引言
阿拉伯联合酋长国(简称阿联酋),首都阿布扎比,位于阿拉伯半岛东部,由阿布扎比、迪拜、沙迦、阿治曼、乌姆盖万、哈伊马角和富查伊拉7个酋长国组成的联邦国家,地处波斯湾进入印度洋的海上交通要地,是“一带一路”建设的重要参与者。阿联酋是石油输出国组织(OPEC)成员国,国家经济以石油生产和石油化工工业为主,此外还大力发展以信息技术为核心的知识经济,同时注重可再生能源研发。阿联酋迪拜港是继新加坡、中国香港之后的全球第三大转口中心。阿联酋是中国在阿拉伯国家中最大出口市场和第二大贸易伙伴。
阿联酋属于联邦制国家,由阿布扎比、迪拜、沙迦、阿治曼、乌姆盖万、哈伊马角和富查伊拉7个酋长国组成,首都为阿布扎比。联邦内各酋长国既施行联邦政府制定的法律,又施行根据《阿联酋联邦宪法》授权所制定的当地法律法规。联邦法律的效力高于各酋长国的法律。因此,各酋长国的部分民商事领域活动受到联邦法律和当地法律的双重约束。
阿联酋联邦层面数据保护立法概况
在阿联酋联合共和国地区,联邦层面于2021年9月20日公布了《个人数据保护法》(Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection),以此为依据提供了统一的个人数据保护规范,是阿联酋地区数据保护法律规范的主体。该法于2022年1月2日生效。《个人数据保护法》适用于位于阿联酋的任何数据控制者(data controller)或处理者(data processor,即受托处理者)所进行的所有个人数据处理活动(无论其处理的个人数据的数据主体位于何处),以及位于阿联酋境外处理阿联酋境内数据主体个人数据的任何数据控制者或数据处理者的个人数据处理活动。但是,该法律不适用于位于有数据保护相关立法的阿联酋自由区的组织,也不适用于受与健康数据、银行和信贷数据有关的具体数据保护法约束的组织。
阿联酋自由区是阿联酋境内的特殊经济贸易区,享有更优惠的海关、税务、商业政策,例如迪拜国际金融中心(Dubai International Financial Center,“DIFC”)、迪拜健康城(Dubai Healthcare City,“DHCC”)和阿布扎比全球市场(Abu Dhabi Global Market,“ADGM”)。
《个人数据保护法》的体例与欧盟《通用数据保护条例》(“GDPR”)相似,其内容囊括了合法性基础(Article(4))、数据主体的权利(Article (13) to Article (18))、数据控制者和数据处理者的义务(Article (7) and Article (8))、任命数据保护官(Article(10) and Article (11))、数据跨境传输(Article (22) and Article (23))等。
根据该法第四条规定,未经所有者同意,禁止处理其个人数据,除非符合《个人数据保护法》所规定的其他例外情况,例如出于公共利益、处理已公开的个人数据、为保护数据主体的利益等。在数据主体权力方面,《个人数据保护法》规定,数据主体享有知情权、更正权、删除权、被遗忘权、访问权、可携带权、拒绝权等。数据控制者的义务包括数据保护义务、合法性义务、记录义务等;数据处理者的义务包括数据保护义务、合法性义务、删除义务等。在开展高风险数据处理活动的数据控制者或数据处理者应任命数据保护官(data protection officer),其中高风险数据处理活动包括(1)使用新技术或处理大量个人数据,可能对数据主体的隐私和保密性带来高风险;(2)涉及系统性和广泛地处理敏感个人数据;(3)处理大量敏感个人数据。在数据跨境传输方面,该法律允许个人数据跨境流动,但前提是,目的地国家或地区具备不低于阿联酋个人信息保护水平的立法与政策,或与阿联酋之间存在数据传输协定;并且若不具备适当的个人信息保护水平,需满足若干豁免条件之一,包括个人数据跨境传输双方之间签署数据跨境传输协议、获得数据主体的明确同意、为向司法机关履行义务或确定权利所必须、为达成或履行合同所必须、为国际司法合作所必须、保护公共利益所必须。
但是,《个人数据保护法》并未规定违反该法的法律责任,而是说明将由《个人数据保护法》的实施细则具体规定(Article(26)),但目前阿联酋尚未发布该等实施细则。
整体而言,《个人数据保护法》与欧盟GDPR、中国《个人信息保护法》有着相似的原则与要求。阿联酋《个人数据保护法》其中一个特别之处在于,对于个人数据跨境传输,若以数据主体的明确同意作为合法性基础向缺乏足够保护水平的国家跨境传输个人数据,则要求数据跨境传输应当不与阿联酋的公共和安全利益相冲突。
《个人数据保护法》的监管部门是隶属于阿联酋内阁的数据办公室(Data Office)。数据办公室的权力和职责包括:制定与数据保护相关的政策和立法;提出并批准个人数据保护法监测标准;准备与数据相关的投诉和申诉系统;发布实施该法律的指南和指示。并且,根据个人数据法的规定,数据办公室拥有自由裁量权,可以豁免一些处理个人数据规模较小的情形下的合规义务。
总体而言,《个人数据保护法》与欧盟GDPR、中国《个人信息保护法》有着相似的原则与要求。在数据主体权利和控制者义务方面,与GDPR提供了基本一致的保护标准,是阿联酋数据领域与国际接轨的重要一步。但鉴于阿联酋在部分自由区依然保留各自的数据立法,以及部分行业的数据有特殊法律规定,阿联酋的数据保护环境仍然复杂而分散,这意味着PDPL的应用需要多加考虑。
阿联酋联邦层面其他数据保护相关法律
阿联酋的其他法律零散地提供了一些个人数据保护地相关法律规范,包括《消费者保护法》(The Federal Law No. 15 of 2020 on Consumer Protection)、《打击谣言和网络犯罪法》(Federal Decree Law No. 34 of 2021 on Combatting Rumours and Cybercrimes)。
《消费者保护法》规定消费者权益包括消费者隐私与消费者数据安全,消费者数据原则上不得被用于营销(Article(4));《打击谣言和网络犯罪法》规定了侵犯隐私构成犯罪的刑事责任,根据情节处以最低6个月监禁,和/或最低15万迪拉姆(约合4.1万美元)、最高50万迪拉姆(约合13.6万美元)的处罚(Article (44))。
需要再次注意的是,上述法律并不适用于位于有数据保护相关立法的阿联酋自由区的组织,也不适用于与健康数据、银行和信贷有关的具体数据保护法约束的组织。
阿联酋自由区的数据保护立法概述
阿联酋自由区包括有迪拜国际金融中心(DIFC)、迪拜健康城(DHCC)、阿布扎比全球市场(ADGM)等。
① 迪拜国际金融中心
迪拜国际金融中心的相关法律以《迪拜国际金融中心数据保护法》(The DIFC Data Protection Law)为主,配套有《迪拜国际金融中心数据保护条例》(DIFC Data Protection Regulation)。《DIFC数据保护法》的内容与GDPR较为类似,《DIFC数据保护法》主要包括数据处理活动的基本原则、数据主体的权利、数据控制者与数据处理者的义务、数据泄露通知、法律责任等章节,主要内容包括:合法性基础(Article 10)、数据主体的权利(Article 32 to Article 38)、数据控制者/处理者的义务(Article 14、 Article 39、Article 15、Article 41)、透明度要求(Article 39)、数据保护机构(Article 43)、违法后果(Schedule 2)等。《DIFC数据保护条例》则细化了《DIFC数据保护法》中的若干条款的实施规则,如数据泄露通知的程序与规则(Article 8)、数据保护专员的职权行使程序与限制(Article 3、Article 7.1、Article 7.2、Article 8.1)。
根据《DIFC数据保护法》规定,处理个人数据的合法性基础在于获得了当事人同意,除非满足了其他例外情形。数据主体享有知情权、更正权、删除权、拒绝处理权等权利。数据控制者和数据处理者享有保护数据安全义务、记录义务、通知义务等义务。在透明度方面,数据控制者和数据处理者应当避免引起数据主体误解,并不得以暗示数据主体将受到歧视的方式诱使数据主体同意。
不同于GDPR或中国的《个人信息保护法》,《DIFC数据保护法》对每一具体条款的违反后果均具体化了处罚金额。违反每一条款的罚款从25,000美元至100,000美元不等。并且同一行为可能违反多条规定,在罚款之外还可能需要承担赔偿责任。
② 迪拜健康城
迪拜健康城实施的法律为《迪拜健康城健康数据保护条例》(Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013)。《健康数据保护条例》规定了一系列“健康数据保护原则”,涉及收集患者健康数据的方式和目的、数据来源、数据存储和安全、数据访问和更正、数据保留以及使用、数据披露限制。
《健康数据保护条例》适用于DHCC的持证主体(即有资格在DHCC提供医疗保健服务的个人和组织)对患者健康数据的管理,而无论该等健康数据存储于何处。《健康数据保护条例》所称的健康数据范围广泛,涵盖了患者的所有向持证主体已提供或正在提供的有关医疗、疾病、保健服务、病史的数据。
其内容包括,主体在收集患者健康数据时应当遵守目的正当和最小必要原则;应当向患者披露其收集、使用、储存数据的规则;持证主体应当采取技术措施和管理措施以确保健康数据的安全。
③ 阿布扎比全球市场
阿布扎比全球市场所实施的为2021年2月11日所发布的《2021数据保护条例》(Data Protection Regulation 2021)。《ADGM数据保护条例》为数据控制者和数据处理者设置了较高的保护义务,处理个人数据的合法性基础原则上需要取得个人同意,除非具备其他合法性基础;数据主体享有知情权、更正权、删除权、可携带权、拒绝权等权益;明确了合法、目的正当、最小必要、充分保障安全的处理原则。
与阿联酋《个人数据保护法》不同的是,《ADGM数据保护条例》对企业必须设置数据保护官的情形更多参考了GDPR的规定。根据《ADGM数据保护条例》,若企业的核心业务活动包括个人数据处理活动,需要定期和系统地大规模监测数据主体,或包括大规模处理特殊类别的个人数据,则企业应当设置一名数据保护官。《数据保护条例》也规定了独立的数据保护办公室(ODP),由新成立的数据保护专员领导。
特别声明
往期推荐
孙 希
乾成律师事务所 律师
公司法律事务部
孙希律师,在境内外上市、再融资、基金设立及投融资、跨境投融资、合规、基金、税务等法律顾问服务等领域拥有丰富的法律服务经验,持有注册会计师合格证书,能够从财税及融资角度把控项目的整体投资风险,实现风险管控,税务服务的合法及合规的前提下,实现项目整体收益的最大化,对于项目实现法律、财税、融资等多角度的把控。
税法服务|境内外上市|再融资|基金设立及投融资
扫码关注律师
