阿联酋企业数据保护义务及跨境数据传输

Posted by Written by Giulia Interesse
Available language

阿联酋《个人数据保护法》对企业处理个人数据和跨境传输提出了义务要求。本文详细阐述了合规要求、行业规则以及在新的法律制度下企业应如何管理第三方风险。

随着阿拉伯联合酋长国(阿联酋)数字和商业中心的地位愈发巩固,其数据保护义务也变得愈发严格,并与国际标准接轨。2021 年第 45 号联邦法令《个人数据保护法》(PDPL)于 2022 年 1 月 2 日生效,这是该国首部联邦个人数据保护法,也是阿联酋境内及跨境收集、处理或传输数据的企业运营方式的一个转折点。

阿联酋数据保护法的适用对象

《个人数据保护法》广泛适用于在阿联酋境内处理个人数据的所有实体,无论其位于阿联酋本土还是迪拜国际金融中心(DIFC)和阿布扎比全球市场(ADGM)等自由区。该法还适用于处理阿联酋居民数据的外国企业。

该法律不适用于特定类型的数据,例如政府机构(如司法和安全部门)处理的信息、个人银行和信用信息以及健康数据。

无论是决定个人数据处理目的和方式的数据控制方,还是代表控制者行事的处理方,均须遵守《个人数据保护法》(PDPL)的各项规范。两者都必须遵循严格的数据隐私、安全保障、目的限制及数据主体权利保护规则。

企业如何跨境传输数据

跨境数据传输是跨国公司以及在阿联酋开展国际业务的公司的核心关切。《个人数据保护法》(PDPL)借鉴了欧盟《通用数据保护条例》(GDPR)的法律框架,但针对阿联酋国内情况进行了调整。

如果目的地国家被阿联酋数据办公室认定为提供了充分的数据保护水平,那么将个人数据转移到阿联酋以外的国家是被允许的。这种充分性可以通过该国自身的隐私法或其参与具有约束力的国际协议来确立。

在没有充分性决定的情况下,企业可以使用标准合同条款(SCCs)或企业内部规则(BCRs)来进行数据传输。这些法律机制确保数据接收方同意遵守与阿联酋法律一致的隐私保护措施。对于跨国集团而言,只要符合阿联酋当局设定的合规门槛,BCRs 就为其在不同司法管辖区内部传输数据提供了途径。

企业还有其他跨境传输数据的途径。企业可以通过获得数据主体的明确同意、履行合同义务、响应国际司法协助请求或促进符合公共利益的数据流动来传输数据。这些选择让企业能更灵活地处理相关事务,但需要严格的法律监督。

阿联酋《个人数据保护法》与《通用数据保护条例》的差异

尽管阿联酋的《个人数据保护法》(PDPL)在结构框架和全球视野方面借鉴了欧盟的数据保护法《通用数据保护条例》(GDPR),但两者仍存在显著差异。与 GDPR 一样,PDPL 具有域外效力,即使公司不在阿联酋境内,只要处理阿联酋居民的数据,也受其监管。

《通用数据保护条例》(GDPR)规定,最高罚款可达公司全球营业额的 4%。相比之下,《个人数据保护法》(PDPL)规定的罚款金额在 5 万迪拉姆(约合 13612.8 美元)至 500 万迪拉姆(约合 1360 万美元)之间。阿联酋的这项法律还规定,除数据处理活动被认定为高风险的情况外,大多数企业可自行决定是否任命数据保护官(DPO)。不过,对于处理敏感或大量个人数据的公司而言,尽早任命 DPO 是明智之举。

受监管行业的强制本地化

数据本地化仍是阿联酋数字主权战略的一个显著特点。某些受监管行业的企业需要在阿联酋存储和处理数据。

银行数据必须留在境内,任何向境外转移都须经中央银行批准并征得客户同意。根据 2019 年第 2 号联邦法律,健康记录也受本地化规则约束。与政府机构和关键基础设施相关的物联网(IoT)数据同样受到限制。

违规行为绝非小事。违反本地化规定的公司可能会面临巨额罚款、营业执照被吊销,甚至可能受到刑事起诉。在这些领域开展业务的企业必须对其信息技术(IT)基础设施进行适当的审计,以确保所有数据托管和传输方式都符合阿联酋的法律。

利用第三方服务提供商填补实施漏洞

企业需要确保与其合作的任何第三方服务提供商在代表其处理个人数据时,完全符合阿联酋当地的数据隐私要求。如果数据处理方违反法律,责任可能会延伸至最初的数据控制方。这意味着企业自身需要在其与服务提供商的合同中加入强有力的数据保护条款。

此类合同应明确界定数据处理的性质和目的、所涉及的数据类型、各方的责任以及协议结束时有关数据返还或删除的义务。不过,仅靠合同是不够的。

企业还应通过尽职调查来评估第三方保护数据的准备情况。定期监测,例如审计和风险评估,以确保持续合规。企业还必须了解其处理者是否将任何数据工作转包出去,并确保分包商也符合要求的标准。

鼓励企业开展内部审计,评估数据流动情况,并审查与第三方签订的现有合同。应优先考虑诸如加密、访问控制和定期风险评估等技术保障措施。必要时,企业可任命一名数据保护官来领导合规工作和员工培训。

迈向全球数字信任的一步

《个人数据保护法》表明阿联酋致力于成为全球数字服务领域值得信赖且极具竞争力的枢纽。该法通过为跨境数据传输划定法律途径、在必要时强制数据本地化以及要求数据控制者和处理者承担责任,使阿联酋与国际最佳实践保持一致,同时又保持了其主权法律身份。

那些尽早采取主动措施的企业,尤其是更新合同、记录合规情况以及加强数据保护治理的企业,将会在不断发展的阿联酋数字生态系统中更顺利地开展业务。

Related reading
Want the Latest Sent to Your Inbox?

Subscribing grants you this, plus free access to our articles and magazines.

SUBSCRIBE

DEZAN SHIRA & ASSOCIATES

Meet the firm behind our content. Visit their website to see how their services can help your business succeed.

About Us Find an Advisor
Back to top