中东地区部分国家数据跨境规则简析
2023-04-13 13:55
发布于:上海市
1. 沙特阿拉伯
1.1 沙特法律框架
目前,沙特阿拉伯(Kingdom of Saudi Arabia, KSA)规范数据治理的法律框架主要由《个人数据保护法》(the Personal Data Protection Law, PDPL)及适用于某些行业或部门的特定法规组成,PDPL的配套执行条例于2022年3月出台了草案,迄今为止尚未发布正式版本。
2021年9月17日,沙特阿拉伯部长理事会批准了 9月14日的第98号决议(即 沙特《个人数据保护法》),2021年9月24日,这一法律在官方公报上公布,预计于2023年3月生效。作为沙特阿拉伯第一部数据保护法,PDPL超越了一般伊斯兰教法对于隐私和个人数据的规定。该法律旨在规范数据传输并确保个人数据的隐私, 适用于在沙特阿拉伯境内进行的公司或公共实体对个人数据的处理,以及位于该国 境外的公司处理与沙特居民有关的个人数据。
2022年3月10日,沙特国家数据管理办公室(the National Data Management Office, NDMO)公布了《个人数据保护法》PDPL的执行条例草案(the Executive Regulations to the Personal Data Protection Law),旨在解决 PDPL 中未详细说明的一些关键问题。该条例面三式版本计划在2022年7月发布。
1.2 数据跨境规则
1.2.1 数据本地化存储
关于在沙特境外的数据传输,PDPL设置了严格限制,规定除了与数据主体的 生命受到威胁有关的极端必要情况外,或是为了预防、检查或治疗疾病,控制者不得将个人数据传输到沙特境外,除非该传输是为了:遵守王国加入的协议;为沙特 的最大利益服务;或为了执行条例中规定的其他目的,且必须满足下列条件:
1) 数据传输不得损害国家安全或沙特王国的重要利益;
2) 传输实体必须提供足够的保证,以保护将被传输或披露的个人资料,并保 持其机密性,以便数据保护标准不低于PDPL和行政法规中规定的标准;
3) 传输必须限于其目的所需的最低限度的个人数据;
4) 主管部门必须批准该传输。
1.2.2 豁免情形
关于上述条件,PDPL及执行条例的草案均设置了具体豁免情形。
PDPL规定,如果主管部门本身或与其他机构合作,评估个人数据在沙特王国 境外将得到足够的保障,且不包括敏感个人数据的传输时,主管部门可以根据具体 情况,免除控制者遵守第29条的任何其他条件。此外,于2022年3月发布的PDPL 的执行条例草案中另规定了两项豁免条件,即:出于公共利益的目的;数据主体已 经给予同意,满足PDPL的要求,并且传输的目的是为了直接向他们提供服务,可以根据具体情况免除对数据处理者的条件约束。
在不满足前述例外情况时,数据控制者必须向主管部门申请批准,方可将个人 数据传输到沙特王国之外。批准申请必须在传输前至少30天提出,保护部门最初有 30天时间审查申请,并可酌情延长这一期限,批准的请求将被保护部门逐一评估。如果这些例外都不适用,企业可能需不得不考虑创建本地的数据中心,并使用在沙特国内处理数据的服务提供商,以满足沙特的数据本地化要求。
1.2.3 特种数据保护
PDPL 执行条例草案中规定了适用于健康数据处理的额外要求,详细说明了控制者在处理健康数据时必须采取的额外措施。这些措施包括:遵守沙特卫生部和沙特卫生委员会实施的政策和要求、在其员工行为准则中反映《防止歧视法》的要求、《条例》和所有其他有关适用的要求。此外,对这些要求也必须被纳入与数据处理者的合同中。
2. 埃及
2.1 埃及法律框架
2020年7月15日,埃及公布国内首部关于个人数据保护的专门立法——2020 年第151号《数据保护法》(Data Protection Law, DPL),该法充分借鉴了欧盟《通用数据保护条例》,构建了个人数据保护的基本法律框架,在此基础上结合本国国情作了一定的调整及创新。
埃及《数据保护法》遵循属人兼属地原则,即如果被侵犯的数据主体是埃及本 国公民(无论其是否在埃及境内)或居住在埃及境内的外国人,无论其侵权行为实施者是否为埃及人,都适用该法;埃及《数据保护法》适用于在埃及境内设立的所有数据机构,包括数据控制者、数据处理者及数据持有者等,即便数据处理行为不 在埃及境内发生,也会受到该法的管辖,但需明确其仅适用于以电子方式处理的个人数据。
同时,埃及《数据保护法》规定了豁免适用的数据范围,主要包括:自然人基 于个人使用而进行的数据处理;基于官方统计目的进行的数据处理;与司法记录、 调查和司法程序有关的个人数据处理等。其中,埃及中央银行以及所有受中央银行 监管的金融机构并不适用该法;埃及国家安全机构在其职责范围内进行的个人数据 处理也不受该法规制,数据控制者或处理者应当按照国家安全机构的要求,在特定 期间内编辑、删除、传输或授权访问个人数据。
在《数据保护法》之外,埃及个人数据处理及其治理散见于宪法和各个部门法中。如埃及已将个人隐私权保护作为一项基本原则写入《宪法》;《民法典》规定了侵犯隐私数据的一般侵权责任;《劳动法》规定了雇员个人数据的保护;《网络安全法》规定了网络经营者的个人数据保护义务等。在埃及《数据保护法》生效后,上述法律对于数据的相关规定仍将适用。
2.2 数据跨境规则
埃及《数据保护法》规定了数据跨境传输需同时满足同等保护水平的实质性要求以及获得保护机构许可的程序性要求。DPL 禁止共享、转让和存储已收集或准备处理的任何个人数据至任何埃及以外的其他任意第三国,除非同时满足两个条件:1)该数据输入目的国必须提供不低于埃及个人数据保护同等水平的保护;2)该跨境输出已经获得数据保护中心许可。
同时,该法规定了数据跨境传输的例外条款,为基于保护数据主体利益或公共 利益而进行的数据跨境传输提供了可能。如果数据输入国的数据保护水平低于埃及, 但如果满足下列条件仍可以进行跨境数据传输:首先需获得数据主体的明示同意;其次,数据处理需是必要的,且符合以下任一目的:
1) 出于保护数据主体生命健康之所必需;
2) 在司法程序中行使诉权或抗辩权;
3) 为数据主体利益签订或履行合同;
4) 保护公共利益之所必需;
5) 履行国际司法协助之所必需;
6) 依法进行货币传输;
7)履行双方或多边国际条约之所必需。
上述内容摘自《全球数据跨境流动与治理白皮书》,由 ICMA 智联出行研究院与清华国家治理研究院、北京国际数字经济治理研究院、数据治理与跨境服务中心联合撰写。《白皮书》围绕全球数据跨境流动与治理这一主题,梳理了全球主要国家/地区数据跨境与隐私保护的治理规则与实践,总结中国在数据跨境流动方面的立法与治理现状,并对数据跨境的安全治理提出建议和展望,倡导融入并推动数据跨境流动国际治理体系,推广数据跨境流动的“中国方案”。
作为数字经济及自动驾驶领域现代化治理与创新研究的新型智库平台,ICMA智联出行研究院聚焦数据治理、自动驾驶、智能交通、无人配送、人工智能、智能出行、人脸识别等高新科技产业制高点,致力于新兴产业的前瞻性研究工作,旨在构建数字经济治理与行业应用的泛在网络,搭建国际化产学研交流和信息传播平台,为行业主管部门及企业客户提供定制化解决方案和全流程服务。ICMA智联出行研究院的服务领域主要包括:
数据出境合规评估综合解决方案:从法律与数据双通路共同推进企业内部数据资产盘点、数据安全和合规风险与差距评估、数据跨境合规治理、安全制度建立和实施、法律与数据咨询、合规整改方案落地等,并有意识探索形成数据出境风险自评估行业最佳实践案例。通过专业的解决方案,ICMA智联出行研究院已协助多家企业完成数据出境风险自评估,并获国家数据主管部门首批受理;
测绘地理信息合规综合解决方案:评估特定业务场景、特定产品、特定功能下的测绘地理信息合规风险,为智能网联汽车测绘地理信息产品的合规落地和投产提供专项解决方案;为智能网联汽车测绘地理信息的出境需求提供综合解决方案。
汽车数据合规综合解决方案:提供汽车数据安全管理情况年度报告咨询服务;针对汽车行业多维度数据类型,为车辆终端、手机APP端、车联网平台、OTA、数据分析平台等提供数据全生命周期的合规解决方案;针对中国、欧盟、美国、英国、俄罗斯、中亚、韩国等多司法辖区的法律体系提供数据合规落地解决方案。
自动驾驶商业化推进综合解决方案:提供自动驾驶商业化推进策略咨询服务,对自动驾驶商业化推进中的准入问题、事故数据问题、责任划分问题、保险策略问题等提供综合解决方案。
业务咨询:
jxfan@autoailaw.com
zmj@autoailaw.com返回搜狐,查看更多
责任编辑:
