根据中国互联网络信息中心统计数据，截至2025年9月，我国中小企业数量达6348.7万户，其中98.1%为小微型企业。当前，中小微企业是推动我国经济增长、保障社会就业的重要力量，但出于融资少、人力资源有限等原因，个人信息处理环节上的合规成本常令其难以负担，不利于持续发展。为此，国家互联网信息办公室拟出台一部新规，旨在为中小微企业创新发展“松绑减负”。

“网信中国”公告。

4月3日，国家网信办发布《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》并向社会公开征求意见，意见反馈截止日期为5月3日。起草该文件的依据包括《个人信息保护法》《民法典》《网络数据安全管理条例》等法律、行政法规。

首先《征求意见稿》给出定义，处理不满10万人个人信息的个人信息处理者为小型个人信息处理者。南都记者注意到，这是首次把“小型个人信息处理者”从一般处理者中单独抽出，并以专门规则回应了上位法规定——《个人信息保护法》第六十二条要求，针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准。

《征求意见稿》简化了小型个人信息处理者收集个人信息的授权程序。其个人信息处理规则被压缩为三类核心信息：小型个人信息处理者名称或者姓名；个人行使权利的受理人员及其联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限等，避免了隐私政策等文件过于冗长的问题。公开方式上，线下收集个人信息的，可以通过在经营场所醒目位置张贴公告等简便方式公开个人信息处理规则。

此外，《征求意见稿》还提出一种“打包合规”的路径，试图降低制度建设成本。支持园区、产业基地、商业物业等服务管理单位，为其服务管理范围内开展相同线下业务的小型个人信息处理者统一制定并公开个人信息处理规则，同意遵守统一个人信息处理规则且在该规则中被列明的小型个人信息处理者，可以不再制定个人信息处理规则。

在授权方面，小型个人信息处理者同时符合两项条件的，可以仅通过公开个人信息处理规则向个人履行告知义务，个人信息处理规则应当便于查阅和保存：（一）处理个人信息（不含敏感个人信息）为提供产品或者服务所必需；（二）不向其他个人信息处理者提供且不对外公开个人信息，并在个人信息处理规则中明示。个人因获取产品或者服务需要，主动向小型个人信息处理者提供获取产品或者服务所必需的个人信息，小型个人信息处理者已公开个人信息处理规则并履行告知义务的，即可按照公开的个人信息处理规则处理其个人信息。

如果涉及敏感个人信息，小型个人信息处理者应当在个人信息处理规则中告知处理敏感个人信息的必要性以及对个人权益的影响。个人在知情情况下主动配合提供人脸信息、生物样本等敏感个人信息的，小型个人信息处理者即可按照已告知的个人信息处理目的、方式、种类等处理其敏感个人信息。

可以不再制定个人信息处理规则、履行告知义务的特殊情况是《征求意见稿》的一大亮点。具体来看，（一）小型个人信息处理者仅通过网络平台处理个人信息，且不向网络平台外的其他个人信息处理者提供；（二）网络平台已制定发布个人信息处理规则，并履行了告知义务；（三）小型个人信息处理者声明遵守网络平台制定的个人信息处理规则，且处理个人信息为提供产品或者服务所必需。同时符合这些条件的，网络平台已开展个人信息保护合规审计、个人信息保护影响评估的，小型个人信息处理者可以不再重复开展。

《征求意见稿》还明确了小型处理者跨境提供个人信息的六类豁免情况，涉及个人合同履行、跨境人力资源管理、解决紧急情况、履行法定职责或义务、不满10万人非敏感个人信息出境等。另外，在个人权利保障方面，停止产品或者服务后，确无能力删除个人信息的，小型处理者可以向所在地有关主管部门报告并请求提供帮助；主管部门不明确的，可以向所在地设区的市级网信部门报告。

另一大亮点，在于提出不予处罚、从轻或减轻处罚情形：违法行为轻微并及时改正，没有造成危害后果的，以及初次违法且危害后果轻微并及时改正的，不予处罚。从轻或者减轻处罚的情形包括，主动消除或者减轻违法行为危害后果的；主动供述履行个人信息保护职责的部门尚未掌握的违法行为的；发生个人信息安全事件时，及时告知个人和采取补救措施，并主动向有关部门报告的；配合履行个人信息保护职责的部门查处违法行为有立功表现的。

采写：南都N视频记者 樊文扬