跨境数据流动的频密,使得不同司法管辖区之间的监管落差,直接转化为跨国企业的合规成本与法律风险。对于同时涉足欧洲、中国及中东关键市场的企业而言,需应对多极化的监管挑战。当前,中东两大核心经济体—阿联酋与沙特的数据保护立法正逐步完成体系化构建。两国的法律文本在吸纳国际通行准则之余,亦融入了本土的治理逻辑与发展战略,形成了具有区域特色的合规要求。本文旨在横向比较欧盟、中国与中东两大核心经济体的数据保护基础法律框架,并分析中东监管的特殊性,为跨国企业构建属地化的合规体系提供法律指引。
一、四大经济体数据保护立法与监管核心理念的差异
尽管四大经济体对于个人数据保护立法上均借鉴了国际通行准则,但其背后的立法与监管核心理念却大相径庭。
(一)欧盟:以基本人权为基石
欧盟以《通用数据保护条例》(“GDPR”)为核心,其立法基石是将个人数据保护视为一项不可剥夺的基本人权。GDPR强调数据处理的透明度、个人的绝对自决权以及数据控制者的问责制,构建了一个以个体权利为中心的严密保护体系。
(二)中国:个人权益与国家安全的双重平衡
中国《个人信息保护法》(“PIPL”)是中国首部有关个人信息保护的综合性专门立法,PIPL在框架上大量借鉴了GDPR,但其内核植根于中国的治理语境与数字经济发展现实。它不仅致力于保护个人信息权益,更将数据处理活动与国家安全和社会公共利益紧密相连。
(三)中东两大核心经济体:对标国际与强化主权的融合
阿联酋2021年第45/2021号联邦法令《个人数据保护法》(“阿联酋PDPL”)已于 2022 年 1 月 2 日生效,阿联酋PDPL在诸多核心制度的设定上体现出与GDPR的同构性,一定程度上可以降低已具备国际合规经验企业的适应成本。然而,其在数据跨境传输等领域设立的国家审批环节,也清晰地保留了监管机构的干预权力。此外,阿联酋独特的“联邦-自贸区”双轨制,如自由贸易区迪拜国际金融中心(“DIFC”)和阿布扎比全球市场(“ADGM”)已经通过了适用于其自贸区的隐私保护法。在DIFC和ADGM设立的实体以及在DIFC和ADGM范围内处理个人信息的企业需要评估是否落入DIFC和ADGM自贸区数据保护法,亦增加了合规的复杂度。
沙特的《个人数据保护法》(“沙特PDPL”)与其宏大的“2030愿景”紧密相连,已于 2023 年 9 月 14 日正式生效。沙特PDPL的底层逻辑是将数据视为国家层面的战略资产,因此在借鉴国际框架的同时,展现出更强的国家中心色彩,例如沙特数据与人工智能管理局(SDAIA)被赋予了较大的监管和自由裁量权。
二、核心制度内容的对比矩阵
上述宏观理念的差异直接决定了各自在具体制度设计上的尺度差异。以下对比矩阵从关键维度对四大经济体的数据保护的基础性法律框架的核心内容进行了梳理:
(一)欧盟GDPR
(二)中国PIPL
(三)阿联酋PDPL
(四)沙特PDPL
三、核心制度内容差异的深度解读
(一)域外属地管辖的连接点:决定适用法律的不同
四大经济体的数据保护法律均确立了强域外效力,但在管辖连结点的选择上,反映出不同的监管逻辑。这对企业的合规实践具有决定性影响:连接点的不同,意味着法律适用范围的差异,直接决定了企业的哪些行为会受到哪部法律的约束。
1、欧盟的“经营场所关联性”
GDPR的属地管辖更看重控制者/处理者在欧盟境内是否设有“经营场所”,即只要处理行为与该经营场所有关联,即落入管辖,这是一种基于商业实体辐射效应的管辖。
2、中国与沙特的“物理发生地”
PIPL与沙特PDPL更侧重于数据处理行为的客观物理位置,明确管辖“在中国/沙特境内”开展的处理活动。在这一逻辑下,若一家外国公司仅将服务器设在中国/沙特境内,即便处理外国人的个人数据,理论上也可能因触发“境内处理”而被认定为适用对象。
3、阿联酋的“居住所在地”
阿联酋PDPL管辖权延伸至“任何居住在阿联酋境内的数据控制者或处理者”的处理行为,不论该行为是否发生在阿联酋境内。这意味着,即使阿联酋居民在境外设立实体并处理数据,仍可能受阿联酋PDPL管辖。
(二)“合法权益”条款:作为弹性基础的适用受阻
在GDPR体系下,灵活运用 “合法权益”这一弹性条款是企业进行直接营销、数据分析、欺诈预防等商业活动最常依赖的合法性基础,但中国PIPL、阿联酋PDPL不承认“合法权益”作为弹性条款。这意味着,企业不能以“追求商业利益且对个人影响有限”为由处理数据,几乎所有非合同履行或法律义务必需的处理活动(包括B2B营销、Cookie个性化推荐等),都必须获取数据主体的明确同意。虽然沙特PDPL原则上允许基于“合法权益”进行处理,但附加了严苛的限制条件:不仅不得用于敏感数据,还必须证明不损害数据主体权益,且在利益冲突时让步于数据主体。在实践中,其适用空间被极度压缩,使得“同意”同样成为绝大多数商业场景下唯一安全可行的路径。
(三)数据主体权利:覆盖广泛,细节存异
四部法律均保障了数据主体的访问权、更正权和删除权等基本权利。差异点在于更细化的权利设置:
1、数据可携权
指数据主体有权以结构化、通用、机器可读的格式获取其提供给数据控制者的个人数据,并有权将这些数据无障碍地传输给另一数据控制者。GDPR、PIPL、阿联酋PDPL均明确赋予了此项权利。而沙特PDPL则未予规定。
2、拒绝自动化决策权
指数据主体有权拒绝完全由自动化手段(如机器通过算法)作出的、对其产生重大影响的决定(如对数据主体的贷款、就业、医疗、保险等重大事项作出决定),并有权要求人工介入审查。GDPR、PIPL、阿联酋PDPL对此有明确规定。沙特PDPL虽未明确列为一项独立权利,但禁止在未获同意的情况下进行纯自动化决策。
3、请求限制处理权
GDPR、阿联酋PDPL均明确规定,允许数据主体在特定情况下(如对数据准确性存疑)“冻结”其数据的处理活动。而PIPL、沙特PDPL则未予规定,企业在此两国面临的技术改造压力相对较小,但也意味着数据主体在争议期间缺乏有效的中间状态救济手段。
(四)数据跨境传输:审批、评估与自由裁量
与GDPR的明线规则不同,阿联酋、沙特两国均设置了超越单纯合同约束的较强干预机制,增加了不确定性:
1、阿联酋的“结构化审批”
阿联酋采取了“白名单+保障措施”的双轨制。但向非白名单国家传输时,除采用SCCs或获取明确同意外,阿联酋PDPL允许通过“合同要求接收方实施阿联酋数据保护法”的方式进行传输。这实际上是将阿联酋国内法的效力强制延伸至境外接收方。此外,即便采取了保障措施,数据办公室仍保留事先批准权,形成了一项实质性的行政许可。
2、沙特的“风险评估前置”
沙特模式的核心是“风险为本”与“主权至上”。在底线前提(不损害国家安全、数据量最小化、境外保护水平不低于沙特国内标准)下,传输须符合特定目的,如履行沙特作为签署方的国际协议、服务国家利益等。另外,沙特引入了强制性的“风险评估”机制(特别是在持续或大规模传输敏感数据时),且SDAIA拥有一票否决权,这种隐形壁垒让企业可能较难形成稳定的合规预期。
结语
沙特与阿联酋在引入国际通行规则的同时,通过风险评估前置、特定目的限制与主权审批机制,构筑了具有各自特色的隐形壁垒。对于同时涉足欧洲、中国及中东关键市场的企业而言,面对多极监管环境,企业以GDPR或PIPL作为全球合规的基线是明智的起点,但在基线之上,企业还需为中东市场定制额外的合规要求。
(原标题:通商研究 | 全球视野下的数据保护:欧盟、中国及中东核心经济体法律框架对比)
来源:通商律师事务所
作者:汪辉敏,通商律师事务所合伙人,北京办公室;业务领域:境外投资、银行与金融、私募股权;联系方式:邮箱:wanghuimin@tongshang.com
特别声明:本文和其内容仅代表作者本人观点,不视为通商律师事务所或其律师的法律意见或建议。