问卷调查
自两千多年前西汉张骞出使西域起,横贯东西、连接欧亚非的古丝绸之路将中国与伊斯兰文明紧紧连接在了一起。来到现代,在中国推进“一带一路”倡议和沙特阿拉伯王国提出“2030年愿景”的历史机遇下,两国的经贸往来与各界的合作愈加紧密。2022年,中沙两国签署了全面战略伙伴关系协议,开启合作新时代。沙特正依靠资本和场景优势加速本国数字经济产业发展和数字化转型,打造中东新“硅谷”。2020年,根据欧洲数字竞争力中心发布的《世界竞争力报告》,沙特在G20国家中的数字竞争力中排名第一。沙特在数字经济领域展现的巨大发展潜力,以及中国在数字经济领域取得的令人瞩目的成就,推动了中沙近年在数字经济领域的快速发展,包括但不限于云计算、人工智能、电子竞技、通信、电子商务等。 在这样的大背景下,中国企业,尤其是涉及高新科技、电子商务等数字经济领域的企业,在与沙特的合作伙伴、消费者的接触中会收集处理大量个人数据。因此,在在进入沙特市场、在沙特的经营中,必须充分了解沙特的个人数据保护法律法规,将个人数据处理的安全合规牢记于心。 2023 年 7 月 11 日,沙特数据与人工智能管理局(Saudi Data and Artificial Intelligence Authority, SDAIA)公布了两份草案,向公众征询《个人数据保护法》(PDPL)意见。2023年9月14日,PDPL正式生效。同时,沙特还制定了一系列实施性细则、补充性规定,包括《个人数据保护法实施条例》、《个人数据境外传输条例》以及金融、电子商务、电信互联网等不同行业领域的个人数据保护要求和标准等。围绕着PDPL,一系列法律法规、实施细则、行业规范共同支撑起了沙特的个人数据保护合规框架。 PDPL旨在保护个人数据,即可以直接或间接识别个人信息的任何形式的信息,包括个人姓名、身份证号、地址、联系电话、照片以及个人视频记录。PDPL 具有一定的域外适用性,不仅适用于在沙特阿拉伯境内的公司或机构通过任何方式处理个人数据,还适用于境外实体对居住在沙特的个人的数据的处理。个人和家庭用途的数据处理不受PDPL管辖。 PDPL的违法成本高昂,违法行为或被SDAIA处以最高500万里亚尔的罚款,且对于重复犯罪,罚款可增加到PDPL所规定最高限额的两倍。此外,和中国《个人信息保护法》相似,违反PDPL可能会导致刑事处罚,如非法将数据传输至沙特境外可能会被处以最高一年的监禁和100万里亚尔的罚款、非法披露敏感数据可能会被处以最高两年的监禁和300万里亚尔的罚款。 与世界各地的个人数据保护法律法规相似,PDPL同样是采取以授权同意为核心基础、合法、正当、必要、透明的处理原则。控制者必须出于明确的目的收集个人数据,获得个人数据主体的同意,并且后续的处理活动必须限于这些目的。在某些特定情况下,控制者可以不经数据主体同意进行数据收集和处理,包括: 1.数据处理活动是为了实现数据主体的明确利益(definite interest),但无法或极难与数据主体接触联络来获得同意; 2.数据处理活动是控制者的法律义务; 3.数据处理活动是根据法律规定或数据主体作为当事人在先前协议中约定的处理活动; 4.控制者是公共实体且出于安全、司法目的进行的处理活动; 5.处理活动是实现控制者合法利益所必需,且不损害数据主体权益和敏感数据。 与中国《个人信息保护法》、欧盟GDPR等其他地区的隐私法规相似,沙特PDPL赋予了数据主体多项权利,包括知情权、访问权、修正个人数据的权利、删除权、反对处理权、退出处理权、可移植权、拒绝自动化决策的权利、向SDAIA提出投诉的权利等。 数据控制者须在数据收集之前告知数据主体隐私政策。隐私政策内容包括数据收集的目的、数据类型、收集方式、存储方式、数据主体权利及行使权利的方式等。 沙特PDPL对数据控制者提出了诸多义务,其中不乏其独特之处: 登记注册:SDAIA建立了数据控制者数据库并建设了对应的在线注册网站,每个控制者必须在该数据库进行注册,并支付不超过100,000里亚尔的年费。此外,在这个门户网站上,每个注册的控制者都应拥有自己的登记册,其处理活动和任何其他与个人数据处理有关的文件都可以被记录。(PDPL 第32条) 任命数据保护官员(DPO):数据控制者需要任命特定人员来负责数据控制者满足PDPL的规定。(PDPL 第30条) 任命境内代表:在沙特境外经营并处理沙特公民个人数据的控制者必须在沙特王国任命一名代表,以配合监管监督。(PDPL第33条) 数据保护影响评估:值得注意的是,控制者还需要根据其处理活动的性质,对处理个人数据的后果进行评估,并指出执行条例应规定此类评估的相关要求。(PDPL第22条) 保留个人数据处理活动记录(Record of Processing Activities, RoPA):数据控制者需对其个人数据处理活动进行处理,并在行政法规规定的期限内保存记录。(PDPL 第31条) 数据保留期限:数据控制者必须在处理目的终止后删除其拥有的个人数据,除非个人数据以匿名的形式保存,确保数据主体无法被识别。(PDPL第18条) 数据安全事件通知:在发生个人数据泄露、损坏或未经授权的访问等事件时,控制者需根据法律法规要求在72小时内向SDAIA报告,并立即通知可能受影响的数据主体。通知应包括以下内容:泄露事件的描述、受影响的数据类型和数量、风险描述以及已采取和将采取的措施等。(PDPL 第20条) 与处理者签署数据处理协议(Data Processing Agreement, DPA):数据控制者在选择处理者时必须采取必要的保证措施,以保护个人数据的安全和隐私,并签订数据处理协议(DPA)。DPA必须明确规定处理的目的、持续时间以及处理者的责任和义务。此外,控制者有责任定期评估处理者的合规性,并确保所有监管要求得到满足。如果处理者违反指令或协议,他们将被视为控制者,并直接对任何违法行为承担责任。(PDPL 第8条) PDPL第29条规定,数据控制者仅可在满足下列条件之一时将个人数据转移到沙特境外: 1.为保护公共利益、公共卫生、公共安全或保护特定个人的生命或健康安全以防止、测试或治疗病理性感染而进行的数据出境; 2.根据沙特王国作为当事方的国际协议而进行的数据出境; 3.为服务于王国的利益而进行的数据出境; 4.为履行数据主体的义务而进行的数据出境; 5.根据发布在 PDPL 下的数据转移法规的其他允许的目的进行的数据转移。 此外,若不涉及敏感类型的个人数据出境,且经过SDAIA或其他授权机构的评估,个人数据在沙特王国境外将得到足够的保障,可以根据具体情况允许跨境传输。 若以上条件均不满足,个人数据控制者可向SDAIA申请批准,获得批准后方可向境外传输个人数据。 面对新出台不久的法律,且缺乏足够数量可供参考的执法案例,我们建议在沙特运营的中国企业采取相对积极的主动合规措施,包括: 建立个人数据保护组织:在沙特指定DPO,并形成上下管理沟通机制,确保业务人员、政府关系、法务、信息技术人员、数字化团队等都包含在组织内,能够及时、有效地进行沟通。 数据梳理:对在沙特的系统、业务流程进行充分的梳理,确定个人数据收集渠道、收集的数据类型、处理目的、数据量、存储位置、访问权限、相关第三方等。其中,数据跨境场景应进行着重梳理。数据梳理后应形成符合PDPL的数据处理活动记录(RoPA)。 制度流程建设:考虑到沙特PDPL与中国《个人信息保护法》、欧盟的GDPR有诸多相似之处,若企业在中国、欧洲已有较为完善、成体系的个人数据保护制度流程,可基于沙特PDPL对现有制度进行差异分析,并对差异之处进行专门的调整、补充。 风险评估:对数据处理活动进行风险评估,识别出与沙特PDPL规定的差异,如隐私政策、授权同意的获得、安全措施、是否有超出必要范围的数据收集与处理、是否有数据质量问题等,并进行有计划的整改。 第三方评估:应对涉及个人数据处理的第三方供应商、合作伙伴进行安全合规评估,并对其合同进行审查与更新,确保合同涵盖了沙特PDPL规定的条款。 数据本地化:若涉及个人数据的跨境传输,且无法满足沙特PDPL第29条对跨境的合规条件,企业应积极建设本地信息系统,将数据保存在沙特境内。若要向SDAIA申请特殊批准,也应与数据本地化计划同步进行,降低合规风险与业务风险。 人员意识:不论是企业内的中国员工还是外籍员工,对法律法规的要求、SDAIA、本地数据主体对隐私保护的期望都有可能存在认知不足的情况,尤其是考虑到公司内可能存在不同的文化背景,对隐私的理解可能会有较大偏差。因此,企业应主动对员工进行意识宣贯,结合本地文化帮助员工充分理解PDPL的要求和公司制度。 对于在沙特运营的中国企业而言,遵守沙特个人数据保护法不仅是应尽的法律义务,更是对商业伙伴和消费者负责的表现。通过遵循沙特个人数据保护法,中国企业能够赢得当地民众和市场的信任,进而为两国经贸合作打下坚实基础。从长远来看,这种合规经营不仅有助于企业在沙特市场的可持续发展,更是对两国友好关系的积极贡献,为双方深化合作、共谋发展注入新的活力。因此,中国企业应以开放、主动的姿态,积极融入当地法治环境,为两国的数字经济贡献中国智慧。
本文由上海市国际贸易促进委员会发布,未经授权不得复制、转载、修改、摘编或使用。本文仅为提供一般性信息之目的,不应用于替代专业咨询者提供的咨询意见。文内图片来源于网络。
