小型个人信息处理者个人信息保护实施步骤、处理场景便捷性指引、规章制度模板、影响评估简易操作表、安全事件报告和告知模版.pdfVIP

GB/TXXXXX—XXXX

附录A

（资料性）

小型个人信息处理者个人信息保护实施步骤

小型个人信息处理者个人信息保护通用实施步骤见图A.1。以超市作为场景示例，某超市一年内累

计处理个人信息数量不超过10万人，则属于小型个人信息处理者，其个人信息保护实施步骤如A.1至A.4

所示。

图A.1小型个人信息处理者个人信息保护通用实施步骤

6

GB/TXXXXX—XXXX

A.1步骤一：对照小型个人信息处理者的定义判断，该超市是否属于一个小型个人信息处理者。

a)属于小型个人信息处理者，步骤二；

a)不属于小型个人信息处理者，结束。

A.2步骤二：该超市处理的个人信息有哪些？依据GB/T35273的附录A和附录B，判断是否涉及敏感个

人信息和跨境个人信息处理。

a)涉及敏感个人信息处理的，参考GB/T45574-2025敏感个人信息处理安全要求；涉及跨境个

人信息处理的，按照国家有关规定拥有豁免权。

b)不涉及敏感个人信息处理的，步骤三：