小型个人信息处理者个人信息保护简化措施规定

（征求意见稿）

第一条 为支持中小微企业创新发展，简化小型个人信息处理者履行个人信息保护法律法规义务的措施，根据《中华人民共和国个人信息保护法》、《中华人民共和国民法典》、《网络数据安全管理条例》等法律、行政法规，制定本规定。

第二条 在中华人民共和国境内的小型个人信息处理者实施个人信息保护，适用本规定。

本规定所称小型个人信息处理者，是指处理不满10万人个人信息的个人信息处理者。

第三条 支持小型个人信息处理者在遵守个人信息保护相关法律、行政法规基础上，依据本规定采取与小型个人信息处理者规模、能力等相当的简化措施保障个人信息安全，保护个人信息权益。

第四条 小型个人信息处理者个人信息处理规则至少包括下列内容：

（一）小型个人信息处理者名称或者姓名；

（二）个人行使权利的受理人员及其联系方式；

（三）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限等。

小型个人信息处理者线下收集个人信息的，可以通过在经营场所醒目位置张贴公告等简便方式公开个人信息处理规则；线上收集个人信息的，可以通过服务协议等方式公开个人信息处理规则。

第五条 支持园区、产业基地、商业物业等服务管理单位，为其服务管理范围内开展相同线下业务的小型个人信息处理者统一制定并公开个人信息处理规则，同意遵守统一个人信息处理规则且在该规则中被列明的小型个人信息处理者，可以不再制定个人信息处理规则。

第六条 小型个人信息处理者同时符合下列条件的，可以仅通过公开个人信息处理规则向个人履行告知义务，个人信息处理规则应当便于查阅和保存：

（一）处理个人信息（不含敏感个人信息）为提供产品或者服务所必需；

（二）不向其他个人信息处理者提供且不对外公开个人信息，并在个人信息处理规则中明示。

第七条 个人因获取产品或者服务需要，主动向小型个人信息处理者提供获取产品或者服务所必需的个人信息，小型个人信息处理者已公开个人信息处理规则并履行告知义务的，即可按照公开的个人信息处理规则处理其个人信息。

第八条 同时符合下列条件的小型个人信息处理者可以不再制定个人信息处理规则、履行告知义务：

（一）小型个人信息处理者仅通过网络平台处理个人信息，且不向网络平台外的其他个人信息处理者提供；

（二）网络平台已制定发布个人信息处理规则，并履行了告知义务；

（三）小型个人信息处理者声明遵守网络平台制定的个人信息处理规则，且处理个人信息为提供产品或者服务所必需。

符合前款条件的，网络平台已开展个人信息保护合规审计、个人信息保护影响评估的，小型个人信息处理者可以不再重复开展。

第九条 小型个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，可以通过在经营场所醒目位置张贴公告等简便方式告知接收方的名称或者姓名以及联系方式；小型个人信息处理者提供线上产品服务的，还应当通过产品服务客户端弹窗公告等方式，告知接收方的名称或者姓名以及联系方式。

小型个人信息处理者应当至少提前30个工作日公开发布前款规定的告知事项，时长不少于30个工作日。

第十条 小型个人信息处理者为特定目的处理敏感个人信息的，应当在个人信息处理规则中告知处理敏感个人信息的必要性以及对个人权益的影响。

个人在知情情况下主动配合提供人脸信息、生物样本等敏感个人信息的，小型个人信息处理者即可按照已告知的个人信息处理目的、方式、种类等处理其敏感个人信息。

第十一条 小型个人信息处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息标准合同、通过个人信息保护认证：

（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

（四）为履行法定职责或者法定义务，确需向境外提供个人信息；

（五）关键信息基础设施运营者以外的个人信息处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的；

（六）法律、行政法规或者国家网信部门规定的其他条件。

前款所称向境外提供的个人信息，不包括重要数据。

小型个人信息处理者确需向中华人民共和国境外提供个人信息，依法依规向网信部门申请数据出境安全评估的，可以由所在地省级网信部门评估形成评估结论建议报国家网信部门核准。

鼓励履行个人信息保护职责的部门、数据跨境服务中心等，为小型个人信息处理者个人信息出境提供咨询等服务。

第十二条 小型个人信息处理者可以通过公开个人行使权利的受理人员及其联系方式，建立个人行使在个人信息处理活动中权利的申请受理和处置机制。

第十三条 停止产品或者服务的小型个人信息处理者，确无能力删除个人信息的，可以向所在地有关主管部门报告并请求提供帮助；主管部门不明确的，可以向所在地设区的市级网信部门报告。

第十四条 小型个人信息处理者可以按照本规定附件《小型个人信息处理者个人信息保护合规审计自查表》的简便方式，至少每五年开展一次个人信息保护合规审计，并保存合规审计自查表至少五年。

第十五条 小型个人信息处理者可以按照本规定附件《小型个人信息处理者个人信息保护影响评估表》的简便方式开展个人信息保护影响评估，并保存影响评估表至少三年。

第十六条 小型个人信息处理者可以通过在组织管理文件中明确个人信息保护内部管理要求、个人信息安全事件应急处置要求等简便方式，建立个人信息保护管理制度、个人信息安全事件应急预案。

第十七条 发生或者可能发生个人信息泄露、篡改、丢失的，小型个人信息处理者应当立即采取补救措施，按照法律、行政法规规定通知个人，确因客观条件限制无法通过其他方式通知个人的，可以仅通过在经营场所醒目位置张贴公告、在产品服务客户端中弹窗公告等简便方式通知个人，并按照规定通知履行个人信息保护职责的部门；涉嫌犯罪的，应当及时向公安机关报案。

第十八条 支持个人信息保护认证机构针对小型个人信息处理者开展认证工作，提高服务质量。

通过个人信息保护认证的小型个人信息处理者，在认证有效期内可以免予开展个人信息保护合规审计。

第十九条 小型个人信息处理者开展个人信息处理活动有下列情形之一的，不予处罚：

（一）违法行为轻微并及时改正，没有造成危害后果的；

（二）初次违法且危害后果轻微并及时改正的；

（三）其他依法不予处罚的情形。

不予处罚的，履行个人信息保护职责的部门应当视情采取约谈、发送提示函等行政监管措施。

第二十条 小型个人信息处理者开展个人信息处理活动有下列情形之一的，应当从轻或者减轻处罚：

（一）主动消除或者减轻违法行为危害后果的；

（二）主动供述履行个人信息保护职责的部门尚未掌握的违法行为的；

（三）发生个人信息安全事件时，及时告知个人和采取补救措施，并主动向有关部门报告的；

（四）配合履行个人信息保护职责的部门查处违法行为有立功表现的；

（五）其他依法从轻或者减轻处罚的情形。

第二十一条 支持各地区、各部门通过组织培训、讲座、普法活动、咨询辅导等方式，帮助小型个人信息处理者提升个人信息保护能力水平。

鼓励各地区、各部门为小型个人信息处理者提供安全便捷个人信息处理的基础设施、技术工具、咨询服务等，降低小型个人信息处理者合规成本。

第二十二条 本规定自 年 月 日起施行。