沙特阿拉伯 PDPL：个人数据保护合规性

沙特阿拉伯的个人数据保护法 (PDPL) 于 2021 年 9 月 16 日由皇家法令 M/19 颁布，并于 2023 年 9 月 17 日生效，是该王国首部全面的数据保护立法。 PDPL 由沙特数据和人工智能管理局 (SDAIA) 管理，适用于处理沙特居民个人数据的组织，并对在沙特市场运营或服务的企业产生重大影响。

PDPL 还附有《实施条例》（SDAIA 于 2023 年 3 月发布），其中对技术和组织措施、数据主体权利流程以及跨境数据传输条件提出了详细要求。不遵守规定的刑事违法行为可能会导致高达 500 万沙特里亚尔（133 万美元）的罚款和一年的监禁。

要点

• 沙特 PDPL 适用于沙特阿拉伯境内个人个人数据的任何处理，无论处理实体位于何处
• 存在八个处理法律依据；同意必须是明确的、具体的、知情的和可验证的
• 敏感数据（健康、遗传、信用、犯罪记录、生物识别、性取向）需要明确同意或特定的法律例外
• 跨境传输需要 SDAIA 批准或特定的保障措施——数据本地化是一项重大的合规挑战
• 数据主体权利包括访问、更正、删除、可移植和反对 - 具有 30 天的响应期限
• 对于某些大规模处理敏感数据的组织，必须任命 DPO
• SDAIA 可处以最高 500 万沙特里亚尔的罚款，监管权力包括暂停数据处理
• PDPL 与沙特中央银行 (SAMA) 和其他监管机构针对特定行业的法规同时适用

---

PDPL 范围和适用性

谁必须遵守

沙特 PDPL（伊斯兰历 1443 年 M/19 皇家法令 / 2021）适用于：

1. 在沙特阿拉伯处理：在沙特阿拉伯境内处理个人数据的任何实体
2. 处理沙特阿拉伯居民的数据：处理居住在沙特阿拉伯的个人的个人数据的沙特阿拉伯境外实体
3. 出于沙特阿拉伯目的进行的处理：与向沙特阿拉伯境内的个人提供商品或服务相关的处理

这种域外范围意味着为沙特客户提供服务的国际企业（包括电子商务平台、SaaS 提供商和数字服务）必须遵守 PDPL。

关键定义：

• 个人数据：任何能够具体识别个人身份或能够识别个人身份的数据，包括姓名、个人身份证号码、地址、联系电话以及任何其他可识别个人身份的数据
• 敏感个人数据：健康数据、遗传数据、信用和财务数据、与有特殊需要的个人相关的数据、犯罪记录、生物识别数据、揭示种族或民族血统的数据、宗教信仰以及与私人生活（包括性取向）相关的数据

豁免

PDPL 不适用于：

• 政府当局出于安全或司法目的而持有的个人数据
• 死者的数据（无近亲权利条款）
• 出于个人或家庭目的而处理的个人数据
• 数据以匿名方式进行，使得重新识别变得不可能

---

处理的法律依据

《PDPL 实施条例》为处理个人数据奠定了法律基础。控制者必须记录每项处理活动的适用法律依据：

PDPL 下的同意要求：

• 处理目的必须明确且具体
• 不能与其他同意捆绑在一起
• 必须使用简单的语言，没有技术术语
• 撤回必须像提供同意一样简单
• 必须保留同意记录
• 营销和广告需要单独、明确的同意

敏感数据：处理需要明确同意或属于以下情况之一：法律义务、保护数据主体或他人的切身利益、具有医疗保健保密义务的医疗必要性、与法律程序相关的处理或具有适当保障措施的科学研究。

---

数据主体权利

PDPL 向数据主体授予以下权利，一般有 30 天的回复期（可在通知后延长至 30 天）：

知情权：数据主体必须在数据收集之前或之时被告知处理活动。控制者必须披露：身份和联系方式、目的、法律依据、数据类别、保留期限、数据主体权利、跨境传输信息。

访问权：数据主体可以请求确认其数据是否正在被处理并获取副本。必须在 30 天内提供答复；每 12 个月一份免费副本（额外副本可付费）。

更正权：数据主体可以要求更正不准确或过时的个人数据。

删除权：在以下情况下，数据主体可以请求删除：目的已实现、撤回同意（没有其他法律依据）、非法收集数据或法律义务要求删除。例外情况包括保留的法律义务、合法权利的行使和公共利益研究。

可移植性的权利：数据主体可以请求以结构化、机器可读的格式传输数据到另一个控制者。

反对权：数据主体可以基于合法利益反对处理（控制者必须证明凌驾于数据主体利益之上的令人信服的合法理由）。

限制自动化决策的权利：数据主体可以请求对重大自动化决策进行人工审查。

---

控制者和处理者的义务

隐私声明要求

控制者必须提供清晰、易于理解的隐私声明，涵盖：

• 实体名称和联系信息
• 收集的个人数据的类别
• 处理的目的和法律依据
• 数据如何使用、披露和传输
• 数据保留期限
• 数据主体权利以及如何行使这些权利
• 有关任何跨境转账的信息
• DPO 的联系信息（如果已指定）

对于位于沙特的业务，隐私声明必须采用阿拉伯语（翻译要求适用于为沙特消费者提供服务的企业）。

数据保护官 (DPO)

根据 PDPL 实施条例，任命 DPO 是强制性的：

• 大规模处理敏感个人数据的控制者
• 对数据主体进行大规模系统监控的控制者
• 公共当局（有例外）

DPO 必须：

• 拥有数据保护和信息安全方面的专业知识
• 直接向高级管理层汇报
• 作为 SDAIA 和数据主体的联络点
• 监控 PDPL 的遵守情况
• 提供有关 DPIA 的建议

DPO 的联系方式必须在隐私声明中披露。

数据保护影响评估 (DPIA)

《实施条例》要求在处理可能给数据主体带来高风险的活动之前进行 DPIA，包括：

• 敏感数据的大规模处理
• 数据主体的系统分析
• 涉及新技术的加工
• 大规模处理儿童数据

必须保留 DPIA 文件并根据要求提供给 SDAIA。

安全要求

控制者必须实施与数据敏感性和处理风险相称的技术和组织措施，包括：

• 数据存储和传输加密
• 采用最小权限原则的访问控制
• 审核个人数据访问记录
• 定期安全测试和漏洞评估
• 事件响应程序
• 个人数据系统的业务连续性和灾难恢复
• 供应商安全评估和合同要求

---

跨境数据传输

PDPL 第 29 条对在沙特阿拉伯境外传输个人数据施加了重大限制。这是 PDPL 合规性中最具运营挑战性的方面之一。

允许的传输机制：

1. SDAIA 批准：转让须经 SDAIA 事先批准及其指定的条件
2. 足够的保护：传输到具有足够数据保护水平的国家（SDAIA 维护批准的列表）
3. 合同保障：根据提供充分保护并满足 SDAIA 要求的合同进行转让
4. 具有约束力的公司规则：根据批准的具有约束力的公司规则进行集团内转让
5. 同意：数据主体的明确、知情同意
6. 合同必要性：与数据主体履行合同所需的传输
7. 重大利益：在无法获得同意的情况下，为保护重大利益而必要的转让
8. 公共利益：公共利益所需的转让并有适当的保障

数据本地化考虑因素：SAMA（沙特阿拉伯金融管理局）、通信、空间和技术委员会 (CST) 以及卫生部的行业特定法规对金融、电信和健康数据提出了数据本地化要求。云提供商必须在沙特阿拉伯境内维护某些受监管数据类别的数据中心。

实际影响：许多在沙特开展业务的跨国公司已经实施了数据驻留解决方案——使用位于沙特阿拉伯的云区域（可从 AWS、Azure 和 Google Cloud 获取）——以避免复杂的跨境传输合规性。

---

违规通知

PDPL 第 20 条要求控制者在发现对数据主体权利或利益构成风险的违规行为后72 小时内通知 SDAIA。

所需的违规通知内容：

• 违规行为的性质和情况
• 受影响数据主体的类别和大致数量
• 受影响记录的类别和大致数量
• DPO 或其他联系人的姓名和联系方式
• 违规可能造成的后果
• 为解决违规问题而采取或计划采取的措施

通知数据主体：当违规行为可能对数据主体的权利或自由造成高风险时，必须立即通知，不得无故拖延。通知必须包括：发生了什么、哪些数据受到影响、数据主体可以采取的保护自己的步骤以及进一步查询的联系信息。

---

SDAIA 执法和处罚

监管权力

SDAIA 根据 PDPL 拥有广泛的监管权力：

• 发布指导和法规
• 调查数据主体的投诉
• 对数据控制者进行审计
• 实施行政处罚
• 暂停违反 PDPL 的处理活动
• 将刑事违法行为移交公诉机关

处罚

行政处罚：

• 违反数据主体权利或控制者义务的，最高可处以 100 万沙特里亚尔（267,000 美元）的罚款
• 对于涉及敏感个人数据的违规行为，处以最高 500 万沙特里亚尔（133 万美元）的罚款
• 跨境转账违规行为可被处以最高 500 万沙特里亚尔的罚款
• 两年内重复违规的罚款可加倍

刑事处罚：

• 未经授权披露或发布敏感数据：最高两年监禁和/或最高 300 万沙特里亚尔罚款
• 将数据传输到沙特阿拉伯境外以损害国家利益：最高一年监禁和/或最高 100 万沙特里亚尔罚款

公开披露：SDAIA 可能会发布有关违规和制裁的信息，这会对沙特阿拉伯集中的商业市场产生重大声誉影响。

---

与其他沙特法规的互动

SAMA 网络安全框架

沙特中央银行 (SAMA) 拥有自己的网络安全框架 (SAMACF)，适用于所有受 SAMA 监管的实体（银行、保险公司、金融公司）。该框架包括：

• 符合 PDPL 的数据分类和保护要求
• 事件响应和通知要求
• 第三方风险管理义务
• 云服务提供商评估要求

受 SAMA 监管的实体必须遵守 SAMACF 和 PDPL，并以更严格的要求为准。

CST 个人数据保护条例（电信）

通信、空间和技术委员会发布了电信特定的数据保护要求，包括电信运营商的用户数据保护、位置数据限制和数据本地化。

卫生部门法规

卫生部和沙特卫生委员会发布了医疗数据保护要求，规定：数据共享的患者同意、健康记录的数据本地化、健康信息系统的具体安全标准以及将健康数据用于商业目的的限制。

---

沙特 PDPL 合规清单

• PDPL适用性分析已完成（包括域外范围）
• 个人数据和敏感数据清查已完成
• 记录每项处理活动的法律依据
• 为敏感数据处理获得单独的明确同意
• 以阿拉伯语发布的隐私声明（针对沙特用户），包含所有必需的披露信息
• 根据需要指定 DPO；隐私声明中的联系信息
• 记录数据主体权利程序并提供 30 天响应机制
• 处理器协议更新了 PDPL 要求
• 跨境转移评估已完成 — SDAIA 批准的机制已到位
• 受监管部门（金融、卫生、电信）的数据本地化评估
• 针对高风险处理活动进行的 DPIA
• 实施的安全措施与数据敏感性成正比
• 72 小时违规通知程序已记录并经过测试
• 记录保留计划并配置自动删除
• 已完成 PDPL 义务员工培训

---

常见问题

沙特阿拉伯的 PDPL 何时生效？

PDPL 于 2021 年 9 月通过 M/19 号皇家法令颁布，其实施细则于 2023 年 3 月发布。该法于 2023 年 9 月 17 日开始执行，即该法律颁布两年后。 SDAIA 最初表示有一个合规准备的宽限期，但目前执法工作正在积极进行中。尚未开始合规计划的企业面临着真正的监管风险。

沙特 PDPL 是否适用于我在沙特阿拉伯境外的业务？

是的，如果您处理居住在沙特阿拉伯的个人的个人数据。域外范围与 GDPR 的方法类似：如果您向沙特居民提供商品或服务，或出于任何目的处理沙特居民的数据，则 PDPL 适用。这包括电子商务企业、SaaS 提供商、数字服务以及任何拥有沙特员工的公司（获取其就业数据）。

沙特阿拉伯的数据本地化要求是什么？

PDPL 本身并不强加全面的数据本地化——它允许通过批准的机制进行跨境传输。然而，特定行业的法规提出了重要的本地化要求：受 SAMA 监管的金融机构必须将客户财务数据保存在沙特阿拉伯境内；受监管的卫生实体的健康数据必须存储在沙特阿拉伯境内；电信用户数据有特定的居住要求。云提供商 AWS、Microsoft Azure 和 Google Cloud 都建立了沙特阿拉伯云区域来满足这些要求。

跨国公司的 PDPL 如何与 GDPR 互动？

同时遵守 GDPR 和沙特 PDPL 的跨国公司必须同时满足这两个框架。它们有着相似的原则，但具体细节有所不同——PDPL 同意要求、跨境转移机制和违规通知时间表都有沙特的具体要求。主要的实际挑战是跨境数据流：从沙特阿拉伯流向欧盟国家的数据不会仅仅因为目的地适用 GDPR 而自动符合沙特 PDPL。每次转让都必须根据 PDPL 的机制进行评估。

什么是 SDAIA，它有什么权限？

SDAIA（沙特数据和人工智能管理局）是负责监督沙特阿拉伯数据和人工智能的政府机构。 SDAIA 成立于 2019 年，负责管理 PDPL，并拥有广泛的监管、调查和执法权力。它发布指导和法规，调查投诉，进行审计，处以行政罚款，并将刑事违法行为移交检察机关。 SDAIA 还管理国家数据治理框架并监督沙特阿拉伯的数据经济发展。

---

后续步骤

沙特阿拉伯不断发展的数字经济和 2030 年愿景转型正在创造巨大的商机，同时监管要求也日益严格。 PDPL 合规性正在成为与沙特政府实体、银行、医疗机构和企业客户开展业务的先决条件。

ECOSIRE 帮助组织了解沙特 PDPL 合规性以及其他区域数据保护要求。我们的服务包括合规差距评估、隐私计划设计、技术实施和持续合规管理。

了解更多：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。沙特 PDPL 要求正在通过 SDAIA 指导和执行决定不断发展。请咨询合格的沙特法律顾问，获取针对您的组织的具体建议。