阿联酋数据保护法 ——企业合规之数据合规

阿联酋于2021年发布了《第45号联邦法令法案：关于个人数据保护》（下称“法律”或“DP法”）。该法律适用于所有设在阿联酋境内、处理阿联酋内外数据主体的个人数据的实体；同时也适用于设在阿联酋境外、但处理在阿联酋境内数据主体的个人数据的实体。这些实体可能是数据处理者（Processor）或控制者（Controller，定义见下文）。然而，该法不适用于某些特定实体，如政府机构及已受行业专属法律监管的医疗和银行领域。

本法律的实施细则尚未出台，未来将进一步明确相关义务与要求。

DP法项下的主要相关方包括：

• 数据主体：即其个人数据被处理的自然人；
• 控制者（Controller）：决定个人数据处理方式、目的和依据的实体；
• 处理者（Processor）：依据控制者的指示代表其处理数据的实体；
• 数据保护官（DPO）：由控制者或处理者指派，负责确保其遵守DP法；
• 阿联酋数据办公室（Data Office）：依据第44号联邦法设立，是执行DP法的监管机关。

数据处理控制

“个人数据”被定义为与特定自然人相关，或可通过识别元素直接或间接识别某人的任何数据。其涵盖“敏感个人数据”（如家庭、种族、信仰、犯罪记录、健康信息）以及“生物识别数据”（如人脸图像、指纹等）。

DP法要求对个人数据进行公平、透明、合法的处理，且收集目的需明确，并须取得数据主体的同意。数据必须准确、安全地保存，在处理目的完成后应删除或进行去标识化（如假名化或匿名化处理）。

同意要求

除特定情形外，所有个人数据处理均需获得数据主体的明确同意。例外情况包括：数据主体自行公开该信息；为履行法律或合同义务；用于档案目的；或为公共利益所必需。

控制者应能够证明其已获得数据主体的同意，并确保该同意简单、明确、易于访问，且数据主体可以轻松撤回。

控制者与处理者的义务

处理个人数据的实体必须遵守DP法规定的义务。

控制者的义务包括：

• 实施技术和组织措施，保障数据的机密性与安全性；
• 遵守DP法的数据处理控制要求；
• 针对自动化操作设立相应技术与组织控制措施；
• 维护一份详尽的数据处理记录；
• 委托处理者时，应确保其具备合规能力。

处理者的义务包括：

• 仅依据控制者的指令及协议处理数据；
• 在设计阶段即落实技术和组织保障措施；
• 限定数据处理的用途和期限，期满后删除或交还数据；
• 保障数据处理设备和介质的安全性；
• 维护处理记录并体现其合规承诺。

数据泄露

DP法将数据泄露定义为任何未授权或非法访问，导致个人数据被破坏、篡改、披露的行为，例如黑客攻击、数据丢失、未经授权共享等。

一旦发生数据泄露，控制者必须在知悉后尽快向数据办公室报告，包括泄露细节及应对措施；同时应通知数据主体。若泄露由处理者发现，则应第一时间报告控制者，再由控制者履行申报义务。

数据主体的权利

数据主体享有以下权利：

• 获知权：了解其数据被处理的类型、目的、删除流程及数据共享对象；
• 数据可携权：有权要求接收或将数据转移至其他控制者；
• 更正与删除权：请求控制者更正或删除其数据；
• 限制处理权：要求控制者限制处理行为；
• 终止处理权：反对用于营销、调研或违法行为的数据处理；
• 反对自动化处理权：反对基于自动处理（包括画像分析）所作出的决定。

数据保护官与影响评估

如控制者或处理者：

• 大规模处理个人数据，
• 涉及高风险敏感数据，
• 或进行自动化处理与画像分析， 则应指定DPO并开展数据保护影响评估（DPIA）。

DPIA应包括：

• 对处理活动及目的的详细描述；
• 对处理必要性的评估；
• 对隐私风险的分析；
• 风险缓解措施。

此外，应定期复核DPIA结果，确保数据处理仍符合风险控制要求。

DPO职责包括：

• 监督控制者/处理者合规性；
• 提供技术合规建议；
• 处理数据请求与投诉；
• 在数据办公室与组织之间建立沟通桥梁。

跨境数据传输

DP法允许将数据传输至境外，前提是该国具有充分的数据保护立法，并由数据办公室予以认可。

若目的地无适当法律，仍可通过签订合同确保对方采纳DP法要求来传输数据。此外，也可在数据主体明确同意、或为履行法律/合同义务等例外情况下进行跨境传输。

DIFC与ADGM的数据保护法规

阿联酋两个金融自由区——迪拜国际金融中心（DIFC）和阿布扎比全球市场（ADGM）拥有各自独立的数据保护法规，与DP法基本保持一致。

DIFC： DIFC于2020年颁布《数据保护法》第5号法律（DIFC Law No. 5 of 2020），并配套出台“DIFC数据保护条例”。该法适用于所有在DIFC设立的实体，以及虽设立在其他地区但定期在DIFC内使用资源或人员处理数据的控制者与处理者。该法设立了“数据保护专员办公室”，负责监管执行与处理投诉。

2023年，DIFC修订了该法，新增限制数据被用于营销目的的条款，并将人工智能纳入监管，推动AI的负责任使用。

ADGM： ADGM于2021年发布《数据保护条例》，由“数据保护办公室”监管实施。该法规适用于ADGM境内的控制者或处理者，无论其是否在区内处理数据。

该条例通过“密切关联原则”将适用范围延伸至ADGM以外的实体，若其业务与ADGM实体存在实质性收入关联，也适用ADGM条例。处理者还应在境外尽可能遵守ADGM条例，并遵守控制者所在地法律。

结论

控制者与处理者必须遵守DP法及适用的DIFC、ADGM数据保护法规。处理阿联酋数据主体数据的企业应尽快修订其隐私政策、同意管理和Cookie政策等文件，以确保符合即将颁布的执行细则和当前法律要求。与此同时，企业应保持合规的主动性，应对不断演进的数据保护法律。

律师评论：

在当今的数字经济中，数据是企业最宝贵的资产之一。随着云技术的普及、跨境交易的增加以及人工智能驱动的数据分析迅猛发展，负责任地管理数据变得比以往任何时候都更加重要。在阿联酋，数字化转型正在公私部门迅速推进，数据合规早已不再是可选项，而是企业的基本要求。不合规将可能导致巨额罚款、声誉受损，甚至暂停运营。阿联酋监管机构日益重视执法，特别是在金融、医疗、通信等关键行业。

Contents will be updated soon.....