的情形。

第二十一條 支持各地區、各部門通過組織培訓、講座、普法活動、咨詢輔導等方式，幫助小型個人信息處理者提升個人信息保護能力水平。

鼓勵各地區、各部門為小型個人信息處理者提供安全便捷個人信息處理的基礎設施、技術工具、咨詢服務等，降低小型個人信息處理者合規成本。

第二十二條 本規定自 年 月 日起施行。

關于《小型個人信息處理者個人信息保護簡化措施規定（征求意見稿）》的起草說明

為貫徹落實《中華人民共和國個人信息保護法》關于針對小型個人信息處理者制定專門的個人信息保護規則有關規定，為小型個人信息處理者履行個人信息保護法律法規義務提供簡化措施，支持中小微企業創新發展，國家網信辦組織研究起草了《小型個人信息處理者個人信息保護簡化措施規定（征求意見稿）》（以下簡稱《規定》）。現將有關情況說明如下：

一、起草背景

黨的二十大提出，加快建設網絡強國、數字中國，強化網絡、數據安全保障體系建設，加強個人信息保護，支持中小微企業發展。黨的二十屆四中全會提出，加強個人信息保護，支持中小企業和個體工商戶發展。《中華人民共和國個人信息保護法》第六十二條規定國家網信部門統籌協調有關部門針對小型個人信息處理者，制定專門的個人信息保護規則、標準。

起草《規定》是深入貫徹落實黨的二十大和二十屆歷次全會精神，以及《中華人民共和國個人信息保護法》的具體舉措，有助于提升小型個人信息處理者個人信息保護水平，降低小型個人信息處理者合規成本，促進中小微企業創新發展。

二、起草過程

一是組織有關專家開展小型個人信息處理者個人信息保護專題研究，深入分析小型個人信息處理者特點和個人信息保護簡便措施。二是認真研究國外關于小型個人信息處理者有關制度規定。三是充分調研國內中小微企業、網絡平臺和平臺商戶等，深入了解小型個人信息處理者在落實個人信息保護法律法規方面面臨的問題困難。四是總結相關研究成果、國內外制度建設經驗、小型個人信息處理者經驗做法等，研究起草《規定》。五是多次組織走訪調研產業園區、中小學校、基層醫院、科創企業、專業機構等，就《規定》征求意見建議，并作修改完善。六是征求有關部門意見并作修改完善，形成目前的文稿。

三、起草思路

起草工作重點把握了以下幾點：

（一）合理界定小型個人信息處理者。結合小型個人信息處理者處理個人信息數量少、處理活動簡單等特點，參考國內外相關定義，根據調研了解的情況，明確界定小型個人信息處理者范圍。

（二）簡化收集個人信息的授權程序。結合小型個人信息處理者特點，明確公開個人信息處理規則簡化程序和告知個人、取得個人同意等簡化授權程序，便利小型個人信息處理者落實《中華人民共和國個人信息保護法》關于收集個人信息的關鍵要求。

（三）簡化制定個人信息處理規則。針對大量小型個人信息處理者依托網絡平臺、園區或商業物業等提供產品服務，提出在遵守網絡平臺、園區或商業物業等統一制定的個人信息處理規則的前提下，可以不再制定個人信息處理規則等便捷措施。

（四）提出支持性政策和減免處罰規定。支持各地區、各部門為小型個人信息處理者提供咨詢輔導和安全便捷處理個人信息的基礎設施服務，提出對于違法行為輕微、主動改正且沒有造成危害后果等情況的，不予處罰或者減輕處罰，為中小微企業創新發展構建良好的政策環境。

四、主要內容

《小型個人信息處理者個人信息保護簡化措施規定》共22條，重點對個人信息保護總體要求、個人信息處理規則簡化、小型個人信息處理者義務簡化、不予和從輕或者減輕處罰等作出規定。

（一）關于個人信息保護總體要求

明確小型個人信息處理者定義范圍、小型個人信息處理者處理個人信息基本原則等總體要求。

（二）關于個人信息處理規則簡化

明確公開個人信息處理規則簡化、統一制定處理規則、告知個人、取得個人同意、依托網絡平臺處理個人信息、特殊情況告知、敏感個人信息處理、個人信息出境、個人行權受理、刪除個人信息等的簡便處理措施。

（三）關于小型個人信息處理者義務簡化

明確小型個人信息處理者個人信息保護合規審計、影響評估、管理制度、安全事件應急預案、安全事件報告的簡便處理措施，以及個人信息保護認證、合規審計等制度銜接規定等。

（四）關于不予處罰、從輕或者減輕處罰

明確小型個人信息處理者不予處罰情形，從輕或者減輕處罰情形，規定各地區、各部門對小型個人信息處理者的支持措施。

同時，明確小型個人信息處理者開展個人信息保護合規審計、影響評估的自查表和評估表。

來源：新華社客戶端、“網信中國”微信公號