沙特阿拉伯《个人数据保护法》(PDPL)的执行条例与《境外个人数据传输规定》最终版已于2023年9月7日在官方公报发布,并于2023年9月14日一起生效。这意味着任何在沙特境内处理个人数据、或在境外处理沙特居民个人数据的组织,都进入了一套具备数据主体权利、同意规则、72小时泄露通知与跨境转移限制的完整合规框架。对把中东作为增量市场的出海企业,PDPL 的跨境条款尤其值得关注——它要求对接收国的数据保护水平做 Schrems II 式评估,不达标时可能被迫数据本地化。
TL;DR
PDPL 保护任何可直接或间接识别个人的信息,包括姓名、身份证号、地址、联系电话、照片与视频记录。其适用范围具有域外效力:沙特境内的公司或公共机构以任何方式处理个人数据,以及境外实体处理沙特居民个人数据的情形,都在管辖之内;仅个人与家庭用途的处理被排除。
PDPL 的多数概念与国际主流数据保护法一致:
相较草案,最终版删除了草案第3条对处理法律基础的综合清单,取消了行使数据主体权利须取决于处理法律基础的限制,并在完全自动化决策场景下强制要求明示同意。
《境外个人数据传输规定》主要规范把个人数据传出王国地理边境的情形。依修订后的 PDPL 第29条,控制者向境外转移或披露个人数据,须满足特定前提,例如为保护公共利益或特定个人的生命健康、履行王国作为当事方的国际协议、服务王国利益、履行数据主体义务,或依转移规定允许的其他目的。
法规要求接收国须为个人数据提供“同等的数据保护水平”,即控制者需对接收国做 Schrems II 式评估——这与欧盟在 Schrems II 案后要求的数据转移影响评估(TIA)思路相同。对缺乏适当保护水平的第三国,控制者应先确认该国法律不会损害数据主体的隐私权,并采取适当保障措施:约束性公司规则(BCR)、标准合同条款(SCC)、符合 PDPL 的认定,或具约束力的行为准则。这套“充分性—适当保障—减损”的三层结构,与 GDPR 第44至49条高度呼应;跨境合规的通用做法可参考 noyb 对 Fitbit 跨境转移的 GDPR 申诉与巴西数据保护机构发布的 SCC 条例。
若例外均不适用,控制者须在转移前至少30天向主管部门申请批准,主管部门有30天审查期(可酌情延长)。在这种情况下,企业可能不得不在沙特境内建设数据中心、使用本地服务商,以满足数据本地化要求。
PDPL 让沙特成为中东又一个具备完整跨境转移规则的法域,其结构对熟悉 GDPR 的团队并不陌生,但落地细节需要重新校准。中东、南亚多国近年密集立法,越南、印度也相继出台各自的个人数据保护法(如印度《数字个人数据保护法》),出海企业面对的是一张不断扩张的跨境合规网。建议在进入沙特市场前做三件事:完成向沙特境外转移的接收国评估并备好 SCC/BCR 等保障文件、建立可在72小时内触发的泄露通知流程、并评估在例外不适用时数据本地化的技术与成本可行性。PDPL 及配套规定由沙特数据与人工智能管理局(SDAIA)发布,全文见 https://sdaia.gov.sa/en/SDAIA/about/Pages/PersonalDataProtectionLaw.aspx 。