只读了一遍,记录印象深刻的内容,不展开,共697字。
总体还比征求意见稿还是温柔很多。
1、网络产品、服务存在安全缺陷、漏洞等风险危及国家安全、社会公共利益的,在24小时内报告。
2、提供、委托处理个人信息和重要数据的处理情况记录保存3年。
3、明确个人信息可携带权的行权条件,仅能转移基于同意和合同收集的个人信息(不含基于法定义务等收集的),且极端情况可以收费。
4、境外个人信息处理者设境内代表应报给市级网信办,并由网信同步行业主管部门。
3、处理1000万人以上个人信息应履行两项重要数据处理者义务,即:
(1)任命数据安全负责人及管理机构;
(2)合并、分立、解散、破产时,报告省级主管部门。
4、提供、委托处理、共同处理重要数据前,应进行风险评估,每年也要定期做风险评估。
5、大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,且业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。两个亮眼义务:
(1)每年应发布个人信息保护报告;
(2)无正当理,不得限制用户访问、使用其在平台上产生的网络数据。
6、数据出境的合法性路径,由3条变为7条,即(1)安全评估、(2)标准合同、(3)个人信息保护认证以及(1)履行合同确需出境(2)HR管理确需出境、(3)履行法定职责/义务确需出境、(4)生命财产安全确需出境。
后四者从322新规(部门规章)免予审批的例外情形到网数条例(行政法规)的强调与个保法三路径的并列合法性路径。还是有细微差别。
7、《网数条例》对应罚金最多1000万,但还可引用《个保法》来按照营业收入比例罚,从而突破上限。不能掉以轻心。
8、线下数据处理活动不管。
9、2025年1月1日生效。