企业出海——海外数据合规概览（阿联酋篇）.docx

刖百:阿拉伯联合酋长国("阿联酋”)位于阿拉伯半岛东南端，地处海湾进入印度洋的海上交通要冲，是中东重要的货易枢纽，也是中国共建“一带一路"的生要合作伙伴之一.目前，超过6000家中国企业在阿联酋开拓当地和地区业务，阿联酋已连续多年成为中国在阿拉伯地区第一大出口目的国和第二大贸易伙伴”.2023年，中国对阿联酋投资流逾17亿美元,同比增长16.48%,占中国对阿拉伯国家投资总额的60%2.阿联酋属于联邦制国家，由阿布扎比、迪拜、沙迦、阿治曼、乌姆盖万、哈伊马角和富有伊拉7个酋长国组成，首都为阿布扎比。联邦内各酋长国既施行联邦政府制定的法律，又施行根据阿联酋联邦宪法授权所制定的当地法律法规.联邦法律的效力高于各酋长国的法律.因此，各西长国的部分民商事领域活动受到联邦法律和当地法律的双重约束.本文将主要介绍阿联酋联邦法律和阿布扎比酋长国、迪拜酋长国的特殊经济区法律中的个人信息保护立法概况，以期为中国企业出海阿联酋提供数据合规风险防范思路.一,阿联酋数据保护立法概况(一)阿联酋个人数据保护法2021年9月20日，阿联酋公布其首部联邦层面的个人信息保护统一立法，即个人数据保护法(FederalDecree-1.awNo.45of2021ontheProtectionofPersonalDataProte<tion3,"个人故护法").该法于2022年1月2日生效.个人数据保护法适用于位于阿联酋的任何数据控制者(datacontr。Iler)或处理者(dataprocessor,即受托处理者)所进行的所有个人数据处理活动(无论其处理的个人数据的数据主体位书可处),以及位于阿联西境外处理阿联酋境内数据主体个人数据的任何数据控制者或数据处理者的个人数据处理活动4).值得注意的是，个人数据保沪法不适用于位于有数据保护相关立法的阿联酋自由区(freezones)的组织,也不适用于受与健建数据.银行和信贷数据有关的具体数据保沪法约束的组织5。阿联酋自由区是阿联酋境内的若干特殊经济贸易区，京有更优惠的海关、税务、商业政策。在迪拜，有两大自由区拥有自己的数据保护法律,分别为迪拜国际金融中心(DubaiInternationalFinancialCenter,DIFCv)和迪拜健康城(DUbaiHealthcareCity,vDHCC").个人数据保护法的体例与欧盟通用数据保护条例("GDPR,)相似，囊括了合法性基明、数据主体的权利、数据控制者和数据处理者的义务、数据保护执法机构职权等，主要内容包括：合法性基础：处理个人数据原则上需荻取个人明示同意，除非具备个人数据保沪法规定的其他合法性基础16).数据主体权利：数据主体空有访问权、可携带权、更正权、删除权、被遗忘权、拒绝自动化决策权、拒绝权等.数据跨境传输：允许个人数据跨境流动，前提是(1)目的地国家或地区具备不低于阿联酋个人信息保护水平的立法与政策，或与阿联酋之间存在数据传恸协定；(2)若不具备适当的个人信息保护水平，需满足若干谿免条件之一，包括个人数据跆境传输双方之间签署数据暗境传输彷议、获得数据主体的明确同意、为向司法机关履行义务或确定权利所必须、为达成或履行合同所必须、为国际司法合作所必须、保护公共利益所必须8.个人故据保护影响评估：使用新技术处理个人数据可能对数据主体的隐私和保密性造成较高风险时，必须开展个人数据保护膨响评估，适用情形包括(1)对个人数据进行自动化处理，产生法律后果或对数据主体产生严重影响;(2)处理大规模的敏盛个人数据9.任命数据保护官:开展高风险数据处理活动的数据控制者或数据处理者应任命数据保护官（dataprotectionofficer）,其中高风险数据处理活动包括（1）使用新技术或处理大量个人数据，可能对数据主体的隐私和保密性带来高风险；（2）涉及系统性和广泛地处理敏感个人数据；（3）处理大量敏感个人数据10.收据保护机构：阿联酋设立数据保护办公室（DataOffice）作为政府层面的个人数据保护机构，主要负责起草和监督实施个人数据保护相关政策法规、接收数据主体的投诉、对涉嫌违反个人数据保护法的行为开展调胤11个人数据保护法并未规定违反该法的法律责任，而是说明将由个人数据保护法的实施细则具体规定12。根据阿联酋的立法计划，个人数据保护法的实施细则应于个人数据保护法发布后6个月内公布（即不晚于2022年3月19日）13,但目前阿联酋尚未发布该等实施细则。整体而言,个人数据保护法与欧盟GDPR、中国个人信息保护法有着相似的原则与要求.阿联酋个人数据保护法其中一个特别之处在于,对于个人数据跨境传输，若以数据主体的明确同意作为合法性基础向缺乏足够保护水平的国家跨境传输个人数据，则要求数据跨境传输应当不与阿联酋的公共和安全利益相冲突14）.（二）阿联酋的其他数据保护相关法律除了阿联酋个人数据保护法提供了统一的个人数据保护规范，阿联酋的其他法律与法令中也散见一些个人数据保护的相关要求，主要分为三类：1 .消费者保护裔肖费者保护法（TheFederal1.awNo.15of2020onConsumerProtection（15）:其中梃到，消费者权益包括消赛者聆私与消费者数据安全,消费者数据原则上不得被用于营销16）.结合个人数据保护法，阿联酋消费者的个人数据只有经数据主体明确同意下，才可被用于营销17.2 .医疗与健康数据保护关于在卫生领域使用信息和通信技术(ICT)的法律(Federal1.awNo.2of2019ConcerningtheUseofInformationandCommunicationTechnology(ICT)inHealthFields18):该法规定了医疗保健服务提供商、医疗保睑提供商、医疗保健信息技术提供商以及阿联酋境内(包括自由区)的医疗保健部门直接和/或间接服务提供商(例如外包、云服务)等各类实体在医疗健康数据方面的数幅合规义务，涵盂收集、处理.跨境传输、存储等数据处理全流程.3 .在线隐私保护阿联酋电信和数字政府监管局公布的网络访问管理政策(InternetAccessManagement(IAM)policy(19):根据此政策,对于冒充、欺诈和网络豹鱼和/或侵犯除私的在线内容可以向阿联酋的电信服务商(Etisalat.Du)报告并予以删除20.打击谣言和网络犯罪法(FederalDecree1.awNo.34of2021onCombattingRumoursandCybercrimes(21):提供全面的法律椎架.旨在通过使用信息技术、网络和社交平台提高防范网上犯罪的水平。其中专门规定了侵正隐私构成犯罪的刑事责任，根据情节处以最低6个月监禁，和/或最低15万迪拉姆(约合4.1万美元)、最高50万迪拉姆(约合13.6万美元)的处罚22.二、迪拜特殊经济区的数据保护立法概况迪拜酋长国("迪拜")是世界瞩目的快速发展经济体，也是阿联酋第二大酋长国，拥有多元的经济体制、丰富的跨行业投资机会、积极的政府政策和蓬勃的基础设施建设，已成为各类投资者的理想投资目的地之一23.阿联酋的个人数据保护法等联邦法律和法令并不适用于制定了数据保护法律的自由区.在迪拜，迪拜国际金融中心（DlFC）和迪拜健康城（DHCC）两大自由区分别有各自的数据保护法规。因此，迪拜境内除了DlFC与DHCC以外，均应遵守阿联酋统一的数据保护法律制度.（一）迪拜国际金融中心数据保护立法概况1 .迪拜国际金融中心数据保护法DlFC是位于迪拜首府的迪拜市的一片金融中心，也是阿联酋乃至中东地区金融、经济、贸易等商业活动最为活跃的区域之一.2020年7月1日起,迪拜国际金融中心数据保护法（TheDIFCDataProtection1.aw（DIFC1.awNo.5of2020）,”DIFC数据保妒法）生效.DIFC数据保护法具有广泛的适用范围，一方面适用于在DlFC区域内设立的数据控制者或数抠处理者的个人数据处理活动（无论处理行为是否发生于DlFC区域内24J）;另一方面适用于在DlFC内将个人数据处理活动作为其稳定经营的一部分的数据控制者或数据处理者，而无论其设立地点25.GDlFC数提保护法的内容与GDPR较为类似，主要包括数抠处理活动的基本原则、数据主体的权利、数抠控制者与数据处理者的义务、数据泄露通知.法律责任等章节,主要内容包括：合法性基础：数据控制者与数据处理者处理个人数据的合法性基明原则上是取得个人同意,除非具备其他合法性基础26.数据主体的权利：数据主体享有同意权、访问权、更正权、恻除权、拒绝处理权、限制处理权、可携带权、拒绝自动化决策权等权利27.数据控制者/处理者的义努：数据控制者和数据处理者对数据主体负有一系列义务，包括保IIS个人数据安全28、公开透明地处理个人数据29、保留个人数抠处理活动的书面记录30、发生数抠泄露时通知数据主体筹31).透明度要求：通过电子方式发送营销.通知等，数据控制者和数据处理者应当避免引起数据主体误解，并不得以暗示数据主体将受到歧视的方式诱使数据主体同意32)。数据保护机构：DIFC内设立数据保护专员(dataprotectioncommissioner)负贡监督和实施DIFC数据保护法，纠察数据控制者和数据处理者的违法行为并课以处罚33.违法后果：针对违反不同条款的违法行为，均有一固定且明确的行政罚款金额,单项违法行为最高可罚款100,000美元134)。行政处罚与民事赔偿双轨制：数据主体因违法行为遭受损害的，除了要求数据保护专员施以行政处罚，数据主体还可以向法院申请从数据控制者或数据处理者处获得赔偿【35.不同于GDPR或中国的个人信息保护法,DIFC数据保护法对每一具体条款的违反后果均具体化了处罚金额,违反每一条款的罚款从25,000美元至100,000美元不等.由于同一违法行为可能违反多个条款，以及每一数据主体如遭受损害还可荻得杷偿,违法成本相对较高，这意味者DIFC内的企业更应审慎地开展经第舌动。自2020年DIFC数据保护法生效至今，DlFC数据保护专员陆续发布了若干指南，帮助数据控制者和数据处理者史好地理解自身的义务，例如数据保护法综合指南(ComprehensiveGuidetoDataProtection1.aw,DIFC1.awNo.5of2020andDPRegulations)、高风险数据处理活动与数据保护官任命(HighRiskProcessing&DPOAppointments)、数据处理活动规则综合指南(ComprehensiveGuidetoNotificationofProcessingOperations)等。DlFC数据保护专员还梃供了若干”合规自评估工具"，以在线问卷的方式帮助企业判断自身是否合规、还需要履行哪些义务等.DlFC数据保护专员明确，这些指南和评估工具仅供企业和个人参考，不构成对法律的解释或法律意见书，也不具备法律效力.2 .迪拜国际金融中心数据保护条例与DIFC数据保沪法配套的还有迪拜国际金融中心数据保护条例(DIFCDataProtectionRegUIationS36),该条例于2020年7月1日起和BIFC数据保沪法一并生效，井于2023年9月1日进行了修订.该条例细化了DIFC数据保护法中的若干条款的实施规则，主要包括：雇员50人以下的企业无需遵守关于数据处理活动记录的义务，除非其开展了高风睑数据处理活动37);细化了数据控制者和数据处理者格自身的个人数据处理活动告知数据保护专员的规则38);细化了数据泄露通知的程序与规则39);细化了数据保护专员的若干职权的行使程序与限制40);细化了数据控制者和数据处理者通过电子方式发送通知和营销时交互界面等通知与营销活动的具体设计规则，目的是保护数据主体不至于产生误解或被歧视141);提出了自动化决策中自动化决策命令发送者、系统运营者、技术提供者分别的义务，并对人工智能自动化决策提出了更多限制42).(二)迪拜健康城健康数据保护条例DHCC是位于迪拜市的综合性医疗保健自由区，由两冢大型医院、超过90家门诊和诊断实验室、超过1700名医疗密格的专业人才，以及众多的特色医疗保健和商业零售服务商构成43.早在2008年，迪拜就在DHCC开始实施DHCC数框保护条例.该条例后于2013年修订，新条例命名为迪拜健康城健康数提保护条例(DubaiHealthcareCityHealthDataProtectionRegulation,RegulationNUmber。f201344,”健康数据保护触O“).£健康数抿保护条例适用于DHCC的持证主体(即有资格在DHCC提供医疗保健服务的个人和组织)对患者健展数据的管理，而无论该等健康数据存储于何处45)。健淡数据保护条例所称的健康数据范围广泛，涵盖了患者的所有向持证主体已提供或正在提供的有关医疗、疾病、保健服务、病史的数据46).£健康数抠保护条例规定了一系列健康数抿保护原则"，涉及收集患者健康数抠的方式和目的、数抿来源、数据存储和安全、数据访问和更正、数据保留以及使用、数据披露限制，主要内容包括：收集健康数据时需遵守目的正当和最小必要原则47）;原则上只能向患者本人直接收集其健康数据，除非满足健康数据保护条例规定的若干谿免情形48）；持证主体应向患者披露其收集、使用、存储等数据处理活动的规则49;持证主体应采取技术措施和管理措施以确保健康数据的安全50）；规定了各类健康数据的最长保存期限151）；原则上不得主动披露患者的健康数据，除非出于保护患者的迫切利益等合法性事由52）.健康数据保护条例变点对健康数据的全淘呈处理活动制定了详细规则，强调保护患者除私和数据权益.三、阿布扎比全球市场的数据保护立法概况阿布扎比酋长国（”阿布扎比”）是阿联酋的第一大酋长国，亦是中东的重要经济体.阿布扎比全球市场（AbuDhabiGlobalMarket,ADGM）是阿布扎比的自由区之一，于2021年2月11日发布2021数据保护条例（DataProtectionRegulations202153,"ADGM数据保护条例"），旨在规范ADGM区域内的数据处理活动.ADGM数据保护条例适用于在ADGM设立的数据控制者或数据处理者的的个人数据处理活动，而无论该数抿处理是否发生在ADGM54J.根据ADGM的数据保护办公室（OffiCeofDataProtection）介绍，在制定ADGM数据保护条例时，立法者们参考了一系列国际领先的数据保护立法与实践，其中尤其以欧盟GDPR为由要参考，目的是希望CADGM数据保护条例能与国际高水平的数据保护立法接轨55.从结果来看,ADGM数据保护条例的主要内容与GDPR相似，为数据控制者和数据处理者设置了较高的保护义务,根据ADGM数据保护条例，处理个人数据的合法性基础原则上需要取得个人同意，除非具备发他合法性基础56;数据主体享有知情权、更正权、删除权、可携带权、拒绝权等权益57;明确了合法、目的正当、最小必要、充分保障安全的处理原则58.与阿联酋个人数据保护法不同的是，ADGM数据保护条例对企业必须设置数据保护目的情形更多参考了GDPR的规定,根据ADGM数据保护条例，若企业的核心业务活动包括个人数据处理活动，需要定期和系统地大规模监测数据主体，或包括大规模处理特殊类别的个人数据，则企业应当设置一名数据保护官.该数据保护官可由外部人士担任，也无需常居ADGM59).结语：阿联酋的数据合规立法体系较有特色，值得相关出海企业事先了解并提前做好应对准备.同时，阿联酋联邦层面的立法和相关自由区的特别立法仍在不断完善的过程中，因此我们建议相关出海企业持续保持对当地数据合规法律法规的关注.如出海企业的业务涉及阿联酋联邦内的多个西长国或地区，则该等企业亦需关注各层级、各地区法律法规之间的话用和衔接.