PDPL 对数据存放位置意味着什么
沙特阿拉伯的《个人数据保护法》(PDPL)及其实施条例于 2023 年 9 月 14 日生效,并设有一年的过渡期。自 2024 年 9 月 14 日起,凡处理王国境内个人数据的机构均须完全合规。PDPL 主要由沙特数据与人工智能管理局(SDAIA)执法,同时配合国家网络安全管理局(NCA)的网络安全管控措施。
PDPL 并未一概禁止将数据传输至境外,但它使境内托管成为最简单的合规路径。个人数据一旦离开沙特服务器,就会触发跨境传输制度——额外的法律依据、文书工作和风险评估随之而来。让数据驻留在王国境内可消除其中绝大部分负担。
本教程以通俗易懂的方式讲解相关规则,并为您提供切实可行的步骤,确保数据始终留在沙特阿拉伯境内。
跨境传输规则概要
2024 年 8 月,SDAIA 发布了**《向王国境外传输个人数据条例》**("传输条例")。只有在同时满足以下所有条件时,向境外的传输才合法:
- 正当目的——例如,履行王国作为缔约方的协议、服务王国利益、履行与数据主体的协议、支撑控制者活动的集中化处理、向数据主体提供服务,或科学研究。
- 目的地具备充分的保护水平,可通过以下方式之一确立:SDAIA 针对该国的充分性决定,或三种适当保障措施之一:
- 标准合同条款(SCCs)——SDAIA 已于 2024 年发布首套标准合同条款。
- 适用于集团内部传输的具有约束力的公司规则(BCRs)。
- 经批准的认证证书。
- 数据最小化——仅传输实现既定目的所必需的数据。
- 在必要时进行传输风险评估(TRA)——例如,对敏感数据进行持续或大规模传输,或向不具备充分性决定或认证的司法管辖区/实体进行传输。SDAIA 已于 2025 年 2 月发布《风险评估指南》,以规范这一流程。
截至 2026 年年中,SDAIA 尚未公布充分性国家的公开清单。这在实践中意味着,向境外的传输通常须依赖 SCCs 或 BCRs,并附以书面的风险评估——这是一项实打实、且不断重复的合规工作。境内托管则可绕过整个链条。
决策流程:您是否真的需要传输?
数据是否能识别或关联到王国境内的某个人?
│
├── 否 ──► PDPL 传输规则基本不适用
│
└── 是 ─► 是否会有任何副本(主存储、备份、日志、CDN 缓存、
邮件、分析数据)离开沙特服务器?
│
├── 否 ──► 境内驻留。最简单的路径。
│
└── 是 ─► 跨境制度:正当目的
+ 充分性/SCCs/BCRs + 最小化
+ 必要时的 TRA。
陷阱在于"是"这一分支会在意想不到的地方悄然出现——一个境外的备份存储桶、一个 CDN 边缘缓存、一个第三方邮件中继,或一个分析 SDK,都可能各自构成一次传输。
第 1 步:选择具备可验证境内基础设施的主机
"沙特公司"并不等同于"沙特数据中心"。请以书面形式询问您的服务商,主存储、备份和日志的物理位置究竟在哪里。使用 Skyline Cloud,数据默认留在境内基础设施上,并提供本地阿拉伯语支持以及符合 PDPL/NCA 的运营。查看我们的云托管概览,了解涵盖共享主机、VPS/云服务器和独立服务器的产品选项。
第 2 步:验证数据的物理位置
不要凭信任就认定数据驻留情况——要加以确认。在服务器或主机预置完成后,进行解析和追踪:
# 将您的域名/主机解析为 IP
dig +short app.example.sa
# 查询该 IP 的网络归属方/路由
whois 203.0.113.10 | grep -iE 'country|netname|org'
# 确认延迟特征与境内路由相符
mtr -rwc 20 app.example.sa
whois 应显示一家沙特网络运营商以及 country: SA。从利雅得/吉达/达曼的观测点测得的极低且稳定的延迟,是一个良好的佐证信号。请对您的备份端点以及任何对象存储桶重复进行该检查——这些恰恰是最容易被悄悄转移至境外的部分。
第 3 步:将备份和对象存储保留在境内
备份是个人数据的副本,因此它的位置与生产环境同样重要。将备份目标配置为境内端点并加以验证:
# 示例:列出备份/对象存储桶并检查端点主机
aws s3 ls s3://my-backup-bucket/ --endpoint-url https://s3.your-ksa-region.alskyline.com
# 确认该端点解析至境内基础设施
dig +short s3.your-ksa-region.alskyline.com | xargs -n1 whois | grep -i country
如果您使用数据库转储,请将其传送至本地存储,而非境外区域:
mysqldump --single-transaction --routines mydb \
| gzip | aws s3 cp - s3://my-backup-bucket/mydb-$(date +%F).sql.gz \
--endpoint-url https://s3.your-ksa-region.alskyline.com
第 4 步:锁定 DNS、邮件和 TLS
三个常被忽视的传输途径:
| 途径 | 风险 | 境内解决方案 |
|---|---|---|
| 邮件 | 在境外处理客户个人身份信息(PII)的邮箱/中继 | 使用境内企业邮箱托管 |
| DNS | 在全球范围运行没有问题,但应保持对权威解析的管控 | 使用具备审计访问的托管 DNS |
| TLS / 证书 | 配置错误会使传输中的数据暴露 | 强制启用 TLS 1.2+ 和 HSTS |
验证您已发布的邮件和 TLS 配置状态:
# 检查 MX 记录是否指向您的境内邮件主机
dig +short MX example.sa
# 确认已发布 SPF(有助于送达率和防欺骗)
dig +short TXT example.sa | grep -i spf
# 验证在线证书和 TLS 版本
openssl s_client -connect example.sa:443 -servername example.sa < /dev/null 2>/dev/null \
| openssl x509 -noout -issuer -dates
第 5 步:将数据驻留情况记录归档
PDPL 以证据为导向。请保留一份简短、及时更新的记录,载明:所处理的数据类别、每份副本的存放位置(生产、备份、日志、邮件)、处理的法律依据,以及确认没有任何副本离开王国境内。如果将来确有必要进行传输,这份记录将是您的 TRA 以及保障措施选择的基础。
一份实用的数据驻留清单
- [ ] 已确认主托管位于境内(通过
whois/dig验证)。 - [ ] 备份和对象存储指向境内端点。
- [ ] 邮件/PII 处理由境内邮件主机承担。
- [ ] 没有任何境外 CDN 缓存或分析服务持有个人数据。
- [ ] 已强制启用 TLS 1.2+;证书有效且受到监控。
- [ ] 已写明并及时更新一份数据驻留/处理记录。
Skyline 的定位
Skyline(alskyline.com)是一家沙特境内的服务商,提供云托管、VPS 和独立服务器、cPanel/网站托管和托管式 WordPress 托管、企业邮箱、.sa 域名、SSL、托管 DNS、云备份和对象存储——全部实现数据在王国境内驻留,并提供本地阿拉伯语支持。如需了解沙特阿拉伯主权云与合规的全貌,请参阅我们的沙特主权云专题中心。
将个人数据保留在境内,是在无需构建持续性跨境合规计划的情况下满足 PDPL 的最可靠方式。注册 Skyline Cloud,几分钟内即可完成境内托管的预置。
本文为一般性指引,并非法律意见。请就您的具体义务咨询合格的沙特数据保护顾问。
Comments
0 total · 0 threads