《条例》作为沙特阿拉伯《个人数据保护法》(简称“PDPL”)修订后的配套实施细则,详尽界定了个人数据自沙特向境外传输的具体实施细节。该修订版的PDPL已于2023年9月14日正式实施,显著放宽了以往对个人数据跨境传输的部分限制。值得注意的是,PDPL为各企业设定了一年的宽限期,该期限将于2024年9月14日届满,期间企业需积极开展自我合规审查工作,以确保所有操作均严格遵循PDPL的最新规定与要求。
品诚梅森律师事务所数据隐私法领域的专家Zil Rehman强调指出,作为首要步骤,企业需根据该法和《条例》,从“规定的合法目的”范畴中,审慎选择适用于其向沙特境外传输个人数据的具体理由或依据。
Rehman表示: “最符合企业需求的目的是为了执行集团内的统一数据处理活动,以使数据控制者能够开展其业务,并向个人数据主体提供服务或福利。”
与英国及欧盟采用的《通用数据保护条例》(GDPR)相似,个人数据仅能传输至那些能够提供适当数据保护水平的国家。沙特的数据保护监管机构——沙特数据与人工智能管理局(SDAIA),将对接收方所在的国家作出所谓的 “充分性认定” ,并公布能够提供适当个人数据保护水平的国家或国际组织的名单。然而,截至目前,该监管机构尚未正式发布获得充分性认定的司法管辖区的清单。
但也存在一些例外情形,即使目的地国家未能提供适当级别的数据保护水平,企业可以通过实施适当的保障措施进行数据传输。依据《条例》,适当的保障措施包括标准合同条款、约束性通用规则以及认证证书。
SDAIA 还发布了个人数据跨境传输的标准合同条款和约束性通用规则指南。
Rehman 强调: “企业应仔细参考SDAIA发布的相关指南,以确保所有必要的保障措施得以妥善实施。值得注意的是,关于标准合同条款和约束性通用规则的指南与欧盟《通用数据保护条例》(GDPR)在理念上存在相似之处,但二者在具体条款与要求上并不完全吻合。因此,在依据GDPR原则制定的现有数据跨境传输协议应用于向沙特以外国家转移数据时,企业需细致识别并适当调整其中的差异,以确保合规性。”
此外,《条例》明确规定了向沙特境外转移数据前必须进行风险评估的情境,并详细列出了风险评估应涵盖的关键要素。
具体而言,基于“适当保障措施”开展数据跨境转移,以及在连续或大规模进行敏感个人数据的跨境传输的情况下,均须执行严格的风险评估流程。
与GDPR一脉相承,与自沙特向境外进行数据跨境传输相关的保护措施也适用于已传输给境外实体的个人数据的后续传输。
品诚梅森上海办公室公司业务团队的资深顾问辛亮补充说:“我们提醒在沙特运营的中资企业在与中国总部进行数据传输时,需充分注意数据合规义务,尽早开展风险评估,并选择最合适的传输机制。由于沙特法律和中国法律对个人信息(尤其是敏感个人信息)的定义和分类不尽相同,识别数据出境场景时,应结合所在行业和客户性质综合评估风险。必要时,应聘请当地数据保护专家协助进行此类工作。”