对小微企业涉及个人信息处理予以豁免、除外等法律技术的设定,是国内外立法的通例。2026年4月征求意见版本的《小型个人信息处理者个人信息保护简化措施规定》(“《简化规定》”)虽然罗列了很多看似合理的简化措施,但这可能并非小微企业所需。本文简要讨论在制定面向小微企业的规范性法律文件时,需要排除的主要考虑:
一、合规性
在《个人信息保护法》和《网络数据安全管理条例》等法律法规制定中,已经对不同规模个人信息处理者的合规要求作了区分,特别是针对大型网络平台的义务叠加要求和相关配套制度。
而在当时制度设计中没有考虑到的情况,若试图通过一部位阶较低的部门规范性文件明确进行降“位”,不符合上下位法的体例关系。
二、必要性
在2021年《个人信息保护法》等配套制度近五年的“锤炼”下,《简化规定》定义的小型个人信息处理者要么按照各种“唾手可得”的“个人信息处理规则”制定了形式符合的规则,要么认为其不需要制定文档化的“个人信息处理规则”,已经形成了符合其体量和惯性的合规与后果认知。
按照新规要求,小型个人信息处理者虽理解立法者好意,但理解立法本身也着实增加了合规成本。更重要的是,各种网络平台、(线下)服务机构,小型个人信息处理者的个人信息处理活动,往往是通过委托关系进行安排,一份常规(毋庸说设计良好规范)的个人信息委托处理协议,已经对各方的权利义务进行了考虑——因此,与其制定位阶不明、后果待定的新规,不如由各地网信部门和市监部门深入个案。《网络安全法》(2025修正)已经供给了执法“宽严相济”所需的、丰富的责任减轻和免责机制,要做的是地方网信部门于百忙之中抽出部分精力关注小型个人信息处理者的行为规范指引,将委托协议中各种风险转移、规避、隐匿行为进行标识和提示,以指导和调节各方协议条款的平衡、公允。
例如,在委托个人信息处理的法律关系中,《简化规定》定义的小型个人信息处理者仍然无法识别,更谈不上如何合理规避向第三方的数据提供、转移等链式活动和风险。《简化规定》规定小型个人信息处理者可基于自身数据提供、转移的判断,决定“不再制定个人信息处理规则、履行告知义务”,实际上将其置于了新的合规风险不确定性之中。
三、实用性
就个人信息处理活动而言,设定一个静态阈值已经证明没有意义,这些今天的小型个人信息处理者,每个都可能是明天的网络平台、行业领先,后天的大型平台、头部企业,将其置于《简化规定》的保护之下,不利于按照规范的市场化竞争关系形成正确的认知和数据保护体系——特别是将个人信息保护作为整体数据保护的有机组成;更不利于面向海外市场时,需应对的其他国家复杂、无差别,甚至是具有针对性的个人信息(数据)监管活动。例如,当中大型企业需应对欧盟CRA法的合规要求时,往往将部分合规义务向供应商(小微企业)转移,单就境内设定豁免或除外规定没有实际意义。
四、总结
整体而言,我们并非不需要对小微企业的豁免和除外等反向保护和正面激励机制,而是不应以这种方式、在当前时点,发布一部效力不足、风险待定、甚至语焉不详的规范性文件。未来人工智能基础法律制定过程中,应在立法调研、准备阶段进行充分酝酿和条款输出,以一种主动、动态和远见的视野及姿态予以规范和善待。(原浩)
*文章所涉观点内容谨代表作者本人,不代表所在单位
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
