汽车出海法律观察系列（三）丨汽车出海数据合规（沙特篇）

沙特阿拉伯（Kingdom of Saudi Arabia “KSA”，简称“沙特”）作为中东地区的主要经济体和汽车市场，是中国汽车品牌近两年出海的重要目标之一。近年来，随着沙特实施“2030愿景”计划，推动经济多元化和数字化转型，数据隐私成为了沙特政府和企业的重要议题。沙特制定有专门的数据隐私保护立法，并于近月颁布了多部配套条例，明确细化了数据处理规则，这给中国车企在当地展业带来了合规挑战。

本文将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手，拆解沙特数据隐私保护法律要求，为中国汽车出海沙特提供参考。

沙特的数据保护一般立法包括《个人数据保护暂行条例》（Personal Data Protection Interim Regulations, PDPIR） [1] 、《个人数据保护法》（Personal Data Protection Law, PDPL） [2] 、《个人数据保护法实施条例》（the Implementing Regulation of the Personal Data Protection Law, PDPLIR） [3] 和《个人数据跨境传输条例》（Regulation on Personal Data Transfer outside the Kingdom, PDTR） [4] （为行文简洁，后面两部条例下文统称为“配套条例”）。

其中，PDPIR是由国家数据治理办公室（NDMO）于2020年6月1日发布的《国家数据治理条例》（National Data Governance Interim Regulations, NDGIR） [5] 中的一部分，并非专门的个人数据保护立法。

2021年9月16日，《沙特官方公报》首次公布专门的数据保护立法文件PDPL，而后于2023年3月27日发布修订版。PDPL修订版及其配套条例于2023年9月14日施行，相关组织有12个月的过渡期进行合规整改。PDPL颁布后，PDPIR并未被废止，目前仍然有效。

目前，沙特暂未就汽车领域颁布专门的数据隐私保护法律。

目前，沙特承担数据保护监管职责的主要是沙特数据与人工智能管理局（SDAIA）与国家数据治理办公室（NDMO）。

1.适用范围

不论是PDPIR还是PDPL，均具有域内效力与域外效力。根据PDPL第2条，PDPL适用于沙特境内的所有个人数据处理活动以及在境外处理沙特居民个人数据的活动，不适用个人或家庭目的在家庭或有限的社交圈内处理个人数据的活动。

2.个人数据/敏感个人数据的定义

根据PDPL第1条，“个人数据”是指任何可用于特定识别个人、或者可直接或间接使识别个人成为可能的数据，无论其来源或形式如何，包括姓名、个人身份号码、住址、联系电话、执照号码、记录、个人资产、银行卡号和信用卡号、个人照片、个人录像及任何其他具有个人性质的数据；“敏感个人数据”是指揭示种族、民族血统、宗教、知识或政治信仰的个人数据，与安全、刑事定罪和违法行为有关的数据，用于识别个人身份的生物测定或遗传数据，健康数据，以及表明个人父母一方或双方不详的数据。

3.义务主体

与GDPR相同，PDPL采取了“控制者”与“处理者”二分概念。根据PDPL第1条，“数据控制者”是指明数据处理目的和方式的任何公共实体、自然人或企业法人，无论该数据由控制者还是处理者处理；“数据处理者”是指为控制者之利益并代表控制者处理个人数据的任何公共实体、自然人或企业法人。

4.告知与合法性基础

数据控制者在收集个人数据前应履行告知义务，并具备处理的合法性基础。具体而言，根据PDPL第4、13条以及PDPLIR第4条，控制者应在收集个人数据前告知个人如下事项：i）控制者的身份、联系方式以及与控制者沟通的渠道；ii）控制者指定的数据保护官的联系方式（如适用）；iii）收集和处理个人数据的法律依据和具体、清晰、明确的目的；iv）个人数据的保存期限，如果无法提供具体期限，则说明用于确定保存期限的标准；v）说明数据主体的权利以及行使该等权利的机制；vi）说明如何撤销数据主体对处理个人数据的同意；vii）解释收集或处理个人数据是强制性的还是选择性的。

根据PDPL第6条、PDPLIR第16条，控制者可以依赖的合法性基础包括：

i）取得数据主体的同意；如涉及处理敏感个人数据、信用数据、自动化决策等情形还需取得明确同意；如控制者依赖“同意”处理数据，应将“同意”的动作、时间、含义等信息以将来可审计的方式进行记录；

ii）处理符合数据主体的实际利益，但与数据主体的沟通不可能或困难；

iii）处理是根据其他法律或履行数据主体作为一方的先前协议；

iv）如果控制者是公共机构，处理是为了安全目的或满足司法要求；

v）在不违反法律规定、不损害数据主体的权利和利益且不涉及处理敏感个人数据的前提下，处理是为了控制者的合法利益（如披露欺诈行为、保障网络信息安全）。

5.数据合作

根据PDPL第8条、PDPLIR第17条，数据控制者选择合作方时应确保合作方可落实数据保护义务，并应向数据主体告知合作方的名称或类型，与合作方订立数据保护协议（在双方系独立的数据控制者的情况下无强制要求）。

数据控制者与处理者之间的协议须包括：a）处理目的；b）处理的个人数据类别；c）处理期限；d）数据处理者承诺在发生个人数据泄露时，按照法律规定及时通知数据控制者；e）澄清数据处理者是否受其他国家法规的约束以及对其遵守法律及其规定的影响；f）根据适用法律强制披露个人数据时，无需事先征得数据主体的同意，但数据处理者须通知控制者此类披露事宜；g）列明处理者的任何分包商或将向其披露个人数据的任何其他方。

6.数据本地存储

根据沙特阿拉伯信息和通信技术委员会（CITI）发布的《物联网监管框架》第7条，物联网服务提供商应当托管用于提供服务的相关服务器，并将所有数据存储在沙特阿拉伯境内。PDPL没有规定一般性的数据本地化存储要求。

7.数据跨境转移

根据PDPL、PDTR相关规定，沙特有关数据跨境转移的监管规则梯次递进如下：

a）向具备“充分个人数据保护水平”的第三国/地区开展数据传输。就数据接收国个人数据保护水平，根据PDTR第3、4条，由主管当局根据一系列相关标准进行评估，包括当地数据保护法律保护水平、法律实施效果、数据主体权利、监管情况、政府调取数据程序的适当性等；

b）第三国缺乏充分个人数据保护水平情形下采取“适当措施”，即具有约束力的公司规则（BCRs）、标准合同条款（SCCs）或符合PDPL及其条例规定的认证，或有约束力的行为准则等；

c）无“充分个人数据保护水平”且无“适当措施”，符合特定豁免条件，包括为履行合同所必需、为保障数据主体的重大利益所必需（如为保护数据主体的生命或重大利益或为检查疾病等极端必要的情况）、为维护国家安全或公共利益所必需（控制者需为公共机构）、为开展刑事侦查等所必需（控制者需为公共机构）。

除遵守以上数据跨境规则外，控制者在开展数据跨境转移时，还应满足以下要求：i）跨境转移不损害国家安全或重大利益；ii）跨境转移的个人数据仅限于所需的最小必要范围；iii）基于“适当措施”或“特定豁免条件”开展数据跨境转移，或持续大规模向境外传输敏感数据，须开展数据跨境风险评估。

8.数据主体权利

根据PDPL第4、21条以及PDPLIR第3-8条，数据主体享有知情权、访问权、纠正权和删除权。数据控制者应在不超过30天的期限内，对数据主体的权利请求进行响应。如果响应需要付出巨大努力或存在多项请求时，可延长响应期限，但延长时间不得超过30天，并应提前通知数据主体延长期限及延迟的原因。

9.数据保护负责人

根据PDPL第30条、PDPLIR第32条，在如下情况下，数据控制者应任命一人或多人担任数据保护官：a）控制者为公共机构，涉及大规模处理个人数据；b）控制者定期或持续大规模监控个人的情形；c）控制者的核心活动是处理敏感个人数据。

数据保护官或数据保护负责人可以是控制者的雇员，亦可是外部供应商。

10.数据安全事件处置

根据PDPL第20条、PDPLIR第24条，发生数据安全事件后，数据控制者应根据监管机构确定的机制和程序立即通知监管机构，时间上不得迟于72小时。此外，如果相关安全事件会对数据主体的个人数据或数据主体本身产生严重损害，数据控制者应立即通知数据主体。

1.汽车营销场景

·隐私通知：

根据PDPL第12、13条，汽车销售商应在收集消费者个人数据前提供隐私通知，告知消费者以下内容：收集者身份、数据收集的目的、方式和合法性基础、收集该数据是强制性或选择性、存储、处理和销毁方式（不会以不符合收集目的的方式处理个人数据）、个人数据披露和传输情况、未完成个人数据收集可能产生的影响和风险、数据主体权利和行权方式等。在发送营销内容时，应表明汽车企业的身份信息，不应进行匿名化处理。

·电子邮件/短信营销：

根据PDPL、PDPLIR第29条，汽车企业在向消费者发送营销信息前应事先获得其同意，并向消费者提供选择退出的机制，且退出机制应简单、直接、同等便利 [6] 。如消费者拒绝或撤回同意，汽车企业应立即停止发送营销信息或开展营销活动。

·电话营销：

根据PDPL、《信息通信技术服务用户权利保护和信息通信技术服务提供条款规定》（Regulations on the Protection of Rights of ICT Services' Users and on the Terms of ICT Service Provision） [7] ，汽车企业在向消费者进行电话营销前应事先获得其同意并向消费者提供选择退出的机制。此外，汽车企业还应在通话开始前披露其名称、通话原因并核实用户是否希望继续通话，对通话内容进行记录等。

2.汽车金融场景

·告知数据共享的情况：

如涉及向银行、融资租赁公司、保险公司等提供消费者数据的，根据PDPL第10、13条以及沙特阿拉伯金融管理局（SAMA）发布的《个人融资租赁机动车辆综合保险规则》（Rules for Comprehensive Insurance of Motor Vehicles Financially Leased to Individuals）第6条 [8] ，汽车企业应通过隐私通知等向涉及的个人信息主体告知对外提供个人数据的情况，并取得个人信息主体的同意。

·汽车保险场景下个人数据保护要求：

根据《保险市场行为准则条例》（The Insurance Market Code of Conduct Regulation）第17条 [9] ，这些数据的获取和使用必须仅限于特定的合法目的，由沙特阿拉伯的保险公司保存，并在客户提出书面要求时提供给客户，未经沙特阿拉伯货币市场管理局事先授权，不得向任何第三方披露（公司审计师、精算师、再保险公司和共同保险公司除外），必须安全保存客户数据并保持最新状态10年。

3.车联网场景

·数据本地化：

根据沙特阿拉伯信息和通信技术委员会（CITI）发布的《物联网监管框架》（Internet of Things（IoT）regulation framework） [10] 第7条，车联网服务提供商应当将提供车联网服务的所有服务器设置在沙特阿拉伯境内并将数据存储在沙特阿拉伯境内。

·提供保存和维护数据的技术能力：

根据《物联网监管框架》第7条，车联网服务提供商必须在车联网设备中提供保存和维护数据的技术能力，以便在不少于12个月内或CITI规定的任何其他期限内对数据进行审查。

4.充电场景

·遵循数据保护一般规则：

汽车企业应当遵守PDPL规定的数据保护原则（包括合法、目的限制、数据最小化等）和数据处理的一般规则（参见第二部分）。

5.自动驾驶场景

·遵循数据保护一般规则：

汽车企业应当遵守PDPL规定的数据保护原则（包括合法、目的限制、数据最小化等）和数据处理的一般规则（参见第二部分）。

·开展个人信息保护影响评估（PIA）：

根据PDPL、PDPLIR第25条，自动驾驶场景可能构成大规模持续监控数据主体及适用自动化技术处理数据的情形，需按规定开展PIA，评估数据处理活动可能对数据主体造成的实质影响与风险，并留存书面文件。评估内容包括：a）处理目的、合法事由、数据类型、数据主体等基本数据处理活动信息；b）处理活动涉及的各方主体与其法律关系；c）实现处理目的的必要性与相称性评估；d）对个人的影响，包括身体、心理、财务、社会关系等多方面的影响评估；e）为规避风险采取的措施及措施的适当性分析。

如涉及委托处理者处理数据（采购第三方自动驾驶能力），汽车企业还应提供一份PIA报告副本至数据处理者。

6.售后维修

·遵循数据保护一般规则：

汽车企业应当遵守PDPL规定的数据保护原则（包括合法、目的限制、数据最小化等）和数据处理的一般规则（特别是数据跨境转移、委托处理等规则）（参见第二部分）。

7.OTA汽车远程升级

沙特并非联合国《1958年协定书》和《关于软件升级和软件升级管理系统的汽车型式批准统一规定》（UN Regulation No. 156 - Software update and software update management system, UN R156）的缔约方，因此我们理解R156在沙特不具有强制性。

袁律师是注册信息隐私专业人员（CIPP/E）、注册信息隐私管理人员（CIPM）、注册信息安全专业人员（CISP），参与多项信息安全技术标准的编制，并兼任华东政法大学数字法治研究院特聘研究员，华东师范大学法学院校外实务导师，“数据安全推进计划”智库专家，WeLegal法商学院特聘导师。

袁律师的执业领域为网络与数据法、前沿科技法律事务，曾为众多国内外知名企业提供法律服务，承办了一系列前沿的、富有挑战性的项目，积累了丰富的实践经验，是该领域的知名专家。

袁律师连续多年名列The Legal 500数据保护和TMT领域“特别推荐律师”以及LEGALBAND中国顶级律师排行榜“网络安全与数据”第一梯队，先后荣获中国律师特别推荐榜15强：网络安全与数据合规，中国律师特别推荐榜15强：高科技与人工智能；中国法律商务（China Law & Practice）年度网络安全杰出律师提名，DHR公会“数字化人力资源管理数据合规专家”，Ace Legaltech Award年度大奖“Top 20 Data Privacy Lawyers”等奖项。