2026:个人信息保护措施简化将利好中小微企业
2026年4月3日,国家互联网信息办公室发布了《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》(以下简称“《征求意见稿》”),面向社会公开征求意见。
《征求意见稿》的内容标志着对个人信息保护监管从“一刀切”迈向精细化监管,旨在为中小微企业、个体工商户等降低合规成本,同时坚持保护标准不降低。敝所将该《征求意见稿》中值得企业留意的部分事项介绍如下,以供参考。
1.新规利好中小微企业
《征求意见稿》明确了“中国境内的小型个人信息处理者”适用本规则的简化措施(不再强制要求制定冗长的隐私政策,合规审计可以简化为每五年一次自查),而不追溯其在境外的母公司或其他关联公司的数据规模。境外企业即使处理个人信息不足10万人也不适用该规定。(《征求意见稿》第二条)
小型个人信息处理者是指处理不满10万人个人信息的个人信息处理者。(相比于大型企业,中小微企业处理个人信息的数量通常较少)但是需要留意,新规并未明确“10万人个人信息”是当年度处理数量还是累计处理数量。
2.“告知+同意”程序简化
此前企业根据《个人信息保护法》处理个人信息需明确告知,并取得个人的同意(通常需要书面同意),但是该《征求意见稿》大幅简化了“告知+同意”的程序。(《征求意见稿》第六条、第十条)例如:
(1)公开即告知:如果处理的是提供服务所必需的非敏感个人信息,且不对外提供,仅通过公开规则即可完成告知,无需逐一弹窗,且处理规则只需包含名称、行权联系方式、处理目的等核心信息即可。
(2)主动提供即同意:用户为了获取服务主动提供必需信息,或者在知情下主动配合提供人脸等敏感个人信息,即可视为同意,无需再单独获取书面或电子同意。
◆企业需留意的事项
需要留意的是,《征求意见稿》规定的仅为简化义务,而非豁免义务。对于《中华人民共和国个人信息保护法》等法律法规中关于个人信息保护的基础性与核心性义务要求,企业还需遵守。
该《征求意见稿》尚未正式审议通过,因此,企业在调整现有合规体系时,有必要及时关注最终正式出台的版本,避免在过渡期内因政策变动而产生合规漏洞。同时,加强社内的个人信息保护合规研修和培训也十分重要。
作成日:2026年04月08日

