本文共 3001 字,阅读时间预计 15 分钟
要点
1. 沙特《个人数据保护法》宽限期为1年,2024年9月14日为宽限期结束后第一天;
2. 沙特数据和人工智能管理局(SDAIA)下设国家数据管理办公室(NDMO),由NDMO负责数据保护相关事项,并通过国家数据管理平台(NDGP)提供政务服务;
3. 数据控制者为主要监管对象,即决定数据处理目的和方法的实体;
4.《个人数据保护法》具有域外效力,中资企业应当识别个人数据来源,以确定是否需要遵守《个人数据保护法》。
《个人数据保护法》(PDPL)于2023年9月14日正式生效,其中规定了1年宽限期,在宽限期内各企业应当自查,以符合PDPL的各项规定。同年颁布了《个人数据保护法实施细则》以及《个人数据境外传输实施细则》,2024年9月14日是宽限期届满后第一天,违反《个人数据保护法》及其实施细则的主体,将面临警告、5亿沙币以下罚款,甚至是2年以下的监禁刑。
2024年8月沙特数据和人工智能管理局(SDAIA)、国家数据管理办公室(NDMO)出台了《数据保护官任命规则》,细化了数据保护官的适用情形、资质要求和职责范围。
沙特2019年设立了数据和人工智能管理局(SDAIA),并于次年设立了SDAIA的监管分支机构国家数据管理办公室(NDMO)。
PDPL规定SDAIA监管为期2年,此后根据PDPL及其实施细则的实施情况和部门的发展程度,将监管权限转移至沙特国家数据管理办公室(NDMO)。目前, NDMO负责监管PDPL及相关法规的实施情况,出台相关指引文件,并设立国家数据管理平台(National Data Governance Platform,下称“NDGP”)提供相关政务服务。
PDPL主要监管数据控制者和数据处理者,即决定数据处理目的和途径和代表控制者处理个人数据的公共部门、个人或法人。控制者的义务重于处理者,对数据处理负责,并对处理者负有监管义务。本文主要探讨中资企业作为数据控制者的合规义务。
以沙特外卖平台Hunger Station举例,Hunger Station使用亚马逊云服务(AWS)存储和处理用户数据,如管理订单、改善搜索功能等,其收集用户的姓名、地址、联系方式等,以便为用户提供其所需商品和服务,并根据用户反馈改进服务。
Hunger Station就是数据控制者,决定数据处理的目的(为用户提供服务)和处理方式(使用数据主体的地址和联系方式管理订单送达)。AWS是根据Hunger Station的指示处理个人数据的处理者。
PDPL既适用于沙特境内数据处理活动,也适用于沙特境外处理在沙特居留者个人数据的活动。因此沙特境外企业在收集个人数据时,应当明确数据的来源,如果数据源自在沙特境内居留者,无论数据规模大小,都应当遵守PDPL。
针对境外的数据控制者,2021年版PDPL(M19/1443)规定了境外控制者应当委派一名当地代表,2023年修订版PDPL将该规定修改为监管部门指定针对性工具和机制,以监测境外数据控制者和处理者的合规情况。但是《实施细则》并未就此予以明确,NDMO也尚未出台相关指南。
笔者认为,在PDPL宽限期后,NDMO的监管重点为沙特境内控制者。针对境外主体,若其在沙特境内未设立相关实体、开展运营或存入资金,NDMO实施警告、罚款、监禁刑等处罚的实操性和可执行性面临一定困难。鉴于境外主体处理沙特居留者数据涉及数据境外传输,不排除NDMO通过限制该数据境外传输的方式对境外主体予以监管。由于法律出台和执行之间具有差异,本所将密切关注NDMO对境外控制者的监管和执行措施。
企业数据合规义务,可体现在内部管理和外部运营两方面。内部管理而言,企业应当建立科学合理的组织架构,以完善数据管理制度;外部运营而言,企业应当向数据主体提供其隐私政策/隐私说明,并接受NDMO等相关部门的监管。
在收集和处理个人数据前,企业应当向数据主体告知其隐私政策,并以便利方式提供,如放在企业官网上,或者在数据主体注册时提供隐私政策的链接或内容。企业应当根据数据主体多元化性质,提供多种语言,并定期更新。
隐私政策内容应当包括:收集的个人数据类型、收集方法和目的、收集和处理的合法性基础、数据共享和披露情况、数据处理的地理位置、存储期限、删除方法、数据主体权利和行使渠道。如何联系控制者/数据保护官。
收集 | 数据类型 | 1)个人数据,含个人观点和推论,如实名调查中员工对工作环境的观点,药店根据顾客购买历史对顾客健康状况的推测,视为个人数据 2)个人敏感数据,如指纹付、人脸付收集个人的指纹、人脸等生物识别数据; 3)匿名化数据,如Hunger Station有两个数据库,第一个数据库有关用户的姓名信息,第二个数据库关于用户的交易信息,并将用户的姓名代之以特定数据,在此情况下,第二个数据库的交易信息应当视为个人数据,因为两个数据库相结合可以识别特定用户; 4)死者数据,可以识别其家庭成员 |
收集途径 | 1)数据主体; 2)第三方,如公开渠道 | |
收集目的 | 最小化原则 | |
处理 | 数据处理 | 1)以收集目的为限 2)营销需要获得数据主体同意 |
合法性基础 | 1)数据主体同意,例如要求用户主动勾选“用户如同意条款” 2)基于数据主体的实际利益; 3)履行法律规定或数据主体的合同义务; 4)基于控制者的合法利益,如防欺诈 | |
存储 | 存储地点 | 1)政府数据和金融数据应当存储在沙特境内; 2)其他数据未做要求; |
存储期限 | 最小化原则 | |
数据删除 | 1)收集目的已实现; 2)数据主体行使删除权或撤回同意权; 3)数据被非法处理; 4)删除数据后使其无法被检索、恢复和识别,可采用数据覆盖、消磁等手段 | |
共享和披露 | 境内 | 取得数据主体同意 |
境外传输 | 1)白名单国家,和沙特数据保护水平相等; 2)适当保障措施,如有约束力的公司规则、标准合同条款; 3)特定豁免条件,如为了数据主体的重大利益(生命健康等); 4)沙特和中国尚未开展数据合作,因此中资企业需要通过“适当保障措施”和“特定豁免条件”传输数据,需获得SDAIA批准 | |
数据主体权利 | 主体权利 | 1)知情权 2)访问权 3)复制权 4)更正权 5)删除权 6)撤回同意权 7)投诉权 |
行使方法 | 数据主体提出请求后30日内响应 | |
数据保护官 | 提供联系方式 | |
登记注册 | 1)境内控制者在NDGP平台登记注册;对于境外企业,SDAIA将出台相应登记指南,本所也会继续关注; 2)登记费用为0; 3)企业应当委派一名代表登记,代表无资质要求; 4)代表评估是否需要委派数据保护官,代表本人也可以是数据保护官; 5)需提供:企业商业登记(CR);代表信息;数据保护官信息(企业雇员、境内外部人员、境外外部人员提供的信息有所差异) 6)登记有效期5年,期限届满前30日将收到SDAIA通知,可申请续期。 |
数据处理活动记录 (RoPA) | 1)应当开展; 2)数据处理期间+停止处理后5年; 3)书面+定期更新 |
影响评估报告 | 1)应当开展; 2)根据其业务性质评估数据处理对数据主体影响; 3)书面+定期更新; 4)可通过NDGP平台开展 |
数据安全事件响应 | 1)数据泄露、篡改、未经授权访问; 2)72小时内通过NDGP上报至SDAIA; 3)及时通知数据主体 |
并非所有企业都需要设立数据保护官(下称“DPO”),但是鼓励企业设立DPO,以做好数据合规工作。
1.适用范围
在下列情形,控制者应当设立DPO:
1)控制者是提供涉及大规模个人数据处理的服务的公共实体;
2)控制者的核心业务包括定期和系统性监控数据主体,例如通过智能手环等穿戴设备收集个人心率、睡眠质量等健康数据;使用行为分析技术进行风险评估,如金融机构分析客户的交易行为以识别欺诈风险;位置追踪、使用Cookies收集用户的浏览习惯、监控摄像头等;
3)控制者的核心业务包括处理敏感数据,例如保险公司收集和处理用户的健康数据以提供重疾险等健康险;金融公司处理客户的信用数据以提供相关金融产品或服务。
注意:企业人力资源部门收集和处理员工的个人数据,不是PDPL所述的核心业务。
2.资质要求
DPO的任命资质,由企业决定,但是应当具备数据保护和风险管理的专业知识和实践经验,且无背信违法行为。
DPO可以是一名或多名;可以是内部员工或高管,也可以是外部专家或专业机构。虽然法律并未明文规定DPO的国籍,但笔者根据近年沙特逐步加大沙化力度初步判断,DPO应当是沙籍人士。
3.任命形式
企业应当通过内部文件或签署合同等书面形式任命DPO,并及时向NDGP备案。
4.职责范围
根据对象不同,DPO的职责可分为三类:
(1)监管部门:作为直接联系人,执行监管措施,报告数据安全事件;
(2)企业内部:就数据合规事项开展监督、提出建议、处理违规行为;开展定期培训和其他部门联系;
(3)数据主体:回应数据主体的请求和投诉。
Abdulaziz Bin Ali 律师事务所是沙特本地律所,将持续关注PDPL及其配套规定的出台和执行情况,可应客户需求提供如下法律服务:
数据合规培训;
草拟隐私政策、隐私说明;
审查数据跨境传输的标准合同条款;
协助企业处理数据主体投诉等服务。
联系邮箱:
sabrina.zhou@binali-lawfirm.com。
商观法策|欢迎关注
欢迎邮件告知重点关注的特定事项,以便我们提供更详细的介绍。
往期精彩
Abdulaziz Bin Ali 律师事务所由Abdulaziz 律师于2013年在沙特东部城市库巴成立,是一家沙特本地律师事务所。本所有丰富的大型基础设施工程项目争议解决经验,如石油化工厂、输油管线、公路桥梁等工程项目的合同纠纷、工程延误索赔、质量问题等。该所律师团队精通合同、工程法,擅长通过仲裁、调解等方式达成和解。
Abdulaziz Bin Ali
创始合伙人
Aziz是一位经验丰富的律师,具备广泛的教育背景和专业知识。他在2006年获得伊玛目穆罕默德·本·沙特大学的伊斯兰教法法学学士学位(LLB),并在2010年获得英国中央兰开夏大学的法学硕士学位(LLM)专攻国际商法领域。Aziz在伊斯兰教法、仲裁法、劳动法、商法和公司法等专业领域拥有深厚的专业知识。他在这些领域中具备广泛的经验和专长,能够为客户提供全方位的法律服务。
作为一名资深律师,Aziz为众多大型沙特本地及国际公司担任法律顾问,其中包括沙特阿美石油、Rawabi集团、Alturky集团旗下的所有子公司、Khidmah、英国Linde、Albarrak工业集团等。他在商业诉讼案件中取得了卓越的成绩,成功帮助客户赢得多个千万级别的案件,并获得了客户的一致好评。
Aziz在法律咨询和诉讼方面展现出出色的能力和专业素养。他善于分析复杂的法律问题,制定有效的法律策略,并为客户提供高质量的法律建议。他以客户的利益为先,致力于为他们提供全面且个性化的法律解决方案。
周玮琼
合伙人
周玮琼律师是一位经验丰富的中国执业律师,具备广泛的国际法律背景。她在2012年获得英国利兹大学国际公司法硕士学位(LLM),并在华东政法大学获得国际经济法学士学位(LLB)。周玮琼律师于2013年在约旦深造学习阿拉伯语,这使她具备与阿拉伯语客户进行有效沟通的能力。她不仅是中国执业律师,还取得了英格兰和威尔士的部分执业资格,这使她能够为国际客户提供跨境法律服务并处理涉及多个司法管辖区的案件。
在职业生涯早期,周玮琼律师曾在英国多家国际律师事务所工作,积累了丰富的国际业务经验。她通过与国际客户合作,熟悉了解中国公司在中东市场的法律和商业环境,并能够为他们提供专业的法律建议和全面的解决方案。
周玮琼律师在国际公司法领域拥有深厚的专业知识,擅长处理跨国公司并购、合同谈判、知识产权保护等领域的法律事务。她注重与客户建立良好的合作关系,致力于理解客户的需求并为他们提供高质量的法律服务。
凭借她的国际背景、多语言能力和执业经验,周玮琼律师在处理复杂的国际法律事务上展现出卓越的能力,并为客户提供可靠的法律支持和战略指导。她的专业素养和全球视野使她成为国际商务领域中备受尊重和信赖的法律专业人士。
联系方式:Sabrina.zhou@binali-lawfirm.com
李晓莹
(实习)律师
李晓莹是一位阿拉伯语法律复合型人才。她拥有北京第二外国语学院的阿拉伯语本科学历以及中山大学法学硕士学位,能够熟练运用阿拉伯语进行法律检索和研究。
在加入Bin Ali律师事务所之前,李晓莹是该所的长期实习生,期间完成了多项培训材料的编写,涉及沙特劳动法、公司法和争议解决等领域。她积累了丰富的实践经验,为未来的工作打下了良好的基础。
联系方式:Yefia.li@binali-lawfirm.com
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表其所在律师事务所或该律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“商观法策”及作者姓名。未经书面授权,不得转载或使用该等文章中的任何内容。
