中东数据合规｜中国车企出海沙特：数据合规重难点问题概述【走出去智库】

走出去智库（CGGT）观察

近年以来，中国车企的出海方兴未艾，从布局趋势上看，中国车企出海业务的热点区域正从传统欧美市场，逐步扩散到中东、拉美、东南亚等新兴区域。尤其是中东地区，随着本地经济体制的改革与创新，越发成为具有活力的经济体，也逐渐成为中国车企出海的焦点地区。

走出去智库（CGGT）特约法律专家、鸿鹄律师事务所（Bird & Bird）合伙人龚钰推出中国车企出海合规系列文章，将对中东地区的出海热点国家阿联酋和沙特的数据合规法律框架进行整体的介绍，并对中国车企在出海阿联酋和沙特的过程中，所关注的数据合规重点问题进行总结与分析，以期为中国车企出海中东提供关于开展数据合规工作的基本概览。

今天，走出去智库（CGGT）刊发系列文章之三《中国车企出海沙特：数据合规重难点问题概述》，供关注中东数据合规的读者参阅。

要点

1、根据沙特《个人数据保护法》（PDPL）的规定，沙特阿拉伯境内进行的任何个人数据处理应遵守PDPL的要求，PDPL也同时适用于位于沙特阿拉伯境外的实体对居住在沙特阿拉伯境内个人的个人数据的处理。

2、根据PDPL及《跨境条例》的规定，沙特境内收集的个人数据仅能传输至有足够的个人数据保护水平的国家或地区，该目的地的个人数据保护水平需至少与沙特齐平。

3、根据PDPL以及《执行条例》的要求，在收集个人数据之前，数据控制者需通过隐私政策的形式向数据主体告知关于个人数据收集的相关信息，包括但不限于收集目的、收集的数据类型、收集、处理、存储以及销毁数据的方式等。

正文

在本系列第二篇文章（）中，我们对中国车企目前开展出海业务的中东热门国家阿联酋的数据保护法律体系以及合规重难点问题做了相关介绍。本篇中，我们将对中东地区另一个出海热门目的地——沙特阿拉伯的数据保护法律体系以及中国车企在当地开展业务可能需要关注的合规问题进行讨论。

沙特数据保护法律最新发展

沙特阿拉伯于 2021 年 9 月颁布了首部个人数据保护法律《个人数据保护法》（“PDPL”），PDPL是沙特阿拉伯第一部国家层面的数据保护专门法，并已于 2023 年 9 月 14 日正式生效, 落入沙特PDPL管辖范围的企业需要在 2024 年 9 月 14 日之前完成相关合规整改。此外，在PDPL生效后，与PDPL配套的《个人数据保护法执行条例》（以下简称“《执行条例》”）也由主管部门发布。有关PDPL的进一步详细介绍，请见我们此前起草的本系列第一篇文章。

而在PDPL届满一周年之际，沙特阿拉伯数据与人工智能管理局（Saudi Data and Artificial Intelligence Authority, “SDAIA”）密集发布了一系列关于个人数据保护的实施细则和指南，以期进一步为当地企业落实PDPL的相关要求提供指引，涵盖数据控制者的注册、DPO的任命、个人数据跨境传输、隐私政策制定、必要性原则、匿名化等多个方面。这些新出台的文件一方面解释、细化了PDPL的规定，但另一方面仍遗留了一些待进一步解释的问题。再加上目前沙特对于个人数据保护的执法仍处于初步阶段，缺乏可参照的案例，如何在目前的不确定下落实PDPL项下的合规义务，从而有效规避被处罚的风险，仍是当下中国车企出海沙特所面临的一大挑战。

域外管辖效力

根据PDPL的规定，沙特阿拉伯境内进行的任何个人数据处理应遵守PDPL的要求，PDPL也同时适用于位于沙特阿拉伯境外的实体对居住在沙特阿拉伯境内个人的个人数据的处理。换言之，沙特PDPL具有域外管辖效力。若中国车企在当地并未设立实体，而是通过和当地经销商合作的形式在沙特当地开展车辆销售，或者以平行出口的形式将车辆出口至沙特，只要车企后续仍处理当地车主的个人数据（例如基于提供车机功能或者售后运维的目的处理个人数据），其还是会落入到PDPL的适用范围中，从而需要遵守PDPL规定的相关义务。因此，在开展沙特当地的数据合规工作前，中国企业需要首先梳理PDPL对其各项数据处理活动的适用情况，包括厘清受域外管辖效力的各类数据处理活动，以防合规工作存在遗漏。

个人数据的跨境传输

跨境传输几乎是所有在沙特展业的中国车企首要考虑的数据合规核心问题之一。在PDPL生效届满一周年之际，基于PDPL的整体框架，SDAIA发布了一系列的关于个人数据跨境传输的配套规定，包括《个人数据跨境传输实施条例》（Regulation on Personal Data Transfer Outside the Kingdom，以下简称“《跨境条例》”）、《具有约束力的公共规则（BCR）指南》（Guidelines for Binding Common Rules (BCR) for Personal Data Transfers）以及《个人数据跨境传输标准合同条款》（Standard Contractual Clauses for Personal Data Transfers）等，上述文件的发布进一步完善了目前沙特的数据跨境监管体系，也为企业实施相关的合规措施提供了行动指引。对于中国企业而言，在当地开展个人数据的跨境传输合规工作中，建议特别注意以下要点：

3.1 本地化要求

总体而言，沙特并无关于一般个人数据的本地化存储要求，但个人数据的跨境传输需满足一定的监管要求。

3.2 跨境传输的目的

根据PDPL及《跨境条例》的规定，个人数据的跨境传输需满足至少一项特定的目的，其中，与中国企业在当地开展业务可能相关的目的包括“与个人数据主体作为一方的合同义务履行有关”、“数据控制者履行其集团总部管理的职能” 以及“能够为个人数据主体提供服务或使其获益”等目的，此外，任何个人数据的跨境传输需仅限于为实现相关目的而所需的最小数据的个人数据。

3.3 跨境传输的合规路径

白名单

根据PDPL及《跨境条例》的规定，沙特境内收集的个人数据仅能传输至有足够的个人数据保护水平的国家或地区，该目的地的个人数据保护水平需至少与沙特齐平。沙特的主管机关需在进行评估后发布上述国家或组织的名称（以下简称“白名单”），但截至目前，白名单国家尚未发布。业界与学者普遍认为，欧盟大概率会出现在未来发布的白名单中，但中国是否在其中并不确定，这也导致部分中国企业考虑将沙特业务的数据存储在位于欧盟的数据中心。

保障措施

对于将个人数据存储至非白名单国家的情况，PDPL及《跨境条例》第4条的规定，可通过以下路径对外传输个人数据，包括：

·标准合同条款(Standard Contractual Clauses, 以下简称“SCCs”), SDAIA已于2024年9月2日《个人数据跨境传输标准合同条款》，所有拟采取SCCs的路径对外传输个人数据的企业需严格按照标准合同条款的模板补充相关内容，并完成签署，不得随意更改模板的形式和内容。标准合同条款很大程度上借鉴了欧盟标准合同条款的内容，基于跨境传输的不同场景分为四大模块（控制者传输给控制者、控制者传输给处理者，处理者传输给控制者以及处理者传输给处理者）；

·具有约束力的公共规则（Binding Common Rules，以下简称“BCR”）, SDAIA于2024年9月2日发布了关于《具有约束力的公共规则（BCR）指南》，其适用与跨国公司集团内部的个人数据跨境传输，从地理范围上来看，BCR应适用于位于沙特境内的数据控制者对境外任何国际或组织进行的个人数据传输。该指南提供了BCR的基本内容指引以及文件模板。此外，在当地监管部门的要求下，相关数据控制者需提交BCR至监管部门审核，该指南也提供了提交监管部门审核的文件模板。

·认证机制（Certificate of accreditation），该机制下，相关的跨境传输需经过官方制定机构的认证，但具体的认证主体、形式暂不明确，有待监管部门进一步发布相关的指导性文件。

3.4 《跨境条例》存在的争议

如上文介绍，2024年9月1日发布的《跨境条例》第4条虽然明确了除白名单之外的三条合规路径，但其表述却存在一定的理解上的争议。

根据《跨境条例》第4条的规定，企业可采用SCCs等三种路径实现跨境传输，但在适用三条路径时，应同时需遵守第4条第2项的“豁免情况”。

而第4条第2项规定，数据控制者在五类情况中，可豁免跨境传输的白名单或/和最小必要要求，但需遵守相关的适当保障措施要求。这五类情况中与企业相关的主要有B、C、D三类情形。关于这三种情形，原文的表述分别如下：

“如果传输或披露是非经常性或限期的，并且涉及的数据主体数量有限，控制者必须遵守标准合同条款。或者，需满足传输或披露是向已获得主管机关许可实体的批准证书的机构进行，并且数据不属于敏感数据”（B项）

“如果个人数据的传输或披露是为了执行总部的管理，并且控制者是跨国实体集团的一部分，则控制者及其附属机构必须遵守具有约束力的共同规则或标准合同条款，以确保符合法律和法规规定的要求。或者，接收个人数据的实体必须获得主管机关许可机构颁发的批准证书。” （

C项

“如果传输或披露是为了直接向数据主体提供服务或利益，并且这种方式不会违反他们的期望或与他们的利益冲突，并且传输或披露是向已获得主管机关授权机构颁发的批准证书的机构进行，前提是数据不属于敏感数据。” （

D项

以上规定的争议点或者说未表述清楚的问题在于：一是不确定《跨境条例》第4条是否指的是，企业只有在落入这三种情形时，才能适用跨境传输的三种路径；至少从原文表述来看，其似乎表达的是这层意思；（2）很多企业的跨境传输场景都会落入D项的范围，但D项只给了认证的选项，且要求相关数据不包括敏感数据；就实践操作来看，如果落入D项的范围，必需满足境外接收方获取授权机构颁发的批准证书的条件，实践中可操作性极低，也使得本来构建的数据出境体系的意义大打折扣；（3）从上文来看，敏感数据似乎一般无法通过三种路径传输至境外，这无疑也会对中国车企开展业务运营产生一定的阻碍。

3.5 中国车企的跨境传输合规建议

如上文所述，虽然SDAIA发布了一系列跨境传输的配套规定，但具体如果落实相关合规义务，仍有较多的不明朗之处。部分中国车企考虑将处理沙特境内收集的个人数据的数据中心设立在有极大可能落入白名单的欧盟境内，不失为一种规避风险的方式，但需注意的是，在白名单未公布之前，最为稳妥的方式还是先行签署SCCs或制定BCR，其中SCCs相对而言是性价比更高的合规方式，虽然目前仍存在上述不确定的因素，但在相关法律已经生效的前提下，积极采取合规措施并形成书面记录，是缓释数据合规风险的最佳选择。

合法性基础

与其它国家或地区的个人数据保护法律类似，根据沙特PDPL的规定，处理个人数据需要遵守合法性基础。原则上，数据控制者需要取得数据主体的同意来处理其个人数据，该同意需符合以下要求：（1）自由给予，不得通过误导性方式获得；（2）处理目的明确、具体，且应向数据主体取得同意之前向数据主体解释和澄清；（3）同意应由具有完全法律能力的人给予；（4）同意应以能够在未来被验证的方式留存；以及（5）不同的处理目的需取得单独的同意。此外，当处理涉及敏感数据、信用数据或者当仅基于自动化的方式处理个人数据而做出决定时，需取得数据主体的明确同意。此外，数据主体有权在任何时候撤回任何关于个人数据处理的同意，数据控制者需建议相关流程进行响应。

在以下场景中，数据控制者可豁免取得同意的要求，包括：（1）处理符合数据主体的实际利益，但与数据主体的沟通是不可能的或困难的；（2）处理是根据另一法律或履行数据主体作为一方的协议；（3）如果控制者是公共实体，并且处理是出于安全目的或满足司法要求；以及（4）如果处理是为了控制者的合法利益，而不损害数据主体的权利和利益，并且不处理敏感数据。

基于以上要求我们认为，履行合同义务所必要可能是在沙特处理个人数据最为推荐的合法性基础，尤其是是考虑到沙特对于同意取得的要求相对较高且授予了数据主体撤回同意的相关权利；此外，值得注意的是，与GDPR类似，根据《执行条例》的规定，若数据控制者选择合法利益作为数据处理的合法性基础，其需要对拟开展的数据处理活动及其可能对数据主体的权利利益造成的损害进行评估，并进行书面留证。

个人数据处理影响评估

根据PDPL和《执行条例》的规定，在特定情形下，数据控制者应进行个人数据处理影响评估，包括：（1）处理敏感数据；（2）收集、比较或关联从不同来源获得的两个或多个个人数据集；（3）控制者的活动包括以下大规模和重复性的活动之一：处理缺乏完全或部分法律能力的人的个人数据；需要对数据主体进行持续监控的处理操作；基于新采用的技术处理个人数据；或基于自动化个人数据处理做出决策。（4）提供涉及处理个人数据的产品或服务，这可能会对数据主体的隐私造成严重损害。在完成个人数据处理影响评估后，企业需以书面的形式形成相关评估内容与结果。

目前，SDAIA尚未进一步发布关于个人数据处理影响评估的模板。需注意的是，此前沙特的电信监管部门“通信、空间与技术委员会”有发布过关于电信领域的个人数据处理影响评估的模板。对于拟申请当地车联网服务资质的企业而言，需基于该模板完成并提交影响评估。未来，沙特监管部门是否会基于PDPL及其《执行条例》的规定对各领域个人数据处理影响评估的模板做进一步的整合，尚待进一步观察。

单就PDPL及其《执行条例》规定的触发个人数据处理影响评估的情形来看，在沙特本地提供车联网相关服务极有可能触发个人数据处理影响评估的要求，基于我们的过往经验，尤其是部分中高风险车机功能，可能需要在上市前完成相关评估。因此，中国企业应及时关注相关的立法进展，并结合法律要求，以适当的方式开展车机功能相关的个人数据处理影响评估工作。

其它中国车企值得关注的要求

除上述要点之外，根据沙特PDPL及其执行条例的规定，中国车企可能还需要关注以下要点：

（1）告知义务

根据PDPL以及《执行条例》的要求，在收集个人数据之前，数据控制者需通过隐私政策的形式向数据主体告知关于个人数据收集的相关信息，包括但不限于收集目的、收集的数据类型、收集、处理、存储以及销毁数据的方式等。2024年9月3日，SDAIA发布了《隐私政策制定指南》（Elaboration and Developing Privacy Policy Guideline (EDPP Guideline)），进一步明确了隐私政策制定的相关要求。对于车企而言，按照当地的法律要求履行告知义务是数据合规工作的重点，应在官网、车机端以及APP等端口以适当的形式向顾客告知其个人数据处理的基本情况。

（2）数据控制者注册

SDAIA于2024年8月31日发布了《控制者注册规定》，要求落入PDPL适用范围的以下四类主体需要在官方指定的平台上完成注册：（1）控制者是公共实体；（2）控制者的主要活动是基于个人数据处理而进行；（3）控制者处理敏感数据；或（4）个人处理个人数据的目的超出个人或家庭使用的目的。基于上述标准，对于在当地提供车联网服务的车企而言，大概率会落入到需要完成控制者注册的范围中，应按照《控制者注册规定》中提供的指引完成相关注册流程。

（3）必要性原则

必要性原则一直以来也是中国车企海外车机功能落地合规的重点。如同其它数据保护法律一样，PDPL要求企业在处理个人数据遵守必要性原则。个人数据的内容应适当并限于实现收集目的所需的最小量。一旦实现收集目的，应避免包含可能导致特定识别数据主体的内容。在此基础上，SDAIA于2024年9月4日发布了《最小化个人数据确定指南》，对于如何实现个人数据处理的必要性原则给出了一系列的指引。虽然从内容上看，相关指引并未对汽车行业的数据处理实践提出特别的指导性规定，但其中提到的原则性要求值得企业进行参考。

总结

随着近年来的体制改革和经济发展，沙特也成为了包括汽车行业在内的中国企业青睐的出海国家之一，和其它中东地区阿联酋国家一样，虽然其数据保护体系在立法层面上已基本建立，但仍有部分尚待完善和修正的地方；此外，在执法层面，其目前亦暂无明确的标准供企业在衡量风险时进行参考。这种不确定性对于企业开展数据合规工作而言既是挑战，也是机遇。对于中国车企而言，先行开展合规调研，结合企业在当地的发展规划，以适当的路径积极开展合规工作，是避免数据合规处罚风险的最佳选项；此外，及时关注当地的立法与监管动态，提前做出正确的因应，而不是仅采取观望态度，方能确保企业在数据合规工作方面一直位于正确的轨道上。

龚钰律师团队相关文章：

专家简介