观韬解读│数海灯塔：企业出海数据合规实务要点Q&A（沙特阿拉伯篇）

作者：王渝伟 余扬

作为中东地区最大的经济体，沙特阿拉伯王国正在通过“愿景2030”（Vision 2030）战略加速经济转型与数字化发展，重新将这一传统石油王国塑造为高科技集约型的全球投资力量和数字化枢纽[i]。就中沙关系而言，中国自2013年起即成为沙特阿拉伯的第一大贸易伙伴，双边贸易额已达约1070亿美元。近年来，中沙合作从传统能源领域向数字经济、人工智能、云计算、智慧城市等新兴领域深度拓展。中国科技企业在沙特的布局亦日益广泛。如华为云在利雅得设立了区域数据中心并计划投入4亿美元持续建设，腾讯云在沙特建设了中东首个数据中心，以及阿里云通过设立合资公司的方式深度参与了当地数字化建设。[ii]

在个人信息保护、数据及网络安全领域，随着其数字经济的快速发展，沙特阿拉伯近年来显著加强了其数据保护与网络安全法律体系建设：随着《个人数据保护法》及其实施条例于2023年9月正式生效[iii]，并于2024年9月全面执行，沙特阿拉伯已经进入了系统化数据保护的新阶段。截至2026年1月中旬，沙特数据与人工智能局下属违规审查委员会已发布48项处罚决定，主要涉及非法处理个人数据、数据安全措施缺失及未经同意开展营销活动，表明违反PDPL已面临实际执法风险。[iv]因此，对于计划或已经进入沙特市场的中国企业而言，充分了解并遵守当地数据合规要求已成为不可回避的合规义务。

本篇将以Q&A的形式，对沙特阿拉伯数据保护的核心规则进行系统梳理，帮助中国出海企业快速把握合规要点。

Q1: 沙特阿拉伯主要的数据保护法律法规有哪些？

沙特阿拉伯的数据保护法律体系以《个人数据保护法》为核心，辅以多项配套法规与执行细则。主要包括以下法律法规及规范性文件：

(1) 《个人数据保护法》（Personal Data Protection Law，下称“PDPL”）：由皇家法令第M/19号于2021年9月16日颁布，经皇家法令第M/148号于2023年3月27日修订，该法于2023年9月14日正式生效。这是沙特阿拉伯首部全面的个人数据保护立法，对个人数据的收集、处理、存储、使用、披露和跨境传输等进行了全面规范。该法设有一年的过渡期，自2024年9月14日进入全面执法阶段。

(2) 配套实施规则：包括《个人数据保护法实施条例》（Implementing Regulations of the PDPL，下称“《实施条例》”）和《境外个人数据传输条例》（“Regulation on Personal Data Transfer outside the Kingdom”，下称“《跨境传输条例》”），由沙特数据与人工智能局发布。上述规则自2023年9月14日随PDPL同步生效，并于2024年9月14日起全面实施。其中，《实施条例》细化了数据控制者与处理者义务及数据主体权利行使机制等内容，《跨境传输条例》则明确了个人数据出境的条件与合规路径。

(3) 专项合规规则：包括《个人数据保护官任命规则》（Rules for Appointing Personal Data Protection Officer）和《控制者国家登记册管理规则》（The Rules Governing the National Register Controllers Within the Kingdom），对特定情形下DPO任命义务及数据控制者登记义务作出规定，明确相关资质要求、职责范围及监管机制。

在网络安全方面，沙特通过《反网络犯罪法》（Anti-Cyber Crime Law）对未经授权访问、数据窃取、网络欺诈等网络犯罪行为设定了处罚规则。此外，国家网络安全局还发布了多项强制性网络安全控制标准，包括《基本网络安全控制措施》（Essential Cybersecurity Controls）、《云网络安全控制》（Cloud Cybersecurity Controls）及《关键系统网络安全控制》（Critical Systems Cybersecurity Controls）等，对在沙运营的企业的网络安全建设提出了具体要求。

Q2: 沙特阿拉伯的数据监管机构是什么？

沙特阿拉伯的数据保护监管主要由沙特数据与人工智能局（Saudi Data and Artificial Intelligence Authority，下称“SDAIA”）负责。SDAIA成立于2019年，是沙特阿拉伯数据与人工智能领域的最高监管机构，直接隶属于最高决策层。SDAIA下设国家数据管理办公室（National Data Management Office）作为其监管执行机构，具体负责制定数据管理政策、标准和控制措施，以及监督PDPL的实施与执行。在网络安全方面，国家网络安全局（National Cybersecurity Authority）负责网络安全监管，其发布的各项网络安全控制标准对在沙运营的企业具有强制性约束力。[v]

Q3: 如何判断PDPL是否适用于企业？

根据PDPL第2条的规定，PDPL适用于以任何方式处理沙特阿拉伯境内个人（包括沙特公民、居民、访客、游客及任何身处沙特的个人）数据的行为，其触发范围宽泛。因此，即使中国企业未在沙特设立实体，但如果其业务涉及处理沙特境内个人的数据，仍应关注PDPL的合规要求。

Q4: 与个人数据保护相关的定义有哪些？

根据PDPL第1条的定义，以下是几个核心概念：

个人数据（Personal Data）：指无论其来源或形式如何，任何能够直接或间接识别特定个人的身份的数据。

敏感数据（Sensitive Data）：指揭示数据主体种族或民族出身、宗教信仰、思想或政治信念的数据，以及安全及犯罪记录数据、生物识别数据、基因数据、信用数据、健康数据，以及表明数据主体父母一方或双方不明的数据。敏感数据的处理需要数据主体的明确同意，并适用更为严格的合规要求。

数据控制者（Controller）：指决定个人数据处理目的和方式的任何公共实体、自然人或私法人。

数据处理者（Processor）：指为控制者的利益并代表其处理个人数据的任何公共实体、自然人或私法人。

Q5: 针对个人数据保护人员的任命有哪些要求？

根据PDPL第30条第2款，《实施条例》第32条第4款，以及SDAIA于2024年8月27日发布的《个人数据保护官任命规则》的规定，数据控制者在以下情形下必须任命数据保护官（DPO）：

(1) 控制者为公共实体，且其提供的服务涉及大规模处理个人数据。

(2) 控制者的核心活动基于其性质需对数据主体进行定期且系统性监测的处理操作。

(3) 控制者的核心活动涉及处理敏感个人数据。

DPO的任命要求包括：

(1) 具备个人数据保护相关的适当学历资质和工作经验。

(2) 充分了解风险管理实践，包括数据泄露的管理和应对。

(3) 充分掌握个人数据保护监管要求，以及履行数据保护官职责所需的其他相关监管要求。

(4) 诚实、正直，无涉及欺诈或背信的犯罪记录。

DPO可以是内部人员，也可以是外部委托人员，但必须以书面形式正式任命，并通过国家数据治理平台向SDAIA报告其联系信息。控制者应当为DPO提供必要的资源，确保其独立性，不得向其分配与DPO职责相冲突的其他工作。

Q6: 个人数据处理的合法性基础有哪些？

根据PDPL第5条、第6条及第10条的规定，数据处理的合法性基础主要包括以下几种：

(1) 同意：这是PDPL下最主要的合法性基础。在此基础上，《实施条例》具体规定了同意的其他条件：同意需自愿作出，处理目的应明确、具体，并事先向数据主体释明。同意须由具有完全法律行为能力者以可验证的方式（如书面、口头、电子形式）作出并记录，且针对每一项处理目的均应单独获取同意。在处理敏感数据、信用数据或进行完全自动化的决策时，同意必须是明确的。

(2) 为控制者的合法利益：为实现控制者的合法利益所必需，但需确保该利益不与数据主体的权利和利益相冲突，不涉及处理敏感数据，且符合数据主体的合理预期。

(3) 为履行合同或法定义务：处理系依据其他法律规定，或为履行数据主体作为一方当事人的合同所必需。

(4) 为数据主体的实际利益：当数据处理符合数据主体的实际利益，但无法或难以与数据主体取得联系时。

(5) 公共实体为安全或司法目的：当控制方为公共实体，且数据处理出于安全目的或满足司法要求而必需时。

(6) 为保护重大利益：为保护数据主体或他人的生命、健康等重大利益，或为保护公共健康、公共安全所必需。

(7) 科学、研究或统计目的：控制者为科学、研究或统计目的收集数据，且已采取法律规定的必要措施。

(8) 数据主体已合法公开的数据。

除上述合法性基础外，PDPL第10条规定了在特定情形下，控制者可从数据主体以外的来源收集数据，或将数据用于初始收集目的之外的其他用途：

(1) 数据主体根据本法规定给予同意。

(2) 个人数据为公开可获取数据或从公开来源收集的数据。

(3) 控制者属于公共实体，收集或处理个人数据需出于公共利益或安全目的，或为实施其他法律，或满足司法要求。

(4) 遵守此规定可能损害数据主体或影响其重要利益。

(5) 为保护公众健康、公共安全或特定个体的生命健康，必须进行个人数据收集或处理。

(6) 个人数据不得以可直接或间接识别数据主体的形式进行记录或存储。

(7) 为实现控制者的合法利益，必须收集个人数据，且不得损害数据主体的权利和利益，同时须确保不处理任何敏感数据。

Q7：与个人数据收集、处理相关的义务有哪些？

PDPL及其实施条例对数据控制者和处理者规定了多项义务，数据控制者的主要义务包括：

(1) 安全保障：采取必要的组织、行政和技术措施保护个人数据安全。

(2) 数据泄露通报：发现可能对个人数据或数据主体造成损害的泄露事件后，必须在72小时内向SDAIA报告；必要时直接通知数据主体。

(3) 数据保护影响评估：对于高风险数据处理活动，必须开展数据保护影响评估（DPIA）。

(4) 注册义务：遵守主管机关发布的国家控制者登记册规则。

(5) 任命数据保护官员：请见Q5。

(6) 保留个人数据处理活动记录：数据控制者必须在条例规定的期限内维护处理记录，并确保这些记录在监管机构要求时可随时调取查阅。

(7) 数据保留期限：一旦处理目的不复存在，控制者须及时销毁数据，除非数据已被匿名化处理且无法识别主体，或根据法律要求需要保留。

(8) 隐私政策与知情义务：控制者须在收集个人数据之前或同时，通过隐私政策向数据主体告知处理的合法性基础、具体目的、数据内容、收集方式、存储方式、处理方式、销毁方式、数据主体的权利及行使方式等信息。当个人数据并非直接从数据主体处收集时，控制者须在不无故延迟且30日内告知数据主体上述信息及数据来源。

(9) 数据准确性与最小化：控制者在处理个人数据之前，须采取充分措施核实数据的准确性、完整性和相关性。数据收集应严格限于实现特定目的所必需的最小范围。

(10) 数据主体权利保障：控制者须建立程序，便利数据主体及时行使其权利（包括知情权、访问权、更正权、删除权、撤回同意权、反对处理权等），并须在30个工作日内回应数据主体请求。

(11) 数据处理者管理：控制者须选择能提供充分PDPL合规保障的处理者，以书面协议明确双方的权利和义务、处理的标的和目的、数据类别等，并须持续监督处理者是否遵守安全和数据保护指令。

(12) 数据披露管理：向第三方披露个人数据须具备合法性基础，控制者须采取必要的审慎措施（如假名化处理）并提供充分保障。回应公共机构的披露请求时，须将该请求记录在案。

(13) 同意管理：以同意作为处理合法性基础时，同意须以可供日后核实的方式记录，每个处理目的须单独取得同意。涉及敏感数据或信用数据的处理须取得明确同意。数据主体可随时撤回同意，且同意不得作为提供服务或利益的前提条件。

(14) 直接营销：在控制者与目标接收方之间不存在先前互动的情况下，须在发送广告或宣传材料之前取得数据主体的同意。

(15) 员工培训：控制者须定期对员工进行数据保护培训，特别是在人力资源、营销和信息技术等数据密集型部门，培训内容涵盖PDPL要求、内部政策以及安全合法处理个人数据的最佳实践。

Q8: 对于数据跨境传输的规定？

数据跨境传输是PDPL监管的重点领域。根据PDPL第29条及《跨境传输条例》，跨境传输的基本原则为——仅在满足法定条件及合规路径的情况下方可进行跨境传输。沙特对个人数据向境外传输规定了严格的条件，主要可归纳为前提要求、合法目的、合规路径及特定程序。

一、基本前提要求

根据PDPL第29条，所有跨境传输必须首先满足以下底线条件：

(1) 不损害国家安全：传输不得损害国家安全或王国核心利益。

(2) 数据最小化：传输必须限制在实现目的所需的最小数据量范围内。

(3) 同等保护水平：境外接收方提供的保护水平不得低于PDPL及其条例所确定的标准。

二、合法传输目的

根据PDPL第29条及《跨境传输条例》的规定，个人数据仅能为了特定目的传输至境外，包括：

(1) 履行沙特作为签署方的国际协议义务；

(2) 服务于沙特的国家利益；

(3) 履行数据主体作为当事人的合同义务；

(4) 其他法定目的：为开展控制者活动所必需的集中处理操作；为直接向数据主体提供服务或利益；为进行科学研究或学术研究。

三、具体的跨境传输路径

沙特规定了三种主要的合规路径，控制者需满足其一：

(1) 充分性认定

SDAIA应发布一份提供“适当保护水平”的国家或国际组织名单。如果目的地在该名单中，控制者在满足基本前提要求后即可传输。

(2) 豁免“充分性认定”的场景与适当安全保障措施

若目的地未获得充分性认定，控制者在某些特定场景下仍可传输，但必须实施以下适当的安全保障措施之一：

a.  标准合同条款（SCC）：采用SDAIA发布的强制性标准模板。

b.  约束性企业规则（BCR）：适用于跨国企业集团内部，规则需涵盖数据处理各方并包含详细合规要求。

c.  认证证书：由经SDAIA许可的机构颁发的合规认证。

四、风险评估（TIA）

数据控制者必须在以下两种情况下依据《向沙特境外传输个人数据的风险评估指南》进行风险评估：

(1) 适用标准合同条款、约束性企业规则或认证证书的方式进行传输时。

(2) 持续或大规模向境外传输敏感个人数据时。

Q9: 违反规定可能会面临什么样的处罚？

根据PDPL第35条及第36条的规定，违反数据保护规定可能面临以下处罚：

（1）针对敏感数据的刑事处罚

任何个人故意披露或发布敏感个人数据，且主观意图是损害数据主体或谋取个人利益的行为，可判处最高2年监禁，或最高300万沙特里亚尔罚款，或两者并罚。如果是重复犯罪，罚款可加倍（即使超过300万沙特里亚尔的上限，但不得超过600万）。

（2）针对一般违规行为的行政处罚

对于不涉及敏感数据的所有违规行为（包括非法跨境传输数据、未履行告知义务、未进行风险评估等），可处以警告或最高500万沙特里亚尔的罚款。如重复违规，罚款可以加倍（最高可达1000万沙特里亚尔）。

（3）其他法律后果

除了上述罚则，违规者还可能承担公开通报、没收非法所得、民事赔偿、内部处分等责任。

Q10: 沙特阿拉伯PDPL与欧盟GDPR的主要区别？

沙特阿拉伯PDPL在很大程度上借鉴了欧盟GDPR的框架和理念，但结合沙特自身的法律体系、社会文化和国家安全需求，在多个方面存在显著差异。以下从几个核心维度进行对比：

综上所述，沙特阿拉伯PDPL虽然在整体架构上与GDPR相似，但在监管模式、合法性基础的侧重、跨境传输的国家安全审查、处罚机制以及数据处理记录的上报义务等方面均存在显著差异。中国企业在进入沙特市场时，不应简单照搬GDPR的合规经验，而应重点关注沙特法律的特殊性要求。

【作者简介】

王渝伟，观韬上海办公室合伙人，数字法律与网络合规业委会主任，长期专注于网络安全数据合规业务领域。王渝伟律师在网络安全数据合规领域为金融、医疗、汽车、航空、互联网、房地产、物流、能源、生命健康、智能制造等行业的众多国内外企业提供该领域的法律合规服务。在上百个数据合规项目中，王律师带领团队为行业头部企业及研究机构提供专业服务，完成了一系列具有指导意义的数据合规项目。2020年以来，王律师在TMT和数据保护领域先后获得钱伯斯、Legal500、ALB、商法、亚洲法律商务、LEGALBAND等多个法律专业评级机构的推荐。

Email：wangyw@guantao.com

余扬，观韬上海办公室数据合规团队律师助理。毕业于西南政法大学、英国伯明翰大学，法学硕士。

Email：yuyang@guantao.com

实习生刘红、胡双域对本文亦有贡献。

[i] Saudi Government, Story of Transformation,

https://www.vision2030.gov.sa/en/explore/story-of-transformation , 最后访问于：2026/04/01。

[ii] 阿中产业研究院, 中国云巨头在中东云计算市场的崛起, https://www.aciep.net/blog/archives/5875,  最后访问于：2026/04/08。

[iii] Saudi Data & Artificial Intelligence Authority (SDAIA), Personal Data Protection Law,

https://sdaia.gov.sa/en/SDAIA/about/Documents/Personal%20Data%20English%20V2-23April2023-%20Reviewed-.pdf, 最后访问于：2026/04/01；

Saudi Data & Artificial Intelligence Authority (SDAIA), Implementing Regulations of the Personal Data Protection Law,

https://sdaia.gov.sa/en/SDAIA/about/Documents/ImplementingRegulation.pdf, 最后访问于：2026/04/01。

[iv] Saudi Press Agency, Personal Data Protection Law Committees to Impose Penalties on Confirmed Violations,

https://www.spa.gov.sa/en/N2489505, 最后访问于：2026/04/08。

[v] Regulations.ai, Royal Order Establishing the Saudi Data & Artificial Intelligence Authority (SDAIA),

https://regulations.ai/regulations/saudi-arabia-2019-08-sdaia-establishment,

最后访问于：2026/04/01。