1 适用范围
1.1 2020年6月,沙特通信与信息技术委员会(“CITC”)颁布的《个人数据隐私管理规定》(The General Rules for Maintaining thePrivacy of Users’ Personal Data,以下简称“《规定》”)和《发布个人数据相关产品和服务的程序性要求》(Procedures for Launching Services orProducts Relying on Users’ Personal Data or Personal Data Sharing,以下简称“《程序》”)[1]先后生效,预计将对沙特企业业务的开展和后续其他立法产生较大影响。
1.2 管谁——人
1.2.1 管理对象/义务主体:所有通信、IT或邮政服务的提供商(Service Provider,以下简称“SP”)。
1.2.2 保护对象/权利主体:使用通信、IT或邮政服务的自然人用户。
1.3 管什么东西——个人数据(Personal Data):
1.3.1 能够直接或间接识别用户个人身份的信息,都属于个人数据;
1.3.2 包括但不限于:姓名、身份证件号、地址、联系方式、各类登记编号、个人财产信息、银行账号、信用卡号、个人照片或视频,以及其他与个人相关的数据。
1.4 管什么事——处理和泄露个人数据的行为:
1.4.1 对个人数据进行处理的任何行为,包括系统自动处理与人工手动处理,包括但不限于:收集、传输、存储、分享、损坏(damage)、分析、识别数据类型。
1.4.2 泄露个人数据行为的特征:
(a) 公开披露(disclosing)、小范围透露(divulging)、出版发表(publishing)、提供或获取得以接入个人数据的权限;
(b) 没有合法理由;
(c) 不考虑是否具有主观故意。
1.4.3 隐私影响评估(Privacy Impact Assessment,“PIA”,《程序》第2条):在发布或修改一项与个人数据相关的产品或服务前,SP应当评估新产品或服务可能对现有和未来用户的隐私带来的影响,PIA应当包括以下角度:
(a) 识别相关信息类型;
(b) 说明处理数据的目的;
(c) 识别处理数据的范围和方式;
(d) 数据处理活动给个人数据与隐私带来的潜在风险,以及SP的预防措施;
(e) 例外规定:在SP自有系统内部处理先前已经合法获取的个人数据,不需要做隐私影响分析。
2 处理个人数据与隐私的基本原则(《规定》第4条)
2.1 过程合规、透明,处理结果不得对个人利益产生非法的负面影响;
2.2 处理个人数据的目的清晰、明确;
2.3 最少数量原则:通过收集尽可能少量的数据,实现处理数据的目的,禁止过度收集和处理个人数据;
2.4 最短期限原则:对于能够识别个人身份的数据,应当为满足目的设计最短的保存期限,目的实现后不得继续保存;
2.5 必要保护原则:应当采取必要措施,避免非法接入、泄露、篡改、滥用个人数据与隐私。
3 SP的义务(《规定》第5条)
3.1 制订管理措施并严格落实,确保其处理的个人数据与隐私得到充分保护:
3.1.1 相关措施应当通过公司高层或授权人审批;
3.1.2 内部审批通过后提交CITC批准,CITC在批准前、后,有权单方面要求公司修改管理措施;
3.1.3 SP应指定独立的业务单元(independent unit)负责落实保护个人数据与隐私的义务,确保实施相关合规要求不会与该部门自身利益发生冲突;
3.1.4 定期审查合作方的合规遵从情况,确保相关合规要求得到充分执行;
3.1.5 定期向CITC汇报实施情况,但没有规定汇报的方式和频率。
3.2 SP应当制订并公布管理个人数据与隐私的政策,该政策应当包括:
3.2.1 处理数据的类型;
3.2.2 处理数据的目的;
3.2.3 数据是否会分享给第三方;
3.2.4 数据的处理发生在沙特境内还是境外;
3.2.5 保存数据的期限;
3.2.6 保护个人数据与隐私的相关措施;
3.2.7 用户的权利清单,以及行使这些权利的方法。
3.3 根据《规定》第5.4条,SP应当在沙特境内处理个人数据,不得在境外处理个人数据,除非事先获得CITC书面同意。
3.4 在事先预定好的目的和期限范围内处理个人数据。
3.5 发生个人数据泄露时,SP应当立即向CITC汇报,汇报的机制和流程应当事先经过CITC审批。
3.6 其他法律、法规有更高要求的,以更高要求为准,SP不得以本规定为由降低自己的合规遵从义务。
4 用户的权利(《规定》第6条)
4.1 SP在处理用户的个人数据前,应当获得用户的明确同意(express approval),用户有权随时撤回先前做出的同意;
4.2 用户在同意SP处理其个人数据前,有权获知SP的相关管理政策和个人数据保护措施;
4.3 用户有权随时接入SP处理的与其有关的个人数据,如果发现存在错误或不完整的地方,可以要求SP改正;
4.4 用户有权获得其个人数据的电子拷贝。
5 发布涉及个人数据的产品与服务的前置程序要求(《程序》第4条)
5.1 SP判断是否需要进行隐私影响评估(PIA);
5.2 如果SP认为不需要进行PIA,应当将评估结论提交CITC审核,提交日期不晚于产品或服务计划发布日期之前5个工作日;
5.3 如果SP认为有必要行进PIA,应当将评估结论提交CITC审核,提交日期不晚于产品或服务计划发布日期之前21个工作日;
5.4 审核PIA报告的过程中,CITC有权要求SP补充相关文档或澄清,如果CITC认为补充的澄清和文档不可接受,SP不得发布相关产品和服务;
5.5 如果CITC在上述SLA期限内没有提出反对意见,要求SP补充澄清、文档,以及其他要求的,视为审核通过。
6 违反规定的处罚
6.1 根据《程序》第3.3条,对于违反个人数据保护规定的服务提供商,CITC可以禁止其开展相关业务;
6.2 CITC的处罚措施不能免除违规的服务提供商向其合作方承担相应的违约责任。
注: 此政策分析仅供中资企业交流学习使用,不构成本人的法律意见,相关问题请进一步咨询专业人士。