为贯彻落实《中华人民共和国个人信息保护法》关于针对小型个人信息处理者制定专门的个人信息保护规则有关规定，为小型个人信息处理者履行个人信息保护法律法规义务提供简化措施，支持中小微企业创新发展，国家网信办组织研究起草了《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》（以下简称《规定》）。现将有关情况说明如下：

  一、起草背景

  党的二十大提出，加快建设网络强国、数字中国，强化网络、数据安全保障体系建设，加强个人信息保护，支持中小微企业发展。党的二十届四中全会提出，加强个人信息保护，支持中小企业和个体工商户发展。《中华人民共和国个人信息保护法》第六十二条规定国家网信部门统筹协调有关部门针对小型个人信息处理者，制定专门的个人信息保护规则、标准。

  起草《规定》是深入贯彻落实党的二十大和二十届历次全会精神，以及《中华人民共和国个人信息保护法》的具体举措，有助于提升小型个人信息处理者个人信息保护水平，降低小型个人信息处理者合规成本，促进中小微企业创新发展。

  二、起草过程

  一是组织有关专家开展小型个人信息处理者个人信息保护专题研究，深入分析小型个人信息处理者特点和个人信息保护简便措施。二是认真研究国外关于小型个人信息处理者有关制度规定。三是充分调研国内中小微企业、网络平台和平台商户等，深入了解小型个人信息处理者在落实个人信息保护法律法规方面面临的问题困难。四是总结相关研究成果、国内外制度建设经验、小型个人信息处理者经验做法等，研究起草《规定》。五是多次组织走访调研产业园区、中小学校、基层医院、科创企业、专业机构等，就《规定》征求意见建议，并作修改完善。六是征求有关部门意见并作修改完善，形成目前的文稿。

  三、起草思路

  起草工作重点把握了以下几点：

  （一）合理界定小型个人信息处理者。结合小型个人信息处理者处理个人信息数量少、处理活动简单等特点，参考国内外相关定义，根据调研了解的情况，明确界定小型个人信息处理者范围。

  （二）简化收集个人信息的授权程序。结合小型个人信息处理者特点，明确公开个人信息处理规则简化程序和告知个人、取得个人同意等简化授权程序，便利小型个人信息处理者落实《中华人民共和国个人信息保护法》关于收集个人信息的关键要求。

  （三）简化制定个人信息处理规则。针对大量小型个人信息处理者依托网络平台、园区或商业物业等提供产品服务，提出在遵守网络平台、园区或商业物业等统一制定的个人信息处理规则的前提下，可以不再制定个人信息处理规则等便捷措施。

  （四）提出支持性政策和减免处罚规定。支持各地区、各部门为小型个人信息处理者提供咨询辅导和安全便捷处理个人信息的基础设施服务，提出对于违法行为轻微、主动改正且没有造成危害后果等情况的，不予处罚或者减轻处罚，为中小微企业创新发展构建良好的政策环境。

  四、主要内容

  《小型个人信息处理者个人信息保护简化措施规定》共22条，重点对个人信息保护总体要求、个人信息处理规则简化、小型个人信息处理者义务简化、不予和从轻或者减轻处罚等作出规定。

  （一）关于个人信息保护总体要求

  明确小型个人信息处理者定义范围、小型个人信息处理者处理个人信息基本原则等总体要求。

  （二）关于个人信息处理规则简化

  明确公开个人信息处理规则简化、统一制定处理规则、告知个人、取得个人同意、依托网络平台处理个人信息、特殊情况告知、敏感个人信息处理、个人信息出境、个人行权受理、删除个人信息等的简便处理措施。

  （三）关于小型个人信息处理者义务简化

  明确小型个人信息处理者个人信息保护合规审计、影响评估、管理制度、安全事件应急预案、安全事件报告的简便处理措施，以及个人信息保护认证、合规审计等制度衔接规定等。

  （四）关于不予处罚、从轻或者减轻处罚

  明确小型个人信息处理者不予处罚情形，从轻或者减轻处罚情形，规定各地区、各部门对小型个人信息处理者的支持措施。

  同时，明确小型个人信息处理者开展个人信息保护合规审计、影响评估的自查表和评估表。