中东篇|汽车出海数据安全准入：沙特、阿联酋、以色列

沙特、 阿联酋、 以色列等中东地区的经济强国是我国汽车出口量突出表现的市场。车企出海想要在中东地区打开广阔市场， 不可不察中东地区的车企数据合规项。

沙特

①沙特数据隐私保护法律法规体系

沙特数据领域立法主要包括《个人数据保护暂行条例》（， 以下简称“PDPIR”） 、《个人数据保护法》（，以下简称“PDPL”）《个人数据保护法实施条例》（，以下简称“PDPLIR”）以及《个人数据跨境传输条例》（，以下简称“PDTR”） 。

总的来说， PDPL 是沙特全国性层面的法律， 适用于各行各业， 仅有少部分例外情况。这些例外情况是指沙特全国性层面的法律和监管框架中的特殊部分，例如沙特中央银行、 国家网络安全局或通信、 空间和技术委员会的法律和监管框架领域。

a） 数据立法变迁：从数据治理到专门保护立法

PDPL 颁布前， 由 PDPIR“掌管”沙特的数据安全保护工作，但并非针对数据安全的专门性立法， 而是《国家数据治理条例》 的一部分。为了更好开展数据安全保护工作，PDPL 应运而生。

PDPL是数据保护领域的专门性立法，规定了个人数据收集、处理、 传输和保护等方面的基本原则和要求。根据 2023 年的修订，出海沙特的中国车企作为受 PDPL 管辖的企业，必须在 2024 年 9 月 14 日之前调整其运营状态，以确保符合 PDPL 的相关规定。目前，PDPL 与 PDPIR 共同构成沙特数据安全领域的核心法律。PDPLIR 与 PDTR 则为 PDPL 的配套法规，细化了个人数据保护的相关规则，也为我国出海车企明示了具体合规义务。

b） 沙特数据立法演进图

c） 汽车行业

就汽车行业而言，沙特日前并未针对数据安全领域进行专门立法，但发布了《物联网监管框架》《信息通信技术服务用户权利保护和信息通信技术服务提供条款规定》《个人融资租赁机动车辆综合保险规则》等监管框架和监管指南，其中部分条款涉及对汽车数据进行规范。我国车企出海沙特除了关注数据隐私保护的专门立法外，对散见于各类监管文件、指南中的汽车数据保护条款也需保持敏锐度。

②沙特数据隐私保护监管机构现状

沙特数据隐私保护监管机构为数据与人工智能管理局（Saudi Data and Artificial Intelligence Authority， 以下简称“SDAIA”）、国家数据治理办公室（the National Data Management Office， 以下简称“NDMO”）。

SDAIA 由沙特首相直接领导，负责制定和实施沙特数据与人工智能行业的政策和战略计划，并监督数据管理活动，就 PDPL 进行调查执法。SDAIA 领导国家信息中心、国家人工智能中心与国家数据管理办公室。

NDMO 负责管理和监督数据管理政策和标准，与 SDAIA 共同致力于数据的有效管理和利用。

沙特数据与人工智能管理局架构

①通用数据合规义务

任何选择出海沙特的中国车企都应当遵循沙特数据保护一般规则进行合规工作，其内容包括但不限于告知义务与合法性基础、数据本地存储、签署数据跨境传输合同、数据权利保护等。

PDPL 中还引入了数据控制者向数据和人工智能管理局进行注册的要求，收集个人数据并确定其使用目的和处理方法的组织（数据控制者）必须在电子门户注册，并形成国家数据控制者注册表。另外，如果数据控制者是提供涉及大规模处理个人数据服务的公共实体、主要活动需要定期和持续大规模监控个人数据的处理操作、核心活动包括了处理敏感个人数据的，需要任命数据保护官。

a)数据跨境传输合规要点

沙特的数据跨境传输采用三层平行架构。第一层：白名单国家，即沙特政府数据保护认证标准的国家名单。第二层，适当措施，即约束力的公司规则或标准合同条款或者符合 PDPL 等的认证或行为准则等。第三层， 特定豁免条件，即为履行合同所必需、为保障数据主体的重大利益所必需（如为保护数据主体的生命或重大利益或为检查疾病等极端必要的情况）、为维护国家安全或公共利益所必需（控制者需为公共机构）、为开展刑事侦查等所必需（控制者需为公共机构）等。

但目前中国尚不属于第一层沙特数据保护认证标准国家名单之中，因此出海沙特的中国车企若存在数据跨境的需求，则需要满足第二层或第三层的合规要求通过第二层或第三层途径进行数据跨境传输。其中，第二层，是指已采取“适当措施”，即约束力的公司规则或标准合同条款或者符合 PDPL 等的认证或行为准则等；第三层，是指符合“特定豁免条件”，如为履行合同所必需、为保障数据主体的重大利益所必需等。

b)特别风险提示

按照沙特通信、空间和技术委员会要求，在沙特境内提供联网服务的车辆必须确保符合以下规定并且需要向沙特通信、空间和技术委员会提交相应的 PIA报告：电信、信息技术和邮政部门保护个人数据的一般原则；基于用户个人数据推出服务或产品或共享个人数据的程序；网络安全监管框架。

②产业链划分下的合规义务

a） 保险数据不得保存

车企无权持有、存储汽车保险个人数据。

b） 本地化存储

车联网服务提供商应当将提供车联网服务的所有服务器设置在沙特阿拉伯境内并将数据存储在沙特阿拉伯境内。

c） 告知同意

向银行、融资租赁、保险公司等金融机构提供消费者数据的，车企应当通过隐私通知告知相关个人信息主体共享数据的类型、数量、目的等对外提供个人数据情况，并获取消费者的同意。

d） 安全存储和运维措施

提供车联网服务的企业应当具备数据保存和维护的技术措施，并达到后续能对数据进行审查的水平。

阿联酋

为了维护数字经济持续发展，阿联酋分别在联邦层面和自由贸易区层面都各自出台了数据保护法律法规。除了立法动作，阿联酋政府通过发布网络安全的RZAM 应用程序、开通在线报告网络犯罪 eCrimes 平台，以加强底牌的数字安全标准。

①阿联酋数据隐私保护法律法规体系

a） 联邦层面

阿联酋于 2022 年公布了国家第一部关于全面保护个人数据的专门性法律《阿联酋个人数据保护法》 （， 以下简称“PPD”）。在处理敏感个人数据方面，PPD 与 GDPR 不同，并未对敏感个人数据的处理施加更严格的控制。然而，如果控制者或处理者所进行的处理包括对敏感个人数据进行系统全面评估，包括画像和自动化处理，或者处理大量敏感个人数据，则必须指定一名 DPO。

除此之外，《关于现代技术贸易 2023 年第 14 号联邦法令》（以下简称《现代技术贸易法》 ）、《关于电子交易和信托服务的 2021 年第 46 号法律的联邦法令》（以下简称《电子交易和信托服务法》 ）、《关于信用信息的 2010 年第 6号联邦法律》（以下简称《信用信息法》 ）等立法中有关于数据保护相关规定。

b） 自由贸易区层面

阿联酋自由贸易区有权发布其区域内适用的数据保护法律法规，并豁免于PPD。目前，迪拜国际金融中（Dubai International Financial Centre， 以下简称“ DIFC” ）、阿布扎比国际金融中心（Abu Dhabi Global Market，以下简称“ADGM” ）都分别颁布了各自区域内的数据保护条例。

DIFC 在 2020 年 7 月 1 日通过《数据保护法》 和《数据保护规定》。这些法规适用于在 DIFC 内成立的数据控制者或处理者对个人数据的处理，无论这些处理行为是否在 DIFC 内进行。《数据保护法》 强调了数据控制者和处理者的问责制。此外，该法规还适用于在迪拜国际金融中心内将处理个人数据作为其稳定安排的一部分的数据控制者或处理者，不论其成立地在哪里。

c） 汽车行业

阿联酋虽就数据安全领域进行了专门立法，但在汽车领域尚未出台专门的立法。因此，以阿联酋为出海目的国的中国车企，应当明确出海的具体区域， 如出海阿联酋贸易区时应遵守自由贸易区数据保护相关立法，如若出海非自由贸易区域时应遵守联邦数据保护相关立法，依法构建企业数据合规体系。

②阿联酋数据隐私保护监管机构现状

阿联酋数据隐私保护监管分为联邦和自由贸易区两个层面，分别设有监管部门负责各自区域的数据隐私保护工作。

联邦层面：在颁布 PPD 的同时，阿联酋政府宣布成立阿联酋数据办公室作为专门的数据保护监管机构，主要职责为制定和实施数据保护相关政策和立法、数据相关指导方针和说明，并监督数据管理活动等。在网络安全领域，阿联酋更组建了专门阿联酋网络安全委员会、计算机应急响应小组，负责该领域内的数据安全事件工作事宜。

自由贸易区层面：ADGM 在新出台《2021 年数据保护条例》 框定下，成立了数据保护办公室，并设立数据保护专员领导办公室工作。无独有偶，DIFC 根据其区域内的数据保护法设立了数据专员，负责和监督该区域内数据管理。

阿联酋数据保护立法架构及监管方式

①通用数据合规义务

PPD 具有域外效力，不论是在阿联酋设立分支机构的中国车企，还是向阿联酋公民提供服务的中国境内车企都受到《阿联酋个人数据保护法》的约束。总体而言，在阿联酋落地的车企，不论是整车厂或只是硬件零件、系统提供商等，都应当遵循个人数据处理规范、保护个人数据权利的义务、 个人数据泄漏处理规范、任命数据保护官、个人数据保护影响评估等合规义务。

a)数据跨境传输合规要点

在阿联酋的通用数据合规义务框架下，尤其值得关注阿联酋对汽车数据跨境传输的特殊要求，即迪拜和阿布扎尔国际金融中心的数据跨境传输规则优先适用，并且两个区域在企业具体执行层面均已公布充分性认定国家或地区清单和标准合同模板。

物联网管理领域，《物联网管理条例》要求政府的“秘密” “敏感” 和“机密” 数据只能保留在阿联酋境内。个人和企业的“秘密” “敏感” 和“机密” 数据应主要存储在阿联酋境内。

GPS 定位领域，阿联酋的全球定位系统供应商是进口、提供和销售电信设备活动的唯一授权方。所有服务器和 GPS 相关系统必须位于阿联酋，不得将任何类型的信息导出到阿联酋以外。

b)特别风险提示

车企在阿联酋开展业务过程中，数据合规层面需特别关于其有关 Lot 监管的法规及符合性，按照阿联酋监管部门的理解，网联汽车具备 Lot 属性，需要向主管机关提交 Lot service registration。该注册需要当地公司完成，可以由主机厂属地分公司或者当地经销商代为提交，注册申请内容需要完整阐述公司 Security and Privacy 方面的安排，对此在业务展业准备过程中需要予以关注。

②产业链划分下的合规义务

a） 数据保护影响评估

车联网场景下处理个人数据，特别是采取自动化处理方式、在车外处理个人数据等场景，车企需进行数据保护影响评估。

b） 信用信息

车企在销售环节可能收集到顾客的个人信用信息，包括个人收入、资产、银行交易记录等以评估消费者购买能力。原则上车企不得披露或向任何第三方披露所拥有的任何信用信息。同时，存储、定期更新所有与信用信息有关的数据。

c） 隐私政策

车企提供的汽车电商平台，如一站式跨境电商平台，必须制定符合 PPD 或自由贸易区相关法律规定的隐私政策。隐私政策应明确说明平台数据收集的目的、存储时间、第三方服务提供商的使用等。

d） 电子识别系统

汽车电子识别系统应制定区分安全和信任水平的技术条件和标准，提供符合安全级别的技术规格、标准及程序。如电子车牌识别系统符合高水平的安全性和信任度，则要为车牌提供高度信任和可接受性的识别“身份”，并消除任何风险和防止滥用或操纵“该身份”的技术、标准和程序。

以色列

①以色列数据隐私保护法律法规体系

a） 以色列核心数据隐私保护法律法规

2022 年，以色列修订了《隐私保护法》，加强了政府当局对隐私保护的监管。围绕《隐私保护法》 这个核心，以色列出台了《隐私保护条例（数据安全）》《通信法》及修正案、《行政犯罪条例（行政罚款和保护隐私）》《隐私保护条例（向国外数据库传输信息）》《4/2012 安全使用和监控摄像头以及记录图像库》等法律法规。

b） 其他领域的数据隐私保护法律

以色列注重网络安全监管工作，其网络安全治理水平处于全球领先地位。2021 年，以色列发布了《INCD 网络安全法案》（，以下简称“INCD” ），明确限制隐私信息的访问。加强了隐私信息的保护。

c） 汽车行业

以色列虽就数据安全领域进行了专门立法，但在汽车领域尚未出台专门的立法。因此，以以色列为出海目的国的中国车企，应遵守以色列数据保护相关立法，依法构建企业数据合规体系。

②以色列数据隐私保护监管机构现状

以色列目前数据隐私保护监管机构为隐私保护局（ The Privacy Protection Authority， 简称“PPA” ）。作为专门从事数据保护的独立机构，PPA 拥有以下广泛职权：根据《隐私保护法》对任何实体进行检查和审计、监管《隐私保护法》的执行、 通过发布指南对《隐私保护法》 进行解释、保护数据库中的个人信息。

①通用数据合规义务

任何选择出海以色列的中国车企都应当遵循以色列数据保护一般规则进行合规工作，同时应当注意以下较为特殊的合规要点：

a） 数据库的建立和规范

根据《隐私保护法》数据库所有者必须在满足法定条件的情况下注册其数据库。同时，《隐私保护条例（数据安全）》将数据库分为四个等级，并分别对应不同的安全要求。因此，出海以色列的中国车企在满足条件的情况下应注册其数据库，并按照条例的规定识别数据库等级，以满足不同级别的合规要求。使用、持有或管理需要注册的未注册数据库将面临 2000 新谢克尔（约合 578 欧元）的行政罚款。

b） 数据库合规义务

在中等或高安全级别的数据库系统中，强制要求具备自动记录机制，以监控对数据库系统的访问。同时，包含敏感数据的数据库必须向 PPA 登记，并且必须对这种数据库实施更高级别的安全。

②产业链划分下的合规义务

以色列产业链划分下的车企合规义务

a） 市场准入

以色列对进口汽车实施市场准入管理体制，出口以色列的汽车必需同时满足欧盟、美国、加拿大汽车和以色列自身技术法规的要求。

b） 摄影系统

《4/2012 安全使用和监控摄像头以及记录图像库》对采用如车牌车辆识别技术的摄影系统的企业提出了额外的数据合规要求，如明确告知摄影系统的存在、对系统进行事先的技术和设备检查等。

上述内容节选自《汽车出海全产业数据安全合规发展白皮书》。

-  THE END  -

因文章部分文字及图片涉及到引用，如有侵权，请及时联系17316577586，我们将删除内容以保证您的权益。