中東數據合規｜中國車企出海：阿聯酋與沙特阿拉伯數據合規法律框架概覽_風聞

走出去智庫（CGGT）觀察

近年以來，中國車企的出海方興未艾，從佈局趨勢上看，中國車企出海業務的熱點區域正從傳統歐美市場，逐步擴散到中東、拉美、東南亞等新興區域。尤其是中東地區，隨着本地經濟體制的改革與創新，越發成為具有活力的經濟體，也逐漸成為中國車企出海的焦點地區。

走出去智庫（CGGT）特約法律專家、鴻鵠律師事務所（Bird & Bird）合夥人龔鈺推出中國車企出海中東合規系列文章，將對中東地區的出海熱點國家阿聯酋和沙特的數據合規法律框架進行整體的介紹，並對中國車企在出海阿聯酋和沙特的過程中，所關注的數據合規重點問題進行總結與分析。以期為中國車企出海中東提供關於開展數據合規工作的基本概覽。

今天，走出去智庫（CGGT）刊發系列文章之一《阿聯酋與沙特阿拉伯數據合規法律框架概覽》，供關注中東數據合規的讀者參閲。

要點

要點一：阿聯酋和沙特阿拉伯的數據保護立法結構與基本內容與歐盟GDPR有相似性，並體現了各自獨特的文化、宗教及政體特點。

要點二：阿聯酋的《個人數據保護法》（PDPL）於2022年生效，適用於境內外對阿聯酋數據主體個人數據進行處理的控制者或處理者。該法律類似於GDPR，對數據處理提出了核心義務，包括合法性基礎、告知義務和跨境傳輸框架。該法律的執行條例尚未公佈。

要點三：沙特阿拉伯的《個人數據保護法》（PDPL）於2023年生效，適用於境內外對沙特數據主體個人數據進行處理的控制者或處理者。沙特PDPL與2024年發佈的實施條例提出了一系列要求，涵蓋合法性基礎、告知義務、數據處理協議、數據保護影響評估等，新發布的《跨境傳輸實施條例》也進一步細化了跨境傳輸規定。

正文

本文中，我們將對近年來中國車企出海的兩個熱點國家阿聯酋、沙特阿拉伯的整體數據保護的立法結構與基本內容進行介紹。總體來看，兩個國家的數據保護立法與歐盟GDPR的基本立法思路存在一定的相似性，並體現了本國特有的文化、宗教以及政體特色。由於兩個國家的數據保護立法均生效不久，但內容涵蓋全面，規則較為複雜，對於出海企業而言，瞭解兩國基本的立法架構與邏輯，是開展本地數據合規工作的第一步。

1. 阿聯酋數據合規法律框架概覽

1.1阿聯酋法律體系介紹

阿拉伯聯合酋長國是由迪拜、阿布扎比、沙迦、阿治曼、富查伊拉、烏姆蓋萬、哈伊馬角七個酋長國組成的聯邦制君主國。

阿聯酋聯邦政府統一管理國防、外交、通信、教育、勞工、貨幣政策、銀行和證券等關鍵領域，並負責制定這些領域聯邦層面的政策、法律法規。每個酋長國都有自己的統治者以及僅適用於本酋長國管轄範圍的規則和條例。各酋長國還建立了若干經濟自由貿易區，以鼓勵經濟發展，並針對自由貿易區在外資所有權、税收和監管方面制定了獨特的商貿友好型法律。自由貿易區可以自行制定自己的規則和條例，但聯邦層面和酋長國的相關法律仍然適用於那些自由貿易區沒有特別規定的領域。其中較為著名的自由貿易區包括：專注於銀行、金融和專業服務的迪拜國際金融中心；作為銀行、保險、資產管理和金融科技的金融中心的阿布扎比全球市場；作為迪拜最大、最古老的自由區之一，以貿易、物流和製造業而聞名的傑貝阿里自由區；阿勒馬克圖姆國際機場所在地、提供包括物流和航空在內各種商業活動的迪拜世界中心。

1.2阿聯酋聯邦立法PDPL剖析

1.2.1適用範圍和配套法規

在個人數據保護立法方面，關於個人數據保護的第 45/2021 號聯邦法令《個人數據保護法》（以下簡稱“阿聯酋PDPL****”）[1]已於 2022 年 1 月 2 日生效，該法令旨在規範相關個人數據處理活動和保障數據主體的權益。

從適用範圍來看，阿聯酋PDPL不僅具有域內適用效力，即適用於位於阿聯酋境內，對阿聯酋境內或境外的數據主體的個人數據進行處理活動的數據控制者或處理者，還具有域外適用效力。阿聯酋PDPL也適用於位於阿聯酋境外、對阿聯酋境內的數據主體的個人數據進行處理活動的數據控制者或處理者；例如，如果一家位於中國的企業向阿聯酋境內的個人通過網站提供在線購物服務，並因此處理了相關阿聯酋用户的個人信息，那麼該中國企業也需要遵守阿聯酋PDPL的規定。

需注意的是，阿聯酋PDPL不適用於政府、執法和司法機關對個人信息的處理活動、個人因個人事務進行的處理活動，以及政府數據、健康數據、銀行信貸領域數據的處理活動；這些領域的數據處理活動受其他特定的法規管轄。此外，阿聯酋PDPL也不適用於設立於自由貿易區並受制於相關自由貿易區特定數據保護立法的實體。

阿聯酋PDPL配套的執行條例（“PDPL執行條例****”）原本計劃於 2022 年 3 月公佈，其旨在細化PDPL項下的義務和為企業提供更具體的合規指南。然而PDPL執行條例推遲公佈，其公佈日期目前仍未確定。根據阿聯酋PDPL規定，自PDPL執行條例公佈之日起，企業有 6 個月的時間採取整改行動確保合規。

1.2.2核心義務****概要****

類似於歐盟的《通用數據保護條例》（“GDPR”）和我國的《個人信息保護法》（“PIPL”），阿聯酋PDPL也從數據處理的全生命週期對數據控制者提出了系列要求。以下我們就其中的部分核心義務進行介紹。

就數據處理的合法性基礎而言，阿聯酋PDPL禁止在未經數據主體同意的情況下處理個人數據。不過也設立了例外的處理合法性基礎，例如：（1）為訂立、修改、履行、終止數據主體作為一方當事人的合同；（2）保護公共利益；（3）保護數據主體的利益；（4）處理已由數據主體自身行為而公開可獲得的數據；（5）履行僱傭、社會保障或社會保護等方面的法律義務等。值得注意的是，“合法利益”這一在GDPR和其他地區數據保護法中較為常見的合法性基礎，並未出現在阿聯酋PDPL中。同GDPR、PIPL對同意的要求一樣，阿聯酋PDPL也要求控制者確保獲得的個人同意必須是數據主體在清晰、簡單、明確和易於理解的方式下提供的，並且充分告知數據主體有權隨時撤回其同意。

就告知義務的履行而言，數據控制者必須在開始處理之前向個人充分告知下述事項：處理、收集數據的目的和收集數據的合法原因，是否會將個人數據共享給任何位於阿聯酋境內或境外的組織機構，以及在涉及數據跨境傳輸時採取的保護措施。此外，數據主體也有權知悉下述事項：處理的個人數據的種類；是否存在自動化決策；個人數據存儲期限的標準；更正、刪除或限制處理以及拒絕處理個人數據的程序；發生個人數據泄露時數據控制者採取的應對措施；向主管機關投訴的程序等。

若數據控制者委託處理者代表其處理個人數據，則必須與處理者簽訂數據處理協議，要求處理者按照控制者的指示進行處理。該等數據處理協議需要明確處理範圍、處理對象、處理目的、處理的性質、處理的個人數據類型以及數據主體的類別。除規定控制者和處理者雙方就數據處理活動各自的權利義務外，數據處理協議還應明確規定處理者必須遵守的最低限度條款（例如，在合同結束時刪除或移交個人數據，或配合控制者提出的審計要求[2]）。類似於GDPR對處理活動記錄的要求，阿聯酋PDPL也要求數據控制者和處理者保存處理活動記錄。

阿聯酋PDPL要求控制者在開展相關數據處理活動前，綜合考慮數據處理的性質、範圍及目的，評估擬開展的處理活動對個人數據的潛在影響，尤其是在使用任何可能對個人數據的隱私和機密性構成高風險的現代技術時。特別地，下述兩大類場景下，控制者必須開展數據保護影響評估：（1）如果處理過程涉及基於自動化處理（包括畫像）對數據主體的個人資料進行系統而全面的評估，並將產生法律後果或對數據主體造成嚴重影響；（2）處理大量敏感個人信息。請注意，阿聯酋PDPL並未對此處的“大量”進行界定，但我們預計PDPL執行條例將對此予以明確。

阿聯酋PDPL也構建了基本的跨境傳輸框架。個人數據可以被轉移到阿聯酋境外，只要接收數據的國家的現行法律能夠提供“足夠水平的保護”，類似於GDPR下歐盟委員會做出充分性認定的白名單國家。但截止目前，阿聯酋主管機關尚未發佈白名單國家清單。在當前沒有保護充分性決定的情況下，阿聯酋PDPL也而提供了一些例外情況，滿足下列情形之一的也可將個人數據轉移到沒有充分保護水平的國家：（1）合同保障：傳輸數據的兩個組織之間可以簽訂合同或協議，適用阿聯酋PDPL的規定、措施、控制和要求；[3]（2）明確同意：數據主體明確同意其數據被轉移至境外;（3）合同義務：為簽訂或履行數據主體與控制者之間的合同，或是為實現數據主體利益而促進控制者與第三方之間的合同而進行的必要傳輸；（4）法律義務：為履行義務以及向司法機關證明、行使或捍衞權利而進行的必要傳輸，以及為執行國際司法合作相關程序所必需的傳輸;（5）數據跨境傳輸是保護公共利益所必需的。

1.3自由貿易區DIFC****、ADGM的數據合規立法介紹****

阿聯酋自由貿易區迪拜國際金融中心（Dubai International Financial Centre，以下簡稱“DIFC”）和阿布扎比全球市場（Abu Dhabi Global Market，以下簡稱“ADGM”）已經通過了適用於其自貿區的隱私保護法。在DIFC和ADGM設立的實體以及在DIFC範圍內通過穩定安排處理個人信息的公司需要評估是否落入DIFC和ADGM自貿區數據保護法。

相比於阿聯酋PDPL而言，DIFC和ADGM的數據保護立法更為細緻、全面，並且DIFC和ADGM各自的數據保護主管機關也發佈了系列指南、模板供數據處理者參考，例如：數據保護影響評估模板、數據泄露通知模板、跨境傳輸白名單和標準合同條款等。中國目前並不是DIFC和ADGM認可的跨境傳輸白名單國家。

2. 沙特數據合規法律框架概覽

沙特阿拉伯於 2021 年 9 月頒佈了首部全面、統一的數據保護法《個人數據保護法》（“沙特********PDPL”）。沙特PDPL是沙特阿拉伯第一部國家層面的數據保護專門法，已於 2023 年 9 月 14 日正式生效。沙特PDPL普遍適用於各個行業，但部分行業（如金融等）的特定行業法規也對相關行業的個人信息處理活動進行了特別規定。

2023年9月，沙特阿拉伯數據與人工智能管理局（Saudi Data and Artificial Intelligence Authority, “SDAIA”）正式發佈《個人數據保護法實施條例》和《個人數據跨境傳輸實施條例》，這些實施條例對沙特PDPL的相關要求進行細化規定。2024年3月，SDAIA新發布了對於《個人數據跨境傳輸實施條例》的進一步修正草案。

1.1沙特PDPL核心義務介紹

沙特PDPL旨在規範沙特阿拉伯境內進行的任何個人數據處理，該等處理也包括位於沙特阿拉伯境外的實體對居住在沙特阿拉伯境內個人的個人數據的處理。換言之，沙特PDPL不僅適用於沙特境內處理自然人個人信息的活動，也適用於沙特境外公司處理沙特境內自然人個人信息的活動。落入沙特PDPL管轄範圍的企業需要在 2024 年 9 月 14 日之前完成相關合規整改。

類似於GDPR和PIPL，沙特PDPL也按照數據處理的全生命週期的脈絡對數據控制者提出了系列要求。以下我們將列舉分析沙特PDPL和配套《個人數據保護法實施條例》項下的部分核心義務。

就數據處理的合法性基礎而言，沙特PDPL 規定，控制者或處理者在處理數據主體的個人數據之前必須事先獲得數據主體的同意，但也規定了在下述例外情況下無需獲得個人同意也可開展處理活動, 包括：（1）數據處理有利於數據主體的實際利益，並且實際上無法或可能無法聯繫到數據主體；（2）按照法律規定或是基於數據主體為一方當事人的合同而必須進行的處理；（3）數據控制者是公共實體並且其進行的數據處理對於安全或司法目的是至關重要的；（4）基於數據控制者或另一方的合法利益而進行的必要處理，並且不涉及處理敏感個人信息。

就告知義務的履行來看，數據控制者必須在開始處理之前向個人充分告知下述事項：收集數據的目的和個人數據的種類，收集、處理、存儲和銷燬數據的方式，以及數據主體的權利及如何行使這些權利。對於直接從數據主體收集個人信息的場景而言，控制者還需告知個人：處理依據的合法性基礎、收集數據的主體的身份、數據存儲的期限、是否會將數據共享給其他第三方，以及是否會將數據傳輸到沙特境外等事項。

若數據控制者委託處理者代表其處理個人數據，應當確保處理者可採取有效的保障措施從而保障數據委託處理活動的安全合規，並與委託者簽訂數據處理協議，要求處理者按照控制者的指示進行處理。該等數據處理協議需要明確：處理目的、處理的個人數據類型、處理的期限、承諾在發生數據泄露時及時通知控制者、處理者是否受其他國家的法規約束以及對其遵守沙特法律法規的影響、是否存在按照沙特本地法規定無需獲得數據主體同意的強制性披露其個人信息的情形，以及是否存在幫助委託者處理數據的其他實體。

控制者在開展相關數據處理活動前，需綜合考慮數據處理的性質，評估擬開展的處理活動對個人數據的潛在影響。特別地，下述場景下控制者必須開展數據保護影響評估：（1）處理敏感個人信息；（2）收集、比較或融合來自不同來源的個人數據集；（3）對完全或部分缺乏法定能力的數據主體進行系統性大規模的個人數據處理，或對數據主體進行持續的監控，或使用新技術進行個人數據處理，或涉及自動化決策；（4）提供的產品或服務涉及可能對數據主體的權利和隱私造成嚴重損害的個人數據處理。

更多有關沙特跨境傳輸法律框架的介紹和最新發展，詳見下一節分析。

1.2PDPL跨境傳輸****執行條例的細化規定****

沙特PDPL對個人數據的跨境傳輸規定了一般的原則，首先，個人數據傳輸至沙特境外，需要基於以下目的：（1）與沙特王國作為一方的協議的義務履行有關；（2）為沙特王國的利益服務；（3）與個人數據主體作為一方的合同義務履行有關；以及（4）為了滿足相關規定中的其它目的。

《個人數據跨境傳輸實施條例》進一步規定了其它三個目的，包括：（1）數據跨境傳輸能夠使得數據控制者履行其職能（包括中央管理）；（2）跨境傳輸能夠為個人數據主體提供服務或使其獲益；以及（3）為了實現科學研究的目的。

在上述目的的前提下，《個人數據跨境傳輸實施條例》規定了數據跨境傳輸的安全保障體系，主要分為以下三個層次：

· 接受方所在國家的個人數據保護水平的充分性得到沙特本地主管機構的認可，則相關個人數據可直接傳輸至相應接收方。目前，官方的“白名單”暫未發佈，未來發布後，主管部門需每四年對名單審核一次。對於無法通過認可的第三方國家，主管機構將視情況與其達成國際協定進行數據跨境傳輸或者做出拒絕將其納入白名單的決定，此外，需要注意的是，被評估的對象除了國家外，也可以包括具體的境外特定的行業以及國際組織；

· 對於未納入“白名單”的國家，可選擇使用適當的安全保障措施來進行跨境傳輸，包括但不限於：（1）BCR機制（“Binding Common Rules”），該規則需由主管機構批准;(2) SCCs 條款，相關條款模板將由主管機構發佈；（3）特定機構實施的合規認證，以及接收方的關於落實適當保障措施的有效承諾；（4）有約束力的行為的行為準則(“Binding Codes of Conduct”），以及接收方的關於落實適當保障措施的有效承諾，該準則需由相關主管部門批准。

· 特定的豁免情形，如果接收方不在白名單範圍內的國家，且也無法採取上述的安全保障措施，可僅在以下情形中進行個人數據跨境傳輸：（1）數據的傳輸是基於個人數據主體作為合同一方從而需履行合同之必要；（2）傳輸數據的數據控制者是公共機構，且數據的跨境傳輸時為了保護王國的國家安全或公共利益之必要；     （3）傳輸數據的數據控制者是公共機構，且數據的跨境傳輸是為了犯罪調查、偵辦，指控犯罪者或者實施處罰制裁之必要；以及（4）數據的跨境傳輸是基於保護個人數據主體的重大利益之必要，且該等個人數據主體無法被聯絡。

此外，若出境方依據上述第二項或第三項對外傳輸個人信息，根據《個人數據跨境傳輸實施條例》的要求需開展風險評估方可進行，此外，持續向外傳輸大規模的敏感數據也需要開展風險評估。

以上即為兩個國家的數據保護立法的基本介紹，下一篇中，我們將重點闡述目前中國車企出海這兩個國家，應如何落實上述的法律要求，以及可能需要的重難點問題。

註釋：

1. Federal Decree Law No. 45 of 2021 regarding the Protection of Personal Data.

2. 與GDPR不同，阿聯酋PDPL本身沒有明確規定具體的審計要求。

3. 我們理解，該條路徑類似於GDPR和PIPL項下的個人數據出境標準合同。