《企业出海——海外数据合规概览(阿联酋篇).docx》由会员分享,可在线阅读,更多相关《企业出海——海外数据合规概览(阿联酋篇).docx(8页珍藏版)》请在优知文库上搜索。
1、刖百:阿拉伯联合酋长国(阿联酋”)位于阿拉伯半岛东南端,地处海湾进入印度洋的海上交通要冲,是中东重要的货易枢纽,也是中国共建“一带一路的生要合作伙伴之一.目前,超过6000家中国企业在阿联酋开拓当地和地区业务,阿联酋已连续多年成为中国在阿拉伯地区第一大出口目的国和第二大贸易伙伴”.2023年,中国对阿联酋投资流逾17亿美元,同比增长16.48%,占中国对阿拉伯国家投资总额的60%2.阿联酋属于联邦制国家,由阿布扎比、迪拜、沙迦、阿治曼、乌姆盖万、哈伊马角和富有伊拉7个酋长国组成,首都为阿布扎比。联邦内各酋长国既施行联邦政府制定的法律,又施行根据阿联酋联邦宪法授权所制定的当地法律法规.联邦法律的
2、效力高于各酋长国的法律.因此,各西长国的部分民商事领域活动受到联邦法律和当地法律的双重约束.本文将主要介绍阿联酋联邦法律和阿布扎比酋长国、迪拜酋长国的特殊经济区法律中的个人信息保护立法概况,以期为中国企业出海阿联酋提供数据合规风险防范思路.一,阿联酋数据保护立法概况(一)阿联酋个人数据保护法2021年9月20日,阿联酋公布其首部联邦层面的个人信息保护统一立法,即个人数据保护法(FederalDecree-1.awNo.45of2021ontheProtectionofPersonalDataProtetion3,个人故护法).该法于2022年1月2日生效.个人数据保护法适用于位于阿联酋的任何数
3、据控制者(datacontr。Iler)或处理者(dataprocessor,即受托处理者)所进行的所有个人数据处理活动(无论其处理的个人数据的数据主体位书可处),以及位于阿联西境外处理阿联酋境内数据主体个人数据的任何数据控制者或数据处理者的个人数据处理活动4).值得注意的是,个人数据保沪法不适用于位于有数据保护相关立法的阿联酋自由区(freezones)的组织,也不适用于受与健建数据.银行和信贷数据有关的具体数据保沪法约束的组织5。阿联酋自由区是阿联酋境内的若干特殊经济贸易区,京有更优惠的海关、税务、商业政策。在迪拜,有两大自由区拥有自己的数据保护法律,分别为迪拜国际金融中心(DubaiIn
4、ternationalFinancialCenter,DIFCv)和迪拜健康城(DUbaiHealthcareCity,vDHCC).个人数据保护法的体例与欧盟通用数据保护条例(GDPR,)相似,囊括了合法性基明、数据主体的权利、数据控制者和数据处理者的义务、数据保护执法机构职权等,主要内容包括:合法性基础:处理个人数据原则上需荻取个人明示同意,除非具备个人数据保沪法规定的其他合法性基础16).数据主体权利:数据主体空有访问权、可携带权、更正权、删除权、被遗忘权、拒绝自动化决策权、拒绝权等.数据跨境传输:允许个人数据跨境流动,前提是(1)目的地国家或地区具备不低于阿联酋个人信息保护水平的立法与
5、政策,或与阿联酋之间存在数据传恸协定;(2)若不具备适当的个人信息保护水平,需满足若干谿免条件之一,包括个人数据跆境传输双方之间签署数据暗境传输彷议、获得数据主体的明确同意、为向司法机关履行义务或确定权利所必须、为达成或履行合同所必须、为国际司法合作所必须、保护公共利益所必须8.个人故据保护影响评估:使用新技术处理个人数据可能对数据主体的隐私和保密性造成较高风险时,必须开展个人数据保护膨响评估,适用情形包括(1)对个人数据进行自动化处理,产生法律后果或对数据主体产生严重影响;(2)处理大规模的敏盛个人数据9.任命数据保护官:开展高风险数据处理活动的数据控制者或数据处理者应任命数据保护官(dat
6、aprotectionofficer),其中高风险数据处理活动包括(1)使用新技术或处理大量个人数据,可能对数据主体的隐私和保密性带来高风险;(2)涉及系统性和广泛地处理敏感个人数据;(3)处理大量敏感个人数据10.收据保护机构:阿联酋设立数据保护办公室(DataOffice)作为政府层面的个人数据保护机构,主要负责起草和监督实施个人数据保护相关政策法规、接收数据主体的投诉、对涉嫌违反个人数据保护法的行为开展调胤11个人数据保护法并未规定违反该法的法律责任,而是说明将由个人数据保护法的实施细则具体规定12。根据阿联酋的立法计划,个人数据保护法的实施细则应于个人数据保护法发布后6个月内公布(即不
7、晚于2022年3月19日)13,但目前阿联酋尚未发布该等实施细则。整体而言,个人数据保护法与欧盟GDPR、中国个人信息保护法有着相似的原则与要求.阿联酋个人数据保护法其中一个特别之处在于,对于个人数据跨境传输,若以数据主体的明确同意作为合法性基础向缺乏足够保护水平的国家跨境传输个人数据,则要求数据跨境传输应当不与阿联酋的公共和安全利益相冲突14).(二)阿联酋的其他数据保护相关法律除了阿联酋个人数据保护法提供了统一的个人数据保护规范,阿联酋的其他法律与法令中也散见一些个人数据保护的相关要求,主要分为三类:1 .消费者保护裔肖费者保护法(TheFederal1.awNo.15of2020onCo
8、nsumerProtection(15):其中梃到,消费者权益包括消赛者聆私与消费者数据安全,消费者数据原则上不得被用于营销16).结合个人数据保护法,阿联酋消费者的个人数据只有经数据主体明确同意下,才可被用于营销17.2 .医疗与健康数据保护关于在卫生领域使用信息和通信技术(ICT)的法律(Federal1.awNo.2of2019ConcerningtheUseofInformationandCommunicationTechnology(ICT)inHealthFields18):该法规定了医疗保健服务提供商、医疗保睑提供商、医疗保健信息技术提供商以及阿联酋境内(包括自由区)的医疗保健部
9、门直接和/或间接服务提供商(例如外包、云服务)等各类实体在医疗健康数据方面的数幅合规义务,涵盂收集、处理.跨境传输、存储等数据处理全流程.3 .在线隐私保护阿联酋电信和数字政府监管局公布的网络访问管理政策(InternetAccessManagement(IAM)policy(19):根据此政策,对于冒充、欺诈和网络豹鱼和/或侵犯除私的在线内容可以向阿联酋的电信服务商(Etisalat.Du)报告并予以删除20.打击谣言和网络犯罪法(FederalDecree1.awNo.34of2021onCombattingRumoursandCybercrimes(21):提供全面的法律椎架.旨在通过使
10、用信息技术、网络和社交平台提高防范网上犯罪的水平。其中专门规定了侵正隐私构成犯罪的刑事责任,根据情节处以最低6个月监禁,和/或最低15万迪拉姆(约合4.1万美元)、最高50万迪拉姆(约合13.6万美元)的处罚22.二、迪拜特殊经济区的数据保护立法概况迪拜酋长国(迪拜)是世界瞩目的快速发展经济体,也是阿联酋第二大酋长国,拥有多元的经济体制、丰富的跨行业投资机会、积极的政府政策和蓬勃的基础设施建设,已成为各类投资者的理想投资目的地之一23.阿联酋的个人数据保护法等联邦法律和法令并不适用于制定了数据保护法律的自由区.在迪拜,迪拜国际金融中心(DlFC)和迪拜健康城(DHCC)两大自由区分别有各自的数
11、据保护法规。因此,迪拜境内除了DlFC与DHCC以外,均应遵守阿联酋统一的数据保护法律制度.(一)迪拜国际金融中心数据保护立法概况1 .迪拜国际金融中心数据保护法DlFC是位于迪拜首府的迪拜市的一片金融中心,也是阿联酋乃至中东地区金融、经济、贸易等商业活动最为活跃的区域之一.2020年7月1日起,迪拜国际金融中心数据保护法(TheDIFCDataProtection1.aw(DIFC1.awNo.5of2020),”DIFC数据保妒法)生效.DIFC数据保护法具有广泛的适用范围,一方面适用于在DlFC区域内设立的数据控制者或数抠处理者的个人数据处理活动(无论处理行为是否发生于DlFC区域内24
12、J);另一方面适用于在DlFC内将个人数据处理活动作为其稳定经营的一部分的数据控制者或数据处理者,而无论其设立地点25.GDlFC数提保护法的内容与GDPR较为类似,主要包括数抠处理活动的基本原则、数据主体的权利、数抠控制者与数据处理者的义务、数据泄露通知.法律责任等章节,主要内容包括:合法性基础:数据控制者与数据处理者处理个人数据的合法性基明原则上是取得个人同意,除非具备其他合法性基础26.数据主体的权利:数据主体享有同意权、访问权、更正权、恻除权、拒绝处理权、限制处理权、可携带权、拒绝自动化决策权等权利27.数据控制者/处理者的义努:数据控制者和数据处理者对数据主体负有一系列义务,包括保I
13、IS个人数据安全28、公开透明地处理个人数据29、保留个人数抠处理活动的书面记录30、发生数抠泄露时通知数据主体筹31).透明度要求:通过电子方式发送营销.通知等,数据控制者和数据处理者应当避免引起数据主体误解,并不得以暗示数据主体将受到歧视的方式诱使数据主体同意32)。数据保护机构:DIFC内设立数据保护专员(dataprotectioncommissioner)负贡监督和实施DIFC数据保护法,纠察数据控制者和数据处理者的违法行为并课以处罚33.违法后果:针对违反不同条款的违法行为,均有一固定且明确的行政罚款金额,单项违法行为最高可罚款100,000美元134)。行政处罚与民事赔偿双轨制:
14、数据主体因违法行为遭受损害的,除了要求数据保护专员施以行政处罚,数据主体还可以向法院申请从数据控制者或数据处理者处获得赔偿【35.不同于GDPR或中国的个人信息保护法,DIFC数据保护法对每一具体条款的违反后果均具体化了处罚金额,违反每一条款的罚款从25,000美元至100,000美元不等.由于同一违法行为可能违反多个条款,以及每一数据主体如遭受损害还可荻得杷偿,违法成本相对较高,这意味者DIFC内的企业更应审慎地开展经第舌动。自2020年DIFC数据保护法生效至今,DlFC数据保护专员陆续发布了若干指南,帮助数据控制者和数据处理者史好地理解自身的义务,例如数据保护法综合指南(Comprehe
15、nsiveGuidetoDataProtection1.aw,DIFC1.awNo.5of2020andDPRegulations)、高风险数据处理活动与数据保护官任命(HighRiskProcessing&DPOAppointments)、数据处理活动规则综合指南(ComprehensiveGuidetoNotificationofProcessingOperations)等。DlFC数据保护专员还梃供了若干”合规自评估工具,以在线问卷的方式帮助企业判断自身是否合规、还需要履行哪些义务等.DlFC数据保护专员明确,这些指南和评估工具仅供企业和个人参考,不构成对法律的解释或法律意见书,也不具备法律效力.2 .迪拜国际金融中心数据保护条例与DIFC数据保沪法配套的还有迪拜国际金融中心数据保护条例(DIFCDataProtectionRegUIationS36),该条例于2020年7月1日起和BIFC数据保沪法一并生效,井于2023年9月1日进行了修订.该条例细化了DIFC数据保护法中的若干条款的实施规则,主要包括:雇员50人以下的企业无需遵守关于数据处理活动记录的义务,除非其开展了高风睑数据处理活动37);细化了数据控制者和数据处理者格自身的个人数
免费区 