浅谈《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》的主要创新及完善建议

简化小型个人信息处理者履行个人信息保护法定义务的措施

——浅谈《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》的主要创新及完善建议　

　　4月3日，国家互联网信息办公室发布《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》（以下简称《规定》）向社会公开征求意见，同步配套小型个人信息处理者个人信息保护合规审计自查表与影响评估表，进一步支持中小微企业创新发展，简化小型个人信息处理者履行个人信息保护法律法规义务的措施。意见反馈截止时间为2026年5月3日。

　　《中华人民共和国个人信息保护法》第六十二条第二款明确规定，国家网信部门统筹协调有关部门依据个人信息保护法推进针对小型个人信息处理者制定专门的个人信息保护规则、标准。《规定》正是对这一立法性授权作出制度性回应，标志着个人信息保护法律体系逐步迈向分类分层的精细化治理阶段。

　　主要创新：总体要求、处理规则“化繁就简”

　　党的二十届四中全会提出，“加强个人信息保护”“支持中小企业和个体工商户发展”。《规定》旨在提升小型个人信息处理者个人信息保护水平，降低小型个人信息处理者个人信息合规成本，促进中小微企业创新发展。《规定》共22条，针对小型个人信息处理者就个人信息保护总体要求、个人信息处理规则“化繁就简”，提出了支持性政策和相关减免处罚规定，主要创新有四个方面。

　　其一，首次界定小型个人信息处理者。《规定》将小型个人信息处理者界定为处理不满10万人个人信息的个人信息处理者。“人数不满10万人”的表述不仅界定了该规定的核心概念与适用范围，还与我国现行规范中采用以处理个人信息人数作为分层标准的惯例保持一致。例如，我国《促进和规范数据跨境流动规定》将处理不满10万人个人信息（不含敏感个人信息）作为数据处理者免于出境安全评估的条件之一。以处理人数为基准，既夯实小型个人信息处理者采取简化方式履行义务的规范基础，又兼顾合规层面的可操作性。

　　其二，适度简化个人信息处理规则。针对小型个人信息处理者，简化个人信息处理规则，让其“轻装上阵”。首先，在区分线上线下情形下，简化小型个人信息处理者个人信息处理规则的内容与公开方式。其次，在特定条件下小型个人信息处理者可仅通过公开个人信息处理规则向个人履行告知义务，而因合并、分立等原因转移个人信息，小型个人信息处理者也可采取简便方式发布告知事项。最后，数据出境程序、个人权利行使机制、合规审计的频次和方式、个人信息影响评估方式、个人信息管理制度与应急预案、履行个人信息安全事件的通知义务等在《规定》中都有不同程度的简化。当然，简化不等于豁免小型个人信息处理者履行个人信息保护法规定的基本义务，但允许小型个人信息处理者采取与其规模及能力相匹配的简便履行方式。

　　其三，强调合规成本归集模式制度创新。《规定》对中小微企业合规能力不足的社会实际进行回应，在特定情形下将合规成本从小型个人信息处理者归集至服务管理单位或网络平台。这是《规定》的重要创新性之一，主要分为两种情况：第一，在园区、产业基地、商业物业等服务管理范围内开展相同线下业务的小型个人信息处理者，若同意遵守服务管理单位制定统一的个人信息处理规则并在该规则中被列明的，则无需另行制定个人信息处理规则。第二，仅通过网络平台处理个人信息的小型个人信息处理者，在该网络平台已制定发布个人信息规则并履行了告知义务的情形下，若声明遵守平台规则等系列条件，可以不再自行制定个人信息处理规则，也无需履行告知义务。若网络平台已开展合规审计或影响评估，小型个人信息处理者可不再重复开展。《规定》采用统一规约思路，将中小微企业的个人信息保护合规义务集中到服务管理单位或网络平台。由这些更有能力的组织统一制定规则、履行义务，避免不必要的重复浪费，可实现降本增效与合规水平提升双重目标。

　　其四，政策支持、处罚减免双管齐下。一方面，《规定》通过政府支持和公共服务助力小型个人信息处理者提升合规管理。例如，鼓励认证机构针对小型个人信息处理者开展认证工作，认证后可免予合规审计。停止产品或者服务的小型个人信息处理者，确无能力删除个人信息的，可以向所在地有关主管部门报告并请求提供帮助。另一方面，《规定》明确了小型个人信息处理者不予处罚的情形，提出积极应对安全事件和配合调查的，应从轻或者减轻处罚。这切实降低了小型个人信息处理者的制度负担。政策支持、处罚减免双管齐下，为小型个人信息处理者创造了更宽松的合规环境，充分体现了我国包容审慎的监管理念。

　　小型个人信息处理者的定义等可再完善

　　法治是最好的营商环境。《规定》对小型个人信息处理者作了系统性制度安排，以法治之力支持中小微企业发展，但在小型个人信息处理者的法律定义等方面，还可以进一步完善。

　　其一，小型个人信息处理者的法律定义仍需完善。清晰准确的概念是法律施行的基石。从现有条文看，《规定》将以处理不满10万人个人信息作为界定小型个人信息处理者的唯一标准可能不够全面。实践中，处理的个人信息数量未到10万人，但高频次涉及敏感个人信息的个人信息处理者，被划入小型个人信息处理者并采用合规简化措施，可能引发个人信息权益受损的风险。同时，个人信息数量未到10万人在实践中如何起算，是以某一时间节点为基准，还是以某一特定期限的人数作为计算标准？如果在该期限内人数发生变化又当如何认定。这一系列问题需进一步细化，可以考虑增设小型个人信息处理者处理活动类型、涉及敏感个人信息人数等补充性标准。同时，探索通过条文列举等形式明确不适用简化措施的特定情形，以便更好地明确小型个人信息处理者的内涵与外延。

　　其二，增设的主管部门协助义务还需细化规则加以保障。《规定》明确，停止产品或者服务的小型个人信息处理者确无能力删除个人信息的，可以向所在地有关主管部门报告并请求提供帮助，但没有关于主管部门如何回应的对应条款，也未明确提请帮助是否等同减免删除个人信息的义务，这将极大地降低小型个人信息处理者对提请帮助制度的信任度。建议进一步明确主管部门接到报告请求帮助的回应程序和时限，以及小型个人信息处理者提请报告后其个人信息删除义务的减免规则与责任分配。

　　《规定》通过明确适用范围、简化处理规则、合规成本归集并采取政策支持与减免处罚相结合的方式，助力小型个人信息处理者轻装前行。未来，《规定》若更注重划定小型个人信息处理者清晰的概念边界和构建适配减负的协助规则，必将更好地通过法治赋能促进中小微企业专注业务，守正创新，终有所成。

　　（作者单位：重庆邮电大学）