本系列文章聚焦于2024年度中国企业出海的主要目的地:欧美、中东及东盟地区,着力梳理其在立法、监管及执法层面的动态,探讨展业地数据合规监管要求以及数据跨境传输的合规要点,总结中国企业在出海过程中的数据合规重点、难点和最新动态,以供参考。
一、沙特
(一)立法体系与监管概览
1.数据合规立法体系
沙特近年来不断完善数据合规立法,逐渐构建起一套相对完备的数据合规立法体系。其中,《个人数据保护法》(以下简称“PDPL”)居于数据合规领域的核心地位,发挥着顶层设计的引领性作用,并有两部与之相配套的实施条例协同辅助,进一步夯实法律根基。与此同时,各行业主管部门亦积极投身于隐私与数据安全相关规则的构建进程之中,结合行业特性与发展需求,陆续推出一系列具有针对性的法律法规。
此外,沙特还出台了一系列指南,为数据处理者在数据处理活动中可能遇到的具体问题提供明确、可操作的专业指导。
图1 沙特数据合规立法体系概览
2.监管、执法动态
(1)监管活跃度:活跃程度中等
鉴于PDPL刚过宽限期不久[1],沙特的监管机构将如何作为还有待观察,监管机构可能会优先确保遵守其关键内容[2]。对于目前缺乏既定数据保护流程的数据控制者而言,虽然监管机构的执法行动重点可能会随着时间的推移而变化,但建议在沙特展业的企业,无论目前数据保护态势如何,尽快采取整改措施,确保企业现状遵守法律现行要求。
另外,值得一提的是,各行业监管机构在各自领域的数据隐私和安全方面都相当活跃,持续制定并更新相关法律法规。
(2)主管部门:
根据PDPL(2021年版)规定,在法律颁布后两年,负责PDPL实施的主管部门将是沙特数据与人工智能管理局(Saudi Data & Artificial Intelligence Authority,“SDAIA”)。随着数据保护格局的发展,监管职能最终将转至隶属于SDAIA的国家数据管理局(National Data Management Authority,“NDMO”),但目前暂无监管职能移转的消息。
(3)执法案例:
目前处罚风险相对较低,但处罚措施较严格。
PDPL的罚则分布在第35至40条,违反PDPL相关规则的,最高可处1000万里亚尔(Riyals)[3]的罚款;故意披露或发布敏感数据,以伤害数据主体或实现个人利益的,将被处以不超过两年监禁。
截至本文章发布之日,监管机构暂未做出任何处罚案例。
(二)数据出境
1.前置条件:
根据PDPL及《王国境外个人数据传输条例》(以下简称“《新传输条例》”)规定,向沙特境外传输个人数据需同时满足两个前置条件:
(1)传输目的属于PDPL第29条第1款或《新传输条例》第2条规定的特殊目的之一,例如为了履行数据主体作为一方当事人的义务、向数据主体提供服务或福利、用于进行科学研究和调查。
(2)跨境传输行为应满足PDPL第29条第2款规定的所有条件,包括不得损害王国国家安全或重大利益、个人数据受到充分保护、传输的个人数据仅限于所需的最低必要数量。
2.数据出境的具体合规方式:
根据PDPL第29条第2款及《新传输条例》第4条规定,数据处理者可通过以下方式履行数据出境合规义务:
(1)充分性保护水平:经数据保护监管机构认定,目的地具有充分性保护水平。
充分性保护水平的国家名单由SDAIA认定。截至本文章发布之日,SDAIA尚未发布充分性保护水平国家名单。值得注意的是,《新传输条例》第3条第1款规定,SDAIA有权直接在其网站上发布充足性决定,取消了总理批准要求。这一变化预计将加快评估和批准国家充足性的进程。
(2)在《新传输条例》第4条第2款规定的情况下,数据处理者可免除PDPL第29条规定的“充分保护水平”和“最小数量传输要求”,但需要视情况采取以下安全措施。
- 个人数据传输标准合同条款(SCCs)SCCs是数据提供方与数据接收方签署SDAIA发布的标准合同模版
SCCs是预先规定好的法律条款,确保个人数据向王国境外的转移符合PDPL的规定。SCCs为各种传输场景(C2C、C2P、P2P、P2C)[4]提供了模板。SCC可以纳入更广泛的协议中,也可以用作独立合同。只要不与SCC中的要求相冲突,各方还可以在SCC的基础上添加补充条件,但除填写空白字段范围,任何对SCC本身的更改都将被SDAIA视为无效。SCC还管理后续转移,要求第三方遵守相同的标准。虽然与欧盟SCC相似,但部分差异使得企业需要将SDAIA的SCC纳入其数据传输协议中,即使他们已经使用欧盟SCC。
- 约束性通用规则(Binding Common Rules,“BCRs”): 由数据控制者制定的、适用于跨国实体集团内各控制者及处理方的规则,确保对转移至沙特境外的个人数据提供适当保护,且保护水平不得低于《新传输条例》及相关条例所规定的水平。
《约束性通用规则指南》旨在规范和加强跨国集团内部数据出境转移情形下的个人数据保护。BCRs必须涵盖透明度、合法性、目的限制、数据最小化、存储限制和违规通知。BCRs还要求跨国集团(包括数据接收方)与主管部门合作、定期更新,并在集团所有成员中具有可执行性。其他要求还包括进行风险和影响评估,以及确保所有协议和处理活动都符合BCRs。
- 认证:由SDAIA许可的授权实体颁发的符合PDPL和法规的认证证书。
3.特殊情况下的风险评估要求:
根据《新传输条例》第7条规定,在以下情形中,数据控制者应进行风险评估:根据《新传输条例》第4条将个人数据传输或披露给境外实体;该传输涉及将敏感数据连续或大规模地传输到沙特境外,但主管部门未进一步明确具体数量。
4.特别注意:数据传输至沙特境外后,后续传输仍然适用数据出境相关规定。
二、阿联酋
(一)立法体系与监管概览
1.数据合规立法体系
阿联酋实施联邦制管理模式,联邦内各酋长国既施行联邦政府制定的法律,又施行根据《阿联酋联邦宪法》授权所制定的当地法律法规。因为联邦法律的效力高于各酋长国的法律,所以,各酋长国的部分民商事领域活动受到联邦法律和当地法律的双重约束。
阿联酋设有贸易自由区,共计45个贸易自由区,贸易自由区在外资所有权、税收和监管等方面可以自行制定自己的规则和条例,包括数据合规相关法律法规。在这些自由区中,迪拜国际金融中心(Dubai International Financial Center,“DIFC”)、迪拜健康城(Dubai Healthcare City,“DHCC”)和阿布扎比全球市场(Abu Dhabi Global Market,“ADGM”)均已颁布单独的数据保护法,适用于在相关区域运营的企业。但是,联邦层面和酋长国的相关法律仍然适用于那些自由贸易区没有特别规定的领域。
《个人数据保护法》(the Protection of Personal Data Protection,“PDPL”)是联邦层面的首部个人信息保护统一立法,但该法仅适用于个人数据,如企业属于健康、医疗、信贷、电信等强监管行业,企业应特别关注行业出台的特殊规定。此外,与沙特不同,阿联酋联邦层面目前暂未出台任何指南。
图2 阿联酋数据合规立法体系概览
2.监管、执法动态
|
|
监管部门 |
罚则 |
处罚案例 |
|
|
联邦层面 |
数据办公室(Data Office),该机构在法律上虽已成立,但并未实际设立。 |
仅原则性规定,如违反PDPL及相关决定,应实施行政处罚。 |
暂无 |
|
|
自由贸易区层面 |
DIFC |
数据保护专员(Commissioner of Data Protection ) |
(1)数据控制者或数据处理者的行政违规行为最高罚款为10万美元,数据保护专员有权酌情对更严重的违规行为处以更高的罚款; (2)民事赔偿:数据主体可以向法院申请从数据控制者或数据处理者处获得赔偿。 |
暂无 |
|
DHCC |
(1)迪拜健康城董事会(the DHCC Board of Directors) 和迪拜健康城管理局(the Executive Body of the Dubai Healthcare City Authority,“DHCA”)负责确保《迪拜健康城健康数据保护条例》(Health Data Protection Regulation,“HDPR”)以及依据该条例制定的任何规则、标准和政策得到妥善管理。 (2)医疗规划与质量中心(the Center for Healthcare Planning and Quality,“CPQ”)负责HDPR的合规及执行工作。 |
仅原则性规定,对违反健康数据保护条例的行为实施处罚,DHCA尚未就违反HDPR所适用的处罚发布更多信息,尚不清楚将如何处理在DHCC内违反HDPR的行为。[5] |
暂无 |
|
|
ADGM |
《数据保护办公室》(Office of Data Protection) |
(1)不超过2800万美元的罚款; (2)民事赔偿:遭到损害的数据主体可以请求民事赔偿。 |
暂无 |
|
表1 阿联酋联邦、自由贸易区监管、执法情况概览
(二)数据出境
1.联邦层面:数据出境规则规定在PDPL第22、23条,和沙特类似,采用一般情况下的“充分性保护水平认定”以及特定情况下“充分性保护水平认定”的豁免,其中第22条为“充分保护水平认定”规则,第23条为豁免情形。
(1)充分保护水平认定:截至本文章发布之日,具有充分保护水平的国家清单尚未发布。
(2)在不具有充分保护水平时,个人数据可以跨境传输的豁免情形包括不限于:
- 合同或者协议:该情形主要适用于传输是根据合同或协议进行的,而接收方是在没有数据保护法的国家开展业务的。虽然目前主管部门暂未公布标准合同模版,但我们认为《个人数据保护法实施条例》可能会规定或承认其他知名数据保护法律(如欧盟《通用数据保护条例》)中使用的标准合同条款类似的标准合同条款,但在进一步的法规发布之前,我们无法确定。
- 同意:请注意,一旦《个人数据保护法实施条例》公布,可能会对如何获得跨境传输的同意提出具体要求。目前,没有规定进一步的要求,符合PDPL规定的同意被视为足够。为签署或执行数据控制者与数据主体之间或数据控制者与第三方之间为维护数据主体的利益而订立的合同所必需的传输。
2.自由贸易区层面:
DIFC地区的《迪拜国际金融中心数据保护法》(The DIFC Data Protection Law)以及ADGM地区的《2021年数据保护条例》(Data Protection Regulations 2021)均对数据出境规则进行了规定,思路与联邦层面的PDPL类似,根据保护水平是否充分,作出了不同规定。如企业在DIFC或ADGM开展经营活动,应优先遵守自由贸易区的特殊规定。
3.特定行业的限制性或禁止性规定
企业还应特别关注强监管领域的特殊性规定,例如对金融数据的传输限制或禁止。
注释:
[1]宽限期至2024年9月14日结束。
[2]结合过往项目经验,我们认为监管重点主要包括以下几个方面:(1)特定类型数据,例如敏感个人信息、临床试验、药物研发数据、遗传数据等;(2)数据出境传输至境外;(3)数据安全与网络安全保护措施;(4)个人信息主体权利保障。
[3]1000万里亚尔(Riyals)约为1952万人民币(2025年1月汇率)。
[4]C2C,指控制者对控制者(Controller to Controller);C2P,指控制者对处理者(Controller to Processor);P2P,指处理者对处理者(Processor to Processor);P2C,指处理者对控制者(Processor to Controller)。
[5]DLA PIPER:《DATA PROTECTION LAWS OF THE WORLD, UAE - Dubai Health Care City Free Zone》.
(原标题;数据年度回顾系列|2024年数据合规立法与监管全景(二):中东篇)
来源:天元律师事务所
作者:
- 曾雯雯, 天元律师事务所合伙人,电子邮箱:zengwenwen@tylaw.com.cn
- 李洁,天元律师事务所合伙人,电子邮箱:lijie@tylaw.com.cn
特别声明:本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向相关专业人士寻求法律帮助