中东数据合规｜ 中国车企出海沙特：数据合规沉

　　·认证机制（Certificate of accreditation），该机制下，相关的跨境传输需颠末制定机构的认证，但具体的认证从体、形式暂不明白，有待监管部分进一步发布相关的指点性文件。

　　如上文所述，虽然SDAIA发布了一系列跨境传输的配套，但具体若是落实相关合规权利，仍有较多的不开阔爽朗之处。部门中国车企考虑将处置沙特境内收集的小我数据的数据核心设立正在有极大可能落入白名单的欧盟境内，不失为一种规避风险的体例，但需留意的是，正在白名单未发布之前，最为稳妥的体例仍是先行签订SCCs或制定BCR，此中SCCs相对而言是性价比更高的合规体例，虽然目前仍存正在上述不确定的要素，但正在相关法令曾经生效的前提下，积极采纳合规办法并构成书面记实，是缓释数据合规风险的最佳选择。

　　SDAIA于2024年8月31日发布了《节制者注册》，要求落入PDPL合用范畴的以下四类从体需要正在指定的平台上完成注册：（1）节制者是公共实体；（2）节制者的次要勾当是基于小我数据处置而进行；（3）节制者处置数据；或（4）小我处置小我数据的目标超出小我或家庭利用的目标。基于上述尺度，对于正在本地供给车联网办事的车企而言，大要率会落入到需要完成节制者注册的范畴中，应按照《节制者注册》中供给的完成相关心册流程。

　　“若是传输或披露是为了间接向数据从体供给办事或好处，而且这种体例不会违反他们的期望或取他们的好处冲突，而且传输或披露是向已获得从管机关授权机构颁布的核准证书的机构进行，前提是数据不属于数据。” （D项）。

　　“若是小我数据的传输或披露是为了施行总部的办理，则节制者及其从属机构必需恪守具有束缚力的配合法则或尺度合同条目，以确保符律和律例的要求。或者，领受小我数据的实体必需获得从管机关许可机构颁布的核准证书。” （C项）。

　　正在以景中，数据节制者可宽免取得同意的要求，包罗：（1）处置合适数据从体的现实好处，但取数据从体的沟通是不成能的或坚苦的；（2）处置是按照另一法令或履行数据从体做为一方的和谈；（3）若是节制者是公共实体，而且处置是出于平安目标或满脚司法要求；以及（4）若是处置是为了节制者的好处，而不损害数据从体的和洽处，而且不处置数据。

　　正在本系列第二篇文章（《中国车企出海：阿联酋数据合规沉难点问题概述》）中，我们对中国车企目前开展出海营业的中东抢手国度阿联酋的数据保律系统以及合规沉难点问题做了相关引见。本篇中，我们将对中东地域另一个出海抢手目标地——沙特阿拉伯的数据保律系统以及中国车企正在本地开展营业可能需要关心的合规问题进行会商。

　　目前，SDAIA尚未进一步发布关于小我数据处置影响评估的模板。需留意的是，此前沙特的电信监管部分“通信、空间取手艺委员会”有发布过关于电信范畴的小我数据处置影响评估的模板。对于拟申请本地车联网办事天分的企业而言，需基于该模板完成并提交影响评估。将来，沙特监管部分能否会基于PDPL及其《施行条例》的对各范畴小我数据处置影响评估的模板做进一步的整合，尚待进一步察看。

　　今天，走出去智库（CGGT）刊发系列文章之三《 中国车企出海沙特：数据合规沉难点问题概述》，供关心中东数据合规的读者。

　　·尺度合同条目(Standard Contractual Clauses， 以下简称“SCCs”)， SDAIA已于2024年9月2日《小我数据跨境传输尺度合同条目》，所有拟采纳SCCs的径对输小我数据的企业需严酷按照尺度合同条目的模板弥补相关内容，并完成签订，不得随便更改模板的形式和内容。尺度合同条目很大程度上自创了欧盟尺度合同条目的内容，基于跨境传输的分歧场景分为四大模块（节制者传输给节制者、节制者传输给处置者，处置者传输给节制者以及处置者传输给处置者）。

　　“若是传输或披露经常性或期限的，而且涉及的数据从体数量无限，节制者必需恪守尺度合同条目。或者，需满脚传输或披露是向已获得从管机关许可实体的核准证书的机构进行，而且数据不属于数据”（B项）！

　　总体而言，沙特并无关于一般小我数据的当地化存储要求，但小我数据的跨境传输需满脚必然的监管要求。

　　需要性准绳一曲以来也是中国车企海外车机功能落地合规的沉点。好像其它数据保律一样，PDPL要求企业正在处置小我数据恪守需要性准绳。小我数据的内容应恰当并限于实现收集目标所需的最小量。一旦实现收集目标，正在此根本上，SDAIA于2024年9月4日发布了《最小化小我数据确定指南》，对于若何实现小我数据处置的需要性准绳给出了一系列的。虽然从内容上看，相关并未对汽车行业的数据处置实践提出出格的指点性。

　　按照PDPL的，沙特阿拉伯境内进行的任何小我数据处置应恪守PDPL的要求，PDPL也同时合用于位于沙特阿拉伯境外的实体对栖身正在沙特阿拉伯境内小我的小我数据的处置。换言之，沙特PDPL具有域外管辖效力。若中国车企正在本地并未设立实体，而是通过和本地经销商合做的形式正在沙特本地开展车辆发卖，或者以平行出口的形式将车辆出口至沙特，只需车企后续仍处置本地车从的小我数据（例如基于供给车机功能或者售后运维的目标处置小我数据），其仍是会落入到PDPL的合用范畴中，从而需要恪守PDPL的相关权利。因而，正在开展沙特本地的数据合规工做前，中国企业需要起首梳理PDPL对其各项数据处置勾当的合用环境，包罗厘清受域外管辖效力的各类数据处置勾当，以防合规工做存正在脱漏。

　　2、按照PDPL及《跨境条例》的，沙特境内收集的小我数据仅能传输至有脚够的小我数据程度的国度或地域，该目标地的小我数据程度需至多取沙特齐平。

　　单就PDPL及其《施行条例》的触发小我数据处置影响评估的景象来看，基于我们的过往经验，特别是部门中高风险车机功能，可能需要正在上市前完成相关评估。因而，中国企业应及时关心相关的立法进展，并结律要求，以恰当的体例开展车机功能相关的小我数据处置影响评估工做。

　　基于以上要求我们认为，履行合同权利所需要可能是正在沙特处置小我数据最为保举的性根本，特别是是考虑到沙特对于同意取得的要求相对较高且授予了数据从体撤回同意的相关；此外，值得留意的是，取PR雷同，按照《施行条例》的，若数据节制者选择好处做为数据处置的性根本，其需要对拟开展的数据处置勾当及其可能对数据从体的好处形成的损害进行评估，并进行书面留证。

　　近年以来，中国车企的出海方兴日盛，从结构趋向上看，中国车企出海营业的热点区域正从保守欧美市场，逐渐扩散到中东、拉美、东南亚等新兴区域。特别是中东地域，跟着当地经济体系体例的取立异，更加成为具有活力的经济体，也逐步成为中国车企出海的核心地域。

　　3、按照PDPL以及《施行条例》的要求，正在收集小我数据之前，数据节制者需通过现私政策的形式向数据从体奉告关于小我数据收集的相关消息，包罗但不限于收集目标、收集的数据类型、收集、处置、存储以及数据的体例等。

　　对于将小我数据存储至非白名单国度的环境，PDPL及《跨境条例》第4条的，可通过以下径对输小我数据，包罗！

　　按照《跨境条例》第4条的，企业可采用SCCs等三种径实现跨境传输，但正在合用径时，应同时需恪守第4条第2项的“宽免环境”。

　　跟着近年来的体系体例和经济成长，沙特也成为了包罗汽车行业正在内的中国企业青睐的出海国度之一，和其它中东地域阿联酋国度一样，虽然其数据系统正在立法层面上已根基成立，但仍有部门尚待完美和批改的处所；此外，正在法律层面，其目前亦暂无明白的尺度供企业正在权衡风险时进行参考。这种不确定性对于企业开展数据合规工做而言既是挑和，也是机缘。对于中国车企而言，先行开展合规调研，连系企业正在本地的成长规划，以恰当的径积极开展合规工做，是避免数据合规惩罚风险的最佳选项；此外，及时关心本地的立法取监管动态，提前做出准确的因应，而不是仅采纳不雅望立场，方能确保企业正在数据合规工做方面一曲位于准确的轨道上。

　　走出去智库（CGGT）特约法令专家、鸿鹄律师事务所（Bird & Bird）合股人龚钰推出中国车企出海合规系列文章，将对中东地域的出海热点国度阿联酋和沙特的数据合规法令框架进行全体的引见，并对中国车企正在出海阿联酋和沙特的过程中，所关心的数据合规沉点问题进行总结取阐发，以期为中国车企出海中东供给关于开展数据合规工做的根基概览。

　　按照PDPL和《施行条例》的，正在特定景象下，数据节制者应进行小我数据处置影响评估，包罗：（1）处置数据；（2）收集、比力或联系关系从分歧来历获得的两个或多个小我数据集；（3）节制者的勾当包罗以下大规模和反复性的勾当之一：处置缺乏完全或部门法令能力的人的小我数据；需要对数据从体进行持续的处置操做；基于新采用的手艺处置小我数据；或基于从动化小我数据处置做出决策。 （4）供给涉及处置小我数据的产物或办事，这可能会对数据从体的现私形成严沉损害。正在完成小我数据处置影响评估后，企业需以书面的形式构成相关评估内容取成果。

　　而正在PDPL届满一周年之际，沙特阿拉伯数据取人工智能办理局（Saudi Data and Artificial Intelligence Authority， “SDAIA”）稠密发布了一系列关于小我数据的实施细则和指南，以期进一步为本地企业落实PDPL的相关要求供给，涵盖数据节制者的注册、DPO的录用、小我数据跨境传输、现私政策制定、需要性准绳、匿名化等多个方面。这些新出台的文件一方面注释、细化了PDPL的，但另一方面仍遗留了一些待进一步注释的问题。再加上目前沙特对于小我数据的法律仍处于初步阶段，缺乏可参照的案例，从而无效规避被惩罚的风险，仍是当下中国车企出海沙特所面对的一大挑和。

　　按照PDPL及《跨境条例》的，小我数据的跨境传输需满脚至多一项特定的目标，此中，取中国企业正在本地开展营业可能相关的目标包罗“取小我数据从体做为一方的合同权利履行相关”、“数据节制者履行其集团总部办理的本能机能” 以及“可以或许为小我数据从体供给办事或使其获益”等目标，此外，任何小我数据的跨境传输需仅限于为实现相关目标而所需的最小数据的小我数据。

　　沙特阿拉伯于 2021 年 9 月公布了首部小我数据保律《小我数据保》（“PDPL”），PDPL是沙特阿拉伯第一部国度层面的数据特地法，并已于 2023 年 9 月 14 日正式生效， 落入沙特PDPL管辖范畴的企业需要正在 2024 年 9 月 14 日之前完成相关合规整改。此外，正在PDPL生效后，取PDPL配套的《小我数据保施行条例》（以下简称“《施行条例》”）也由从管部分发布。相关PDPL的进一步细致引见，请见我们此前草拟的本系列第一篇文章《中国车企出海：阿联酋取沙特阿拉伯数据合规法令框架概览》。

　　1、按照沙特《小我数据保》（PDPL）的，沙特阿拉伯境内进行的任何小我数据处置应恪守PDPL的要求，PDPL也同时合用于位于沙特阿拉伯境外的实体对栖身正在沙特阿拉伯境内小我的小我数据的处置。

　　而第4条第2项，数据节制者正在五类环境中，可宽免跨境传输的白名单或/和最小需要要求，但需恪守相关的恰当保障办法要求。这五类环境中取企业相关的次要有B、C、D三类景象。关于这三种景象，原文的表述别离如下。

　　跨境传输几乎是所有正在沙特展业的中国车企首要考虑的数据合规焦点问题之一。正在PDPL生效届满一周年之际，基于PDPL的全体框架，SDAIA发布了一系列的关于小我数据跨境传输的配套，包罗《小我数据跨境传输实施条例》（Regulation on Personal Data Transfer Outside the Kingdom，以下简称“《跨境条例》”）、《具有束缚力的公共法则（BCR）指南》（Guidelines for Binding Common Rules (BCR) for Personal Data Transfers）以及《小我数据跨境传输尺度合同条目》（Standard Contractual Clauses for Personal Data Transfers）等，上述文件的发布进一步完美了目前沙特的数据跨境监管系统，也为企业实施相关的合规办法供给了步履。对于中国企业而言，正在本地开展小我数据的跨境传输合规工做中，出格留意以下要点。

　　取其它国度或地域的小我数据保律雷同，按照沙特PDPL的，处置小我数据需要恪守性根本。准绳上，数据节制者需要取得数据从体的同意来处置其小我数据，该同意需合适以下要求：（1）赐与，不得通过性体例获得；（2）处置目标明白、具体，且应向数据从体取得同意之前向数据从体注释和；（3）同意应由具有完全法令能力的人赐与；（4）同意应以可以或许正在将来被验证的体例留存；以及（5）分歧的处置目标需取得零丁的同意。此外，当处置涉及数据、信用数据或者当仅基于从动化的体例处置小我数据而做出决按时，需取得数据从体的明白同意。此外，数据从体有权正在任何时候撤回任何干于小我数据处置的同意，数据节制者需相关流程进行响应。

　　按照PDPL及《跨境条例》的，沙特境内收集的小我数据仅能传输至有脚够的小我数据程度的国度或地域，该目标地的小我数据程度需至多取沙特齐平。沙特的从管机关需正在进行评估后发布上述国度或组织的名称（以下简称“白名单”），但截至目前，白名单国度尚未发布。业界取学者遍及认为，欧盟大要率会呈现正在将来发布的白名单中，但中国能否正在此中并不确定，这也导致部门中国企业考虑将沙特营业的数据存储正在位于欧盟的数据核心。

　　以上的争议点或者说未表述清晰的问题正在于：一是不确定《跨境条例》第4条能否指的是，企业只要正在落入这三种景象时，才能合用跨境传输的三种径；至多从原文表述来看，其似乎表达的是这层意义；（2）良多企业的跨境传输场景城市落入D项的范畴，但D项只给了认证的选项，且要求相关数据不包罗数据；就实践操做来看，若是落入D项的范畴，必需满脚境外领受方获取授权机构颁布的核准证书的前提，实践中可操做性极低，也使得本来建立的数据出境系统的意义大打扣头；（3）从上文来看，数据似乎一般无法通过三种径传输至境外，这无疑也会对中国车企开展营业运营发生必然的障碍。

　　·具有束缚力的公共法则（Binding Common Rules，以下简称“BCR”）， SDAIA于2024年9月2日发布了关于《具有束缚力的公共法则（BCR）指南》，其合用取跨国公司集团内部的小我数据跨境传输，从地舆范畴上来看，BCR应合用于位于沙特境内的数据节制者对境外任何国际或组织进行的小我数据传输。该指南供给了BCR的根基内容以及文件模板。此外，正在本地监管部分的要求下，相关数据节制者需提交BCR至监管部分审核，该指南也供给了提交监管部分审核的文件模板。

　　按照PDPL以及《施行条例》的要求，正在收集小我数据之前，数据节制者需通过现私政策的形式向数据从体奉告关于小我数据收集的相关消息，包罗但不限于收集目标、收集的数据类型、收集、处置、存储以及数据的体例等。2024年9月3日，SDAIA发布了《现私政策制定指南》（Elaboration and Developing Privacy Policy Guideline (EDPP Guideline)），进一步明白了现私政策制定的相关要求。对于车企而言，按照本地的法令要求履行奉告权利是数据合规工做的沉点，应正在官网、车机端以及APP等端口以恰当的形式向顾客奉告其小我数据处置的根基环境。