沙特阿拉伯首部数据保护法《沙特阿拉伯个人数据保护法》(以下简称《个人数据保护法》)于2021年9月16日颁布。2023年9月7日,沙特阿拉伯数据和人工智能管理局(以下简称数据和人工智能管理局)发布了《沙特阿拉伯个人数据保护法实施条例》(以下简称《实施条例》)和《沙特阿拉伯个人数据跨境传输条例》(以下简称《传输条例》),对《个人数据保护法》的实施细节和具体规定进行补充。《个人数据保护法》与两项条例均已于2023年9月14日正式生效。
沙特阿拉伯个人数据跨境传输规则以《个人数据保护法》为核心,辅之以《实施条例》《传输条例》等相关法规、指令和条例,构成了一个全面、系统、多层次的个人数据跨境传输体系。
适用范围
沙特阿拉伯个人数据跨境传输规则适用于在沙特阿拉伯以任何方式进行的任何个人数据处理,不适用于对公司数据、政府数据、技术数据或其他数据的处理。
个人数据。沙特阿拉伯个人数据跨境传输规则适用于各种类型的个人数据,无论其来源或形式如何。包括可能会导致具体识别到个人,或者直接或间接地使识别到个人成为可能的任何数据,如元数据、操作数据、备份数据、监控系统数据、支持数据以及其他可以直接或间接识别数据主体的任何信息。个人数据具体包括姓名、个人身份证号、地址、联系电话、许可证号码、记录、个人资产、银行和信用卡号码、个人照片、个人录像及其他属于个人的数据。
敏感个人数据。沙特阿拉伯个人数据跨境传输规则适用于敏感个人数据的处理。敏感个人数据具体包括揭示种族或民族出身、宗教、智力或政治信仰的个人数据;涉及安全犯罪定罪与违法的个人数据;用于识别个人身份的生物特征或遗传数据;健康数据以及表明个人父母一方或双方身份不明的数据。
死者个人数据。与其他国家的个人数据保护法相比,沙特阿拉伯将能够识别到特定死者或其家庭成员身份的死者个人数据的处理也纳入了保护范围。
出于个人或家庭使用目的而处理的个人数据。沙特阿拉伯个人数据跨境传输规则不适用于出于个人或家庭使用目的而处理的个人数据,只要数据主体未将这些数据公开或披露给他人。《实施条例》将“个人或家庭使用目的”定义为“个人在其家庭或有限的社交圈内处理个人数据,并将其作为社交或家庭活动的一部分”。
监管机构
沙特阿拉伯设立了专门的数据保护监管机构,由数据和人工智能管理局负责监督和执行《个人数据保护法》《实施条例》《传输条例》,监管时间为期两年,之后相关监管权限可能被移交至隶属于数据和人工智能管理局的国家数据管理办公室。
作为监管机构,数据和人工智能管理局的主要权力和职责是:负责制定和实施与数据和人工智能相关的政策、战略和计划;监督和管理数据和人工智能领域的运营、研究和创新活动;促进数据和人工智能技术的发展和应用以及与国内外相关机构进行合作和交流等。
在监督个人数据跨境传输规则的实施方面,数据和人工智能管理局负责确保所有实体遵守相关法律规定,并对违反个人数据跨境传输规则的行为进行调查和处罚。同时,数据和人工智能管理局还需要对公众进行有关个人数据保护的教育和培训,提高他们对个人数据保护的认识和意识。
主要规则
《个人数据保护法》第29条建立了个人数据跨境传输规则的基本框架,原则上允许对个人数据进行跨境传输,但进行了较为严格的规定。《传输条例》进一步明确了个人数据跨境传输的定义、条件、程序等具体规则。
个人数据跨境传输的定义
《个人数据保护法》第1条将“传输”界定为“以处理为目的将个人数据从一个地方传输到另一个地方”。而《传输条例》第1条将“个人数据跨境传输”界定为“以处理为目的将个人数据跨境传输至沙特阿拉伯境外”。
个人数据跨境传输的一般规定
《传输条例》第1章规定了所有数据控制者跨境传输个人数据时必须遵守的规则。为了保护数据主体的隐私和个人数据,跨境传输的个人数据应仅包括预期目的所需的最低限度的个人数据。数据控制者还必须保证遵守《个人数据保护法》规定的个人数据保护标准,并且不得妨碍个人数据主体享有权利,例如访问个人数据和反对处理个人数据的权利。
个人数据保护水平充分性评估
《传输条例》第2章规定了数据和人工智能管理局评估数据接收方个人数据保护水平是否充分的标准,以及确定和重新评估特定数据接收方是否为个人数据保护水平充分国家的程序。
评估数据接收方个人数据保护水平是否充分的考虑因素主要有:保护个人数据、维护数据主体权利且不低于沙特阿拉伯个人数据保护水平的法律是否存在;保护数据主体权利及其隐私的法治;个人数据保护法律实施的有效性;数据主体行使权利、投诉和索赔的能力;个人数据保护法律监督机构是否存在;与沙特阿拉伯当局合作的意愿以及向政府或监管机构披露个人数据的监管要求的明确性和适当性。
为了进行个人数据保护水平充分性评估,数据和人工智能管理局需要与多个政府机构进行协调,如外交部、通信和信息技术部、投资部、国家网络安全局、国家安全委员会和沙特阿拉伯中央银行等。评估结束后,数据和人工智能管理局会发布个人数据保护水平充分性决定,允许向个人数据保护水平充分的数据接收方跨境传输个人数据;或者通过与数据接收方签订国际条约,允许跨境传输个人数据。
《传输条例》还要求每四年或在必要时对数据接收方的个人数据保护水平进行再次审查。如果审查结果表明该数据接收方的个人数据保护水平不再充分,沙特阿拉伯可终止、修改或暂停已发布的个人数据保护水平充分性决定,亦可终止、修改或暂停已与数据接收方签订的国际条约。
个人数据跨境传输的例外情形
《传输条例》规定了在数据接收方个人数据保护水平不充分时,数据控制者可以进行个人数据跨境传输的例外情形。
具备适当的保障措施。如果沙特阿拉伯境外的数据接收方没有充分的个人数据保护水平,但目的地国家或国际组织的法律监管要求不会影响数据主体的隐私或其权利实现,也不会对执行适当保障措施的能力造成任何损害,在特定情形下,数据控制者仍可以进行个人数据跨境传输。
适当的保障措施具体是指具有约束力的通用规则;标准合同条款;符合沙特阿拉伯个人数据跨境传输规则的证明以及具有约束力的行为准则。
不具备适当的保障措施。《传输条例》还规定了数据接收方没有充分的个人数据保护水平,数据控制者亦无法采取适当的保障措施时,允许进行个人数据跨境传输的例外情形。
例外情形具体是指为履行与数据主体之间的协议进行个人数据跨境传输;为国家安全或公共利益,由公共机构进行个人数据跨境传输;为调查或侦查犯罪、起诉罪犯或执行刑事制裁,由公共机构进行个人数据跨境传输以及为保护无法联系到的数据主体的重要利益而必须进行的个人数据跨境传输。
但是,如果将个人数据跨境传输至沙特阿拉伯境外可能影响沙特阿拉伯的国家安全或重大利益,或导致数据主体的隐私存在泄露的高风险,则必须立即停止个人数据跨境传输并重新评估个人数据跨境传输有关方面的风险。
个人数据跨境传输的风险评估
根据《传输条例》,在特定情形下,数据控制者在跨境传输个人数据时,必须进行风险评估,具体情形包括基于《传输条例》第6条,采取适当保障措施的个人数据跨境传输;基于《传输条例》第7条,未采取适当保障措施的个人数据跨境传输以及连续或大规模进行敏感个人数据的跨境传输。
如果根据数据和人工智能管理局进行的评估,数据接收方被认定为具有充分的个人数据保护水平国家,则不需要对该类个人数据跨境传输进行风险评估。
个人数据跨境传输的风险评估必须包括跨境传输的目的、法律依据、跨境传输的性质和地理范围、使用的手段和保障措施、限制个人数据跨境传输的措施、潜在结果和风险防范措施等。
(作者单位:江苏省淮安市中级人民法院)