沙特阿拉伯(KingdomofSaudiArabia“KSA”,简称“沙特”)作为中东地区的主要经济体和汽车市场,是中国汽车品牌近两年出海的重要目标之一。近年来,随着沙特实施“2030愿景”计划,推动经济多元化和数字化转型,数据隐私成为了沙特政府和企业的重要议题。沙特制定有专门的数据隐私保护立法,并于近月颁布了多部配套条例,明确细化了数据处理规则,这给中国车企在当地展业带来了合规挑战。
本文将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手,拆解沙特数据隐私保护法律要求,为中国汽车出海沙特提供参考。
一、数据隐私保护法律监管体系
沙特的数据保护一般立法包括《个人数据保护暂行条例》(PersonalDataProtectionInterimRegulations,PDPIR)[1]、《个人数据保护法》(PersonalDataProtectionLaw,PDPL)[2]、《个人数据保护法实施条例》(theImplementingRegulationofthePersonalDataProtectionLaw,PDPLIR)[3]和《个人数据跨境传输条例》(RegulationonPersonalDataTransferoutsidetheKingdom,PDTR)[4](为行文简洁,后面两部条例下文统称为“配套条例”)。
其中,PDPIR是由国家数据治理办公室(NDMO)于2020年6月1日发布的《国家数据治理条例》(NationalDataGovernanceInterimRegulations,NDGIR)[5]中的一部分,并非专门的个人数据保护立法。
目前,沙特暂未就汽车领域颁布专门的数据隐私保护法律。
目前,沙特承担数据保护监管职责的主要是沙特数据与人工智能管理局(SDAIA)与国家数据治理办公室(NDMO)。
二、沙特数据隐私保护的一般规则
1.适用范围
不论是PDPIR还是PDPL,均具有域内效力与域外效力。根据PDPL第2条,PDPL适用于沙特境内的所有个人数据处理活动以及在境外处理沙特居民个人数据的活动,不适用个人或家庭目的在家庭或有限的社交圈内处理个人数据的活动。
2.个人数据/敏感个人数据的定义
3.义务主体
与GDPR相同,PDPL采取了“控制者”与“处理者”二分概念。根据PDPL第1条,“数据控制者”是指明数据处理目的和方式的任何公共实体、自然人或企业法人,无论该数据由控制者还是处理者处理;“数据处理者”是指为控制者之利益并代表控制者处理个人数据的任何公共实体、自然人或企业法人。
4.告知与合法性基础
数据控制者在收集个人数据前应履行告知义务,并具备处理的合法性基础。具体而言,根据PDPL第4、13条以及PDPLIR第4条,控制者应在收集个人数据前告知个人如下事项:i)控制者的身份、联系方式以及与控制者沟通的渠道;ii)控制者指定的数据保护官的联系方式(如适用);iii)收集和处理个人数据的法律依据和具体、清晰、明确的目的;iv)个人数据的保存期限,如果无法提供具体期限,则说明用于确定保存期限的标准;v)说明数据主体的权利以及行使该等权利的机制;vi)说明如何撤销数据主体对处理个人数据的同意;vii)解释收集或处理个人数据是强制性的还是选择性的。
根据PDPL第6条、PDPLIR第16条,控制者可以依赖的合法性基础包括:
ii)处理符合数据主体的实际利益,但与数据主体的沟通不可能或困难;
iii)处理是根据其他法律或履行数据主体作为一方的先前协议;
iv)如果控制者是公共机构,处理是为了安全目的或满足司法要求;
v)在不违反法律规定、不损害数据主体的权利和利益且不涉及处理敏感个人数据的前提下,处理是为了控制者的合法利益(如披露欺诈行为、保障网络信息安全)。
5.数据合作
根据PDPL第8条、PDPLIR第17条,数据控制者选择合作方时应确保合作方可落实数据保护义务,并应向数据主体告知合作方的名称或类型,与合作方订立数据保护协议(在双方系独立的数据控制者的情况下无强制要求)。
数据控制者与处理者之间的协议须包括:a)处理目的;b)处理的个人数据类别;c)处理期限;d)数据处理者承诺在发生个人数据泄露时,按照法律规定及时通知数据控制者;e)澄清数据处理者是否受其他国家法规的约束以及对其遵守法律及其规定的影响;f)根据适用法律强制披露个人数据时,无需事先征得数据主体的同意,但数据处理者须通知控制者此类披露事宜;g)列明处理者的任何分包商或将向其披露个人数据的任何其他方。
6.数据本地存储
7.数据跨境转移
b)第三国缺乏充分个人数据保护水平情形下采取“适当措施”,即具有约束力的公司规则(BCRs)、标准合同条款(SCCs)或符合PDPL及其条例规定的认证,或有约束力的行为准则等;
c)无“充分个人数据保护水平”且无“适当措施”,符合特定豁免条件,包括为履行合同所必需、为保障数据主体的重大利益所必需(如为保护数据主体的生命或重大利益或为检查疾病等极端必要的情况)、为维护国家安全或公共利益所必需(控制者需为公共机构)、为开展刑事侦查等所必需(控制者需为公共机构)。
除遵守以上数据跨境规则外,控制者在开展数据跨境转移时,还应满足以下要求:i)跨境转移不损害国家安全或重大利益;ii)跨境转移的个人数据仅限于所需的最小必要范围;iii)基于“适当措施”或“特定豁免条件”开展数据跨境转移,或持续大规模向境外传输敏感数据,须开展数据跨境风险评估。
8.数据主体权利
9.数据保护负责人
根据PDPL第30条、PDPLIR第32条,在如下情况下,数据控制者应任命一人或多人担任数据保护官:a)控制者为公共机构,涉及大规模处理个人数据;b)控制者定期或持续大规模监控个人的情形;c)控制者的核心活动是处理敏感个人数据。
数据保护官或数据保护负责人可以是控制者的雇员,亦可是外部供应商。
10.数据安全事件处置
三、沙特汽车领域高频场景数据隐私合规要点
1.汽车营销场景
·隐私通知:
根据PDPL第12、13条,汽车销售商应在收集消费者个人数据前提供隐私通知,告知消费者以下内容:收集者身份、数据收集的目的、方式和合法性基础、收集该数据是强制性或选择性、存储、处理和销毁方式(不会以不符合收集目的的方式处理个人数据)、个人数据披露和传输情况、未完成个人数据收集可能产生的影响和风险、数据主体权利和行权方式等。在发送营销内容时,应表明汽车企业的身份信息,不应进行匿名化处理。
·电子邮件/短信营销:
根据PDPL、PDPLIR第29条,汽车企业在向消费者发送营销信息前应事先获得其同意,并向消费者提供选择退出的机制,且退出机制应简单、直接、同等便利[6]。如消费者拒绝或撤回同意,汽车企业应立即停止发送营销信息或开展营销活动。
2.汽车金融场景
·告知数据共享的情况:
如涉及向银行、融资租赁公司、保险公司等提供消费者数据的,根据PDPL第10、13条以及沙特阿拉伯金融管理局(SAMA)发布的《个人融资租赁机动车辆综合保险规则》(RulesforComprehensiveInsuranceofMotorVehiclesFinanciallyLeasedtoIndividuals)第6条[8],汽车企业应通过隐私通知等向涉及的个人信息主体告知对外提供个人数据的情况,并取得个人信息主体的同意。
·汽车保险场景下个人数据保护要求:
3.车联网场景
·数据本地化:
根据沙特阿拉伯信息和通信技术委员会(CITI)发布的《物联网监管框架》(InternetofThings(IoT)regulationframework)[10]第7条,车联网服务提供商应当将提供车联网服务的所有服务器设置在沙特阿拉伯境内并将数据存储在沙特阿拉伯境内。
·提供保存和维护数据的技术能力:
根据《物联网监管框架》第7条,车联网服务提供商必须在车联网设备中提供保存和维护数据的技术能力,以便在不少于12个月内或CITI规定的任何其他期限内对数据进行审查。
4.充电场景
·遵循数据保护一般规则:
汽车企业应当遵守PDPL规定的数据保护原则(包括合法、目的限制、数据最小化等)和数据处理的一般规则(参见第二部分)。
5.自动驾驶场景
·开展个人信息保护影响评估(PIA):
根据PDPL、PDPLIR第25条,自动驾驶场景可能构成大规模持续监控数据主体及适用自动化技术处理数据的情形,需按规定开展PIA,评估数据处理活动可能对数据主体造成的实质影响与风险,并留存书面文件。评估内容包括:a)处理目的、合法事由、数据类型、数据主体等基本数据处理活动信息;b)处理活动涉及的各方主体与其法律关系;c)实现处理目的的必要性与相称性评估;d)对个人的影响,包括身体、心理、财务、社会关系等多方面的影响评估;e)为规避风险采取的措施及措施的适当性分析。
如涉及委托处理者处理数据(采购第三方自动驾驶能力),汽车企业还应提供一份PIA报告副本至数据处理者。
6.售后维修
汽车企业应当遵守PDPL规定的数据保护原则(包括合法、目的限制、数据最小化等)和数据处理的一般规则(特别是数据跨境转移、委托处理等规则)(参见第二部分)。
7.OTA汽车远程升级
沙特并非联合国《1958年协定书》和《关于软件升级和软件升级管理系统的汽车型式批准统一规定》(UNRegulationNo.156-Softwareupdateandsoftwareupdatemanagementsystem,UNR156)的缔约方,因此我们理解R156在沙特不具有强制性。