标签:公司与并购-公司合规体系,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
前言:
阿拉伯联合酋长国(“阿联酋”)位于阿拉伯半岛东南端,地处海湾进入印度洋的海上交通要冲,是中东重要的贸易枢纽,也是中国共建“一带一路”的重要合作伙伴之一。目前,超过6000家中国企业在阿联酋开拓当地和地区业务,阿联酋已连续多年成为中国在阿拉伯地区第一大出口目的国和第二大贸易伙伴[1]。2023年,中国对阿联酋投资流量逾17亿美元,同比增长16.48%,占中国对阿拉伯国家投资总额的60%[2]。
阿联酋属于联邦制国家,由阿布扎比、迪拜、沙迦、阿治曼、乌姆盖万、哈伊马角和富查伊拉7个酋长国组成,首都为阿布扎比。联邦内各酋长国既施行联邦政府制定的法律,又施行根据《阿联酋联邦宪法》授权所制定的当地法律法规。联邦法律的效力高于各酋长国的法律。因此,各酋长国的部分民商事领域活动受到联邦法律和当地法律的双重约束。
本文将主要介绍阿联酋联邦法律和阿布扎比酋长国、迪拜酋长国的特殊经济区法律中的个人信息保护立法概况,以期为中国企业出海阿联酋提供数据合规风险防范思路。
一、阿联酋数据保护立法概况
(一)阿联酋《个人数据保护法》
2021年9月20日,阿联酋公布其首部联邦层面的个人信息保护统一立法,即《个人数据保护法》(Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection[3],“《个人数据保护法》”)。该法于2022年1月2日生效。
《个人数据保护法》适用于位于阿联酋的任何数据控制者(data controller)或处理者(data processor,即受托处理者)所进行的所有个人数据处理活动(无论其处理的个人数据的数据主体位于何处),以及位于阿联酋境外处理阿联酋境内数据主体个人数据的任何数据控制者或数据处理者的个人数据处理活动[4]。
值得注意的是,《个人数据保护法》不适用于位于有数据保护相关立法的阿联酋自由区(free zones)的组织,也不适用于受与健康数据、银行和信贷数据有关的具体数据保护法约束的组织[5]。
阿联酋自由区是阿联酋境内的若干特殊经济贸易区,享有更优惠的海关、税务、商业政策。在迪拜,有两大自由区拥有自己的数据保护法律,分别为迪拜国际金融中心(Dubai International Financial Center,“DIFC”)和迪拜健康城(Dubai Healthcare City,“DHCC”)。
《个人数据保护法》的体例与欧盟《通用数据保护条例》(“GDPR”)相似,囊括了合法性基础、数据主体的权利、数据控制者和数据处理者的义务、数据保护执法机构职权等,主要内容包括:
- 合法性基础:处理个人数据原则上需获取个人明示同意,除非具备《个人数据保护法》规定的其他合法性基础[6]。
- 数据主体权利:数据主体享有访问权、可携带权、更正权、删除权、被遗忘权、拒绝自动化决策权、拒绝权等[7]。
- 数据跨境传输:允许个人数据跨境流动,前提是(1)目的地国家或地区具备不低于阿联酋个人信息保护水平的立法与政策,或与阿联酋之间存在数据传输协定;(2)若不具备适当的个人信息保护水平,需满足若干豁免条件之一,包括个人数据跨境传输双方之间签署数据跨境传输协议、获得数据主体的明确同意、为向司法机关履行义务或确定权利所必须、为达成或履行合同所必须、为国际司法合作所必须、保护公共利益所必须[8]。
- 个人数据保护影响评估:使用新技术处理个人数据可能对数据主体的隐私和保密性造成较高风险时,必须开展个人数据保护影响评估,适用情形包括(1)对个人数据进行自动化处理,产生法律后果或对数据主体产生严重影响;(2)处理大规模的敏感个人数据[9]。
- 任命数据保护官:开展高风险数据处理活动的数据控制者或数据处理者应任命数据保护官(data protection officer),其中高风险数据处理活动包括(1)使用新技术或处理大量个人数据,可能对数据主体的隐私和保密性带来高风险;(2)涉及系统性和广泛地处理敏感个人数据;(3)处理大量敏感个人数据[10]。
- 数据保护机构:阿联酋设立数据保护办公室(Data Office)作为政府层面的个人数据保护机构,主要负责起草和监督实施个人数据保护相关政策法规、接收数据主体的投诉、对涉嫌违反《个人数据保护法》的行为开展调查[11]。
《个人数据保护法》并未规定违反该法的法律责任,而是说明将由《个人数据保护法》的实施细则具体规定[12]。根据阿联酋的立法计划,《个人数据保护法》的实施细则应于《个人数据保护法》发布后6个月内公布(即不晚于2022年3月19日)[13],但目前阿联酋尚未发布该等实施细则。
整体而言,《个人数据保护法》与欧盟GDPR、中国《个人信息保护法》有着相似的原则与要求。阿联酋《个人数据保护法》其中一个特别之处在于,对于个人数据跨境传输,若以数据主体的明确同意作为合法性基础向缺乏足够保护水平的国家跨境传输个人数据,则要求数据跨境传输应当不与阿联酋的公共和安全利益相冲突[14]。
(二)阿联酋的其他数据保护相关法律
除了阿联酋《个人数据保护法》提供了统一的个人数据保护规范,阿联酋的其他法律与法令中也散见一些个人数据保护的相关要求,主要分为三类:
1. 消费者保护
《消费者保护法》(The Federal Law No. 15 of 2020 on Consumer Protection[15]):其中提到,消费者权益包括消费者隐私与消费者数据安全,消费者数据原则上不得被用于营销[16]。结合《个人数据保护法》,阿联酋消费者的个人数据只有经数据主体明确同意下,才可被用于营销[17]。
2. 医疗与健康数据保护
《关于在卫生领域使用信息和通信技术(ICT)的法律》(Federal Law No. 2 of 2019 Concerning the Use of Information and Communication Technology (ICT) in Health Fields[18]):该法规定了医疗保健服务提供商、医疗保险提供商、医疗保健信息技术提供商以及阿联酋境内(包括自由区)的医疗保健部门直接和/或间接服务提供商(例如外包、云服务)等各类实体在医疗健康数据方面的数据合规义务,涵盖收集、处理、跨境传输、存储等数据处理全流程。
3. 在线隐私保护
阿联酋电信和数字政府监管局公布的《网络访问管理政策》(Internet Access Management (IAM) policy[19]):根据此政策,对于冒充、欺诈和网络钓鱼和/或侵犯隐私的在线内容可以向阿联酋的电信服务商(Etisalat、Du)报告并予以删除[20]。
《打击谣言和网络犯罪法》(Federal Decree Law No. 34 of 2021 on Combatting Rumours and Cybercrimes[21]):提供全面的法律框架,旨在通过使用信息技术、网络和社交平台提高防范网上犯罪的水平。其中专门规定了侵犯隐私构成犯罪的刑事责任,根据情节处以最低6个月监禁,和/或最低15万迪拉姆(约合4.1万美元)、最高50万迪拉姆(约合13.6万美元)的处罚[22]。
二、迪拜特殊经济区的数据保护立法概况
迪拜酋长国(“迪拜”)是世界瞩目的快速发展经济体,也是阿联酋第二大酋长国,拥有多元的经济体制、丰富的跨行业投资机会、积极的政府政策和蓬勃的基础设施建设,已成为各类投资者的理想投资目的地之一[23]。
阿联酋的《个人数据保护法》等联邦法律和法令并不适用于制定了数据保护法律的自由区。在迪拜,迪拜国际金融中心(DIFC)和迪拜健康城(DHCC)两大自由区分别有各自的数据保护法规。因此,迪拜境内除了DIFC与DHCC以外,均应遵守阿联酋统一的数据保护法律制度。
(一)迪拜国际金融中心数据保护立法概况
1. 《迪拜国际金融中心数据保护法》
DIFC是位于迪拜首府的迪拜市的一片金融中心,也是阿联酋乃至中东地区金融、经济、贸易等商业活动最为活跃的区域之一。
2020年7月1日起,《迪拜国际金融中心数据保护法》(The DIFC Data Protection Law (DIFC Law No. 5 of 2020),“《DIFC数据保护法》”)生效。《DIFC数据保护法》具有广泛的适用范围,一方面适用于在DIFC区域内设立的数据控制者或数据处理者的个人数据处理活动(无论处理行为是否发生于DIFC区域内[24]);另一方面适用于在DIFC内将个人数据处理活动作为其稳定经营的一部分的数据控制者或数据处理者,而无论其设立地点[25]。
《DIFC数据保护法》的内容与GDPR较为类似,主要包括数据处理活动的基本原则、数据主体的权利、数据控制者与数据处理者的义务、数据泄露通知、法律责任等章节,主要内容包括:
- 合法性基础:数据控制者与数据处理者处理个人数据的合法性基础原则上是取得个人同意,除非具备其他合法性基础[26]。
- 数据主体的权利:数据主体享有同意权、访问权、更正权、删除权、拒绝处理权、限制处理权、可携带权、拒绝自动化决策权等权利[27]。
- 数据控制者/处理者的义务:数据控制者和数据处理者对数据主体负有一系列义务,包括保障个人数据安全[28]、公开透明地处理个人数据[29]、保留个人数据处理活动的书面记录[30]、发生数据泄露时通知数据主体等[31]。
- 透明度要求:通过电子方式发送营销、通知等,数据控制者和数据处理者应当避免引起数据主体误解,并不得以暗示数据主体将受到歧视的方式诱使数据主体同意[32]。
- 数据保护机构:DIFC内设立数据保护专员(data protection commissioner)负责监督和实施《DIFC数据保护法》,纠察数据控制者和数据处理者的违法行为并课以处罚[33]。
- 违法后果:针对违反不同条款的违法行为,均有一固定且明确的行政罚款金额,单项违法行为最高可罚款100,000美元[34]。
- 行政处罚与民事赔偿双轨制:数据主体因违法行为遭受损害的,除了要求数据保护专员施以行政处罚,数据主体还可以向法院申请从数据控制者或数据处理者处获得赔偿[35]。
不同于GDPR或中国的《个人信息保护法》,《DIFC数据保护法》对每一具体条款的违反后果均具体化了处罚金额。违反每一条款的罚款从25,000美元至100,000美元不等。由于同一违法行为可能违反多个条款,以及每一数据主体如遭受损害还可获得赔偿,违法成本相对较高,这意味着DIFC内的企业更应审慎地开展经营活动。
自2020年《DIFC数据保护法》生效至今,DIFC数据保护专员陆续发布了若干指南,帮助数据控制者和数据处理者更好地理解自身的义务,例如《数据保护法综合指南》(Comprehensive Guide to Data Protection Law, DIFC Law No. 5 of 2020 and DP Regulations)、《高风险数据处理活动与数据保护官任命》(High Risk Processing & DPO Appointments)、《数据处理活动规则综合指南》(Comprehensive Guide to Notification of Processing Operations)等。DIFC数据保护专员还提供了若干“合规自评估工具”,以在线问卷的方式帮助企业判断自身是否合规、还需要履行哪些义务等。DIFC数据保护专员明确,这些指南和评估工具仅供企业和个人参考,不构成对法律的解释或法律意见书,也不具备法律效力。
2. 《迪拜国际金融中心数据保护条例》
与《DIFC数据保护法》配套的还有《迪拜国际金融中心数据保护条例》(DIFC Data Protection Regulations[36])。该条例于2020年7月1日起和《DIFC数据保护法》一并生效,并于2023年9月1日进行了修订。
该条例细化了《DIFC数据保护法》中的若干条款的实施规则,主要包括:
- 雇员50人以下的企业无需遵守关于数据处理活动记录的义务,除非其开展了高风险数据处理活动[37];
- 细化了数据控制者和数据处理者将自身的个人数据处理活动告知数据保护专员的规则[38];
- 细化了数据泄露通知的程序与规则[39];
- 细化了数据保护专员的若干职权的行使程序与限制[40];
- 细化了数据控制者和数据处理者通过电子方式发送通知和营销时交互界面等通知与营销活动的具体设计规则,目的是保护数据主体不至于产生误解或被歧视[41];
- 提出了自动化决策中自动化决策命令发送者、系统运营者、技术提供者分别的义务,并对人工智能自动化决策提出了更多限制[42]。
(二)迪拜健康城《健康数据保护条例》
DHCC是位于迪拜市的综合性医疗保健自由区,由两家大型医院、超过90家门诊和诊断实验室、超过1700名医疗资格的专业人才,以及众多的特色医疗保健和商业零售服务商构成[43]。
早在2008年,迪拜就在DHCC开始实施《DHCC数据保护条例》。该条例后于2013年修订,新条例命名为《迪拜健康城健康数据保护条例》(Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013[44],“《健康数据保护条例》”)。
《健康数据保护条例》适用于DHCC的持证主体(即有资格在DHCC提供医疗保健服务的个人和组织)对患者健康数据的管理,而无论该等健康数据存储于何处[45]。《健康数据保护条例》所称的健康数据范围广泛,涵盖了患者的所有向持证主体已提供或正在提供的有关医疗、疾病、保健服务、病史的数据[46]。
《健康数据保护条例》规定了一系列“健康数据保护原则”,涉及收集患者健康数据的方式和目的、数据来源、数据存储和安全、数据访问和更正、数据保留以及使用、数据披露限制,主要内容包括:
- 收集健康数据时需遵守目的正当和最小必要原则[47];
- 原则上只能向患者本人直接收集其健康数据,除非满足《健康数据保护条例》规定的若干豁免情形[48];
- 持证主体应向患者披露其收集、使用、存储等数据处理活动的规则[49];
- 持证主体应采取技术措施和管理措施以确保健康数据的安全[50];
- 规定了各类健康数据的最长保存期限[51];
- 原则上不得主动披露患者的健康数据,除非出于保护患者的迫切利益等合法性事由[52]。
《健康数据保护条例》重点对健康数据的全流程处理活动制定了详细规则,强调保护患者隐私和数据权益。
三、阿布扎比全球市场的数据保护立法概况
阿布扎比酋长国(“阿布扎比”)是阿联酋的第一大酋长国,亦是中东的重要经济体。阿布扎比全球市场(Abu Dhabi Global Market,“ADGM”)是阿布扎比的自由区之一,于2021年2月11日发布《2021数据保护条例》(Data Protection Regulations 2021[53],“《ADGM数据保护条例》”),旨在规范ADGM区域内的数据处理活动。《ADGM数据保护条例》适用于在ADGM设立的数据控制者或数据处理者的的个人数据处理活动,而无论该数据处理是否发生在ADGM[54]。
根据ADGM的数据保护办公室(Office of Data Protection)介绍,在制定《ADGM数据保护条例》时,立法者们参考了一系列国际领先的数据保护立法与实践,其中尤其以欧盟GDPR为重要参考,目的是希望《ADGM数据保护条例》能与国际高水平的数据保护立法接轨[55]。
从结果来看,《ADGM数据保护条例》的主要内容与GDPR相似,为数据控制者和数据处理者设置了较高的保护义务。根据《ADGM数据保护条例》,处理个人数据的合法性基础原则上需要取得个人同意,除非具备其他合法性基础[56];数据主体享有知情权、更正权、删除权、可携带权、拒绝权等权益[57];明确了合法、目的正当、最小必要、充分保障安全的处理原则[58]。
与阿联酋《个人数据保护法》不同的是,《ADGM数据保护条例》对企业必须设置数据保护官的情形更多参考了GDPR的规定。根据《ADGM数据保护条例》,若企业的核心业务活动包括个人数据处理活动,需要定期和系统地大规模监测数据主体,或包括大规模处理特殊类别的个人数据,则企业应当设置一名数据保护官。该数据保护官可由外部人士担任,也无需常居ADGM[59]。
结语:
阿联酋的数据合规立法体系较有特色,值得相关出海企业事先了解并提前做好应对准备。同时,阿联酋联邦层面的立法和相关自由区的特别立法仍在不断完善的过程中,因此我们建议相关出海企业持续保持对当地数据合规法律法规的关注。如出海企业的业务涉及阿联酋联邦内的多个酋长国或地区,则该等企业亦需关注各层级、各地区法律法规之间的适用和衔接。
扫码订阅“金杜律师事务所”,了解更多业务资讯
http://www.mofcom.gov.cn/dl/gbdqzn/upload/alianqiu.pdf.
人民网:http://world.people.com.cn/n1/2024/0516/c1002-40237226.html.
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, https://uaelegislation.gov.ae/en/legislations/1972.
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (2) 1.
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (2) 2.
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (4).
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (13) to Article (18).
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (22) and Article (23).
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (21).
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (10) and Article (11).
Federal Decree by Law No. (44) of 2021 on the Establishment of the UAE Data Office.
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (26).
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (28).
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (23) 1.b.
The Federal Law No. 15 of 2020 on Consumer Protection, https://uaelegislation.gov.ae/en/legislations/1455.
The Federal Law No. 15 of 2020 on Consumer Protection, Article (4) 5.
Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection, Article (4).
Federal Law No. 2 of 2019 Concerning the Use of Information and Communication Technology (ICT) in Health Fields, https://uaelegislation.gov.ae/en/legislations/1209.
Internet Access Management (IAM) policy, https://u.ae/-/media/Documents-2022/IAM-eng--updated.pdf.
Internet Access Management (IAM) policy, Article 5.
Federal Decree Law No. 34 of 2021 on Combatting Rumours and Cybercrimes, https://uaelegislation.gov.ae/en/legislations/1526.
Federal Decree Law No. 34 of 2021 on Combatting Rumours and Cybercrimes, Article 44.
Investing in Dubai, https://dubai.ae/.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 6.(3)(a).
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 6.(3)(b).
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 10.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 32 to Article 38.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 14.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 39.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 15.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 41.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 39.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 43.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Schedule 2.
The DIFC Data Protection Law (DIFC Law No. 5 of 2020), Article 64.
DIFC Data Protection Regulations, https://www.difc.ae/application/files/6416/9354/3458/Data_Protection_Regualtions_final.pdf.
DIFC Data Protection Regulations, Article 2.2.
DIFC Data Protection Regulations, Article 3.
DIFC Data Protection Regulations, Article 8.
DIFC Data Protection Regulations, Article 3, 7.1, 7.2, and 8.1.
DIFC Data Protection Regulations, Article 9.
DIFC Data Protection Regulations, Article 10.
https://dhcc.ae/.
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, https://dhcc.ae/frontend/images/docs/10-Health%20Data%20Protection%20Regulation.pdf.
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, Article 8 (1).
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, Article 8 (3).
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, Article 27.
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, Article 28.
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, Article 29.
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, Article 31.
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, Article 35.
Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, Article 37.
Data Protection Regulations 2021, https://adgmen.thomsonreuters.com/sites/default/files/net_file_store/ADGM1547_23167_VER2021.pdf.
Data Protection Regulations 2021, Article 3.
Guidance on the DPR 2021, page 7. https://www.adgm.com/documents/office-of-data-protection/guidance/adgm-dpr-2021-guidance-part-1.pdf.
Data Protection Regulations 2021, Article 5.
Data Protection Regulations 2021, Article 13 to Article 19.
Data Protection Regulations 2021, Article 4.
Data Protection Regulations 2021, Article 35.
