近年以来,中国车企的出海方兴未艾,从布局趋势上看,中国车企出海业务的热点区域正从传统欧美市场,逐步扩散到中东、拉美、东南亚等新兴区域。尤其是中东地区,随着本地经济体制的改革与创新,越发成为具有活力的经济体,也逐渐成为中国车企出海的焦点地区。
走出去智库(CGGT)特约法律专家、鸿鹄律师事务所(Bird & Bird)合伙人龚钰推出中国车企出海中东合规系列文章,将对中东地区的出海热点国家阿联酋和沙特的数据合规法律框架进行整体的介绍,并对中国车企在出海阿联酋和沙特的过程中,所关注的数据合规重点问题进行总结与分析。以期为中国车企出海中东提供关于开展数据合规工作的基本概览。
今天,走出去智库(CGGT)刊发系列文章之一《阿联酋与沙特阿拉伯数据合规法律框架概览》,供关注中东数据合规的读者参阅。
要点一:阿联酋和沙特阿拉伯的数据保护立法结构与基本内容与欧盟GDPR有相似性,并体现了各自独特的文化、宗教及政体特点。
要点二:阿联酋的《个人数据保护法》(PDPL)于2022年生效,适用于境内外对阿联酋数据主体个人数据进行处理的控制者或处理者。该法律类似于GDPR,对数据处理提出了核心义务,包括合法性基础、告知义务和跨境传输框架。该法律的执行条例尚未公布。
要点三:沙特阿拉伯的《个人数据保护法》(PDPL)于2023年生效,适用于境内外对沙特数据主体个人数据进行处理的控制者或处理者。沙特PDPL与2024年发布的实施条例提出了一系列要求,涵盖合法性基础、告知义务、数据处理协议、数据保护影响评估等,新发布的《跨境传输实施条例》也进一步细化了跨境传输规定。
本文中,我们将对近年来中国车企出海的两个热点国家阿联酋、沙特阿拉伯的整体数据保护的立法结构与基本内容进行介绍。总体来看,两个国家的数据保护立法与欧盟GDPR的基本立法思路存在一定的相似性,并体现了本国特有的文化、宗教以及政体特色。由于两个国家的数据保护立法均生效不久,但内容涵盖全面,规则较为复杂,对于出海企业而言,了解两国基本的立法架构与逻辑,是开展本地数据合规工作的第一步。
1.1 阿联酋法律体系介绍
阿拉伯联合酋长国是由迪拜、阿布扎比、沙迦、阿治曼、富查伊拉、乌姆盖万、哈伊马角七个酋长国组成的联邦制君主国。
阿联酋联邦政府统一管理国防、外交、通信、教育、劳工、货币政策、银行和证券等关键领域,并负责制定这些领域联邦层面的政策、法律法规。每个酋长国都有自己的统治者以及仅适用于本酋长国管辖范围的规则和条例。各酋长国还建立了若干经济自由贸易区,以鼓励经济发展,并针对自由贸易区在外资所有权、税收和监管方面制定了独特的商贸友好型法律。自由贸易区可以自行制定自己的规则和条例,但联邦层面和酋长国的相关法律仍然适用于那些自由贸易区没有特别规定的领域。其中较为著名的自由贸易区包括:专注于银行、金融和专业服务的迪拜国际金融中心;作为银行、保险、资产管理和金融科技的金融中心的阿布扎比全球市场;作为迪拜最大、最古老的自由区之一,以贸易、物流和制造业而闻名的杰贝阿里自由区;阿勒马克图姆国际机场所在地、提供包括物流和航空在内各种商业活动的迪拜世界中心。
1.2 阿联酋联邦立法PDPL剖析
1.2.1 适用范围和配套法规
在个人数据保护立法方面,关于个人数据保护的第 45/2021 号联邦法令《个人数据保护法》(以下简称“阿联酋PDPL”)[1]已于 2022 年 1 月 2 日生效,该法令旨在规范相关个人数据处理活动和保障数据主体的权益。
从适用范围来看,阿联酋PDPL不仅具有域内适用效力,即适用于位于阿联酋境内,对阿联酋境内或境外的数据主体的个人数据进行处理活动的数据控制者或处理者,还具有域外适用效力。阿联酋PDPL也适用于位于阿联酋境外、对阿联酋境内的数据主体的个人数据进行处理活动的数据控制者或处理者;例如,如果一家位于中国的企业向阿联酋境内的个人通过网站提供在线购物服务,并因此处理了相关阿联酋用户的个人信息,那么该中国企业也需要遵守阿联酋PDPL的规定。
需注意的是,阿联酋PDPL不适用于政府、执法和司法机关对个人信息的处理活动、个人因个人事务进行的处理活动,以及政府数据、健康数据、银行信贷领域数据的处理活动;这些领域的数据处理活动受其他特定的法规管辖。此外,阿联酋PDPL也不适用于设立于自由贸易区并受制于相关自由贸易区特定数据保护立法的实体。
阿联酋PDPL配套的执行条例(“PDPL执行条例”)原本计划于 2022 年 3 月公布,其旨在细化PDPL项下的义务和为企业提供更具体的合规指南。然而PDPL执行条例推迟公布,其公布日期目前仍未确定。根据阿联酋PDPL规定,自PDPL执行条例公布之日起,企业有 6 个月的时间采取整改行动确保合规。
1.2.2 核心义务概要
类似于欧盟的《通用数据保护条例》(“GDPR”)和我国的《个人信息保护法》(“PIPL”),阿联酋PDPL也从数据处理的全生命周期对数据控制者提出了系列要求。以下我们就其中的部分核心义务进行介绍。
就数据处理的合法性基础而言,阿联酋PDPL禁止在未经数据主体同意的情况下处理个人数据。不过也设立了例外的处理合法性基础,例如:(1)为订立、修改、履行、终止数据主体作为一方当事人的合同;(2)保护公共利益;(3)保护数据主体的利益;(4)处理已由数据主体自身行为而公开可获得的数据;(5)履行雇佣、社会保障或社会保护等方面的法律义务等。值得注意的是,“合法利益”这一在GDPR和其他地区数据保护法中较为常见的合法性基础,并未出现在阿联酋PDPL中。同GDPR、PIPL对同意的要求一样,阿联酋PDPL也要求控制者确保获得的个人同意必须是数据主体在清晰、简单、明确和易于理解的方式下提供的,并且充分告知数据主体有权随时撤回其同意。
就告知义务的履行而言,数据控制者必须在开始处理之前向个人充分告知下述事项:处理、收集数据的目的和收集数据的合法原因,是否会将个人数据共享给任何位于阿联酋境内或境外的组织机构,以及在涉及数据跨境传输时采取的保护措施。此外,数据主体也有权知悉下述事项:处理的个人数据的种类;是否存在自动化决策;个人数据存储期限的标准;更正、删除或限制处理以及拒绝处理个人数据的程序;发生个人数据泄露时数据控制者采取的应对措施;向主管机关投诉的程序等。
若数据控制者委托处理者代表其处理个人数据,则必须与处理者签订数据处理协议,要求处理者按照控制者的指示进行处理。该等数据处理协议需要明确处理范围、处理对象、处理目的、处理的性质、处理的个人数据类型以及数据主体的类别。除规定控制者和处理者双方就数据处理活动各自的权利义务外,数据处理协议还应明确规定处理者必须遵守的最低限度条款(例如,在合同结束时删除或移交个人数据,或配合控制者提出的审计要求[2])。类似于GDPR对处理活动记录的要求,阿联酋PDPL也要求数据控制者和处理者保存处理活动记录。
阿联酋PDPL要求控制者在开展相关数据处理活动前,综合考虑数据处理的性质、范围及目的,评估拟开展的处理活动对个人数据的潜在影响,尤其是在使用任何可能对个人数据的隐私和机密性构成高风险的现代技术时。特别地,下述两大类场景下,控制者必须开展数据保护影响评估:(1)如果处理过程涉及基于自动化处理(包括画像)对数据主体的个人资料进行系统而全面的评估,并将产生法律后果或对数据主体造成严重影响;(2)处理大量敏感个人信息。请注意,阿联酋PDPL并未对此处的“大量”进行界定,但我们预计PDPL执行条例将对此予以明确。
阿联酋PDPL也构建了基本的跨境传输框架。个人数据可以被转移到阿联酋境外,只要接收数据的国家的现行法律能够提供“足够水平的保护”,类似于GDPR下欧盟委员会做出充分性认定的白名单国家。但截止目前,阿联酋主管机关尚未发布白名单国家清单。在当前没有保护充分性决定的情况下,阿联酋PDPL也而提供了一些例外情况,满足下列情形之一的也可将个人数据转移到没有充分保护水平的国家:(1)合同保障:传输数据的两个组织之间可以签订合同或协议,适用阿联酋PDPL的规定、措施、控制和要求;[3](2)明确同意:数据主体明确同意其数据被转移至境外;(3)合同义务:为签订或履行数据主体与控制者之间的合同,或是为实现数据主体利益而促进控制者与第三方之间的合同而进行的必要传输;(4)法律义务:为履行义务以及向司法机关证明、行使或捍卫权利而进行的必要传输,以及为执行国际司法合作相关程序所必需的传输;(5)数据跨境传输是保护公共利益所必需的。
1.3 自由贸易区DIFC、ADGM的数据合规立法介绍
阿联酋自由贸易区迪拜国际金融中心(Dubai International Financial Centre,以下简称“DIFC”)和阿布扎比全球市场(Abu Dhabi Global Market,以下简称“ADGM”)已经通过了适用于其自贸区的隐私保护法。在DIFC和ADGM设立的实体以及在DIFC范围内通过稳定安排处理个人信息的公司需要评估是否落入DIFC和ADGM自贸区数据保护法。
相比于阿联酋PDPL而言,DIFC和ADGM的数据保护立法更为细致、全面,并且DIFC和ADGM各自的数据保护主管机关也发布了系列指南、模板供数据处理者参考,例如:数据保护影响评估模板、数据泄露通知模板、跨境传输白名单和标准合同条款等。中国目前并不是DIFC和ADGM认可的跨境传输白名单国家。
沙特阿拉伯于 2021 年 9 月颁布了首部全面、统一的数据保护法《个人数据保护法》(“沙特PDPL”)。沙特PDPL是沙特阿拉伯第一部国家层面的数据保护专门法,已于 2023 年 9 月 14 日正式生效。沙特PDPL普遍适用于各个行业,但部分行业(如金融等)的特定行业法规也对相关行业的个人信息处理活动进行了特别规定。
2023年9月,沙特阿拉伯数据与人工智能管理局(Saudi Data and Artificial Intelligence Authority, “SDAIA”)正式发布《个人数据保护法实施条例》和《个人数据跨境传输实施条例》,这些实施条例对沙特PDPL的相关要求进行细化规定。2024年3月,SDAIA新发布了对于《个人数据跨境传输实施条例》的进一步修正草案。
1.1 沙特PDPL核心义务介绍
沙特PDPL旨在规范沙特阿拉伯境内进行的任何个人数据处理,该等处理也包括位于沙特阿拉伯境外的实体对居住在沙特阿拉伯境内个人的个人数据的处理。换言之,沙特PDPL不仅适用于沙特境内处理自然人个人信息的活动,也适用于沙特境外公司处理沙特境内自然人个人信息的活动。落入沙特PDPL管辖范围的企业需要在 2024 年 9 月 14 日之前完成相关合规整改。
类似于GDPR和PIPL,沙特PDPL也按照数据处理的全生命周期的脉络对数据控制者提出了系列要求。以下我们将列举分析沙特PDPL和配套《个人数据保护法实施条例》项下的部分核心义务。
就数据处理的合法性基础而言,沙特PDPL 规定,控制者或处理者在处理数据主体的个人数据之前必须事先获得数据主体的同意,但也规定了在下述例外情况下无需获得个人同意也可开展处理活动, 包括:(1)数据处理有利于数据主体的实际利益,并且实际上无法或可能无法联系到数据主体;(2)按照法律规定或是基于数据主体为一方当事人的合同而必须进行的处理;(3)数据控制者是公共实体并且其进行的数据处理对于安全或司法目的是至关重要的;(4)基于数据控制者或另一方的合法利益而进行的必要处理,并且不涉及处理敏感个人信息。
就告知义务的履行来看,数据控制者必须在开始处理之前向个人充分告知下述事项:收集数据的目的和个人数据的种类,收集、处理、存储和销毁数据的方式,以及数据主体的权利及如何行使这些权利。对于直接从数据主体收集个人信息的场景而言,控制者还需告知个人:处理依据的合法性基础、收集数据的主体的身份、数据存储的期限、是否会将数据共享给其他第三方,以及是否会将数据传输到沙特境外等事项。
若数据控制者委托处理者代表其处理个人数据,应当确保处理者可采取有效的保障措施从而保障数据委托处理活动的安全合规,并与委托者签订数据处理协议,要求处理者按照控制者的指示进行处理。该等数据处理协议需要明确:处理目的、处理的个人数据类型、处理的期限、承诺在发生数据泄露时及时通知控制者、处理者是否受其他国家的法规约束以及对其遵守沙特法律法规的影响、是否存在按照沙特本地法规定无需获得数据主体同意的强制性披露其个人信息的情形,以及是否存在帮助委托者处理数据的其他实体。
控制者在开展相关数据处理活动前,需综合考虑数据处理的性质,评估拟开展的处理活动对个人数据的潜在影响。特别地,下述场景下控制者必须开展数据保护影响评估:(1)处理敏感个人信息;(2)收集、比较或融合来自不同来源的个人数据集;(3)对完全或部分缺乏法定能力的数据主体进行系统性大规模的个人数据处理,或对数据主体进行持续的监控,或使用新技术进行个人数据处理,或涉及自动化决策;(4)提供的产品或服务涉及可能对数据主体的权利和隐私造成严重损害的个人数据处理。
更多有关沙特跨境传输法律框架的介绍和最新发展,详见下一节分析。
1.2 PDPL跨境传输执行条例的细化规定
沙特PDPL对个人数据的跨境传输规定了一般的原则,首先,个人数据传输至沙特境外,需要基于以下目的:(1)与沙特王国作为一方的协议的义务履行有关;(2)为沙特王国的利益服务;(3)与个人数据主体作为一方的合同义务履行有关;以及(4)为了满足相关规定中的其它目的。
《个人数据跨境传输实施条例》进一步规定了其它三个目的,包括:(1)数据跨境传输能够使得数据控制者履行其职能(包括中央管理);(2)跨境传输能够为个人数据主体提供服务或使其获益;以及(3)为了实现科学研究的目的。
在上述目的的前提下,《个人数据跨境传输实施条例》规定了数据跨境传输的安全保障体系,主要分为以下三个层次:
· 接受方所在国家的个人数据保护水平的充分性得到沙特本地主管机构的认可,则相关个人数据可直接传输至相应接收方。目前,官方的“白名单”暂未发布,未来发布后,主管部门需每四年对名单审核一次。对于无法通过认可的第三方国家,主管机构将视情况与其达成国际协定进行数据跨境传输或者做出拒绝将其纳入白名单的决定,此外,需要注意的是,被评估的对象除了国家外,也可以包括具体的境外特定的行业以及国际组织;
· 对于未纳入“白名单”的国家,可选择使用适当的安全保障措施来进行跨境传输,包括但不限于:(1)BCR机制(“Binding Common Rules”),该规则需由主管机构批准;(2) SCCs 条款,相关条款模板将由主管机构发布;(3)特定机构实施的合规认证,以及接收方的关于落实适当保障措施的有效承诺;(4)有约束力的行为的行为准则(“Binding Codes of Conduct”),以及接收方的关于落实适当保障措施的有效承诺,该准则需由相关主管部门批准。
· 特定的豁免情形,如果接收方不在白名单范围内的国家,且也无法采取上述的安全保障措施,可仅在以下情形中进行个人数据跨境传输:(1)数据的传输是基于个人数据主体作为合同一方从而需履行合同之必要;(2)传输数据的数据控制者是公共机构,且数据的跨境传输时为了保护王国的国家安全或公共利益之必要; (3)传输数据的数据控制者是公共机构,且数据的跨境传输是为了犯罪调查、侦办,指控犯罪者或者实施处罚制裁之必要;以及(4)数据的跨境传输是基于保护个人数据主体的重大利益之必要,且该等个人数据主体无法被联络。
此外,若出境方依据上述第二项或第三项对外传输个人信息,根据《个人数据跨境传输实施条例》的要求需开展风险评估方可进行,此外,持续向外传输大规模的敏感数据也需要开展风险评估。
以上即为两个国家的数据保护立法的基本介绍,下一篇中,我们将重点阐述目前中国车企出海这两个国家,应如何落实上述的法律要求,以及可能需要的重难点问题。
注释:
1. Federal Decree Law No. 45 of 2021 regarding the Protection of Personal Data.
2. 与GDPR不同,阿联酋PDPL本身没有明确规定具体的审计要求。
3. 我们理解,该条路径类似于GDPR和PIPL项下的个人数据出境标准合同。