《网数条例》要点记录

只读了一遍，记录印象深刻的内容，不展开，共697字。

总体还比征求意见稿还是温柔很多。

1、网络产品、服务存在安全缺陷、漏洞等风险危及国家安全、社会公共利益的，在24小时内报告。

2、提供、委托处理个人信息和重要数据的处理情况记录保存3年。

3、明确个人信息可携带权的行权条件，仅能转移基于同意和合同收集的个人信息（不含基于法定义务等收集的），且极端情况可以收费。

4、境外个人信息处理者设境内代表应报给市级网信办，并由网信同步行业主管部门。

3、处理1000万人以上个人信息应履行两项重要数据处理者义务，即：

（1）任命数据安全负责人及管理机构；

（2）合并、分立、解散、破产时，报告省级主管部门。

4、提供、委托处理、共同处理重要数据前，应进行风险评估，每年也要定期做风险评估。

5、大型网络平台，是指注册用户5000万以上或者月活跃用户1000万以上，且业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。两个亮眼义务：

（1）每年应发布个人信息保护报告；

（2）无正当理，不得限制用户访问、使用其在平台上产生的网络数据。

6、数据出境的合法性路径，由3条变为7条，即（1）安全评估、（2）标准合同、（3）个人信息保护认证以及（1）履行合同确需出境（2）HR管理确需出境、（3）履行法定职责/义务确需出境、（4）生命财产安全确需出境。

后四者从322新规（部门规章）免予审批的例外情形到网数条例（行政法规）的强调与个保法三路径的并列合法性路径。还是有细微差别。

7、《网数条例》对应罚金最多1000万，但还可引用《个保法》来按照营业收入比例罚，从而突破上限。不能掉以轻心。

8、线下数据处理活动不管。

9、2025年1月1日生效。