沙特数据合规：法律背景、合规框架与实施策略——以互联网企业入驻沙特为例

前言

近年来，随着数字经济的迅猛发展和信息技术的广泛应用，数据隐私和信息安全问题在全球范围内引起了广泛关注。沙特作为中东地区的核心国家之一，为了吸引更多国际企业和投资，确保数据保护的法律环境与国际标准接轨，增强投资者信心，于2021年9月17日颁布了出台了《个人数据保护法》，翻开了个人数据保护的新篇章。2023年9月7日，沙特数据和人工智能管理局发布了《沙特个人数据保护法实施条例》和《沙特个人数据跨境传输条例》，对《个人数据保护法》的实施细节和具体规定进行补充。《个人数据保护法》与两项条例均已于2023年9月14日正式生效。以上立法活动旨在保护个人数据，保障用户隐私，提升数据处理的透明度和安全性。在这一背景下，进入沙特市场的互联网企业需要高度重视数据合规，确保在数据收集、处理和存储过程中符合当地法律要求，保障用户的隐私和数据安全。

NO.1

数据合规基本框架

合规通常指的是企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及企业章程、相关规章制度等要求，是企业健康稳定发展的必要前提。数据合规是合规工作的重要组成部分，是指企业在数据收集、处理、存储、传输和销毁等全过程中，遵循相关法律法规和行业标准的要求，确保数据处理活动合法合规，保障数据主体的隐私权和信息安全。沙特为了保护个人数据，提升数据处理的透明度和安全性，制定了《个人数据保护法》及其实施条例。这些法律法规明确了企业在数据处理活动中的责任和义务，要求企业采取必要的技术和管理措施，保障数据主体的权利和数据的安全。出海沙特的企业只有及时调整企业的数据合规策略，才能更好地在沙特健康安全的发展。

从实践的角度看，数据合规体系应当包含科学的组织架构和完善的数据管理制度，在沙特也存在建立数据合规体系的科学架构、完善管理制度的必要性。

1、组织架构合规

组织架构的设计包含管理机构、执行人员、部门设置、岗位职责和监督体系等。

根据沙特《个人数据保护法实施条例》第三十二条，企业的数据管理机构为数据保护负责人（Data Protection Officer ,DPO）。DPO的职责主要如下：

（1）作为与主管部门的直接联系人，执行主管部门的有关决定和指示；

（2）向主管部门报告数据泄漏事件；

（3）监督企业的个人数据处理行为、影响评估程序、审计行为，并提出建议；

（4）处理企业与个人数据相关的违规行为，并采取相应的纠正措施；

（5）确保数据主体能够行使其权利，回应数据主体的请求；

（6）处理数据主体的投诉。

欧盟《通用数据保护条例》（即“GDPR”）首次以法律的形式明确规定了数据保护负责人制度。沙特的数据保护负责人制度与GDPR高度相似，在DPO的设立上，二者都只对特定类型的企业（公共机构、对数据进行大规模定期监控的主体、处理特定类型数据的主体）提出了设立DPO的强制性要求；在DPO的职能上，沙特的DPO制度特别强调了对数据泄露事件的报告义务与处理数据主体投诉的义务。

出于合规考虑，笔者建议有条件设立DPO的企业应及时设立该岗位，该举措可以大大降低合规风险，并与监管机构建立起相应的联系机制，及时获取监管动态，对企业的健康发展大有裨益。

2、数据管理制度

数据管理制度规定了企业在数据的收集、存储、使用、加工、传输、提供、公开等全过程中应当遵守的行为规范。这包括但不限于操作流程、行为规范、权利义务的划定以及约束激励机制的建立等内容。搭建一个完善的数据管理体系有助于规范企业的数据处理行为，确保其合法、规范、安全地运作。

数据管理制度涉及的规范要点如下表：

企业需要重点关注数据泄露的应对机制，沙特的法律法规高度重视对数据泄露事件的防范与处理。除了建立DPO制度外，企业应建立完善的数据泄露应急响应计划。该计划应包括数据泄露的识别、评估、报告、修复和后续管理的各个环节。企业需定期进行安全审计和监控，以尽早发现潜在的安全漏洞和威胁。同时，企业需制定详细的数据泄露应急预案，确保在发生数据泄露时，能够迅速启动应急响应机制，采取有效的修复措施，减少数据泄露对用户和企业造成的损害。

此外，企业需确保数据主体的权利能够得到充分保障。在数据泄露事件发生后，企业应及时通知受影响的数据主体，告知他们可能受到的风险和采取的补救措施，帮助他们降低因数据泄露带来的风险。同时，企业应建立畅通的投诉和反馈渠道，及时回应数据主体的询问和投诉，维护数据主体的合法权益。

最后，企业应注重员工的数据保护培训，提高全员的数据安全意识和应对能力。通过定期的培训和演练，确保员工能够熟练掌握数据泄露应急预案的各项操作，增强全员在数据保护和数据泄露应对方面的能力。

总之，企业在沙特运营时，需严格遵守《个人数据保护法》及其实施条例的规定，建立相应的数据管理制度，最大限度的保护用户的数据安全和隐私权。”

NO.2

合规策略及措施

由于沙特的法律体系和文化与我国存在较大差异，企业在当地的合规资源与经验由相对不足，加上沙特监管和合规环境复杂，在沙特投资的企业短时间内建立完善的数据合规体系相对困难。因此，可以采取分步推进的策略，在完成数据合规基本框架搭建的前提下优先解决高风险性的合规点（如外部数据处理者的选择，数据安全与数据主体隐私的保障等），并针对重点细分领域（如生物信息等特殊数据的保护、第三方SDK管理等）进行优先落实。

以下是笔者整理的实务中常用的合规措施，以供大家参考：

1、制定配套用户规则

制定配套用户规则是实务中最常用的合规措施，具体包含隐私政策的制定、算法规则的制定和特殊数据处理规则的制定。

（1）隐私政策

隐私政策的制定需要遵循透明度和明确性原则，即隐私政策应清晰、透明，详细说明数据的收集、使用、共享和存储方式，确保用户能够理解其数据将如何被处理。

此外，用户同意亦是隐私政策的关键内容，根据《个人数据保护法》第五条第一款的规定，企业在推进相关数据的处理工作前应获得用户的明确同意，并提供便捷的方式让用户随时撤回同意。

以外卖企业为例，其在用户注册和使用应用程序时，需要提供一份详细的隐私政策，解释收集的个人数据（如姓名、地址、电话号码、订单记录等）的用途，并明确用户同意这些数据处理的方式。同时，企业应在应用程序中设置“隐私设置”选项，方便用户随时查看和修改隐私偏好。需要特别注意的是，沙特《个人数据保护法实施条例》第28条对个性化推送作出了特别的规定，企业在隐私政策中应当明示其广告推送的频率、方式、推送者身份信息等内容，并为用户提供拒绝个性化推送的选项。

（2）算法规则

企业应确保算法使用的透明，事先向用户解释算法如何处理其数据，以及算法决策可能带来的影响。同时，企业有义务确保算法的设计和应用不带有偏见，避免在数据处理和决策过程中出现歧视性结果。

以外卖企业为例，外卖企业在推荐餐厅或优惠时，应向用户解释推荐算法的基本原理，例如基于用户的历史订单、评价和位置等信息。同时，应确保算法不因种族、性别、宗教等因素对用户产生不公正的影响，并定期审核和调整算法以消除潜在偏见。特别是在沙特这样的多元文化和宗教背景的国家，企业更需要高度重视这一点。沙特社会高度重视宗教信仰和文化传统，任何涉及宗教的算法偏见都可能引发严重的社会和法律问题。企业在沙特运营时应特别关注算法在推荐餐厅、配送时间和服务质量等方面的公平性。外卖平台的算法如果因宗教因素对特定用户群体产生不公正的影响，例如优先向特定宗教背景的用户推荐某些餐厅，或者在斋月期间未考虑穆斯林用户的特殊需求，可能会导致用户的不满和投诉，甚至面临法律诉讼。

为了避免这些问题，外卖企业可以在算法设计和运营过程中，考虑沙特的宗教节日和习俗，例如在斋月期间调整推荐和配送策略，满足穆斯林用户的需求。同时，企业应确保平台上的餐厅和服务能满足不同宗教和文化背景用户的需求，提供符合伊斯兰教义的清真食品等。

（3）特殊数据处理规则

沙特对健康数据、遗传数据、敏感数据和信用数据等特殊数据有着更为严格的保护要求，以健康数据为例，《个人数据保护法实施条例》第二十六条对处理健康数据提出了额外要求，具体包括企业应遵循卫生部、卫生委、央行、保险委等机构对健康数据的监管要求；及时调整内部政策以符合法律要求；合理分配员工职责；记录处理过程；最小化处理等。故企业应当针对此类数据制定相应的处理规则以适应法律要求。

以外卖企业为例，如果外卖企业需处理用户的健康数据（如过敏信息、健康偏好等），则应制定严格的处理规则，确保这些数据仅用于提供个性化服务（如避免过敏原），并且采取高级别的安全措施保护数据的机密性和完整性。健康数据的处理规则至少应当包括最小化处理原则、知情同意原则、数据加密和安全存储原则、限制访问权限、匿名化和去标识化、定期安全审计和监控等。

2、制定数据合规清单

数据合规清单可以让用户清晰明确的了解其个人数据将被企业以何种形式进行处理，有效的保障了用户的知情权。通常来说，企业至少应当制定第三方SDK清单、个人数据清单、对外提供清单等合规清单。

（1）第三方SDK清单

第三方SDK清单可以系统化地管理和监控企业应用程序中使用的所有第三方软件开发工具包（SDK），确保这些SDK的使用符合数据保护和隐私法律法规的要求。该清单可以帮助企业和用户有效地控制和监控第三方SDK的使用。

以下是制定该清单需要注意的一些要点：

a.列出企业应用程序中使用的所有第三方SDK，包括其名称、版本和提供商；

b.记录每个SDK的具体用途，例如广告、分析、支付、社交媒体集成等；

c.评估SDK如何处理、存储和传输个人数据，是否进行数据加密，数据处理是否符合沙特数据保护法规的要求；

d.确认SDK提供商是否具备相关的数据保护合规认证。

以外卖企业为例，其应列出所有用于支付处理、地图导航、数据分析和社交媒体集成的第三方SDK，并详细记录每个SDK的用途、数据处理方式及合规情况。定期审查SDK提供商的合规认证和数据保护措施，确保其符合沙特的数据保护法规。

（2）个人数据清单

《个人数据保护法实施条例》第三十三条规定了企业需要书面记录个人数据处理活动，以确保个人数据处理活动的合法合规。从实践经验来看，完善的个人数据清单是相对合适的记录方式。个人数据清单至少应当包含：控制者的名称和相关联系方式；有关数据保护负责人的信息；个人数据处理的目的；个人数据类别和数据主体类别；保存期限；个人数据披露者的类别；确保个人数据安全的程序和组织、行政和技术措施；数据出境法律依据和接收方信息（如涉及到数据出境）。

以外卖企业为例，其在个人数据清单中应详细说明所收集数据的处理目的、保存期限和安全措施。确保数据主体能够随时访问和更正其个人数据，并在合适的情况下删除不再需要的数据。

（3）对外提供清单

对外提供清单详细的记录着作为数据控制者的企业向外部第三方（数据处理者）提供数据的情况，至少应当包括以下内容：数据类型、第三方信息（名称、联系方式、负责人、数据处理水平及资质等）、提供目的、提供方式、安全措施、保留期限、法律依据、用户权利等。

以外卖企业为例，应在该清单中记录外卖配送服务提供商、支付处理机构、营销合作伙伴等第三方的信息，明确提供的数据类型、提供目的和安全措施。确保所有第三方数据处理者均签署数据保护协议，并符合沙特《个人数据保护法实施条例》第十七条对关于选择处理者的规定。

（4）数据处理者协议

企业在向第三方提供数据前必须签订数据处理者协议，明确约定数据处理者的权利与义务。根据实施条例的规定及笔者的实践经验，协议通常包含下述条款：

a.数据的处理目的和范围

b.数据处理者的义务

c.数据处理者应当采取的安全措施

d.数据处理者在发生数据泄漏事件时的通知义务

e.澄清处理者是否受其他国家法规的约束，以及对其遵守沙特《个人数据保护法》及实施条例的影响

f.提供处理者委托的任何分包商，或将接收披露个人数据的任何其他方

g.数据主体的权利

h.协议的期限

i.审计

j.责任和赔偿

以外卖企业为例，其在与配送服务提供商签订数据处理者协议时，详细规定配送服务过程中涉及的用户数据（如配送地址和联系方式）的使用目的、安全措施和保密义务。确保配送服务提供商在数据泄漏事件发生时及时通知企业，（以符合《个人数据保护法实施条例》第十七条第二款的规定）并采取必要的应急措施。

（5）用户请求响应

建立用户请求响应机制是保障数据主体合法权利的必然要求，也是贯彻沙特《个人数据保护法》及施行条例的应有之义。该机制由实体权利告知和权利实现程序两部分组成，企业应当通过隐私政策、用户手册、注册或登录页面显著提示、定期推送等形式来告知用户享有的数据权利，并提供便捷的权利实现通道供用户选择。

以下是权利实现程序的示例，谨供大家参考：

1.用户请求的提交

用户可以通过以下方式提交其数据保护权利请求：

在线表单：在企业网站或应用上提供标准化的在线请求表单，表单设计应简洁明了，符合伊斯兰文化审美。

电子邮件：提供专门的电子邮件地址用于接收用户的权利请求，邮件地址应尊重当地文化。

电话热线：设置客户服务电话，接受用户的口头请求求，电话服务应尊重沙特的语言习惯和宗教礼仪。

邮寄地址：提供邮寄地址供用户发送书面请求，建议在企业办公地点设置专门区域接收邮件，确保信件处理的隐私和安全。

2.请求处理流程

企业应设立标准化的处理流程，以高效、透明地响应用户的权利请求。

a.请求接收和确认

接收：在接收用户请求后，记录请求的详细信息，包括请求类型、用户身份、提交日期等。

确认：在收到请求后，向用户发送确认通知，告知其请求已收到，并提供预计处理时间，确保通知语言和方式符合伊斯兰礼仪。

b.身份验证

为了确保用户请求的合法性和安全性，企业应进行身份验证。

验证步骤：通过验证用户提供的身份信息（如身份证件、联系方式等）确认其身份。

通知用户：在身份验证过程中，如果需要额外信息，通知用户所需提供的验证材料。

c.请求处理

根据不同的请求类型，企业应进行相应的处理，以访问请求为例，企业应准备用户个人数据副本，并在合理时间内提供。

d.通知用户

在处理完成后，通知用户请求的处理结果，包括请求结果、处理措施以及进一步步骤（如投诉的话提供相应监管机构的联系方式）

e.记录和存档

企业应记录和存档所有用户请求及其处理情况，以备未来审计和合规检查使用。

需要注意的是，沙特是一个以伊斯兰教为主的国家，其法律和社会规范深受伊斯兰教义的影响。因此，企业在设计和实施用户请求响应机制时，需要特别考虑以下方面：

隐私保护：特别注意女性用户的数据隐私保护，避免因文化差异而引发敏感问题。

尊重本地习俗：在与用户互动时，使用尊重和符合当地文化的沟通方式，特别是在涉及个人数据时。

NO.3

结语

综上所述，企业在进入沙特市场时，必须严格遵守《个人数据保护法》及其相关条例，并采取适当的措施以确保数据合规。这不仅涉及到数据收集、处理、存储和传输的各个环节，还需特别注意以下几点：

1.文化和宗教敏感性

沙特法律和社会规范深受伊斯兰教义的影响，因此企业在设计数据管理和用户互动机制时，应特别注意尊重当地的宗教信仰和文化习俗。例如，在处理用户请求时，应确保语言和方式符合伊斯兰教礼仪，并注意女性用户的数据隐私保护。

2.数据泄露应急机制

企业必须建立全面的数据泄露应急响应计划，确保在数据泄露事件发生时能够迅速启动应急机制，采取有效的修复措施，减少对用户和企业的损害。包括定期进行安全审计和监控，及时发现并解决潜在的安全漏洞。

3.用户权益保障

企业需确保用户的知情权、访问权、修改权和删除权等数据保护权利得到充分保障。在发生数据泄露事件后，企业应迅速通知受影响的用户，告知风险和补救措施，并提供畅通的投诉和反馈渠道。

4.员工培训和意识提升

企业应定期对员工进行数据保护培训，提高全员的数据安全意识和应对能力，确保员工能够熟练掌握应急预案，增强数据保护和数据泄露应对能力。

5.分步推进合规策略

由于沙特的法律和文化环境与其他国家存在较大差异，企业应采取分步推进的合规策略，优先解决高风险的合规点，逐步建立和完善数据合规体系，并针对特定领域的数据保护需求进行优先落实。

通过以上措施，企业不仅可以确保在沙特市场中的数据处理合法合规，还能建立起与监管机构和用户的信任，为企业的长期发展奠定坚实基础。