中新網4月3日電 據“網信中國”微信公眾號消息，為支持中小微企業創新發展，簡化小型個人信息處理者履行個人信息保護法律法規義務的措施，根據《中華人民共和國個人信息保護法》、《中華人民共和國民法典》、《網絡數據安全管理條例》等法律、行政法規，國家互聯網信息辦公室起草了《小型個人信息處理者個人信息保護簡化措施規定(征求意見稿)》，現向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

　　1.登錄中國網信網(www.cac.gov.cn)，進入首頁“網信要聞”查看文稿。

　　2.通過電子郵件方式發送至：shujuju@cac.gov.cn。

　　3.通過信函方式將意見寄至：北京市海淀區阜成路15號國家互聯網信息辦公室網絡數據管理局，郵編100048，并在信封上注明“小型個人信息處理者個人信息保護簡化措施規定征求意見”。

　　意見反饋截止時間為2026年5月3日。

小型個人信息處理者個人信息保護簡化措施規定

(征求意見稿)

　　第一條 為支持中小微企業創新發展，簡化小型個人信息處理者履行個人信息保護法律法規義務的措施，根據《中華人民共和國個人信息保護法》、《中華人民共和國民法典》、《網絡數據安全管理條例》等法律、行政法規，制定本規定。

　　第二條 在中華人民共和國境內的小型個人信息處理者實施個人信息保護，適用本規定。

　　本規定所稱小型個人信息處理者，是指處理不滿10萬人個人信息的個人信息處理者。

　　第三條 支持小型個人信息處理者在遵守個人信息保護相關法律、行政法規基礎上，依據本規定采取與小型個人信息處理者規模、能力等相當的簡化措施保障個人信息安全，保護個人信息權益。

　　第四條 小型個人信息處理者個人信息處理規則至少包括下列內容：

　　(一)小型個人信息處理者名稱或者姓名；

　　(二)個人行使權利的受理人員及其聯系方式；

　　(三)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限等。

　　小型個人信息處理者線下收集個人信息的，可以通過在經營場所醒目位置張貼公告等簡便方式公開個人信息處理規則；線上收集個人信息的，可以通過服務協議等方式公開個人信息處理規則。

　　第五條 支持園區、產業基地、商業物業等服務管理單位，為其服務管理范圍內開展相同線下業務的小型個人信息處理者統一制定并公開個人信息處理規則，同意遵守統一個人信息處理規則且在該規則中被列明的小型個人信息處理者，可以不再制定個人信息處理規則。

　　第六條 小型個人信息處理者同時符合下列條件的，可以僅通過公開個人信息處理規則向個人履行告知義務，個人信息處理規則應當便于查閱和保存：

　　(一)處理個人信息(不含敏感個人信息)為提供產品或者服務所必需；

　　(二)不向其他個人信息處理者提供且不對外公開個人信息，并在個人信息處理規則中明示。

　　第七條 個人因獲取產品或者服務需要，主動向小型個人信息處理者提供獲取產品或者服務所必需的個人信息，小型個人信息處理者已公開個人信息處理規則并履行告知義務的，即可按照公開的個人信息處理規則處理其個人信息。

　　第八條 同時符合下列條件的小型個人信息處理者可以不再制定個人信息處理規則、履行告知義務：

　　(一)小型個人信息處理者僅通過網絡平臺處理個人信息，且不向網絡平臺外的其他個人信息處理者提供；

　　(二)網絡平臺已制定發布個人信息處理規則，并履行了告知義務；

　　(三)小型個人信息處理者聲明遵守網絡平臺制定的個人信息處理規則，且處理個人信息為提供產品或者服務所必需。

　　符合前款條件的，網絡平臺已開展個人信息保護合規審計、個人信息保護影響評估的，小型個人信息處理者可以不再重復開展。

　　第九條 小型個人信息處理者因合并、分立、解散、被宣告破產等原因需要轉移個人信息的，可以通過在經營場所醒目位置張貼公告等簡便方式告知接收方的名稱或者姓名以及聯系方式；小型個人信息處理者提供線上產品服務的，還應當通過產品服務客戶端彈窗公告等方式，告知接收方的名稱或者姓名以及聯系方式。

　　小型個人信息處理者應當至少提前30個工作日公開發布前款規定的告知事項，時長不少于30個工作日。

　　第十條 小型個人信息處理者為特定目的處理敏感個人信息的，應當在個人信息處理規則中告知處理敏感個人信息的必要性以及對個人權益的影響。

　　個人在知情情況下主動配合提供人臉信息、生物樣本等敏感個人信息的，小型個人信息處理者即可按照已告知的個人信息處理目的、方式、種類等處理其敏感個人信息。

　　第十一條 小型個人信息處理者向境外提供個人信息，符合下列條件之一的，免予申報數據出境安全評估、訂立個人信息標準合同、通過個人信息保護認證：

　　(一)為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的；

　　(二)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；

　　(三)緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的；

　　(四)為履行法定職責或者法定義務，確需向境外提供個人信息；

　　(五)關鍵信息基礎設施運營者以外的個人信息處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的；

　　(六)法律、行政法規或者國家網信部門規定的其他條件。

　　前款所稱向境外提供的個人信息，不包括重要數據。

　　小型個人信息處理者確需向中華人民共和國境外提供個人信息，依法依規向網信部門申請數據出境安全評估的，可以由所在地省級網信部門評估形成評估結論建議報國家網信部門核準。

　　鼓勵履行個人信息保護職責的部門、數據跨境服務中心等，為小型個人信息處理者個人信息出境提供咨詢等服務。

　　第十二條 小型個人信息處理者可以通過公開個人行使權利的受理人員及其聯系方式，建立個人行使在個人信息處理活動中權利的申請受理和處置機制。

　　第十三條 停止產品或者服務的小型個人信息處理者，確無能力刪除個人信息的，可以向所在地有關主管部門報告并請求提供幫助；主管部門不明確的，可以向所在地設區的市級網信部門報告。

　　第十四條 小型個人信息處理者可以按照本規定附件《小型個人信息處理者個人信息保護合規審計自查表》的簡便方式，至少每五年開展一次個人信息保護合規審計，并保存合規審計自查表至少五年。

　　第十五條 小型個人信息處理者可以按照本規定附件《小型個人信息處理者個人信息保護影響評估表》的簡便方式開展個人信息保護影響評估，并保存影響評估表至少三年。

　　第十六條 小型個人信息處理者可以通過在組織管理文件中明確個人信息保護內部管理要求、個人信息安全事件應急處置要求等簡便方式，建立個人信息保護管理制度、個人信息安全事件應急預案。

　　第十七條 發生或者可能發生個人信息泄露、篡改、丟失的，小型個人信息處理者應當立即采取補救措施，按照法律、行政法規規定通知個人，確因客觀條件限制無法通過其他方式通知個人的，可以僅通過在經營場所醒目位置張貼公告、在產品服務客戶端中彈窗公告等簡便方式通知個人，并按照規定通知履行個人信息保護職責的部門；涉嫌犯罪的，應當及時向公安機關報案。

　　第十八條 支持個人信息保護認證機構針對小型個人信息處理者開展認證工作，提高服務質量。

　　通過個人信息保護認證的小型個人信息處理者，在認證有效期內可以免予開展個人信息保護合規審計。

　　第十九條 小型個人信息處理者開展個人信息處理活動有下列情形之一的，不予處罰：

　　(一)違法行為輕微并及時改正，沒有造成危害后果的；

　　(二)初次違法且危害后果輕微并及時改正的；

　　(三)其他依法不予處罰的情形。

　　不予處罰的，履行個人信息保護職責的部門應當視情采取約談、發送提示函等行政監管措施。

　　第二十條 小型個人信息處理者開展個人信息處理活動有下列情形之一的，應當從輕或者減輕處罰：

　　(一)主動消除或者減輕違法行為危害后果的；

　　(二)主動供述履行個人信息保護職責的部門尚未掌握的違法行為的；

　　(三)發生個人信息安全事件時，及時告知個人和采取補救措施，并主動向有關部門報告的；

　　(四)配合履行個人信息保護職責的部門查處違法行為有立功表現的；

　　(五)其他依法從輕或者減輕處罰的情形。

　　第二十一條 支持各地區、各部門通過組織培訓、講座、普法活動、咨詢輔導等方式，幫助小型個人信息處理者提升個人信息保護能力水平。

　　鼓勵各地區、各部門為小型個人信息處理者提供安全便捷個人信息處理的基礎設施、技術工具、咨詢服務等，降低小型個人信息處理者合規成本。

　　第二十二條 本規定自 年 月 日起施行。

　　附件：

　　1.小型個人信息處理者個人信息保護合規審計自查表

　　2.小型個人信息處理者個人信息保護影響評估表