汽车出海法律观察系列(三)丨汽车出海数据合规(沙特篇)

沙特阿拉伯(KingdomofSaudiArabia“KSA”,简称“沙特”)作为中东地区的主要经济体和汽车市场,是中国汽车品牌近两年出海的重要目标之一。近年来,随着沙特实施“2030愿景”计划,推动经济多元化和数字化转型,数据隐私成为了沙特政府和企业的重要议题。沙特制定有专门的数据隐私保护立法,并于近月颁布了多部配套条例,明确细化了数据处理规则,这给中国车企在当地展业带来了合规挑战。

本文将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手,拆解沙特数据隐私保护法律要求,为中国汽车出海沙特提供参考。

一、数据隐私保护法律监管体系

沙特的数据保护一般立法包括《个人数据保护暂行条例》(PersonalDataProtectionInterimRegulations,PDPIR)[1]、《个人数据保护法》(PersonalDataProtectionLaw,PDPL)[2]、《个人数据保护法实施条例》(theImplementingRegulationofthePersonalDataProtectionLaw,PDPLIR)[3]和《个人数据跨境传输条例》(RegulationonPersonalDataTransferoutsidetheKingdom,PDTR)[4](为行文简洁,后面两部条例下文统称为“配套条例”)。

其中,PDPIR是由国家数据治理办公室(NDMO)于2020年6月1日发布的《国家数据治理条例》(NationalDataGovernanceInterimRegulations,NDGIR)[5]中的一部分,并非专门的个人数据保护立法。

目前,沙特暂未就汽车领域颁布专门的数据隐私保护法律。

目前,沙特承担数据保护监管职责的主要是沙特数据与人工智能管理局(SDAIA)与国家数据治理办公室(NDMO)。

二、沙特数据隐私保护的一般规则

1.适用范围

不论是PDPIR还是PDPL,均具有域内效力与域外效力。根据PDPL第2条,PDPL适用于沙特境内的所有个人数据处理活动以及在境外处理沙特居民个人数据的活动,不适用个人或家庭目的在家庭或有限的社交圈内处理个人数据的活动。

2.个人数据/敏感个人数据的定义

3.义务主体

与GDPR相同,PDPL采取了“控制者”与“处理者”二分概念。根据PDPL第1条,“数据控制者”是指明数据处理目的和方式的任何公共实体、自然人或企业法人,无论该数据由控制者还是处理者处理;“数据处理者”是指为控制者之利益并代表控制者处理个人数据的任何公共实体、自然人或企业法人。

4.告知与合法性基础

数据控制者在收集个人数据前应履行告知义务,并具备处理的合法性基础。具体而言,根据PDPL第4、13条以及PDPLIR第4条,控制者应在收集个人数据前告知个人如下事项:i)控制者的身份、联系方式以及与控制者沟通的渠道;ii)控制者指定的数据保护官的联系方式(如适用);iii)收集和处理个人数据的法律依据和具体、清晰、明确的目的;iv)个人数据的保存期限,如果无法提供具体期限,则说明用于确定保存期限的标准;v)说明数据主体的权利以及行使该等权利的机制;vi)说明如何撤销数据主体对处理个人数据的同意;vii)解释收集或处理个人数据是强制性的还是选择性的。

根据PDPL第6条、PDPLIR第16条,控制者可以依赖的合法性基础包括:

ii)处理符合数据主体的实际利益,但与数据主体的沟通不可能或困难;

iii)处理是根据其他法律或履行数据主体作为一方的先前协议;

iv)如果控制者是公共机构,处理是为了安全目的或满足司法要求;

v)在不违反法律规定、不损害数据主体的权利和利益且不涉及处理敏感个人数据的前提下,处理是为了控制者的合法利益(如披露欺诈行为、保障网络信息安全)。

5.数据合作

根据PDPL第8条、PDPLIR第17条,数据控制者选择合作方时应确保合作方可落实数据保护义务,并应向数据主体告知合作方的名称或类型,与合作方订立数据保护协议(在双方系独立的数据控制者的情况下无强制要求)。

数据控制者与处理者之间的协议须包括:a)处理目的;b)处理的个人数据类别;c)处理期限;d)数据处理者承诺在发生个人数据泄露时,按照法律规定及时通知数据控制者;e)澄清数据处理者是否受其他国家法规的约束以及对其遵守法律及其规定的影响;f)根据适用法律强制披露个人数据时,无需事先征得数据主体的同意,但数据处理者须通知控制者此类披露事宜;g)列明处理者的任何分包商或将向其披露个人数据的任何其他方。

6.数据本地存储

7.数据跨境转移

b)第三国缺乏充分个人数据保护水平情形下采取“适当措施”,即具有约束力的公司规则(BCRs)、标准合同条款(SCCs)或符合PDPL及其条例规定的认证,或有约束力的行为准则等;

c)无“充分个人数据保护水平”且无“适当措施”,符合特定豁免条件,包括为履行合同所必需、为保障数据主体的重大利益所必需(如为保护数据主体的生命或重大利益或为检查疾病等极端必要的情况)、为维护国家安全或公共利益所必需(控制者需为公共机构)、为开展刑事侦查等所必需(控制者需为公共机构)。

除遵守以上数据跨境规则外,控制者在开展数据跨境转移时,还应满足以下要求:i)跨境转移不损害国家安全或重大利益;ii)跨境转移的个人数据仅限于所需的最小必要范围;iii)基于“适当措施”或“特定豁免条件”开展数据跨境转移,或持续大规模向境外传输敏感数据,须开展数据跨境风险评估。

8.数据主体权利

9.数据保护负责人

根据PDPL第30条、PDPLIR第32条,在如下情况下,数据控制者应任命一人或多人担任数据保护官:a)控制者为公共机构,涉及大规模处理个人数据;b)控制者定期或持续大规模监控个人的情形;c)控制者的核心活动是处理敏感个人数据。

数据保护官或数据保护负责人可以是控制者的雇员,亦可是外部供应商。

10.数据安全事件处置

三、沙特汽车领域高频场景数据隐私合规要点

1.汽车营销场景

·隐私通知:

根据PDPL第12、13条,汽车销售商应在收集消费者个人数据前提供隐私通知,告知消费者以下内容:收集者身份、数据收集的目的、方式和合法性基础、收集该数据是强制性或选择性、存储、处理和销毁方式(不会以不符合收集目的的方式处理个人数据)、个人数据披露和传输情况、未完成个人数据收集可能产生的影响和风险、数据主体权利和行权方式等。在发送营销内容时,应表明汽车企业的身份信息,不应进行匿名化处理。

·电子邮件/短信营销:

根据PDPL、PDPLIR第29条,汽车企业在向消费者发送营销信息前应事先获得其同意,并向消费者提供选择退出的机制,且退出机制应简单、直接、同等便利[6]。如消费者拒绝或撤回同意,汽车企业应立即停止发送营销信息或开展营销活动。

2.汽车金融场景

·告知数据共享的情况:

如涉及向银行、融资租赁公司、保险公司等提供消费者数据的,根据PDPL第10、13条以及沙特阿拉伯金融管理局(SAMA)发布的《个人融资租赁机动车辆综合保险规则》(RulesforComprehensiveInsuranceofMotorVehiclesFinanciallyLeasedtoIndividuals)第6条[8],汽车企业应通过隐私通知等向涉及的个人信息主体告知对外提供个人数据的情况,并取得个人信息主体的同意。

·汽车保险场景下个人数据保护要求:

3.车联网场景

·数据本地化:

根据沙特阿拉伯信息和通信技术委员会(CITI)发布的《物联网监管框架》(InternetofThings(IoT)regulationframework)[10]第7条,车联网服务提供商应当将提供车联网服务的所有服务器设置在沙特阿拉伯境内并将数据存储在沙特阿拉伯境内。

·提供保存和维护数据的技术能力:

根据《物联网监管框架》第7条,车联网服务提供商必须在车联网设备中提供保存和维护数据的技术能力,以便在不少于12个月内或CITI规定的任何其他期限内对数据进行审查。

4.充电场景

·遵循数据保护一般规则:

汽车企业应当遵守PDPL规定的数据保护原则(包括合法、目的限制、数据最小化等)和数据处理的一般规则(参见第二部分)。

5.自动驾驶场景

·开展个人信息保护影响评估(PIA):

根据PDPL、PDPLIR第25条,自动驾驶场景可能构成大规模持续监控数据主体及适用自动化技术处理数据的情形,需按规定开展PIA,评估数据处理活动可能对数据主体造成的实质影响与风险,并留存书面文件。评估内容包括:a)处理目的、合法事由、数据类型、数据主体等基本数据处理活动信息;b)处理活动涉及的各方主体与其法律关系;c)实现处理目的的必要性与相称性评估;d)对个人的影响,包括身体、心理、财务、社会关系等多方面的影响评估;e)为规避风险采取的措施及措施的适当性分析。

如涉及委托处理者处理数据(采购第三方自动驾驶能力),汽车企业还应提供一份PIA报告副本至数据处理者。

6.售后维修

汽车企业应当遵守PDPL规定的数据保护原则(包括合法、目的限制、数据最小化等)和数据处理的一般规则(特别是数据跨境转移、委托处理等规则)(参见第二部分)。

7.OTA汽车远程升级

沙特并非联合国《1958年协定书》和《关于软件升级和软件升级管理系统的汽车型式批准统一规定》(UNRegulationNo.156-Softwareupdateandsoftwareupdatemanagementsystem,UNR156)的缔约方,因此我们理解R156在沙特不具有强制性。

THE END
1.短信麦客CRM短信既是消息触达方式,也是营销与宣传的载体。结合“联系人”模块,麦客可以帮助企业将信息传达给每一位客户。 作为独立、中立的机构,麦客与多家业内领先的短信服务商建立深度合作关系,集各家之所长,实现了短信送达效果的叠加。麦客短信能做什么 海量并发、高效送达 满足多场景营销需求 想开展短信营销? 用麦客,快速稳https://www.mikecrm.com/index_sms.php
2.群发短信在整合营销嘲中的应用分析!所以,群发短信系统在整合营销的场景中,有着不可替代的作用,这得益于群发短信的即时性、高效性、价格低等优势!相比于微信、自媒体等平台,短信的高打开率和高并发,是市场营销推广中最受欢迎的优势之一,亿橙短信平台www.yc106.cn,单次可提交20万条,可支撑亿条级别发送,致力于为用户提供更具竞争力的短信营销解决方案https://m.sohu.com/a/284904541_100044436
3.建设维护微信公众号建设运维抖音企业号建设软件开发短信营销服务 搭建一站式通讯中台 短信 支持验证码、行业通知、会员营销等应用场景。提供接口及Web端发送,多变量等发送形式。 彩信 100K图片实时发送,给用户提供比短信更具冲击力的视觉效果。支持接口及Web端发送。 视频短信 超大容量(2M)音频、视频、图片、文字组合发送,为目标用户提供绝佳的视觉效果。 国际http://www.flyican.com/Smart_home121.html
4.企业营销短信在什么嘲下更适用?1/3二、促销活动通知 在重大节日、纪念日或企业特定的促销时段,短信营销可以及时通知客户参与优惠活动。例如:“[企业名称] 国庆狂欢,全场商品 [X] 折起,满 [金额] 再减 [X] 元!活动时间:[具体日期],快来选购!点击 [链接] 了解更多。” 电商企业可以在 “618”“双十一大促” 等购物节期间,利用短信营销向客户https://maimai.cn/article/detail?fid=1844221052&efid=URMS9awt7ME9pav53kqptA
5.营销短信有哪些应用嘲?短信发送平台怎么使用?短信是一种流行的营销工具,可以用于多种营销和促销场景,帮助企业快速、有效地向客户传递信息和通知。短信营销常用于企业开展促销活动、产品上线推荐、活动邀请、会员关怀等内容,适用于电商、新零售、教育、房地产、餐饮等行业。 接下来思锐短信平台小编为大家整理了“营销短信有哪些应用场景”及“短信发送平台怎么使用”https://www.surlink.com.cn/news/article/245.html
6.短信营销(短信营销实用指南)短信营销不仅覆盖面广,能够直接触达拥有手机的广大用户群体,而且发送简单,无需复杂的技术和设备支持。https://www.jiguang.cn/tips/984
7.淘宝嘲营销短信怎么编辑?有哪些话术?淘宝商家开店过程也是一个营销的过程,短信营销已经存在很多年了,现在仍然存在短信营销的。 有些淘宝商家想要使用场景短信进行营销引流,但是不了解怎样操作,下面小编就来介绍一下淘宝场景营销短信怎样修改? 有哪些话术? 淘宝场景营销短信怎样修改? 常见的营销类文案组合思路:主题句+亮点活动+网址/旺旺ID。 https://m.musicheng.com/news/i558074.html
8.群发短信字数限制有哪些?掌握群发短信内容的字数限制标准1、短信营销场景 短信营销:便捷、高效,增加客户触点,提高广告投放的回报率,适用于会员专享折扣、忠诚客户优惠、圣诞节和新年特卖等场景。 2、短信通知场景 短信通知结合语音双呼,增强信息传递的安全性和有效性,适用于告警通知、医疗保险更新通知、公司政策和规定更新等场景。 https://www.surbiz.com/news/article/4040.html
9.移动短信平台:为营销增添新动力(5)低成本:相比传统媒体广告,短信营销的成本更低,尤其适合中小企业。通过短信平台,企业可以以较低的成本实现大规模的营销推广。 2. 应用场景 (1)促销活动通知:如“全场满200立减38上不封顶,热销品限量秒19.9元起”。这类信息能够迅速吸引用户的注意力,激发他们的购买欲望。 https://www.jpush.cn/tips/1010
10.会员管理实操:惠管家高效率全嘲会员营销功能·惠管家【营销短信】,点对点信息推送,客户高效触达,商家根据不同营销场景及对应场景下的高精准客户,智能推送活动促销、新品上架、节日问候、客户召回、生日特权等精准营销短信,锁定用户需求,提高会员留存率,减少会员流失,更支持短信“自定义签名”,让你的短信一眼被看到,提升短信转化效果,真正做到老客不丢、新客不断https://www.xa-pos.com/5517.html
11.5G消息增强短信红包短信卡片短信短信升级嘲智能营销5G消息 增强短信 红包短信 卡片短信 短信升级 场景智能营销是基于腾讯云的服务,智慧认证大数据x5G消息,数智时代的运营利器https://market.cloud.tencent.com/products/37691
12.5G消息能否改变银行营销生态?泰迪熊移动总经理深度解读如果说5G消息是运营商为夺回传统通讯地位所做的努力和尝试,那么作为传统短信渠道的“大客户”,银行又能为银行的营销生态带来哪些改变呢?泰迪熊移动金融解决方案总经理韩海龙对银行传统短信营销场景的变革进行了深入解读,并对未来5G消息的新生态进行了展望。 https://m.bjhwtx.com/h-nd-198113.html
13.神策营销云平台化应用实践数据分析那些事儿的技术博客基于以上营销引擎,神策可以从能力上、从场景上满足企业更多更复杂的业务需求。神策提出营销应用的概念,一个营销应用能够支持一个或者多个闭环的营销场景,比如神策自研的 SCMS、SCRM、SLink。 1、SCMS:活动营销场景一站式闭环解决方案 SCMS 来源于神策底层营销引擎和数据平台提供的能力,能够解决企业数据采集成本高、活动触https://blog.51cto.com/u_14438762/5994472
14.淘客短信渠道违规推广规则解读TaoKeShow短信营销渠道中常见的违规词表举例 特别提醒 签名即【】中出现阿里集团官方名称如“淘宝网”、“淘宝”、“天猫”等将按照“短信渠道违规推广”的严重违规处理(site-18分/次,且不予结算site渠道的佣金)。 短信营销渠道中特殊词使用场景说明 违规扣分:0分/次—轻度 site-18分/次—严重 https://www.taokeshow.com/19478.html
15.常见的几种短信应用嘲时至今日,短信经过了移动互联网的冲击后,聊天、通讯的功能越来越弱,人们可能已很少打开“短信”窗口与亲朋联系,但作为通知、提醒、验证身份等等功能越来越加强,各行各业都开始注重短信的使用,短信依旧以各种形式“永久存在”,是我们不可或缺的沟通工具。以下是短信目前的一些使用场景,不完全举例: https://www.emay.cn/article1078.html
16.拼多多直播人气怎么提升?有哪些方法?短信营销工具的成本低,可以触达大量级群体,是非常高效的。现在短信营销工具也上线了直播专属短信发送场景,商家发送之后,用户可点击短信链接直接跳转至直播间,方便快捷。 当然各位商家还可以提前一两天通过短信进行直播预告,突出直播的时间,并在短信中插入店铺主页链接,来加深用户的印象。 https://www.maijia.com/article/556527
17.泰迪未来科技—消息嘲消息嘲消息泰迪移动场景消息,可基于用户行为,通过短信、挂机、位置场景触发多种富媒体消息推送,有文本 、卡片 、多图文、视频、 位置、音频、快应用等多种邢式,场景消息单独存在于短信列表内,为客户提供千人千面的智慧场景营销服务。https://www.teddymobile.cn/scenicProduct
18.短信的服务能力和应用嘲!行业新闻传信网从标准能力来看,短信可以传递文本信息和实现基本交互功能;从业务应用能力来看,短信可以应用于身份验证与通知、营销推广与宣传以及客户服务与支持等方面;从互联网能力来看,短信可以与社交媒体、移动应用以及大数据和人工智能等技术结合,实现更智能的处理和分析。这些服务能力和应用场景使得短信在日常生活和工作中发挥着重要http://www.tosms.cn/View-3A851A88EBED6920B33916A23597C8CA.html