【沙特隐私保护】沙特阿拉伯发布《个人数据保护法》实施条例

沙特数据与人工智能管理局（SDIAA）于2023年9月7日发布了《沙特个人数据保护法实施条例》，距离该法于2023月14日生效还有一周。这些新规定澄清了组织在宽限期结束前需要实施的许多措施，以遵守PDPL。

《实施条例》和《个人数据传输条例》（统称《条例》）都扩展了PDPL（于2023年3月修订）中概述的一般原则和义务，并对数据控制者提出了新的合规要求。在本文中，我们概述了《条例》引入的关键要求，以及在沙特阿拉伯王国（KSA）开展业务的所有组织的一些具体考虑因素。

《条例》提出了哪些关键要求？

《条例》引入了一些数据保护合规领域的附加条件和要求，包括：

• 数据传输的充分性系统：《个人数据传输条例》允许将个人数据在王国境外传输到SDIA评估为提供适当级别数据保护的国家。《条例》规定了评估标准以及确定和重新评估适当性的程序，但尚未发布适当国家名单。对向不适当国家的转移的豁免包括其他数据保护制度下熟悉的措施，如SDIAA批准的集团内数据转移的约束性公司规则或约束性行为规则、标准合同条款（由SDIAA发布）和SDIAA许可的实体发布的合规证书。在缺乏充分性决定且控制方无法使用任何其他规定措施的情况下，有某些豁免可能允许在有限的情况下进行转让，包括为缔结或执行数据主体为缔约方的协议而需要进行转让的情况。然而，当依赖保障措施或豁免时，或者当转移涉及持续或大规模敏感数据时，控制者必须进行风险评估，以确定转移是否会给数据主体带来高风险。
• 国际数据传输的额外基础：《个人数据传输条例》引入了在KSA之外传输个人数据的额外基础，包括向数据主体提供服务或利益，以及执行操作流程，使控制者能够开展其活动（包括中央行政部门的操作）。
• 同意：如果一个组织依赖个人的同意来处理其个人数据，则必须自由给予此类同意，处理目的必须明确和具体，并且每个处理目的都必须获得独立同意。同意书还必须记录在案，并且必须由具有完全法律行为能力的人提供。在某些情况下，需要“明确”同意，包括处理涉及敏感数据、信用数据和完全基于自动处理的决策。
• 处理数据的合法利益基础：《条例》要求控制者在依赖其合法利益作为处理的法律基础时，必须满足特定条件，包括平衡数据主体的权益与控制者的合法利益。在依赖这一理由处理个人数据时，控制者还必须进行合法利益评估。
• 数据处理者：控制者必须与第三方处理者签订包含特定信息的协议，包括处理者承诺在不无故拖延的情况下通知控制者个人数据泄露，以及确认数据处理者或将向其披露个人数据的任何其他方聘请的任何分包商。加工商在与子加工商签订合同时必须满足特定条件，包括事先获得控制者的批准。控制器负责验证处理器是否符合PDPL和条例。
• 数据主体权利：《条例》规定了有关数据主体权利的新细节和要求，并要求控制者在30天内回应数据主体请求。如果响应请求需要意外或不寻常的额外努力，或者控制器收到来自数据主体的多个请求，则可以再延长30天。跨国组织应注意，这比GDPR下的时间更短，GDPR允许复杂或多次请求最多三个日历月。
• 数据泄露通知：《条例》确认，控制者必须在意识到个人数据泄露后72小时内向SDIAA通知个人数据泄露，并且必须立即通知数据主体。向国家药品监督管理局和数据主体报告违规行为的门槛似乎相似：如果违规行为可能对个人数据（或数据主体，在向国家药品监管局发出通知的情况下）造成损害，或与其权利或利益相冲突，则应向国家药品药品监督管理总局和数据主体进行报告。
• 数据保护影响评估（DPIA）：《条例》规定了需要DPIA的进一步情况。如果处理涉及敏感数据，则必须完成DPIA；控制器收集、比较或链接从不同来源获得的两组或多组个人数据；控制人的活动包括对完全或部分缺乏法律行为能力的个人的个人数据进行系统的大规模处理；该活动涉及处理本质上需要对数据主体进行持续监控的操作；该活动涉及使用新技术处理个人数据；该活动涉及根据个人数据的自动处理做出决策；处理涉及提供涉及处理可能对数据主体隐私造成严重损害的个人数据的产品或服务。《条例》还规定了DPIA中应至少包含的信息。
• 广告和直销：出于广告和直销目的处理个人数据需要征得同意。控制者还必须提供一种简单的机制，使数据主体能够随时停止接收广告和营销材料。
• 数据保护官员（DPO）：条例规定了控制者何时必须任命一名或多名负责保护个人数据的人员（即DPO）。情况包括控制方是提供包括大规模数据处理在内的服务的公共实体；其中控制器的主要活动基于需要对数据主体进行定期和系统监控的处理操作；以及控制器的主要活动基于敏感数据的处理。DPO可以是控制者或外部承包商的官员或雇员。因此，组织可以在内部任命或聘请提供DPO服务的第三方公司。然而，《条例》并未规定DPO是否应设在沙特王国。预计将有更多关于DPO任命的规则。
• 国家控制人登记：《条例》重新引入了向SDIAA登记控制人的要求（之前已从修订后的PDPL中删除）。SDIA将发布在国家注册中心注册的规则，并将规定哪些控制人必须注册。
• 处理活动记录（ROPA）：与其他数据保护制度不同，《条例》规定，控制者必须在从事相关处理活动期间以及处理活动结束后的五年内保留ROPA。《条例》还规定了ROPA中应包含的信息，例如对控制人采取的组织、行政和技术措施的描述。

还引入了额外的控制和要求，用于处理科学和研究目的的数据，以及处理健康数据和信贷数据，包括采用和应用相关监管机构（如卫生部和沙特阿拉伯中央银行）发布的要求和控制。

公司下一步应该做什么？

PDPL为组织在生效日期后合规提供了12个月的宽限期，因此PDPL的全面执行应从2024年9月14日开始。随着《条例》的实施，以补充该法建立的框架，所有寻求在KSA或与KSA开展业务的组织都有了更清晰的合规途径。应尽早采取措施：

• 评估与KSA相关的数据处理活动，以了解PDPL和法规的影响，以及与之保持一致所需的任何运营变更。
• 获得高级管理层的支持，以实施采用新的或更新的数据保护框架可能需要的更改。这可能是一项复杂的工作，高级管理层必须了解不遵守PDPL可能产生的风险，包括金融制裁（如潜在的罚款和赔偿要求）、刑事处罚和声誉损害。
• 需要制定或审查政策、流程和合同，以评估是否需要更新以考虑新的权利和义务，特别是响应数据主体请求的法定截止日期。
• 控制人需要评估是否需要任命DPO，如果需要，确保在宽限期结束前任命。
• 公司应记录其持有的个人数据，以实施和维护ROPA，并遵守PDPL下的其他治理要求。
• 需要制定或更新安全违规政策和程序，以确保遵守突出显示的违规通知截止日期。
• 管制员将被要求就PDPL和条例的条款和原则对工作人员进行培训。组织将需要时间将数据保护嵌入到业务文化和运营流程中。
• 我们与许多组织合作，帮助他们了解并实施遵守世界各地数据保护法的必要措施。我们在中东的数据隐私和网络安全专家团队密切监测了PDPL（和其他地区立法）的发展，以帮助我们的客户应对合规挑战。

如果您想了解如何创建有效的隐私框架的更多信息，或对PDPL和法规提出建议，请联系我们。