个保负责人信息报送要点解读

新闻业界

3天前

于2025 年 7 月 18 日，为确保《个人信息保护法》及其他相关法规的执行，国家互联网信息办公室正式对外发布了《关于开展个人信息保护负责人信息报送工作的公告》（以下简称“报送公告”）。该公告明确要求，所有处理个人信息数量达到或超过一百万人的个人信息处理机构，必须依照法律规定，上报其个人信息保护负责人（PIPO）的相关信息以及个人信息处理的详细情况。

一、个人信息保护负责人报送制度的法律依据？

主要是以下两条法律依据：

1. 《个人信息保护法》第五十二条

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

2. 《个人信息保护合规审计管理办法》第十二条

处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。

二、哪些组织属于报送义务主体？

在中国境内处理个人信息存量达到或超100 万人的企业及其他组织（包括政府机构、行业协会等）。适用《个人信息保护法》第三条第二款的境外企业或组织，亦属于《报送公告》明确的报送义务主体，由其根据《个人信息保护法》五十三条指定的境内专门机构或者指定代表履行报送责任。

三、最晚什么时候报送个人信息保护负责人信息？

根据《报送公告》规定，公告发布前，个人信息存量数量已经达到100万人的，应当在 2025 年 8 月 29 日前完成信息报送；其他应当自数量达到之日起 30 个工作日内完成信息报送。

四、报送个人信息保护负责人的时间，有什么要求？

需要注意方面：

(1) 100 万是达到，即不是超过。

(2) 报送是应当，而不是可以。是强制性法律义务。

(3) 个人信息的数量应该包括了员工个人信息数量（《个人信息保护负责人情况表（模板）》是单列了员工个人信息），且需要去重。

(4) 一定要提前统计，增加紧迫力度，而不是等超过 100 万很多了，才去计算报送时间。

(5) 100 万的计算是目前个人信息处理者的数据库或者存储在第三方云服务商上的累计数据（即存量），而不是类似数据出境安全评估、标准合同备案的统计方法（每年 1 月 1 日起出境数量是要清零重新统计的）。

(6) 报送时间非常明确。1、对于在公告发布之日（2025 年 7 月 18 日）前，个人信息存量已经达到或超过 100 万人的处理者，必须最晚在 2025年8月29日前完成报送；2、对于在公告发布之日后才达到或超过 100 万人存量的处理者，应当自达到该存量门槛之日起 30 个工作日内完成报送。企业需要加强内部数据的监测工作(特别是即将达到门槛时)，这一点和数据出境安全评估的提前准备要求类似。

(7) 报送信息发生实质性变更该如何理解？目前填报说明只举例了100万这个数量的变化作为提交或者不提交报送的参考维度。后续是否有其他维度需要作为判断实质性变更的事宜，仍有待观察。

(8) 企业应当根据《个人信息保护法》等规定，依法及时删除相关的个人信息。

五、纸质报送，还是电子报送？

（1）前述组织情况表发生变化的；

（2）前述个人情况表发生变化的（个人信息数量减少后低于 100 万的除外）；

（3）其他已提交信息发生重大变化的。

根据报送系统要求，变更需要重新上传信息报送材料并提交审核（相当于新报送）。因此，建议企业务必慎重确定相关的经办人、个人信息保护负责人及相关负责人信息，且建议账号注册手机号为公司统一配置手机号（每次需要接受短信验证）。

七、受理单位会审核报送信息吗？

会的。申报主体提交申报信息后，受理单位会审核报送信息，审核结果包括信息报送完成、审核未通过、终止报送。其中，审核过程中，受理单位也可能会“退回完善”，要求申报主体补正完善相关信息（会列明补正的具体要求，也可以电话咨询细节），申报主体应当在 10 个工作日内补正。

八、个人信息保护负责人有哪些职能？

1) 全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任；

2) 组织制定个人信息保护工作计划并督促落实；