一、法律出台背景以及考虑
2026 年 4 月 3 日,国家互联网信息办公室发布了《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》(以下简称“《规定》”)及起草说明,明确提出在坚持《中华人民共和国个人信息保护法》(以下简称“个保法”)基本原则不动摇的前提下,通过制度性简化措施,降低小型企业在个人信息合规方面的制度成本和操作负担。
该《规定》的核心目标并非“降低保护标准”,而是通过差异化监管、比例原则与风险导向,使小型企业能够以与其个人信息处理规模与潜在安全风险相匹配的方式履行个人信息保护义务,从而避免“一刀切”式合规要求对中小微企业造成不成比例的合规压力。对于大量中小微企业而言,该《规定》与其两个附件,实质上构成了一套可直接落地的最低合规操作指南。
二、如何界定“小型个人信息处理者”
《规定》在定义层面采取了高度明确且可核验的标准:“小型个人信息处理者,是指处理不满10万人个人信息的个人信息处理者。”该定义具有以下两个显著特点:
- 以“处理个人信息的规模”作为唯一标准。不以注册资本、员工人数、营业收入或行业属性为判断依据,而直接锚定个人信息处理活动本身的风险基础。
- 不区分是否为企业、个体工商户或其他组织形式,只要属于“个人信息处理者”,且处理规模低于阈值,即可适用。
需要注意的是,如果“大型”个人信息处理者采取“拆分”策略,“就低不就高”地采取小型处理者的简便合规措施,恐怕难以被有关部门接受。例如,一些大型企业集团或特许连锁后台共用统一打通的会员关系管理(CRM)系统,会员或顾客数量超过了10万人,但线下门店单店处理个人信息较少的,也很难主张单店按照小型个人信息处理者享受简便合规措施的待遇,原因在于单店也是该CRM系统的出入口,单店个人信息保护的短板会直接危害整个系统的安全从而损害大量个人的个人信息安全。
考虑到《规定》仅针对“境内”的小型个人信息处理者,如果某跨国集团本身处理个人信息很多,但国内业务量有限,国内子公司处理个人信息不足10万人的,有机会主张该国内子公司适用小型个人信息处理者待遇。
三、个人信息合规义务的“简化”体现在哪些方面
简化措施应用场景举例:
- 天猫/京东平台上的小型商家仅依赖平台CRM、不打通自身CRM等满足特定条件的,可以不制定隐私政策;
- 小餐厅自行开发点餐小程序可以将隐私告知放在用户协议中,不再制定单独的隐私政策;
- 小微企业员工主动配合开通人脸识别打卡无需再取得书面单独同意;
- 跨境传输少量个人信息且免于标准合同备案的外资企业可以使用简化评估表开展个人信息保护影响评估;
- 小微企业可以使用简化自查表每五年开展一次合规审计。
(一)个人信息处理规则与告知义务的简化
“合规搭便车”机制
《规定》引入了“合规搭便车”机制,让小型个人信息处理者可以利用其所在平台的规则免于制定个人信息处理规则。具体地,
- 线下:开展线下业务的小型个人信息处理者如同意遵守其服务管理单位(园区、产业基地、商业物业等)统一制定的个人信息处理规则且已经被罗列在该等规则中,可以不再制定个人信息处理规则。
- 线上:处理个人信息为提供产品或者服务所必需,且仅通过网络平台处理个人信息、不再对外共享的小型个人信息处理者如声明遵守网络平台已告知个人信息主体的个人信息处理规则,可以不再制定个人信息处理规则。
2. “替代披露”机制
《规定》第四条明确小型个人信息处理者线下收集个人信息的,可以通过店堂告示的形式公开个人信息处理规则;线上收集个人信息的,可以通过服务协议等方式公开个人信息处理规则。也即,小型个人信息处理者可以不制定单独的隐私政策,而是采取替代形式。
3. “公开告知”机制
当小型个人信息处理者处理个人信息(不含敏感个人信息)为提供产品或者服务所必需,不公开、不共享,且已在个人信息处理规则中明示,则其可以仅通过公开个人信息处理规则向个人履行告知义务,不再需要一一告知。
也就是说,在满足上述条件的前提下,公开告知即可替代逐一告知,降低了合规操作成本,同时要求处理规则便于个人查阅和保存,确保透明度和信息主体的知情权得到保障。这体现了《规定》对小型主体差异化、灵活化的监管思路。
(二)同意的简化
相较于以往强调“明示同意”、“书面同意”的要求,《规定》通过引入“主动提供”这一标准,在一定程度上对同意规则进行了简化。在小型个人信息处理者已公开个人信息处理规则并充分告知的情况下,个人主动提供信息可被理解为以明确行动表达同意个人信息处理者按照既定规则处理相关信息,从而弱化了对形式化同意(如书面确认)的依赖。
具体地,《规定》明确了以下两点:
- 个人因获取产品或者服务需要,主动向小型个人信息处理者提供获取产品或者服务所必需的个人信息,小型个人信息处理者已公开个人信息处理规则并履行告知义务的,即可按照公开的个人信息处理规则处理其个人信息。
- 个人在知情情况下主动配合提供人脸信息、生物样本等敏感个人信息的,小型个人信息处理者即可按照已告知的个人信息处理目的、方式、种类等处理其敏感个人信息。
当然根据现在《规定》的字面意思,主动提供豁免同意仅停留在销售层面,尚未进入潜客招募层面,常见的“留手机号送气球”,“加入会员送红包”之类的营销手段应该不在《规定》豁免同意之列。
(三)个人信息保护影响评估的简化
在《规定》出台前,个人信息处理者往往参照GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》开展个人信息保护影响评估,其中涉及数据映射分析、风险源识别、个人权益影响分析、安全风险综合分析等多个步骤,程序复杂繁琐。
《规定》明确小型个人信息处理者可以按照附件《小型个人信息处理者个人信息保护影响评估表》的简便方式开展个人信息保护影响评估,仅需记录影响评估结论,显著降低了评估复杂度和操作成本。另外,前述在网络平台上“搭便车”的小型个人信息处理者也可以在网络平台已开展个人信息保护影响评估的情况下不再重复开展。
(四)个人信息保护合规审计的简化
《规定》提供了《小型个人信息处理者个人信息保护合规审计自查表》,要求小型个人信息处理者至少每五年开展一次合规审计。该自查表仅需就24个审计项勾选合规情况,并说明不合规及整改情况,相比 GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》,显著简化了审计流程。
而且,与个人信息保护影响评估类似,满足条件的小型个人信息处理者同样可以在个人信息保护合规审计问题上搭网络平台的便车。
(五)个人信息保护管理制度的简化
《规定》还明确,小型个人信息处理者可以仅在组织管理文件中明确个人信息保护内部管理要求和个人信息安全事件应急处置要求等事项,不再单独制定个人信息保护管理制度、个人信息安全事件应急预案等相关制度,从而降低制度建设成本。四、针对小型企业的处罚力度与执法态度的变化
《规定》在责任追究上引入更具包容性的制度安排,对于违法行为轻微、及时改正且未造成危害后果,或初次违法且后果轻微并已整改的情形,设置“不予处罚”空间,并通过约谈、提示函等方式加强事后监管;同时,对于主动消除或减轻危害后果、主动供述违法行为、及时通报个人信息安全事件并采取补救措施、积极配合调查等情形,可以依法从轻或者减轻处罚,突出鼓励整改与合作的政策导向。
附件1:《小型个人信息处理者个人信息保护合规审计自查表》
