多年来,全球科技界一直在关注沙特阿拉伯起草、完善并最终批准其《个人数据保护法》(PDPL)。那是一个以咨询、宽限期和普遍的“准备就绪”感为特征的时期。那个准备阶段已经正式结束。截至 2026 年 2 月,沙特数据与人工智能管理局 (SDAIA) 已发出信号,表明宽限时间已经结束,进入了监管成熟阶段,使沙特王国跻身全球最活跃的数据管辖区之列。
在最近的一次披露中,SDAIA 的专门委员会透露,他们在过去 12 个月内针对违反 PDPL 及其执行条例的组织发布了 48 项执法决定。这不仅仅是一个统计数据;它向国内企业和跨国公司发出了一个明确的信息:在沙特阿拉伯,数据隐私不再是一项“最佳实践”,而是一项不可逾越的法律强制要求。
从政策到监管的转变
进入这一高强度执法阶段并非一蹴而就。PDPL 旨在成为沙特“2030 愿景”数字化转型的基石。为了建立世界级的数字经济,政府意识到首先需要建立信任。
最初,该机构专注于宣传活动,帮助企业了解数据主权的细微差别以及数据主体的权利。然而,2025 年标志着一个明确的转折点。最近发布的 48 项决定涵盖了一系列违规行为,从未经授权的数据处理到未能报告数据泄露。这一转变表明,SDAIA 已经度过了“教育”阶段,现在正在积极审计生态系统,以确保合规性得到落实,而不仅仅是承诺。
了解执法格局
虽然并非所有受罚实体的具体名称都会公开,但这 48 项决定的性质为该机构的优先事项提供了路线图。根据监管趋势,这些执法行动可能针对三个主要领域:
- 同意管理: 组织在处理个人数据之前未能获得明确、知情的同意。
- 数据本地化与传输: PDPL 对在沙特王国境外传输个人数据有严格的规定。绕过这些协议或未能确保目的地国家具有“同等保护水平”的公司已成为监管目标。
- 泄露通知: 法律的一个关键组成部分是要求在特定时限内向 SDAIA 和受影响的个人通知数据泄露情况。延迟通知似乎是近期处罚的主要触发因素。
可以将 PDPL 想象成数字高速公路的一套交通法规。在最初的几年里,警察在发出警告并解释标志。现在,摄像头已经开启,罚单正在寄出。
为什么这对全球科技行业至关重要
对于国际公司而言,沙特阿拉伯代表了全球增长最快的科技市场之一。从大规模的 NEOM 项目到利雅得新兴的金融科技场景,机遇巨大。然而,准入门槛现在包括严格的数据合规框架。
全球公司最常见的陷阱之一是假设符合 GDPR(欧洲标准)就自动意味着符合 PDPL。虽然两者有相似之处,但沙特法律在数据驻留以及当地法律背景下“数据控制者”和“处理者”的具体角色方面有独特的要求。当 48 项执法行动已作为警告记录在案时,忽视这些细微差别不再是一个选项。
2026 年合规的实际步骤
如果您的组织在沙特阿拉伯运营或处理来自沙特的数据,近期执法的激增应促使立即进行内部审计。以下是需要优先考虑的清单:
- 任命当地代表: 如果您是在沙特王国没有实体存在但处理沙特居民数据的外国实体,请确保按照法律要求指定一名代表。
- 更新隐私政策: 确保您的隐私声明提供阿拉伯语版本,并清楚地解释数据处理的法律依据。
- 数据映射: 你无法保护你不知道自己拥有的东西。进行全面的数据映射练习,以确定沙特个人数据的存储位置以及数据如何跨境流动。
- 审查第三方合同: 确保您的供应商和云服务提供商也符合规定。根据 PDPL,如果处理者未能保护数据,主要数据控制者通常也要承担责任。
前瞻:人工智能与数据主权
展望 2026 年,SDAIA 的角色预计将进一步扩大。随着沙特王国对人工智能的大规模投资,该机构的任务是进行微妙的平衡:在促进创新的同时保护个人隐私。我们可能会看到专门针对如何在不违反 PDPL 的情况下利用本地数据训练 AI 模型的新指南。
过去一年发布的 48 项决定仅仅是个开始。它们代表了沙特阿拉伯新数字社会契约的基础。对于企业来说,信息很明确:宽限期已成往事,问责时代已经到来。
资料来源
- 沙特数据与人工智能管理局 (SDAIA) 官方门户网站:https://sdaia.gov.sa
- 沙特个人数据保护法 (PDPL) 执行条例:https://stc.com.sa (监管档案)
- 2030 愿景数字化转型概览:https://www.vision2030.gov.sa
