小型个人信息处理者新规征求意见

2026年4月3日，国家网信办发布了《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》（以下简称“《征求意见稿》”），面向社会公开征求意见。

《个人信息保护法》（以下简称“《个保法》”）在第六十二条明确授权国家网信部门统筹协调有关部门针对小型个人信息处理者制定专门的个人信息保护规则、标准。本次《征求意见稿》的发布，表明我国个人信息保护监管正从“一刀切”的统一规制，迈向以数据处理规模为基准的精细化治理阶段。《征求意见稿》为小型个人信息处理者大幅简化合规流程、降低合规成本，但也明确其仅为简化义务而非豁免义务。另外，通过对大型网络平台、以及处理1000万人以上个人信息的处理者不同程度的合规要求的规制，实现对不同规模主体不同合规责任的动态平衡，确保数据治理与时俱进、宽严相济。

一、 重点要求简析

1.小型个人信息处理者的总体要求

《征求意见稿》适用于在中国境内的处理不满10万人个人信息的个人信息处理者。针对“10万人”的具体计数方式，虽然《征求意见稿》尚未明确，但参考过往监管机关的反馈，我们理解应当以个人信息处理者在某一特定时点所处理的个人信息数量为准。对于已经删除或完成匿名化处理的数据，可能无需计入。

值得注意的是，《征求意见稿》旨在为小型个人信息处理者提供合规简化措施，而非豁免其个人信息保护义务。对于《个保法》中确立的核心义务，如合法性基础，以及合法性、正当性、必要性等基本原则，仍须严格遵循强制性要求。此外，个人信息保护影响评估、合规审计等法定义务并未免除，仅对相关程序的复杂度进行了适度调整。

2. 个人信息处理规则的简化

《征求意见稿》对小型处理者所需制定的个人信息处理规则作出了简化规定。具体而言，规则内容仅需公开个人信息主体行权受理人员及联系方式，无需再公布行权方式；可通过在醒目位置张贴公告或以服务协议方式公开。

此外，《征求意见稿》允许园区、产业基地、商业物业等服务管理单位代为制定个人信息处理规则，这对于大量中小实体商户来说是非常实质性的简化。此外，允许依托网络平台的小型个人信息处理者不制定个人信息处理规则，但需满足若干前提，其中包括数据“不向网络平台外的其他个人信息处理者提供”。实践中，在网络平台经营的企业有可能使用第三方服务并向其提供个人信息，如独立的支付、物流、客服供应商等。该条是否需从严解释，这类企业是否可适用该豁免条款，仍待观察。

3. 小型个人信息处理者义务简化

告知义务简化：《征求意见稿》第六条规定小型个人信息处理者若处理的是提供服务所必需的非敏感信息，且不向第三方提供或公开，仅需公开处理规则即完成告知。这对于实践中难以执行完整告知流程的小型个人信息处理者来说，将很大程度上降低了合规负担。

获取同意的方式简化：第七条进一步明确，当个人主动提供获取产品/服务所必需的个人信息，且处理者已公开处理规则并履行告知义务的，即可按照处理规则处理其个人信息。这实质上构建了一种“以公示代替同意”的简化同意机制，降低了经营场景中逐一获取书面或电子同意的操作难度。 

处理敏感个人信息的简化：《征求意见稿》第十条简化了《个保法》中单独告知的义务，允许在处理规则中一并告知敏感个人信息的处理规则。同时，第十条还构建了一种同意推定机制，即个人在知情情况下主动配合提供人脸信息、生物样本等敏感信息的，即可按照已告知的目的、方式等处理直接处理。但该推定同意的边界应当如何把握，例如员工在雇主要求下“主动配合”提供人脸信息进行考勤，是否真正构成自愿的知情同意，可能需要监管机关进一步解释。

个人信息跨境传输的简化：《征求意见稿》第十一条列明了六种免予申报安全评估、订立标准合同、通过认证的情形，与《促进和规范数据跨境流动规定》和《网络数据安全管理条例》中的规定基本重叠。不过第十一条还提供了一项程序简化，小型处理者申请安全评估的，可以由省级网信办评估后再报国家网信办核准，而非直接向国家申报。

合规审计与影响评估的简化：《征求意见稿》提供了更为简洁的“合规审计自查表”和“个人信息保护影响评估表”，为小型处理者提供更易落地的审计和评估工具。合规审计的频率规定为至少每五年一次，允许自查。此外，符合第八条规定依托网络平台开展业务的小型处理者，当网络平台已开展个人信息保护合规审计、个人信息保护影响评估的，其可以不再重复开展。第十八条还规定，通过个人信息保护认证的小型处理者在认证有效期内可免予开展合规审计，进一步提供了替代合规路径。

制度与管理的简化：《征求意见稿》第十六条允许小型处理者通过在组织管理文件中明确个人信息保护内部管理要求和安全事件应急处置要求等简便方式。第十七条允许在客观条件限制下，仅通过张贴公告或客户端弹窗等简便方式将安全事件通知个人。

4. 关于不予处罚、从轻或者减轻处罚

与《个人信息保护法》的罚则相比，《征求意见稿》针对小型个人信息处理者明确了三类不予处罚、五类从轻或减轻处罚的具体情形，并辅以约谈、提示函等柔性监管手段，同时确立了政府培训、技术帮扶等支持机制。这一系列举措充分体现了监管部门宽严相济的执法理念，以及支持中小微企业在合规前提下快速发展的态度。

二、 实务影响和建议

1. 自我评估适用资格并实施动态管理

《征求意见稿》设定了明确的适用门槛，即处理个人信息不满10万人。一旦企业处理的数据量突破该阈值，此前依据简化措施搭建的合规体系便需同步调整与升级。因此，企业需盘点个人信息处理规模，评估自身是否符合小型处理者的适用范围；同时，应建立常态化的动态监测机制，在数据量逼近阈值时提前部署合规升级工作，有效防范因合规断层引发的法律风险。

2. 简化义务并非免除

《征求意见稿》第三条已明确指出，简化措施是在“遵守个人信息保护相关法律、行政法规基础上”实施的。这意味着，《个保法》等法律法规中关于处理个人信息的合法性基础要求、最小必要原则等核心义务并未免除，小型个人信息处理者仍需严格遵守。

3. 一般个人信息处理者仍应严格履行《个保法》合规义务

对于不符合“小型个人信息处理者”定义的企业，仍须严格执行《个保法》及相关规定的合规要求，例如：履行完整的告知义务、获取有效的单独同意、落实个人信息出境合规路径等。合规审计亦应依法执行，考虑到对于“小型个人信息处理者”的审计频率规定为至少五年一次，则处理超过10万人但不超过1000万人的处理者至少不应低于该等频率并参照相关国标规定。

《征求意见稿》为中小微企业提供了较大便利，可能的适用场景例如：科技园区内的小型初创公司使用园区统一的访客登记系统及处理规则，无需单独制定访客信息处理规则；电商平台、外卖平台上的小型餐饮商家仅通过平台处理订单信息且不外传、声明遵守平台规则、符合相关条件的，无需单独履行告知义务。

总体而言，根据处理规模将合规标准适度简化可能有助于提升整体合规水平。本《征求意见稿》以处理规模为基准实行分级管理，正体现了中国数据治理向精准化迈进的趋势。这不仅兼顾了中小微企业的经营实际，也有助于个人信息保护制度更长久、有效地运行。

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。