為支持中小微企業(yè)創(chuàng)新發(fā)展，簡(jiǎn)化小型個(gè)人信息處理者履行個(gè)人信息保護(hù)法律法規(guī)義務(wù)的措施，根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)民法典》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī)，國(guó)家互聯(lián)網(wǎng)信息辦公室起草了《小型個(gè)人信息處理者個(gè)人信息保護(hù)簡(jiǎn)化措施規(guī)定（征求意見稿）》，現(xiàn)向社會(huì)公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

1.登錄中國(guó)網(wǎng)信網(wǎng)（www.cac.gov.cn），進(jìn)入首頁(yè)“網(wǎng)信要聞”查看文稿。

2.通過電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

3.通過信函方式將意見寄至：北京市海淀區(qū)阜成路15號(hào)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局，郵編100048，并在信封上注明“小型個(gè)人信息處理者個(gè)人信息保護(hù)簡(jiǎn)化措施規(guī)定征求意見”。

意見反饋截止時(shí)間為2026年5月3日。

國(guó)家互聯(lián)網(wǎng)信息辦公室

2026年4月3日

小型個(gè)人信息處理者個(gè)人信息保護(hù)簡(jiǎn)化措施規(guī)定

（征求意見稿）

第一條 為支持中小微企業(yè)創(chuàng)新發(fā)展，簡(jiǎn)化小型個(gè)人信息處理者履行個(gè)人信息保護(hù)法律法規(guī)義務(wù)的措施，根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《中華人民共和國(guó)民法典》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī)，制定本規(guī)定。

第二條 在中華人民共和國(guó)境內(nèi)的小型個(gè)人信息處理者實(shí)施個(gè)人信息保護(hù)，適用本規(guī)定。

本規(guī)定所稱小型個(gè)人信息處理者，是指處理不滿10萬人個(gè)人信息的個(gè)人信息處理者。

第三條 支持小型個(gè)人信息處理者在遵守個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)基礎(chǔ)上，依據(jù)本規(guī)定采取與小型個(gè)人信息處理者規(guī)模、能力等相當(dāng)?shù)暮?jiǎn)化措施保障個(gè)人信息安全，保護(hù)個(gè)人信息權(quán)益。

第四條 小型個(gè)人信息處理者個(gè)人信息處理規(guī)則至少包括下列內(nèi)容：

（一）小型個(gè)人信息處理者名稱或者姓名；

（二）個(gè)人行使權(quán)利的受理人員及其聯(lián)系方式；

（三）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限等。

小型個(gè)人信息處理者線下收集個(gè)人信息的，可以通過在經(jīng)營(yíng)場(chǎng)所醒目位置張貼公告等簡(jiǎn)便方式公開個(gè)人信息處理規(guī)則；線上收集個(gè)人信息的，可以通過服務(wù)協(xié)議等方式公開個(gè)人信息處理規(guī)則。

第五條 支持園區(qū)、產(chǎn)業(yè)基地、商業(yè)物業(yè)等服務(wù)管理單位，為其服務(wù)管理范圍內(nèi)開展相同線下業(yè)務(wù)的小型個(gè)人信息處理者統(tǒng)一制定并公開個(gè)人信息處理規(guī)則，同意遵守統(tǒng)一個(gè)人信息處理規(guī)則且在該規(guī)則中被列明的小型個(gè)人信息處理者，可以不再制定個(gè)人信息處理規(guī)則。

第六條 小型個(gè)人信息處理者同時(shí)符合下列條件的，可以僅通過公開個(gè)人信息處理規(guī)則向個(gè)人履行告知義務(wù)，個(gè)人信息處理規(guī)則應(yīng)當(dāng)便于查閱和保存：

（一）處理個(gè)人信息（不含敏感個(gè)人信息）為提供產(chǎn)品或者服務(wù)所必需；

（二）不向其他個(gè)人信息處理者提供且不對(duì)外公開個(gè)人信息，并在個(gè)人信息處理規(guī)則中明示。

第七條 個(gè)人因獲取產(chǎn)品或者服務(wù)需要，主動(dòng)向小型個(gè)人信息處理者提供獲取產(chǎn)品或者服務(wù)所必需的個(gè)人信息，小型個(gè)人信息處理者已公開個(gè)人信息處理規(guī)則并履行告知義務(wù)的，即可按照公開的個(gè)人信息處理規(guī)則處理其個(gè)人信息。

第八條 同時(shí)符合下列條件的小型個(gè)人信息處理者可以不再制定個(gè)人信息處理規(guī)則、履行告知義務(wù)：

（一）小型個(gè)人信息處理者僅通過網(wǎng)絡(luò)平臺(tái)處理個(gè)人信息，且不向網(wǎng)絡(luò)平臺(tái)外的其他個(gè)人信息處理者提供；

（二）網(wǎng)絡(luò)平臺(tái)已制定發(fā)布個(gè)人信息處理規(guī)則，并履行了告知義務(wù)；

（三）小型個(gè)人信息處理者聲明遵守網(wǎng)絡(luò)平臺(tái)制定的個(gè)人信息處理規(guī)則，且處理個(gè)人信息為提供產(chǎn)品或者服務(wù)所必需。

符合前款條件的，網(wǎng)絡(luò)平臺(tái)已開展個(gè)人信息保護(hù)合規(guī)審計(jì)、個(gè)人信息保護(hù)影響評(píng)估的，小型個(gè)人信息處理者可以不再重復(fù)開展。

第九條 小型個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的，可以通過在經(jīng)營(yíng)場(chǎng)所醒目位置張貼公告等簡(jiǎn)便方式告知接收方的名稱或者姓名以及聯(lián)系方式；小型個(gè)人信息處理者提供線上產(chǎn)品服務(wù)的，還應(yīng)當(dāng)通過產(chǎn)品服務(wù)客戶端彈窗公告等方式，告知接收方的名稱或者姓名以及聯(lián)系方式。

小型個(gè)人信息處理者應(yīng)當(dāng)至少提前30個(gè)工作日公開發(fā)布前款規(guī)定的告知事項(xiàng)，時(shí)長(zhǎng)不少于30個(gè)工作日。

第十條 小型個(gè)人信息處理者為特定目的處理敏感個(gè)人信息的，應(yīng)當(dāng)在個(gè)人信息處理規(guī)則中告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。

個(gè)人在知情情況下主動(dòng)配合提供人臉信息、生物樣本等敏感個(gè)人信息的，小型個(gè)人信息處理者即可按照已告知的個(gè)人信息處理目的、方式、種類等處理其敏感個(gè)人信息。

第十一條 小型個(gè)人信息處理者向境外提供個(gè)人信息，符合下列條件之一的，免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證：

（一）為訂立、履行個(gè)人作為一方當(dāng)事人的合同，如跨境購(gòu)物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機(jī)票酒店預(yù)訂、簽證辦理、考試服務(wù)等，確需向境外提供個(gè)人信息的；

（二）按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施跨境人力資源管理，確需向境外提供員工個(gè)人信息的；

（三）緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全，確需向境外提供個(gè)人信息的；

（四）為履行法定職責(zé)或者法定義務(wù)，確需向境外提供個(gè)人信息；

（五）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外的個(gè)人信息處理者自當(dāng)年1月1日起累計(jì)向境外提供不滿10萬人個(gè)人信息（不含敏感個(gè)人信息）的；

（六）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。

前款所稱向境外提供的個(gè)人信息，不包括重要數(shù)據(jù)。

小型個(gè)人信息處理者確需向中華人民共和國(guó)境外提供個(gè)人信息，依法依規(guī)向網(wǎng)信部門申請(qǐng)數(shù)據(jù)出境安全評(píng)估的，可以由所在地省級(jí)網(wǎng)信部門評(píng)估形成評(píng)估結(jié)論建議報(bào)國(guó)家網(wǎng)信部門核準(zhǔn)。

鼓勵(lì)履行個(gè)人信息保護(hù)職責(zé)的部門、數(shù)據(jù)跨境服務(wù)中心等，為小型個(gè)人信息處理者個(gè)人信息出境提供咨詢等服務(wù)。

第十二條 小型個(gè)人信息處理者可以通過公開個(gè)人行使權(quán)利的受理人員及其聯(lián)系方式，建立個(gè)人行使在個(gè)人信息處理活動(dòng)中權(quán)利的申請(qǐng)受理和處置機(jī)制。

第十三條 停止產(chǎn)品或者服務(wù)的小型個(gè)人信息處理者，確無能力刪除個(gè)人信息的，可以向所在地有關(guān)主管部門報(bào)告并請(qǐng)求提供幫助；主管部門不明確的，可以向所在地設(shè)區(qū)的市級(jí)網(wǎng)信部門報(bào)告。

第十四條 小型個(gè)人信息處理者可以按照本規(guī)定附件《小型個(gè)人信息處理者個(gè)人信息保護(hù)合規(guī)審計(jì)自查表》的簡(jiǎn)便方式，至少每五年開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)，并保存合規(guī)審計(jì)自查表至少五年。

第十五條 小型個(gè)人信息處理者可以按照本規(guī)定附件《小型個(gè)人信息處理者個(gè)人信息保護(hù)影響評(píng)估表》的簡(jiǎn)便方式開展個(gè)人信息保護(hù)影響評(píng)估，并保存影響評(píng)估表至少三年。

第十六條 小型個(gè)人信息處理者可以通過在組織管理文件中明確個(gè)人信息保護(hù)內(nèi)部管理要求、個(gè)人信息安全事件應(yīng)急處置要求等簡(jiǎn)便方式，建立個(gè)人信息保護(hù)管理制度、個(gè)人信息安全事件應(yīng)急預(yù)案。

第十七條 發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，小型個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，按照法律、行政法規(guī)規(guī)定通知個(gè)人，確因客觀條件限制無法通過其他方式通知個(gè)人的，可以僅通過在經(jīng)營(yíng)場(chǎng)所醒目位置張貼公告、在產(chǎn)品服務(wù)客戶端中彈窗公告等簡(jiǎn)便方式通知個(gè)人，并按照規(guī)定通知履行個(gè)人信息保護(hù)職責(zé)的部門；涉嫌犯罪的，應(yīng)當(dāng)及時(shí)向公安機(jī)關(guān)報(bào)案。

第十八條 支持個(gè)人信息保護(hù)認(rèn)證機(jī)構(gòu)針對(duì)小型個(gè)人信息處理者開展認(rèn)證工作，提高服務(wù)質(zhì)量。

通過個(gè)人信息保護(hù)認(rèn)證的小型個(gè)人信息處理者，在認(rèn)證有效期內(nèi)可以免予開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

第十九條 小型個(gè)人信息處理者開展個(gè)人信息處理活動(dòng)有下列情形之一的，不予處罰：

（一）違法行為輕微并及時(shí)改正，沒有造成危害后果的；

（二）初次違法且危害后果輕微并及時(shí)改正的；

（三）其他依法不予處罰的情形。

不予處罰的，履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)視情采取約談、發(fā)送提示函等行政監(jiān)管措施。

第二十條 小型個(gè)人信息處理者開展個(gè)人信息處理活動(dòng)有下列情形之一的，應(yīng)當(dāng)從輕或者減輕處罰：

（一）主動(dòng)消除或者減輕違法行為危害后果的；

（二）主動(dòng)供述履行個(gè)人信息保護(hù)職責(zé)的部門尚未掌握的違法行為的；

（三）發(fā)生個(gè)人信息安全事件時(shí)，及時(shí)告知個(gè)人和采取補(bǔ)救措施，并主動(dòng)向有關(guān)部門報(bào)告的；

（四）配合履行個(gè)人信息保護(hù)職責(zé)的部門查處違法行為有立功表現(xiàn)的；

（五）其他依法從輕或者減輕處罰的情形。

第二十一條 支持各地區(qū)、各部門通過組織培訓(xùn)、講座、普法活動(dòng)、咨詢輔導(dǎo)等方式，幫助小型個(gè)人信息處理者提升個(gè)人信息保護(hù)能力水平。

鼓勵(lì)各地區(qū)、各部門為小型個(gè)人信息處理者提供安全便捷個(gè)人信息處理的基礎(chǔ)設(shè)施、技術(shù)工具、咨詢服務(wù)等，降低小型個(gè)人信息處理者合規(guī)成本。

第二十二條 本規(guī)定自 年 月 日起施行。

關(guān)于《小型個(gè)人信息處理者個(gè)人信息保護(hù)簡(jiǎn)化措施規(guī)定（征求意見稿）》的起草說明

為貫徹落實(shí)《中華人民共和國(guó)個(gè)人信息保護(hù)法》關(guān)于針對(duì)小型個(gè)人信息處理者制定專門的個(gè)人信息保護(hù)規(guī)則有關(guān)規(guī)定，為小型個(gè)人信息處理者履行個(gè)人信息保護(hù)法律法規(guī)義務(wù)提供簡(jiǎn)化措施，支持中小微企業(yè)創(chuàng)新發(fā)展，國(guó)家網(wǎng)信辦組織研究起草了《小型個(gè)人信息處理者個(gè)人信息保護(hù)簡(jiǎn)化措施規(guī)定（征求意見稿）》（以下簡(jiǎn)稱《規(guī)定》）?，F(xiàn)將有關(guān)情況說明如下：

一、起草背景

黨的二十大提出，加快建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)，強(qiáng)化網(wǎng)絡(luò)、數(shù)據(jù)安全保障體系建設(shè)，加強(qiáng)個(gè)人信息保護(hù)，支持中小微企業(yè)發(fā)展。黨的二十屆四中全會(huì)提出，加強(qiáng)個(gè)人信息保護(hù)，支持中小企業(yè)和個(gè)體工商戶發(fā)展。《中華人民共和國(guó)個(gè)人信息保護(hù)法》第六十二條規(guī)定國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門針對(duì)小型個(gè)人信息處理者，制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)。

起草《規(guī)定》是深入貫徹落實(shí)黨的二十大和二十屆歷次全會(huì)精神，以及《中華人民共和國(guó)個(gè)人信息保護(hù)法》的具體舉措，有助于提升小型個(gè)人信息處理者個(gè)人信息保護(hù)水平，降低小型個(gè)人信息處理者合規(guī)成本，促進(jìn)中小微企業(yè)創(chuàng)新發(fā)展。

二、起草過程

一是組織有關(guān)專家開展小型個(gè)人信息處理者個(gè)人信息保護(hù)專題研究，深入分析小型個(gè)人信息處理者特點(diǎn)和個(gè)人信息保護(hù)簡(jiǎn)便措施。二是認(rèn)真研究國(guó)外關(guān)于小型個(gè)人信息處理者有關(guān)制度規(guī)定。三是充分調(diào)研國(guó)內(nèi)中小微企業(yè)、網(wǎng)絡(luò)平臺(tái)和平臺(tái)商戶等，深入了解小型個(gè)人信息處理者在落實(shí)個(gè)人信息保護(hù)法律法規(guī)方面面臨的問題困難。四是總結(jié)相關(guān)研究成果、國(guó)內(nèi)外制度建設(shè)經(jīng)驗(yàn)、小型個(gè)人信息處理者經(jīng)驗(yàn)做法等，研究起草《規(guī)定》。五是多次組織走訪調(diào)研產(chǎn)業(yè)園區(qū)、中小學(xué)校、基層醫(yī)院、科創(chuàng)企業(yè)、專業(yè)機(jī)構(gòu)等，就《規(guī)定》征求意見建議，并作修改完善。六是征求有關(guān)部門意見并作修改完善，形成目前的文稿。

三、起草思路

起草工作重點(diǎn)把握了以下幾點(diǎn)：

（一）合理界定小型個(gè)人信息處理者。結(jié)合小型個(gè)人信息處理者處理個(gè)人信息數(shù)量少、處理活動(dòng)簡(jiǎn)單等特點(diǎn)，參考國(guó)內(nèi)外相關(guān)定義，根據(jù)調(diào)研了解的情況，明確界定小型個(gè)人信息處理者范圍。

（二）簡(jiǎn)化收集個(gè)人信息的授權(quán)程序。結(jié)合小型個(gè)人信息處理者特點(diǎn)，明確公開個(gè)人信息處理規(guī)則簡(jiǎn)化程序和告知個(gè)人、取得個(gè)人同意等簡(jiǎn)化授權(quán)程序，便利小型個(gè)人信息處理者落實(shí)《中華人民共和國(guó)個(gè)人信息保護(hù)法》關(guān)于收集個(gè)人信息的關(guān)鍵要求。

（三）簡(jiǎn)化制定個(gè)人信息處理規(guī)則。針對(duì)大量小型個(gè)人信息處理者依托網(wǎng)絡(luò)平臺(tái)、園區(qū)或商業(yè)物業(yè)等提供產(chǎn)品服務(wù)，提出在遵守網(wǎng)絡(luò)平臺(tái)、園區(qū)或商業(yè)物業(yè)等統(tǒng)一制定的個(gè)人信息處理規(guī)則的前提下，可以不再制定個(gè)人信息處理規(guī)則等便捷措施。

（四）提出支持性政策和減免處罰規(guī)定。支持各地區(qū)、各部門為小型個(gè)人信息處理者提供咨詢輔導(dǎo)和安全便捷處理個(gè)人信息的基礎(chǔ)設(shè)施服務(wù)，提出對(duì)于違法行為輕微、主動(dòng)改正且沒有造成危害后果等情況的，不予處罰或者減輕處罰，為中小微企業(yè)創(chuàng)新發(fā)展構(gòu)建良好的政策環(huán)境。

四、主要內(nèi)容

《小型個(gè)人信息處理者個(gè)人信息保護(hù)簡(jiǎn)化措施規(guī)定》共22條，重點(diǎn)對(duì)個(gè)人信息保護(hù)總體要求、個(gè)人信息處理規(guī)則簡(jiǎn)化、小型個(gè)人信息處理者義務(wù)簡(jiǎn)化、不予和從輕或者減輕處罰等作出規(guī)定。

（一）關(guān)于個(gè)人信息保護(hù)總體要求

明確小型個(gè)人信息處理者定義范圍、小型個(gè)人信息處理者處理個(gè)人信息基本原則等總體要求。

（二）關(guān)于個(gè)人信息處理規(guī)則簡(jiǎn)化

明確公開個(gè)人信息處理規(guī)則簡(jiǎn)化、統(tǒng)一制定處理規(guī)則、告知個(gè)人、取得個(gè)人同意、依托網(wǎng)絡(luò)平臺(tái)處理個(gè)人信息、特殊情況告知、敏感個(gè)人信息處理、個(gè)人信息出境、個(gè)人行權(quán)受理、刪除個(gè)人信息等的簡(jiǎn)便處理措施。

（三）關(guān)于小型個(gè)人信息處理者義務(wù)簡(jiǎn)化

明確小型個(gè)人信息處理者個(gè)人信息保護(hù)合規(guī)審計(jì)、影響評(píng)估、管理制度、安全事件應(yīng)急預(yù)案、安全事件報(bào)告的簡(jiǎn)便處理措施，以及個(gè)人信息保護(hù)認(rèn)證、合規(guī)審計(jì)等制度銜接規(guī)定等。

（四）關(guān)于不予處罰、從輕或者減輕處罰

明確小型個(gè)人信息處理者不予處罰情形，從輕或者減輕處罰情形，規(guī)定各地區(qū)、各部門對(duì)小型個(gè)人信息處理者的支持措施。

同時(shí)，明確小型個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)、影響評(píng)估的自查表和評(píng)估表。

來源：新華社客戶端、“網(wǎng)信中國(guó)”微信公號(hào)