沙特阿拉伯数据保护&个人信息保护要点

来源:出海互联网法律观察

文章摘要
引言 自2016年推出“2030愿景”以来,沙特加大社会经济改革力度,营商环境不断改善。2022年 10月,沙特政府宣布启动国家工业战略,提出一系列吸引外资的激励措施,成为各个企业的出海目标国。

引言
自2016年推出“2030愿景”以来,沙特加大社会经济改革力度,营商环境不断改善。2022年 10月,沙特政府宣布启动国家工业战略,提出一系列吸引外资的激励措施,成为各个企业的出海目标国。
为了降低开放国门带来的大量数据隐私安全问题,沙特在数据领域立法动态频繁,2024 年,数据保护监管机构沙特数据与人工智能管理局(SDAIA)陆续发布近十份数据相关指南。沙特数据领域立法有其独特的地方,为了便于各出海企业了解当地数据保护相关法律法规,我们特撰写此文,愿出海成为各企业的增长曲线,而非风险本身。
如需获取沙特数据合规法律法规礼包,后台回复关键词“沙特”
一、沙特数据相关立法一览
1.《个人数据保护法》(PDPL)于 2021 年 9 月 24 日官方公布,并于 2023 年 3 月 21 日进行了修订(sdaia.gov.sa)。PDPL 旨在确保个人数据的隐私、规范数据共享并防止滥用个人数据,其涵盖了关键原则:目的限制和数据最小化、控制者义务、数据主体权利以及违反规定的处罚等。
2.《个人数据保护法实施条例》于 2023 年 7 月 11 日发布以征询公众意见,并于 2023 年 9 月 7 日正式发布。
3.《数据传输风险评估指南》于2025年2月24日发布,其概述了四个阶段:准备、评估负面影响和潜在风险、数据传输/披露的风险评估以及分析对沙特阿拉伯切身利益的影响。指南强调了确定风险评估必要性、评估对个人数据保护法(PDPL) 及其法规的遵守情况以及考虑预防或减轻风险的措施是否充分的重要性。
4.《反网络犯罪法》第79/1428 号内阁决定第6(1) 条中,将“通过信息网络或计算机生产、准备、传输或储存影响公共秩序、宗教价值观、公共道德和隐私的材料” 规定为犯罪。该罪行可处以 300 万沙特里亚尔(约合 800,000 美元)的罚款和/或最高四年的监禁。《网络犯罪法》还规定,必须获得个人的同意才能处理其个人信息。
5.《电子商务法》第628/1440 号内阁决定的第5 条要求,该法范围内的服务提供商不得存储消费者的个人信息,存储期限不得超过其活动性质要求的期限,除非与消费者另有约定(例如,通过获得客户的明确同意)。此外,受监管的服务提供商必须采取必要措施保护消费者的信息,并有责任保护其拥有或控制的任何信息。
二、监管机构
沙特数据和人工智能管理局(The Saudi Data & Artificial Intelligence Authority (SDAIA))
三、近期动态



  1. 沙特数据和人工智能管理局(SDAIA)于2024年10月21日发布了个人数据泄露事件程序指南,概述了根据个人数据保护法(PDPL)的数据控制者处理个人数据泄露的步骤。该指南详细介绍了一个三个阶段的过程:在 72 小时内立即通知 SDAIA,采取包括通知受影响个人在内的遏制措施,以及记录泄露和纠正措施。通知必须包括对违规行为、潜在风险以及控制者或数据保护官 (DPO) 的联系方式的全面描述。该指南强调与数据主体的清晰沟通,以及在发生泄露事件时处理者和控制者之间的协调。

  2. 沙特数据和人工智能管理局 (SDAIA) 发布了针对开发人员、内容创建者和消费者的深度伪造指南草案以供公众咨询。该指南区分了旨在欺骗或伤害的恶意深度伪造和非恶意的深度伪造,前者用于合法目的,需要明确同意和明确标签。建议包括建立道德原则、透明度、同意、尊重隐私以及提供有关深度伪造风险的教育。开发人员的道德原则强调遵守数据隐私法、最少的数据使用、隐私保护技术、同意管理、文档、可解释性、非侵入性水印、偏见消除、人机回圈监督、治理框架、有益的应用程序和风险评估。公众对指南的评论截止日期为 2024 年 10 月 11 日,通过国家竞争力中心 Istitlaa 平台。
    四、法律法规主要内容
    (一)关键定义
    Data controller 数据控制者: 确定处理个人数据的目的和方法的任何公共机构或任何自然人或法人,无论此类处理是由其执行还是由处理者执行。、
    Data processor 数据处理者: 为控制者或代表控制者处理个人数据的任何公共机构或任何自然人或法人。
    Personal data 个人数据: 任何可以直接或间接具体识别个人身份的数据,无论其来源或形式如何,包括姓名、身份证号码、地址、联系电话、许可证号码、登记号码、财产、银行账号、信用卡号码、个人的静态和动态图像以及其他个人数据。
    Sensitive data 敏感数据: 任何个人数据,包括提及个人的种族或部落血统、宗教、知识或政治信仰、安全和犯罪数据、可识别身份的生物特征数据、遗传数据、健康数据或表明某人的父母未知的数据。
    Health data 健康数据: 与个人健康状况相关的任何个人数据,无论是身体、心理、心理还是与向他们提供健康服务有关。
    Biometric data 生物识别数据: PDPL 不提供生物识别数据的定义。但是,尽管略有不同,但 PDPL 确实将遗传数据定义为与自然人的遗传或获得特征相关的任何个人数据,这些数据独特地决定了该自然人的身体或健康特征。此类数据是通过分析生物样本来提取的,例如 DNA 分析或任何其他导致提取遗传信息的分析。
    Pseudonymization 假名化: 将表明个人身份的主要标识符转换为代码,以便在不使用额外数据或信息的情况下难以直接识别他们。假名化指南进一步定义为将揭示数据主体身份的主要标识符转换为代码的过程,这些代码在不使用额外数据或信息的情况下无法直接识别数据主体。
    Anonymization 匿名化: 删除直接和间接标识符,这些标识符以永久无法识别个人身份的方式指示个人身份。假名化指南列出了各种匿名化示例和常用技术。
    (二)合法性基础

  3. 同意
    同意是沙特处理个人数据的主要法律依据之一,用于间接从数据主体处收集个人数据,或将数据用于最初收集数据目的以外的任何目的和披露。根据《实施条例》第11 条,控制者必须获得数据主体的同意,才能以任何适当的形式或方式处理其个人数据,包括书面或口头同意或使用电子方式,但须符合以下条件:
    (1)同意必须自愿提供,不得通过误导性方法获得。必须考虑经修订的 PDPL 第7 条的规定(即,同意不应作为提供服务或福利的先决条件,除非此类服务或福利与获得同意的个人数据处理有关);
    (2)处理目的必须明确具体,并且必须在请求同意之前或之时向数据主体明确说明这些目的;
    (3)同意必须由具有完全法律行为能力的人给予;
    必须以允许将来验证的方式记录同意,包括保存包括数据主体同意的记录,说明同意的时间和方式;
    (4)对于每个处理目的,必须获得独立同意。
    值得注意的是,在以下情况下,数据主体的同意必须是“明确”的:
    (1)当处理涉及敏感数据时;
    (2)当处理涉及金融数据时; 或
    (3)如果决定将完全基于个人数据的自动处理。
    根据《实施条例》第12 条,数据主体有权随时撤回其对处理的同意,并且他们可以根据《实施条例》第4 条(知情权)通过任何可用方式通知控制者撤回。

  4. 与数据主体签订合同
    经修订的 PDPL 第6(2) 条规定,在某些情况下,个人数据的处理无需同意,包括根据数据主体作为一方的先前协议的实施进行处理的情况。然而,这是基于数据主体作为一方的“先前协议”,而不是《通用数据保护条例》(GDPR))规定的“履行合同”。

  5. 法律义务
    根据经修订的 PDPL 第6 条第(2) 款,如果个人数据的处理是根据其他法律(即法律义务)进行的,则无需同意。具体来说,根据《实施条例》第20 条第3 款,应公共机构为安全目的、实施其他法律、满足法律要求而披露个人数据时,或为保护公共卫生、公共安全或特定个人的生命或健康而有必要披露时,还应注意采取以下措施:披露请求应记录在案; 应准确定义需要披露的个人数据类型。

  6. 为数据主体的利益
    根据修订后的 PDPL 第6(1) 条,如果处理符合数据主体的“实际利益”,但与数据主体沟通是不可能的或困难的,则个人数据的处理无需同意。实施条例第1 条将实际利益定义为“数据主体与处理个人数据的目的直接相关的任何道德或物质利益,并且处理是实现该利益所必需”。
    根据《实施条例》第14 条,当为实现数据主体的实际利益而需要处理时,控制者必须保留证据证明存在此类利益并且不可能或难以联系数据主体。此外,第10 条规定,个人数据不得出于其他目的间接收集或处理,除非遵守此限制可能对数据主体造成伤害或影响数据主体的切身利益。

  7. 公共利益
    虽然没有与 GDPR 相同的相应具体公共利益基础,但公共利益原则是修订后的 PDPL 中许多条款的基础。就处理个人数据的依据而言,经修订的 PDPL 第6(3) 条规定,如果控制者是公共实体,并且出于安全目的或满足司法要求需要处理,则可以在未经数据主体同意的情况下处理个人数据。
    但根据《实施条例》第21 条,当公共实体直接从数据主体以外的人收集个人数据时,为收集数据的目的以外的目的处理数据,或为实现公共利益而要求披露时,必须遵守以下内容:
    (1)确保这是实现明确定义的公共利益所必需的;
    确保公共利益与法律规定的能力相关;
    (2)采取适当措施来限制由此可能造成的损害,包括设置必要的管理和技术控制措施,以确保其员工遵守经修订的 PDPL 第41 条的规定(即,即使在雇佣合同终止后,从事任何个人数据处理业务的人也必须对数据保密);
    (3)将这些作包含在处理活动的记录中;
    (4)收集和处理实现目的所需的最低限度的个人数据。

  8. 数据控制者的合法利益
    个人数据可能会根据经修订的 PDPL 第6、10 和 15 条的合法利益基础进行处理、间接收集或出于其他目的进行处理或披露。
    根据《实施条例》第16 条,除非控制者是公共实体,否则控制者可以处理个人数据以实现合法利益,前提是满足以下条件:
    (1)处理目的不违反任何沙特法律;
    (2)数据主体的权利和利益与控制者的合法利益是平衡的,因此控制者的利益不会影响数据主体的权益;
    (3)处理不包括敏感数据;
    (4)处理必须在数据主体的合理预期范围内。

  9. 其他情况下的法律依据
    (1)个人数据是公开的或者从公开来源收集的。《实施条例》第十五条进一步规定,从公开来源收集数据必须是合法的;
    (2)如果收集或处理个人数据对于保护公共卫生、公共安全或保护特定个人的生命或健康是必要的;
    (3)如果个人数据不会以可以直接或间接识别数据主体的形式(即匿名形式)进行记录或存储。
    (三)控制者&处理者义务

  10. 数据处理通知义务:控制者有义务向沙特数据保护局(SDAIA)进行注册登记,并发布国家控制人名册登记规则。

  11. 数据传输义务:PDPL对数据传输进行了严格规定,控制者仅在满足特定条件和目的时方可向沙特境外传输或披露个人数据。这些条件和目的包括履行国际协议义务、服务沙特国家利益、执行个人数据主体作为一方的义务等。此外,控制者还需确保数据传输过程中的数据安全,不得损害国家安全或沙特的切身利益。

  12. 数据处理记录义务:控制者需保存个人数据处理活动的记录,并在SDAIA要求时提供。

  13. 数据保护影响评估义务: 控制者需对可能对数据主体产生影响的个人数据处理活动进行评估,特别是在处理敏感数据、使用新技术或涉及自动决策等情况下。

  14. 数据保护官(DPO)任命义务: 在特定情况下,控制者需任命或指定一名或多名DPO,负责监督个人数据的处理活动并保护数据主体的权益。

  15. 数据泄露通知义务:在发生个人数据泄露、损坏或未经授权的访问等事件时,控制者需及时向SDAIA和数据主体进行通知。

  16. 儿童数据:PDPL第16条明确规定,在涉及未成年人或无行为能力人的利益时,控制者不得披露其个人数据。这一条款强调了对儿童数据的特殊保护。《实施条例》第11 条规定,在获得缺乏完全或部分法律行为能力的数据主体的法定监护人的同意时,控制者必须遵守以下规定:法定监护人的同意不应对数据主体的利益造成任何损害; 和当数据主体达到法律行为能力时,必须允许数据主体行使经修订的 PDPL 和条例中规定的权利。

  17. 敏感个人数据:敏感数据被定义为揭示个人种族或民族血统、宗教、知识或政治信仰的个人数据、与安全刑事定罪和犯罪相关的数据、用于识别个人身份的生物特征或遗传数据、健康数据以及表明个人父母一方或双方未知的数据。如果处理敏感数据需要获得同意,则必须明确同意。

  18. 控制者与处理者之间的合同关系:经修订的 PDPL 第8 条规定,控制者在指定处理者时,必须选择一个能够提供必要保证的实体。此外,控制者必须验证处理者是否遵守经修订的 PDPL 和实施条例的规定,而不影响控制者对数据主体或 SDAIA 的责任。
    (四)数据主体权利

  19. 知情权:PDPL赋予数据主体知情权,要求控制者向数据主体提供关于其数据处理的详细信息。这一权利的实现依赖于隐私政策的制定和执行,隐私政策必须明确收集的目的、要收集的个人数据、处理手段以及数据主体的相关权利。

  20. 访问权与更改权:数据主体有权访问其个人数据,并要求对其进行更改。控制者必须遵守相关规定,确保数据主体的访问请求得到及时、准确的响应。同时,如果个人数据被更正、完善或更新,控制者还有义务将此类更改告知任何收到此类数据的实体。

  21. 删除权与反对/选择退出的权利:数据主体有权要求删除其个人数据,并在特定情况下行使反对或选择退出的权利。控制者必须遵守相关规定,确保在收到数据主体的请求后及时删除个人数据或停止处理。

  22. 数据可携带权

  23. 不受自动决策影响的权利

  24. 其他权利与投诉机制:除了上述权利外,数据主体还有权向沙特数据和信息管理局(SDAIA)提出与PDPL和/或实施条例的应用有关的投诉。此机制为数据主体提供了有效的救济途径,确保其能够在个人数据受到侵害时寻求法律保护。
    (五)罚则

  25. 经修订的 PDPL 第35 条规定,在不影响其他法律规定的任何更严厉处罚的情况下,任何人违反经修订的 PDPL 的规定披露或发布敏感数据,无论是意图伤害数据主体还是为了实现个人利益,都将被处以不超过两年的监禁和/或不超过 300 万沙特里亚尔(约合 800,000 美元)的罚款。

  26. 在重复违规的情况下,主管法院可以对违反敏感数据处理的行为处以双倍罚款,即使这导致超过最高限额,前提是不超过限额的两倍。因此,对于屡犯,法院可以加倍罚款。

  27. PDPL 第36 条规定,在不影响其他法律规定的任何更严厉处罚的情况下(除非与敏感数据有关,在这种情况下适用上述处罚),受 PDPL(修订)管辖的每个人,如果违反 PDPL和实施条例的任何规定,应处以警告通知或不超过 500 万沙特里亚尔(约合 133 万美元)的罚款。

技术驱动法律,专业成就未来