中新網(wǎng)4月3日電 據(jù)“網(wǎng)信中國”微信公眾號消息，為支持中小微企業(yè)創(chuàng)新發(fā)展，簡化小型個人信息處理者履行個人信息保護(hù)法律法規(guī)義務(wù)的措施，根據(jù)《中華人民共和國個人信息保護(hù)法》、《中華人民共和國民法典》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī)，國家互聯(lián)網(wǎng)信息辦公室起草了《小型個人信息處理者個人信息保護(hù)簡化措施規(guī)定(征求意見稿)》，現(xiàn)向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

　　1.登錄中國網(wǎng)信網(wǎng)(www.cac.gov.cn)，進(jìn)入首頁“網(wǎng)信要聞”查看文稿。

　　2.通過電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

　　3.通過信函方式將意見寄至：北京市海淀區(qū)阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局，郵編100048，并在信封上注明“小型個人信息處理者個人信息保護(hù)簡化措施規(guī)定征求意見”。

　　意見反饋截止時間為2026年5月3日。

小型個人信息處理者個人信息保護(hù)簡化措施規(guī)定

(征求意見稿)

　　第一條 為支持中小微企業(yè)創(chuàng)新發(fā)展，簡化小型個人信息處理者履行個人信息保護(hù)法律法規(guī)義務(wù)的措施，根據(jù)《中華人民共和國個人信息保護(hù)法》、《中華人民共和國民法典》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī)，制定本規(guī)定。

　　第二條 在中華人民共和國境內(nèi)的小型個人信息處理者實施個人信息保護(hù)，適用本規(guī)定。

　　本規(guī)定所稱小型個人信息處理者，是指處理不滿10萬人個人信息的個人信息處理者。

　　第三條 支持小型個人信息處理者在遵守個人信息保護(hù)相關(guān)法律、行政法規(guī)基礎(chǔ)上，依據(jù)本規(guī)定采取與小型個人信息處理者規(guī)模、能力等相當(dāng)?shù)暮喕胧┍Ｕ蟼€人信息安全，保護(hù)個人信息權(quán)益。

　　第四條 小型個人信息處理者個人信息處理規(guī)則至少包括下列內(nèi)容：

　　(一)小型個人信息處理者名稱或者姓名；

　　(二)個人行使權(quán)利的受理人員及其聯(lián)系方式；

　　(三)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限等。

　　小型個人信息處理者線下收集個人信息的，可以通過在經(jīng)營場所醒目位置張貼公告等簡便方式公開個人信息處理規(guī)則；線上收集個人信息的，可以通過服務(wù)協(xié)議等方式公開個人信息處理規(guī)則。

　　第五條 支持園區(qū)、產(chǎn)業(yè)基地、商業(yè)物業(yè)等服務(wù)管理單位，為其服務(wù)管理范圍內(nèi)開展相同線下業(yè)務(wù)的小型個人信息處理者統(tǒng)一制定并公開個人信息處理規(guī)則，同意遵守統(tǒng)一個人信息處理規(guī)則且在該規(guī)則中被列明的小型個人信息處理者，可以不再制定個人信息處理規(guī)則。

　　第六條 小型個人信息處理者同時符合下列條件的，可以僅通過公開個人信息處理規(guī)則向個人履行告知義務(wù)，個人信息處理規(guī)則應(yīng)當(dāng)便于查閱和保存：

　　(一)處理個人信息(不含敏感個人信息)為提供產(chǎn)品或者服務(wù)所必需；

　　(二)不向其他個人信息處理者提供且不對外公開個人信息，并在個人信息處理規(guī)則中明示。

　　第七條 個人因獲取產(chǎn)品或者服務(wù)需要，主動向小型個人信息處理者提供獲取產(chǎn)品或者服務(wù)所必需的個人信息，小型個人信息處理者已公開個人信息處理規(guī)則并履行告知義務(wù)的，即可按照公開的個人信息處理規(guī)則處理其個人信息。

　　第八條 同時符合下列條件的小型個人信息處理者可以不再制定個人信息處理規(guī)則、履行告知義務(wù)：

　　(一)小型個人信息處理者僅通過網(wǎng)絡(luò)平臺處理個人信息，且不向網(wǎng)絡(luò)平臺外的其他個人信息處理者提供；

　　(二)網(wǎng)絡(luò)平臺已制定發(fā)布個人信息處理規(guī)則，并履行了告知義務(wù)；

　　(三)小型個人信息處理者聲明遵守網(wǎng)絡(luò)平臺制定的個人信息處理規(guī)則，且處理個人信息為提供產(chǎn)品或者服務(wù)所必需。

　　符合前款條件的，網(wǎng)絡(luò)平臺已開展個人信息保護(hù)合規(guī)審計、個人信息保護(hù)影響評估的，小型個人信息處理者可以不再重復(fù)開展。

　　第九條 小型個人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息的，可以通過在經(jīng)營場所醒目位置張貼公告等簡便方式告知接收方的名稱或者姓名以及聯(lián)系方式；小型個人信息處理者提供線上產(chǎn)品服務(wù)的，還應(yīng)當(dāng)通過產(chǎn)品服務(wù)客戶端彈窗公告等方式，告知接收方的名稱或者姓名以及聯(lián)系方式。

　　小型個人信息處理者應(yīng)當(dāng)至少提前30個工作日公開發(fā)布前款規(guī)定的告知事項，時長不少于30個工作日。

　　第十條 小型個人信息處理者為特定目的處理敏感個人信息的，應(yīng)當(dāng)在個人信息處理規(guī)則中告知處理敏感個人信息的必要性以及對個人權(quán)益的影響。

　　個人在知情情況下主動配合提供人臉信息、生物樣本等敏感個人信息的，小型個人信息處理者即可按照已告知的個人信息處理目的、方式、種類等處理其敏感個人信息。

　　第十一條 小型個人信息處理者向境外提供個人信息，符合下列條件之一的，免予申報數(shù)據(jù)出境安全評估、訂立個人信息標(biāo)準(zhǔn)合同、通過個人信息保護(hù)認(rèn)證：

　　(一)為訂立、履行個人作為一方當(dāng)事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機(jī)票酒店預(yù)訂、簽證辦理、考試服務(wù)等，確需向境外提供個人信息的；

　　(二)按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；

　　(三)緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全，確需向境外提供個人信息的；

　　(四)為履行法定職責(zé)或者法定義務(wù)，確需向境外提供個人信息；

　　(五)關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的個人信息處理者自當(dāng)年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的；

　　(六)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

　　前款所稱向境外提供的個人信息，不包括重要數(shù)據(jù)。

　　小型個人信息處理者確需向中華人民共和國境外提供個人信息，依法依規(guī)向網(wǎng)信部門申請數(shù)據(jù)出境安全評估的，可以由所在地省級網(wǎng)信部門評估形成評估結(jié)論建議報國家網(wǎng)信部門核準(zhǔn)。

　　鼓勵履行個人信息保護(hù)職責(zé)的部門、數(shù)據(jù)跨境服務(wù)中心等，為小型個人信息處理者個人信息出境提供咨詢等服務(wù)。

　　第十二條 小型個人信息處理者可以通過公開個人行使權(quán)利的受理人員及其聯(lián)系方式，建立個人行使在個人信息處理活動中權(quán)利的申請受理和處置機(jī)制。

　　第十三條 停止產(chǎn)品或者服務(wù)的小型個人信息處理者，確無能力刪除個人信息的，可以向所在地有關(guān)主管部門報告并請求提供幫助；主管部門不明確的，可以向所在地設(shè)區(qū)的市級網(wǎng)信部門報告。

　　第十四條 小型個人信息處理者可以按照本規(guī)定附件《小型個人信息處理者個人信息保護(hù)合規(guī)審計自查表》的簡便方式，至少每五年開展一次個人信息保護(hù)合規(guī)審計，并保存合規(guī)審計自查表至少五年。

　　第十五條 小型個人信息處理者可以按照本規(guī)定附件《小型個人信息處理者個人信息保護(hù)影響評估表》的簡便方式開展個人信息保護(hù)影響評估，并保存影響評估表至少三年。

　　第十六條 小型個人信息處理者可以通過在組織管理文件中明確個人信息保護(hù)內(nèi)部管理要求、個人信息安全事件應(yīng)急處置要求等簡便方式，建立個人信息保護(hù)管理制度、個人信息安全事件應(yīng)急預(yù)案。

　　第十七條 發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，小型個人信息處理者應(yīng)當(dāng)立即采取補救措施，按照法律、行政法規(guī)規(guī)定通知個人，確因客觀條件限制無法通過其他方式通知個人的，可以僅通過在經(jīng)營場所醒目位置張貼公告、在產(chǎn)品服務(wù)客戶端中彈窗公告等簡便方式通知個人，并按照規(guī)定通知履行個人信息保護(hù)職責(zé)的部門；涉嫌犯罪的，應(yīng)當(dāng)及時向公安機(jī)關(guān)報案。

　　第十八條 支持個人信息保護(hù)認(rèn)證機(jī)構(gòu)針對小型個人信息處理者開展認(rèn)證工作，提高服務(wù)質(zhì)量。

　　通過個人信息保護(hù)認(rèn)證的小型個人信息處理者，在認(rèn)證有效期內(nèi)可以免予開展個人信息保護(hù)合規(guī)審計。

　　第十九條 小型個人信息處理者開展個人信息處理活動有下列情形之一的，不予處罰：

　　(一)違法行為輕微并及時改正，沒有造成危害后果的；

　　(二)初次違法且危害后果輕微并及時改正的；

　　(三)其他依法不予處罰的情形。

　　不予處罰的，履行個人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)視情采取約談、發(fā)送提示函等行政監(jiān)管措施。

　　第二十條 小型個人信息處理者開展個人信息處理活動有下列情形之一的，應(yīng)當(dāng)從輕或者減輕處罰：

　　(一)主動消除或者減輕違法行為危害后果的；

　　(二)主動供述履行個人信息保護(hù)職責(zé)的部門尚未掌握的違法行為的；

　　(三)發(fā)生個人信息安全事件時，及時告知個人和采取補救措施，并主動向有關(guān)部門報告的；

　　(四)配合履行個人信息保護(hù)職責(zé)的部門查處違法行為有立功表現(xiàn)的；

　　(五)其他依法從輕或者減輕處罰的情形。

　　第二十一條 支持各地區(qū)、各部門通過組織培訓(xùn)、講座、普法活動、咨詢輔導(dǎo)等方式，幫助小型個人信息處理者提升個人信息保護(hù)能力水平。

　　鼓勵各地區(qū)、各部門為小型個人信息處理者提供安全便捷個人信息處理的基礎(chǔ)設(shè)施、技術(shù)工具、咨詢服務(wù)等，降低小型個人信息處理者合規(guī)成本。

　　第二十二條 本規(guī)定自 年 月 日起施行。

　　附件：

　　1.小型個人信息處理者個人信息保護(hù)合規(guī)審計自查表

　　2.小型個人信息處理者個人信息保護(hù)影響評估表