Q&A 个保负责人信息报送的28个问题

具体体现为：

第一，是对个人信息处理者是否认真落实《个人信息保护法》的一次考验。从个人信息保护业务系统填报说明中的多个附件可以看出，该个人信息保护负责人信息填报，并非简单填写一个姓名、联系方式，而是涉及个人信息处理者的内部数据统计情况和相关业务场景对应数据的情况，填报工作并不简单。如果自《个人信息保护法》出台至今，个人信息处理者仍未开展数据盘点工作，未开展个人信息处理的场景识别工作，则本次填报可能面临较大的压力。

第二，个人信息保护负责人是网信部门执法调查的重要对象和抓手，也是相关行政处罚的承担主体。为此认真落实相关个人信息处理者是否任命个人信息保护负责人，并取得相关信息，对于后续执法监督活动，具有重要意义。

第三，网信部门的执法规则体系日渐完善。如2023年6月1日实施的《网信部门行政执法程序规定》，2025年8月1日实施的《网信部门行政处罚裁量权基准适用规定》，2025年5月1日施行的《个人信息保护合规审计管理办法》（其中第五条特别明确了专项审计^[1]），以及执法活动的常规化，如2025年6月30日网信办发布的《涉企行政检查事项清单》。这也为后续执法监督活动，提供了扎实的立法基础。

为此，我们认为，本次个人信息保护负责人的报送工作，不仅仅是落实《个人信息保护法》的要求，也是开启了我国数据合规实质性合规工作新阶段的序章。

下面我们针对本次网信部门发布的公告，以及《个人信息保护负责人信息报送系统填报说明（第一版）》中的相关内容，结合我们的实务经验，总结了下面二十八个问答，以便个人信息处理者更好地完成个人信息保护负责人（以下或称“PIPO”）的报送工作。

A：主要是以下两条法律依据：《个人信息保护法》第五十二条规定，“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。”《个人信息保护合规审计管理办法》第十二条第一款规定，“处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。”

A：从《个人信息处理者基本情况表》（填写说明中的模板）可以看出，不限于企业，还包括了政府部门、事业单位、社会组织、其他（文字描述）。

个人信息的受托人需要报送吗？具体取决于是否存在作为个人信息处理者的场景，为此需要从场景中识别，并单独统计该场景下的个人信息数量，并确定是否需要报送。如一些SaaS公司，可能其所接触的数据都是基于受托人身份进行处理或者存储，不一定满足100万的个人信息数量；而作为个人信息处理者的场景非常有限，且在该场景下所收集、存储的个人信息远远没有达到100万，则不需要报送。

A：第一，100万是达到即需要报送，而不要求超过。根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定，处理100万人以上个人信息的个人信息处理者，应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。需要注意，上述100万是含100万，而不是超过。值得关注的是，按照《信息安全技术 个人信息规范》的规定，则必须是超过100万个人信息。“满足以下条件之一的组织，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：1) 主要业务涉及个人信息处理，且从业人员规模大于200人；2) 处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；3) 处理超过10万人的个人敏感信息的。”

第二，个人信息的数量应该包括了员工个人信息数量（《个人信息保护负责人情况表（模板）》是单列了员工个人信息），且需要去重。

第三，一定要提前统计、预测，而不是等到个人信息数量超过100万，才去计算报送时间。

第四，100万的计算规则是目前个人信息处理者在数据库中所存储的累计数据，而不是类似数据出境安全评估、标准合同备案的统计方法（每年1月1日起出境的个人信息数量统计是需要清零重新统计）。

A：第一，报送是应当，而不是可以，是强制性法律义务。根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定，处理100万人以上个人信息的个人信息处理者，应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。

第二，个人信息处理者对于已经超出存储必要期限的个人信息，应该及时删除/匿名化，为此可以合法缩小个人信息的存量规模，并最终确定是否达到报送门槛。

第三，对于故意拆分、转换来规避100万存量的个人信息，进而规避报送个人信息保护负责人义务的行为，则未来面临行政处罚风险，建议提前梳理公司业务场景，梳理不同公司的业务方向，确定最终个人信息业务开展活动的具体公司，从而确定不同公司的个人信息存储数量。

A：报送时间非常明确。

第一，公告之日之前已经达到，需要在达到之日30个工作日内报送。达到之日可能很快到来，也可能还有一段时间，为此需要加强内部数据的监测工作，这一点和数据出境安全评估类似。

第二，如果公告之前已经达到100万，则很明确，2025年8月29日前（这里我理解应该是含当日）去提交报送（而不是在该日期之前完成全部的报送成功工作）。

A：个人信息保护负责人信息报送工作采用线上方式。请直接访问“个人信息保护业务系统”（https://grxxbh.cacdtsc.cn），按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网（https://www.cac.gov.cn）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”（见下图）。

相比数据出境安全评估分为线上、线下两种报送路径来看，本次PIPO报送全部是线上路径，值得关注。从填报信息内容来看，相比数据出境的敏感度可能要低，为此没有线下报送的渠道。

如果个人信息处理者对填写的材料有所疑问，可以和所在地的省级网信部门（32个省级网信部门的联系方式已经公示在《个人信息保护负责人信息报送系统填报说明（第一版）》）。

A：责令改正、警告；拒不改正，100万以下罚款。参见《个人信息保护法》第六十六条第一款的规定，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

A：《个人信息保护负责人情况表》（模板）中举例了总裁、副总裁。实践中，取决于公司的组织架构以及相关职能的履行。一般来说，法定代表人、总经理或者网络安全负责人同时担任个人信息保护负责人比较常见。实务中，如企业还没有确定，建议应该由法务部或者第三方律师提供参考意见，以便公司尽快决策，避免耽误报送时间。此外，个人信息保护负责人也可以考虑是外籍人士（最好是和公司有劳动关系，而非外包给第三方律师），但是特殊行业有特殊要求的除外。

A：1) 全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任；2) 组织制定个人信息保护工作计划并督促落实；3) 制定、签发、实施、定期更新个人信息保护政策和相关规程；4) 建立、维护和更新组织所持有的个人信息清单（包括个人信息的类型、数量、来源、接收方等）和授权访问策略；5) 开展个人信息安全影响评估，提出个人信息保护的对策建议，督促整改安全隐患；6) 组织开展个人信息安全培训；7) 在产品或服务上线发布前进行检测，避免未知的个人信息收集、使用、共享等处理行为；8) 公布投诉、举报方式等信息并及时受理投诉举报；9) 进行安全审计；10) 与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况。（参考《信息安全技术 个人信息规范》）

A：一方面要考虑《个人信息保护法》第66条^[2]的风险，涉及对直接负责的主管人员进行处罚，为此PIPO可能就是一个处罚对象。严格的话，可能要禁止一定期限担任个人信息保护负责人。另一方面也要考虑行业主管部门，如征信领域，相关规定对征信公司数据合规的处罚规则。

A：我们理解需要。本次报送属于专项报送。因为填写的信息不仅仅涉及数据出境的场景，还需要填写总体情况、其他不同个人信息处理的场景（各类业务系统等）。

A：可以由总部统一履行信息报送手续。以集团公司等形式运营的具有多个统一社会信用代码证件的个人信息处理者可填报1个机构。具体可以在《个人信息处理者基本情况表》备注栏填写（见下图）。但是需要注意这里的集团公司运营，应该对其下属子公司、分支机构的数据存储情况和处理活动非常熟悉和了解；集团内部公司之间的业务之间具有关联度；联合报送不会导致关联方规避责任；集团公司之间共享品牌，有相关共同使用的系统，遵守统一的个人信息保护制度等。

A：可以合并履行信息报送手续。具体可以在《个人信息处理者基本情况表》备注栏填写（见下图）。

A：主要涉及九项材料：

1.个人信息处理者基本情况表（模板见附件1）

2.个人信息保护负责人信息报送表（模板见附件2）【重点表格，且对于部分企业可能填写难度较大】（见下图）

3.统一社会信用代码证件原件或影印件（加盖公章）扫描件

4.法定代表人或负责人身份证件扫描件

5.个人信息保护负责人身份证件扫描件

6.个人信息保护负责人任职证明文件（加盖公章）扫描件【需要考虑提交相关证明材料，如工作经历、学习经历、相关证书等；是否需要提供劳动合同等，有待关注】（见下图）

7.经办人身份证件扫描件

8.经办人授权委托书（加盖公章）扫描件（模板见附件3）

9.承诺书（加盖公章）扫描件（模板见附件4）

10.其他相关材料扫描件

A：实务中可能个人信息处理者没有专门设置个人信息保护机构（或者由其他机构代为履行相关职能），只有具体负责个人信息保护的相关员工。此外，很多个人信息处理者的个人信息保护负责人都是一人身兼多职。如其不仅是副总裁，还是个人信息保护负责人。如果没有专门的个人信息保护机构，可以不填写，但是应填写相关人员情况。

A：首先应该排除实习生等非正式员工，其次是这里需要注意该信息填报，可能意味着未来对员工个人信息的保护，会逐步进入执法的视野。为此，建议员工人数较多的公司，应该更加重视员工个人信息的合规工作。实务中，一些企业在IPO数据合规工作中，不太重视员工个人信息的合规事宜，可能未来随着执法活动的频繁，证监会或者交易所的问询，该项问题可能会逐步出现，值得企业和数据合规律师重视。

A：第一，需要注意这一列区分了总体情况下合并的个人信息规模和多个场景下的个人信息规模。我们认为该部分的填报，对个人信息处理者是有挑战的。因为涉及内部不同APP、小程序、系统、软件的梳理（某业务/程序/系统），且数量可能很多，短时间不一定可以梳理完毕；

第二，需要注意除了线上渠道（APP、小程序、快应用、网站、公众号）外，还包括了线下渠道。这块容易被忽略，且不易统计。

第三，考虑到网信部门的审批可能会有审批不通过的情形（见下图），为此仍然建议个人信息处理者尽可能认真填写。如果时间紧迫，建议优先把主要业务系统、主要场景进行梳理。

第四，需要注意填写的规模，与历史上的相关提交监管部门的数据不能存在重大出入或者异常。同时，与公司对外披露的数据也应一致（如年报、审计报告、公告、隐私政策等）。

A：根据我国《个人信息保护法》第28条的规定，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”为此“不满十四周岁未成年人的个人信息。”属于敏感个人信息范畴，对于该信息的处理有特别规则，为此需要单列。

此外，2024年1月1日，《未成年人网络保护条例》实施，对于虽然超过十四周岁，但是仍然属于未成年人范围的群体，也需要进行特别保护，为此也需要单列。

实务中，对于上述主体的身份识别，也成为很多个人信息处理者的难点。个人信息处理者需要注意结合自身产品、服务和角色定位，做好上述未成年人的相关个人信息的统计工作。

A：目前该表中列举的行业主要有工业、电信、交通、金融、自然资源、卫生健康、教育、科技、能源、国防军工、文旅、跨境电商、零售、互联网、其他。针对个人信息处理者，可能会涉及多个行业领域，为此需要在表格中，结合具体场景，配套对应行业。该表对于网信部门与不同行业主管部门共享执法信息，具有重大参考意义。如果个人信息处理者向网信部门和行业主管部门报送的数据严重不一致，则存在虚假报送的问题，未来也会面临执法风险。

A：处理个人信息种类可以参考国家标准《数据安全技术 数据分类分级规则》（GB/T 43697-2024）附录B个人信息分类示例。目前表格的示例中，涉及姓名、手机号、身份证号、住址等基本信息；人脸、基因、指纹、掌纹等个人生物识别信息；职业、职务、工作单位等个人教育工作信息等。

A：一方面需要考虑和ICP备案的信息一致；另一方面，本身也方便监管部门抽查，如对外公示的隐私政策中的场景和填报情况是否一致；再如，是否存在未申报的数据出境活动。为此，报送工作本身也会扩大个人信息处理者个人信息流通活动的监管范围，增加了更高的透明度要求（见下图）。

A：建议填写手机号（专门配置手机、手机号，避免人员离职频繁更换），方便监管部门联系，不要填写座机号码以及避免空置。此外，还应保持工作时间手机畅通，监管部门可以随时联系到经办人、PIPO（见下图）。

A：经办人一般是个人信息处理者内部人士，一般不建议填写律师。注意授权期限可以写长一些，如1年（见下图）。如授权期限太短了，可能很快就失效了，不利于监管部门审核材料。

A：第一，一般承诺书内容不可以修改。

第二，对于填报的真实、准确、完整和有效，对部分还没有开展数据盘点，缺乏场景梳理的个人信息处理者，难度较大，需要尽快开展自查工作。

第三，法定代表人的签字，建议不要用签章。同时，法定代表人如果是外国人，建议签字和护照上的签字一致。

A：建议采取如下十个步骤：

第一，统一认识。内部法务部和IT部门开展内部培训，或者与外部数据合规律师进行交流，熟悉本次PIPO报送的条件、流程和注意事项。

第二，初步判断自身是否满足报送主体条件。这块需要结合自身业务的主要数据法角色尽快梳理个人信息的相关数量。具体参考问题2。

第三，成立PIPO报送专项小组。结合可能涉及的内部相关部门，分别抽调人员，成立专项小组。

第四，召开启动会，明确分工。专项小组与公司相关负责人召开启动会，明确时间表和分工安排。设置内部时间表和分工安排，明确不同材料的准备工作。

第五，尽快确定PIPO人选。如仍未任命PIPO，则需要准备任命PIPO的相关文件，提请公司的董事会或者数据治理委员会进行讨论、决策。

第六，材料准备、分工填写。所有材料中，最为复杂的是个人信息保护负责人情况表的填写，该部分涉及个人信息处理者在不同业务、系统的个人信息统计情况，较为复杂，需要提前准备。

第七，定稿、盖章。完成所有文件定稿后，由经办人提交个人信息处理者的盖章、签字程序。

第八，填写、提交。按照系统要求填报并提交材料。注意不同报送的截止时间。

第九，等待监管部门的反馈并完善提交的材料。

第十，信息报送完成。

A：暂时未看到类似功能。但是一般个人信息处理者的隐私政策，会公开个人信息保护负责人的联系邮箱。建议所填写的邮箱、手机号都是企业配置的，即使人员离职，也还可以保证手机号、企业邮箱的稳定性，避免频繁更换。

A：目前来看应该主要是形式审核为主。但是考虑到有三种结果，信息报送完成、审核未通过、终止报送。为此，是否针对相关填报数据，会和监管部门历史上所掌握的个人信息处理者数据进行关联，并提出异议，有待进一步观察。但是相信网信部门的内部报送系统会逐步迭代升级，进而有助于帮助监管部门高效审核材料。

A：一般是三个结果：信息报送完成、审核未通过、终止报送。

此外，如涉及其他提交信息发生重大变更（即实质性变更）的，需要点击“信息填报”，重新上传信息报送材料并提交审核，相当于重新报送。这里的实质性变更的具体内涵，有待进一步观察，并与监管部门沟通。具体可以参考个人信息标准合同备案或者数据出境安全评估的实质性变更事宜。但是如果个人信息的存储规模已经降低到100万以下，则无需再报送相关信息。

最后，如涉及注销账户的流程，个人信息处理者需要确保该账户下所有个人信息保护负责人业务流程均已结束，即审核状态为：信息报送完成、审核未通过或终止报送。若有尚未完成的业务，账户无法注销。

深圳市网络与信息安全行业协会