引言
沙特阿拉伯王国大臣会议已批准对 2021 年颁布的《个人数据保护法》(下称“《沙特个保法》”)进行一系列修改。新修正案已通过回历1444年9月5日(即2023年3月27日)的第M147号皇家法令实施,根据该法令,新修订的《沙特个保法》及其配套的实施条例(下称“《实施条例》”)于2023年9月14日生效。为确保该法的各项规定能得到有效遵守,自该法生效之日起,所管辖范围内的企业仍有一年的宽限期可以针对相关要求进行整改。更新后的《沙特个保法》采纳了沙特数据与人工智能管理局(SDAIA)于2022年11月提出的部分修订建议,使修订后的《沙特个保法》与《欧盟通用数据保护条例》(GDPR)等国际标准更加一致。
《沙特个保法》为保障沙特王国境内的居民(下称“数据主体”)的个人数据,以及规范包括但不限于相关数据主体个人数据的收集、处理、披露、转移以及存储的行为提供了全面的数据保护框架。同时,该法还对数据处理、数据主体权利以及企业处理个人数据的义务以及数据跨境传输机制进行了规定,并规定了违反该法所应承担的法律责任。为避免新旧法的不一致,本文将针对修订后的《沙特个保法》定义、范围、数据处理义务、监管机构等七个方面进行简要介绍。
1. 定义和地域范围
《沙特个保法》将“个人数据”定义为任何可能直接或间接识别个人的任何形式的信息,包括但不限于姓名、身份证号码、联系电话、照片和视频等。与GDPR类似,间接个人数据是指与其他数据结合使用能够识别到特定个人的数据,包括IP地址、车辆登记号码、物理地址、雇主详细信息和收入信息。相反,无法识别到个人的匿名数据则不在该法的保护范围内,传输匿名数据出境也不需要任何批准或审查。
值得一提的是,个人和家庭目的的个人数据处理活动不在《沙特个保法》的管辖范围内,对此,《实施条例》将“个人和家庭目的”定义为“个人在其家庭或有限社交圈内作为任何社交或家庭活动的一部分而处理的个人数据”。
与GDPR类似,《沙特个保法》拥有“长臂管辖”的数据主权规定:该法律适用于“沙特王国境内外的公共或民营组织开展的与居住在王国的个人相关的各种形式的个人数据处理”。因此,相关企业需要知晓其所处理数据的来源以及在处理居住在沙特王国境内的个人数据(即数据主体)时适用法律。
此外,对数据进行分类是目前主流数据保护法规的共同要求,《沙特个保法》同样将一些类型的个人数据归类为“敏感数据”,并为此类数据设定了更高级别的保护要求。主要包括数据主体的遗传信息、种族或民族、宗教信仰、智力或政治信仰、与健康相关的信息,或与犯罪行为或定罪有关的信息。此类敏感数据的处理需要数据主体的明示同意以及更严格的合规程序。然而,与GDPR不同的是,如果死者的数据可能识别到该特定死者或其家庭成员,则《沙特个保法》仍适用。
2. 监管机构
沙特数据和人工智能管理局(下称“SDAIA”)是最早负责监督《沙特个保法》实施的监管机构。SDAIA将发布后续指南和政策,涉及保障数据传输机制、监督个人权利处理,以及对违反者实施处罚。沙特国家数据管理办公室(下称“NDMO”)是SDAIA的监管分支机构,很可能会在之后取代SDAIA对《沙特个保法》和《实施条例》实施履行监管工作。
3. 数据控制者的义务
“数据控制者”是指能够明确个人数据处理目的和方法的主体。根据《沙特个保法》的规定,数据控制者必须在处理个人数据之前采取足够的措施来验证个人数据的准确性、完整性和相关性。数据控制者应在数据处理活动期间以及终止数据处理活动后的五年内保存处理活动记录。此外,数据控制者还有义务遵守数据保护原则,包括对数据收集、目的和保留的限制,以及确保数据安全性和可问责性。
(1)同意
根据《沙特个保法》规定,企业在处理个人数据之前必须获得数据主体的事先同意,但与GDPR类似,该法律规定了一些例外情况,包括:
数据处理会导致对数据主体的实际利益造成影响,但无法实际或不可能与数据主体进行联系;
数据处理基于法律规定或数据主体作为合同主体一方签订的协议所必需;
数据控制者是公共机构,数据处理系为安全或司法所必需;
数据处理是数据控制者或其他方的合法利益所必需的,并且不损害数据主体的权利。但这不适用于敏感个人数据的处理。
数据控制者不需要为收集与科学、研究或统计目的相关的数据而获得数据主体的同意,但必须遵守以下要求:
所处理的数据不能识别到特定数据主体;
在处理过程中以及在将这些数据披露给任何其他实体之前,证明数据主体身份的信息已被销毁(敏感个人数据除外);或收集和处理个人数据以进行科学、研究或统计目的是另一项法律要求或为履行数据主体参与的在先协议所必需的。此外,《实施条例》为此类情形规定了更具体的控制措施。
根据法律规定,数据主体有权随时撤销对其个人数据处理作出的同意。在取得同意之前,数据控制者应建立允许行使撤销权的程序,并采取必要措施确保其实施,并且行使撤销权的程序不应比取得同意的程序更复杂。如果数据主体的个人数据传输到沙特境外,数据主体行使撤销同意的权利应不受影响。此外,除非提供服务或利益与寻求同意的具体处理活动直接相关,否则同意不能作为数据控制者提供服务或利益的前提条件。
与GDPR等国际通行的规定一致,《实施条例》根据收集的数据类型和处理目的,对“明示同意”和“暗示同意”的情形进行了区分,例如,因信用数据涉及个人的信用状况或获得和偿还债务的能力,该类数据的处理行为需要取得明示同意。
数据控制者和处理者应当详细记录相关明示同意的过程,以便将来监管机构或数据审计人员进行审查。从实务角度看,对于某些类型数据的处理,监管机构可能更倾向于数据主体通过积极且明确的方式来选择同意处理,例如在接收市场营销信息之前应当确认同意或确认允许在其设备上放置某些类型的cookie。针对未获得明示同意即将某些cookie放置在用户设备上以进行有针对性的营销行为,全球各地不同监管机构均对相关数据控制者和处理者进行了严惩。
考虑到《沙特个保法》在某些方面比GDPR的规定更加严格,我们建议,在沙特收集或处理数据的中资企业应采取更加严格和透明的数据保护策略,进行定期和详尽的数据安全风险影响评估,并监督第三方和供应商遵守相关数据保护法规。
(2)隐私政策
《沙特个保法》规定,数据控制者必须制定隐私政策,以供数据主体在其个人数据被收集之前进行查阅。该政策应包括数据收集的目的、个人数据收集的类型、收集方法和存储、数据处理程序、数据销毁方法、数据主体权利以及相关权利行使的方法。
(3)营销
除了敏感个人数据外,如果数据直接从数据主体处收集而来,并且已根据法律事先取得了数据主体的同意,企业可以为营销目的收集和处理个人数据。此外,《沙特个保法》规定,在为直接营销目的处理个人数据之前,数据控制者应为数据主体撤销同意,不再接收营销信息建立一个操作简便的退出机制。
(4)数据保护官
企业应指定一个或多个数据保护官(“DPO”),负责确保企业遵守《沙特个保法》及其《实施条例》的规定。DPO将负责代表企业,根据法律及其《实施条例》的要求向监管机构提供任何文件或信息。监管机构要求企业在国家数据控制者注册中心进行登记。此登记可能需要支付费用,涵盖监管机构提供的注册和可能的数据保护服务。
(5)数据泄露
在意识到数据泄露时,企业应当立即通知监管机构。企业需要对泄露事件作出全面分析并向监管机构提交报告,以及预防将来发生类似事件所采取的相应措施。如果泄露对个人数据的安全构成重大风险,企业必须及时通知受影响的个人。《实施条例》规定,如果泄露事件可能对个人数据或数据主体造成损害,或将导致与其权利或利益的冲突,数据控制者有责任在意识到事件发生后72小时内向监管机构通报,同时,还规定了该通知中应包含的细节。如果数据控制者无法提供所需信息并提供延迟的理由,则72小时可以延长。
另外,数据控制者有责任在可能对其数据造成损害或与其权利或利益冲突时,立即通知数据主体任何个人数据泄露。数据控制者或处理者也可能需要根据其他法律的规定向有关机构提交报告或通知。
(6)影响评估
企业必须根据数据处理活动的具体性质,对其面向公众提供的任何产品或服务就个人数据处理的潜在影响进行评估。企业应当制定数据最小化程序,以确保数据处理仅限于收集数据相关的目的。如果根据收集使用目的,个人数据已不再需要,则数据控制者或处理者应立即停止收集此类数据。
(7)第三方处理
根据《沙特个保法》的规定,各企业必须选择能够为遵守法律规定提供充分保障的第三方作为数据处理方。企业必须定期核查所选择的第三方是否遵守其有关保护个人数据的要求。如果个人数据已经更正、补充或更新,则原数据控制者应将此类修改通知给所有其他相关方(例如处理者)。
4. 数据主体权利
《沙特个保法》对收集数据的个人给予特定权利,确保个人对其收集的数据有控制权,即所谓的“数据主体权利”,包括:
知情权,即知晓其个人数据处理的信息以及个人数据处理的法律依据的权利;
访问权,即访问其个人数据并要求提供由企业所持有的其所有个人数据副本的权利;
更正权,即更正和/或更新其个人数据的权利;以及
删除权,即请求删除其数据的权利
数据主体还享有就企业违反《沙特个保法》的行为向相关监管机构投诉的权利。
《实施条例》进一步详细说明了数据主体的权利,并要求数据控制者在30天内对数据主体的请求做出回应。如果回应请求需要不成比例的努力,或者如果控制者收到数据主体的多个请求,则可以将此期限延长30天。相比于GDPR最长三个月的回应期限,前述期限规定更为严格。
5. 跨境数据转移
只要数据控制者有明确的合法目的跨境转移个人数据,并且接收国或企业已制定相关规定或采取相应保障措施,以确保数据得到充分保护,且与《沙特个保法》所规定保护水平等同。《沙特个保法》原则上允许个人数据的跨境转移,但是,《沙特个保法》对数据主权采取了比GDPR或其他国家或地区的数据保护法更严格的标准。
该法律只允许在某些情况下跨境转移数据,例如保护公共利益、健康和安全,以及保护个人或集体的生命或健康,履行跨境协议的义务,或遵守与数据主体相关的法律条款。
《数据转移规定》为数据跨境转移设定了评估标准;此外, SDAIA计划发布符合其数据保护认证标准的国家名单(即白名单)。预计SDAIA将在《沙特个保法》前述宽限期内发布白名单。
根据《沙特个保法》的规定,可以将个人数据转移至沙特境外的场景主要包括:
i.为了履行沙特参与的协议;
ii.为了服务于沙特的利益;
iii.数据主体为了履行所订立协议的义务;
iv.数据控制者实施数据处理以开展其经营管理,包括集团企业进行的统一管理;
v.为个人数据主体提供服务或利益;或
vi.为学习以及进行科学研究
如果企业希望出于上述原因将个人数据转移到沙特境外,必须遵守以下条件:
i.转移不得对沙特的国家安全或重大利益造成损害,也不得违反沙特的其他任何法律;
ii.在沙特境外能提供充分的个人数据保护水平——根据监管机构与其他相关机构协作出具的评估结果(即白皮书),这种保护水平至少应与《沙特个保法》和《实施条例》规定的保护水平相等;以及
iii.个人数据跨境转移应执行最小必要原则,转移者应通过使用包括数据映射在内的适当手段,说明需要转移的每类数据的类别和必要性,以及在沙特境外处理相关数据的处理目的。
此外,个人数据转移或披露到沙特境外不应对数据主体的隐私,以及要求适当保障措施的能力,或者《沙特个保法》和《实施条例》对个人数据的保护水平造成影响。
未被确定达到充分性保护标准的,数据控制者可以在采取适当保障措施的前提下,向沙特境外转移或披露个人数据。适当的保障转移机制可能包括:
i.参与双边或多边经济体制定的约束性通用规则;
ii.标准合同条款(例如控制者之间的协议和控制者与处理者之间的协议),以确保在个人数据转移到沙特境外时提供充分的保护水平;
iii.遵守《沙特个保法》和《实施条例》认证证书;或
iv.由监管机构批准的约束性行为准则。
截至目前,SDAIA尚未就这些保障转移机制发布后续指南,但预计在形式上和实质上都将与GDPR等其他主流数据保护法规采用的机制大致相似。
此外,《沙特个保法》中的数据转移条款规定了个人数据可以在没有保障转移机制的情况下转移或披露的有限例外情形。这些有限例外情形包括:
i.为了履行数据主体作为协议主体一方负有的合同义务而进行的转移;
ii.公共机构(例如沙特的政府部门或公共机构)作为数据控制者为了保护沙特的国家安全或公共利益而进行的转移或披露;
iii.公共机构作为数据控制者,为了调查或发现犯罪,或对犯罪者提起诉讼,或者执行刑事处罚而进行的转移或披露;或者
iv.因无法联系数据主体,为了保护其重大利益而进行的转移。
根据前述规定,如果控制者计划将数据转移到沙特境外,应当首先进行风险评估,以确定位于沙特境外的数据控制者或处理者是否具有充分的保障水平,以保护沙特境内数据主体的权利。
6. 处罚
值得一提的是,《沙特个保法》规定了违反规定的刑事处罚情形:
在不违反沙特其他适用法律的情况下,任何违反《沙特个保法》的行为,故意损害数据主体或获取个人利益而披露或发布敏感数据的个人可能受到起诉,并面临最高两年有期徒刑,或/并处最高300万沙特里亚尔(约合560万人民币)的罚金。对于累犯,法院有权加倍处罚,最高可判处四年有期徒刑,或/并处最高600万沙特里亚尔(约合1120万人民币)的罚金。
对于违反《沙特个保法》其他条款的,处罚仅限于警告或罚款,罚金不超过500万沙特里亚尔(约合133万3200美元)。对于累犯,罚款可能会加倍。
此外,在不损害善意第三人权利的情况下,管辖法院可下令依法没收违法所得,并决定将处罚、判决或司法决定在一个或多个当地报纸上或通过法院确定的其他方式发布,费用由违法者承担。
虽然《沙特个保法》对违法者的罚款并不像GDPR的处罚那样严厉,但《沙特个保法》更为严格之处在于,其将未经授权披露或发布敏感个人数据定为刑事犯罪,最重可能被判处四年有期徒刑。
7. 沙特中资企业应当确保数据合规
对于在沙特境内运营并处理个人数据的所有企业来说,进行详尽的数据处理活动差距分析至关重要。这将有助于数据处理企业有能力评估其运营活动的影响,并据此进行必要的调整以符合法律法规的要求。我们建议在沙特开展数据处理的中国企业尽快主动修订数据处理政策和流程,详细梳理、审查和更新合同,并将《沙特个保法》规定的各项权利和义务纳入其中。
根据我们的实务经验和观察,中资企业还需要将数据保护实践融入核心业务,为参与个人数据处理的员工进行全面培训,建立健全数据控制和“同意”机制,详细记录个人数据的收集和处理情况,并采用其他适当的数据保护协议。
*本微信文章仅用于交流,不代表北京盈科(成都)律师事务所或其律师出具的正式法律意见或建议,任何仅仅依照本文的全部或部分内容而做出的决定及因此造成的后果由行为人自行负责,如果您需要法律意见或其他专家意见,应当向具有相关资格的专业人士寻求专业的法律帮助。转载请在文章显著位置标明作者及出处。
作者简介
刘家君律师
成都市律师协会涉外法律服务后备人才
国际信息科学考试院 DPO数据保护官
国际信息科学考试院 ISO27001信息安全官
叶俊汝律师
盈科成都专职律师
盈科成都股权与并购重组法律事务部成员
