随着全球经济局势的飞速转变,中国本土企业出海寻求发展空间成为时代选择。中国企业在国际化的发展过程中面临着各出海目的地不同领域不同程度的合规需求,包括但不限于市场准入与外资审批要求、货币与外汇管制要求、融资要求、进出口与海关监管要求、 劳动用工、数据保护、反垄断和反腐败要求等。其中,随着全球数字化发展,各国家/地区愈发在数据保护领域实施更为明确的监管要求。
为了顺应企业走出去的新浪潮,我们将从数据保护与跨境传输规则角度发布一系列针对企业不同出海目的地的政策解读文章。
阿拉伯联合酋长国(以下简称“阿联酋”)是由阿布扎比、迪拜、沙迦、阿治曼、乌姆盖万、哈伊马角和富查伊拉7个酋长国组成的联邦国家,地处波斯湾进入印度洋的海上交通要地,是“一带一路”建设的重要参与者。阿联酋是海湾合作理事会国家中经济规模仅次于沙特的第二大经济体,产业结构以石油为中心,外贸依存度高。阿联酋对消费品进口需求强烈,与中国的产业结构互补性强,是中国企业出海的常见目的地。
由于阿联酋属于松散联邦制国家,除国防、外交相对统一外,经济、贸易、投资等方面各酋长国自成一体,不同经济特区的法律规定不尽相同。本文着重介绍以《个人数据保护法》(The Personal Data Protection Law, Federal Decree Law No. 45 of 2021 regarding the Protection of Personal Data,以下简称“PDPL”)为核心的联邦数据保护与跨境传输制度。
一、阿联酋数据保护概览
1.阿联酋数据立法框架
PDPL是适用于阿联酋数据保护领域的核心立法,于 2022 年 1 月 2 日生效。此外,PDPL的配套执行条例原计划在PDPL发布后六个月内公布。但截至2024年3月29日,执行条例尚未公布。
自由区内[1]和特定行业内可能并不适用PDPL。在阿联酋自由区中,迪拜国际金融中心(Dubai International Financial Centre , “DIFC”)和阿布扎比全球市场(Abu Dhabi's International Financial Centre , “ADGM”)都颁布了适用于其区域内的数据保护法。迪拜国际金融中心适用《数据保护法》(Data Protection Law, DIFC Law No. 5 of 2020);阿布扎比全球市场适用2021版《数据保护条例》(Data Protection Regulations 2021)。
此外,有些部门存在特定立法管理数据保护,具体如下:
- 2003年第3号联邦法律规制电信领域消费者的数据保护;
- 2018年第14号联邦法律规制银行客户的数据保护;
- 2019年第2号联邦法律规制患者信息的保密性;
- 2020年第15号联邦法律保护消费者权利。
本文着重介绍以PDPL为核心的阿联酋数据保护与跨境传输合规制度,因此对自由区内和特定行业的法规不作过多展开。
2.PDPL的适用范围
1)适用对象:
PDPL适用于已识别或可识别特定自然人的数据,但不包括政府数据、健康数据、银行和信用数据,这些数据适用特定领域的规范,也不适用于为个人目的处理个人数据的行为。
2)适用地域:
PDPL具有域内和域外效力,适用于单独进行数据立法的自由区以外的联邦所有地区,包括:
- 居住在阿联酋或者在阿联酋拥有营业地的数据主体;
- 在阿联酋境内处理境内或境外个人数据的控制者和处理者;
- 在阿联酋境外设立、处理阿联酋境内个人数据的控制者和处理者。
3.阿联酋数据保护的监管机构
PDPL的监管部门是隶属于阿联酋内阁的数据办公室(Data Office)。数据办公室的权力和职责包括:
- 制定与数据保护相关的政策和立法;
- 提出并批准个人数据保护法监测标准;
- 准备与数据相关的投诉和申诉系统;
- 发布实施该法律的指南和指示。
数据办公室将会任命一名总干事,负责数据办公室日常运作。根据PDPL规定,数据办公室拥有自由裁量权,可以豁免一些处理个人数据规模较小的情形下的合规义务。
二、PDPL的主要内容
1.以数据主体的“同意”为基础
与欧盟《通用数据保护条例》(以下简称“GDPR”)类似,PDPL第4条规定,数据主体的同意是处理个人数据的基础。该同意必须是具体、明确的,并且必须通过清晰的的积极行为来表明。同意也是可撤销的。
PDPL也规定了处理个人数据不需要数据主体同意的例外情形:
- 出于公共利益;
- 处理已公开个人数据;
- 在司法及安全程序中,需要进行处理或进行辩护时;
- 根据国家现行法律,出于职业或预防医学目的处理数据,包括评估员工的工作能力、医疗诊断、提供健康或社会护理服务;
- 根据国家现行法律,为了保护公众健康,防止传染病和流行病,或为了确保医疗保健、药品、药品和医疗器械的安全和质量,有必要进行处理;
- 根据国家现行立法,出于存档目的或科学、历史或统计研究的需要;
- 为了保护数据主体的利益;
- 在法律允许的范围内,为履行就业或社会保障领域的法律或社会保护相关法律规定的义务;
- 为了履行数据主体作为一方的合同所必需,或应数据主体要求签订、修改或终止合同;
- 为了遵守控制者所在国其他法律规定的义务;
- 本法实施细则规定的其他情形。
与我们之前介绍过的新加坡法不同的是,阿联酋PDPL不允许为了数据控制者的“合法利益”进行数据处理。企业在阿联酋处理个人数据前,需要注意获取数据主体的同意。
2.控制者和处理者的义务
控制者指的是能够决定(不论是单独决定还是共同决定)个人数据处理目的与方式的自然人或法人、公共机构、机构或其他实体。处理者为控制者处理个人数据,但不能决定处理的目的与方式。PDPL规定的控制者义务和处理者义务如下表所示:
表1
3.数据主体的权利
PDPL采用了GDPR的立法方式,赋予了数据主体七项数据权利,极大地保障了个人对其数据的控制权。
表2
4.数据保护影响评估
根据PDPL第21条,如果处理方式涉及新技术的使用,可能对数据主体的隐私和机密性造成较高风险,控制者需要在处理之前进行数据保护影响评估。数据保护影响评估的义务适用于:
(1)对个人信息进行自动化处理,产生法律后果或对数据主体产生严重影响;
(2)处理包含大规模的敏感个人数据。
数据保护影响评估应包含以下内容:
- 明确解释相关处理活动的性质及其目的;
- 评估与其目的相关的处理的必要性;
- 评估数据主体个人信息保护的潜在风险;和
- 减轻此类处理活动潜在风险的建议措施。
此外,根据PDPL第21(5)条,控制者必须定期审查数据保护影响评估的结果,以确保在风险级别发生变化时按照评估进行处理活动。
5.数据保护官任命
根据PDPL第10条,在以下情况下,数据控制者和数据处理者必须任命一名数据保护官(DPO):
- 使用新技术(或考虑到数据规模)的处理可能会对个人数据的机密性和隐私造成高风险;
- 对敏感个人数据进行系统和广泛的评估,包括分析和自动处理;
- 对大量敏感个人数据进行处理。
此外,指定的DPO必须具备保护个人数据的技能和专业知识。DPO可以是数据控制者或数据处理者的员工,也可以是数据控制者或处理者在阿联酋境内或境外指定的其他个人。DPO应确保数据控制者或数据处理者遵守PDPL的规定、其执行条例以及数据办公室发布的指令。
6.总结
PDPL作为近几年颁布的新法,在数据主体权利和控制者义务方面,与GDPR提供了基本一致的保护标准,是阿联酋数据领域与国际接轨的重要一步。重视隐私合规的全球性企业在阿联酋部署业务能够实现协同效应。
但鉴于阿联酋在部分自由区依然保留各自的数据立法,以及部分行业的数据有特殊法律规定,阿联酋(以及更广泛的海湾阿拉伯国家合作理事会地区)的数据保护环境仍然复杂而分散,这意味着PDPL的应用需要多加考虑。
三、阿联酋数据跨境传输要求与路径
1.跨境传输要求
根据PDPL第22条,如个人数据要跨境传输至阿联酋以外地区,则该地区立法必须对个人数据提供适当的保护水平,具体包括保护个人数据的机密性和隐私性相关的主要条款、措施、控制、要求和规则,以及与通过监管或司法实体对控制者或处理者实施的条款。个人数据也可以传输到与阿联酋有双边或多边个人数据保护协议的国家。
在缺乏适当的保护水平时,PDPL也规定了一系列豁免。在以下情况下,个人数据可以合法跨境转移:
- 在没有数据保护法的地区,该地区企业可以根据传输数据协议,使该地区企业满足本文所述的规定、措施、控制和条件,并通过合同中指定的地区监督或司法机构对该地区数据控制者或数据处理者采取适当的措施;
- 数据主体明确表示同意,前提是跨境传输不损害阿联酋的公共或安全利益;
- 传输对于履行义务和司法确权是必要的;
- 传输是签订或履行控制者与数据主体之间或控制者与第三方之间为了数据主体利益而签订的合同所必需的。
- 传输是履行与国际司法合作有关的行为所必需的。
- 传输是保护公共利益所必需的。
有关跨境转移的更多信息,包括可能被视为提供“充分保护水平”的司法管辖区清单,预计将在发布后包含在执行条例中,但该执行条例目前尚未发布。
2.禁止跨境传输的数据
行业立法中也含有禁止特定类别数据出境的要求。《健康领域信息通信技术法》(“ICT in Health Fields Law”)第13条规定,在阿联酋提供的卫生服务有关的健康信息和数据不得在境外存储、处理、生成或转移,除非酋长国卫生局与联邦卫生部协调作出决定。“联邦部2021年第51号决定”概述了健康信息可以传输到阿联酋境外的情况。但是,联邦一级的要求还需要根据相关方的位置、患者和正在进行的活动的性质,对照各种酋长国一级的政策、程序和指导文件进行考虑。
四、自由区数据保护法
1.迪拜国际金融中心(DIFC)
迪拜国际金融中心的一般数据保护框架是《数据保护法》(Data Protection Law, DIFC Law No. 5 of 2020)和更新后的数据保护条例。该框架于2020年5月21日颁布,并于2020年7月1日生效。
《数据保护法》适用于在迪拜国际金融中心注册并处理个人数据的公司,无论处理是在迪拜国际金融中心还是以外进行,在某些情况下,也适用于在迪拜国际金融中心处理个人数据的外国公司。《数据保护法》与GDPR密切相关,规定了有关在迪拜国际金融中心中收集、处理、披露和使用个人数据的详细规则和条例。《数据保护法》法和GDPR之间也存在某些细微差异,包括报告个人数据泄露的要求和时间表以及处罚结构。
数据保护专员办公室是为维护公共利益的信息权利和来自迪拜国际金融中心中或来自迪拜国际金融中心的个人的数据隐私而设立的独立监管机构。
2.阿布扎比全球市场(ADGM)
阿布扎比全球市场自由区的相关数据保护法是《数据保护条例》(ADGM DPR)。该条例于2021年2月11日发布。《数据保护条例》适用于阿布扎比全球市场内部个人数据的处理。与迪拜国际金融中心《数据保护法》类似,《数据保护条例》借鉴了国际标准和最佳实践,特别是GDPR。《数据保护条例》也规定了独立的数据保护办公室(ODP),由新成立的数据保护专员领导。与迪拜国际金融中心类似,阿布扎比全球市场也是一个独立的司法管辖区。
五、总结
PDPL是阿联酋朝着营造数据安全和隐私保护的数字环境迈出的关键一步,也是与国际数据保护接轨的重要立法。其初步建立了一个保护个人数据的框架,同时促进控制者履行合规义务。
但是,由于执行条例尚未发布,法律实施细节和标准尚不明确。我们提醒所有在阿联酋运营或者处理阿联酋个人数据的企业,以及未来在阿联酋有出海计划的企业,及时咨询专业意见,在数据合规领域尽早布局。
注释
[1] 除阿布扎比酋长国外,其余6个酋长国都设有各自的自由区。在阿联酋共有14个比较活跃的贸易自由区。其中,迪拜酋长国有8个自由区,沙迦酋长国有2个自由区,其它4个酋长国各有1个自由区。贸易自由区向外国投资者提供了诸多优惠鼓励措施。
来源:元达律讯
作者:
- 黄仲兰,创始人与管理合伙人;电话:+86 21 6105 0588;邮箱:jzhuang@yuandawinston.com
- 尤白璐,顾问;电话:+86 21 6105 0565;邮箱:doyou@yuandawinston.com
- 程盈,律师;电话:+86 21 6105 0926;邮箱:rcheng@yuandawinston.com
*感谢王晟、彭麟钧对本文的贡献。