互联网企业出海阿联酋数据合规重难点概览

据了解，截至2024年初，阿联酋拥有946万互联网用户，互联网普及率占总人口的99.0%^[1]，2025年2月，移动网络下载速度达543.91 Mbps（全球第一）^[2]，阿联酋高达99%的互联网用户占比表明，其拥有良好的数字化环境。根据阿联酋电信和数字政府监管局 (TDRA) 发布的《数字阿联酋概况》报告，2023年，阿联酋的社交媒体活跃账户达1000万，社交媒体日均使用时长达2.33小时，手机应用程序总下载量达5.69亿次^[3]。同时，阿联酋拥有年轻、精通互联网的民众，其25岁以下的人口占22%，在海湾合作委员会和全球都具有非常高的互联网渗透率^[4]，为互联网产品（如游戏、社交平台）提供庞大的用户基础。

除此之外，阿联酋政府积极推动数字化转型升级，在“阿联酋2031”愿景中，将发展数字基础设施作为经济发展的四大支柱之一。政府相继发布《阿联酋数字政府战略2025》《阿联酋数字经济战略》^[5]，鼓励跨境数据流动和电子政务建设，通过统一数字平台和5G、AI等基础设施推动数字化转型^[6]。

据了解，阿里云于2016年在迪拜设立了数据中心，成为首家在中东建立数据中心的国际云服务商^[7]。2024年，阿里云在迪拜互联网城设立培训中心，通过技术赋能与人才培养，助力区域数字化转型^[8]。除阿里云外，华为云、腾讯云和百度也在中东有所布局。

腾讯旗下游戏《PUBG Mobile》针对阿联酋用户偏好进行阿拉伯语适配与文化元素融合，长期稳居阿联酋手游下载榜前三。2019年12月，腾讯游戏和《PUBG Mobile》积极搭建沟通机制，参与迪拜文娱节游戏专场讨论峰会^[9]。

电商平台SHEIN于2016年在迪拜设立办公室，并开始了本地化的市场运营，其通过斋月服饰等本地化选品和社交媒体营销，常年位居中东地区App Store购物类应用排行榜的前三强^[10]。2021年，SHEIN在阿联酋每天末端配送订单大概8-9万单；2022年，中东销售额已占SHEIN总销售额的13%，客单价超过美国^[11]。

TikTok则通过“短视频+直播带货”模式渗透阿联酋市场，推出阿拉伯语内容专区，并与本土品牌（如Noon）合作直播促销。在阿联酋，每位TikTok网红平均上传380个视频，比全球平均上传的260个视频高出46％^[12]。数字智能和应用数据分析平台Sensor Tower发布的《2025年移动应用状态报告》显示，TikTok已成为阿联酋最受欢迎和最常下载的社交媒体应用，位居榜首。2024年，TikTok在阿联酋新增了250万用户，同比增长了30.4%^[13]。

2024年，阿联酋TOP 39流行App中，中企占了13个席位，市场份额约33%^[14]。

阿联酋数字市场的快速发展与中企出海的战略机遇，与当地严格的数据治理框架紧密交织。在把握市场机遇的同时，中国企业需深度理解并遵守阿联酋《个人数据保护法》（PDPL）的核心要求。这部法律不仅是规范数据处理的“红线”，更是企业构建合规竞争力的“工具箱”。通过解析其法律框架与重点条款，中企可精准定位数据收集、存储、跨境传输等关键环节的合规路径。

阿联酋是由阿布扎比、迪拜、沙迦、阿治曼、乌姆盖万、哈伊马角和富查伊拉七个酋长国组成的联邦制国家，首都为阿布扎比。联邦宪法赋予各酋长国在国防、外交等核心领域外的广泛自治权，形成“松散联邦”特征。这种二元法律体系导致数据保护领域呈现“联邦统一框架+自由区特殊立法”的复合结构。

在联邦层面，阿联酋通过《个人数据保护法》（Federal Decree-Law No. 45 of 2021，下称PDPL）建立统一的个人信息保护标准^[15]，但自由区（如迪拜国际金融中心DIFC、阿布扎比全球市场ADGM等）享有立法自主权，可制定独立的数据保护规则。例如，DIFC和ADGM分别通过《DIFC数据保护法》（2020年）^[16]和《ADGM数据保护条例》（2021年）^[17]构建了与欧盟《通用数据保护条例》（GDPR）高度接轨的监管体系，而迪拜健康城（DHCC）则通过《健康数据保护条例》（2013年修订）^[18]聚焦医疗数据特殊保护。

PDPL适用范围如下：居住在阿联酋并从事处理阿联酋境内外数据主体个人数据活动的控制者或处理者，或居住在阿联酋境外但从事处理阿联酋境内数据主体个人数据活动的控制者或处理者。但不适用于政府数据、政府机构持有的个人数据、安全或司法机构持有的个人数据、健康/银行/信用数据（受专项立法约束）以及受自由区特殊保护规范的个人数据。

在联邦与自由区的法律竞合方面，采用优先适用规则，即在自由区内，优先适用特区立法。根据迪拜《DIFC数据保护法》，其适用范围广泛，既适用于在DIFC区域内注册的数据控制者或数据处理者的个人数据处理活动，不论处理行为是否发生在DIFC区域内；也适用于在DIFC内将个人数据处理作为其稳定经营一部分的数据控制者或数据处理者，无论其注册地在何处。根据阿布扎比《ADGM数据保护条例》，该条例适用于ADGM内控制者或处理者的活动，无论数据处理行为是否在ADGM完成。

根据上述，若中国某社交平台未在阿联酋设立分公司或子公司，但通过国际版App收集阿联酋用户的姓名、位置等个人数据，并将数据存储在上海服务器。根据PDPL，即便其运营实体和服务器均位于境外，因其处理了阿联酋境内用户的个人数据，就触发了PDPL的域外效力，须遵守相关规定。

根据PDPL，个人数据是与特定自然人相关的数据，或通过使用诸如姓名、声音、图像、身份证号码、电子标识符、地理位置等识别元素，或通过一个或多个身体、生理、经济、文化或社会特征，直接或间接识别自然人的数据，包含敏感个人数据和生物识别数据。

敏感个人数据指直接或间接揭示自然人家庭状况、民族血统、政治或哲学观点、宗教信仰、犯罪记录、生物识别数据，或涉及该自然人健康状况（包括身体、心理、精神、遗传或性健康相关数据）的任何信息，包含通过提供医疗服务所披露的健康状态信息。

生物识别数据指通过特定技术处理数据主体的物理、生理或行为特征所产生的个人数据，此类数据能确认主体的唯一身份识别，例如面部图像、指纹等数据。

迪拜《DIFC数据保护法》没有对个人数据做出明确定义，但提出了目的明确且必要等处理原则；阿布扎比《ADGM数据保护条例》对个人数据和敏感个人数据的定义与PDPL基本一致。

根据上述，若中国某跨境电商向阿联酋用户提供服务，需收集姓名、详细住址、人脸扫描支付验证（生物识别数据）。因涉及处理大量敏感数据，根据PDPL，则需满足更为严格的合规要求，如任命数据保护官（DPO）。

PDPL规定，个人数据的处理必须基于明确的合法性基础，PDPL列明了无需数据主体同意的合法处理情形，包括：为履行数据主体参与的合同义务、履行控制者的法定义务、保护数据主体或其他自然人的重要利益、执行公共利益或公共机构职能、保护公共健康、开展符合法律的科学研究或统计研究等。此外，若数据已由数据主体主动公开或需用于司法程序、社会保障义务等特定场景，也可豁免同意要求。《DIFC数据保护法》和《ADGM数据保护条例》与PDPL要求基本一致。

关于告知义务，PDPL要求控制者在收集或处理个人数据时，以清晰、易懂的方式向数据主体充分披露信息。告知内容需涵盖处理目的、法律依据、数据收集方法、存储方式、处理时限及销毁时间、数据主体的权利（包括访问、更正、删除权等）、控制者及数据保护官的联系方式、数据接收方及跨境转移详情等。若数据非直接来源于数据主体（例如从第三方获取），控制者须在合理时间内补充告知上述信息。PDPL特别强调透明性原则，要求所有信息以真实、无歧义的方式呈现，确保数据主体能够基于充分知情作出决策。迪拜《DIFC数据保护法》及阿布扎比《ADGM数据保护条例》均规定了同意数据处理的条件，要求告知以真实明确、清晰易懂的方式进行。

在同意规则方面，阿联酋PDPL、迪拜《DIFC数据保护法》及阿布扎比《ADGM数据保护条例》的规定基本一致。PDPL规定，同意必须基于数据主体的自愿与明确知情，即其需充分了解控制者身份及数据处理的具体目的后，方可作出有效同意。控制者须以书面或电子形式保存同意记录，并确保同意声明简洁、清晰且易于访问。值得注意的是，《DIFC数据保护法》进一步强化了长期数据处理场景下的动态合规要求，根据《DIFC数据保护法》，在控制者依赖数据主体同意进行处理的情况下，明确要求企业采取适当且相称的措施进行定期评估，并能够为用户提供重新确认或撤回同意的机会。

根据上述，若某保险App在阿联酋上线重疾险功能时，要求用户上传包含遗传病史的体检报告，需以独立弹窗形式告知数据将用于核保评估，并允许用户仅提交基础健康信息，以避免强制捆绑。因涉及系统性处理敏感健康数据，平台须任命DPO。若该App注册于迪拜DIFC自由区，还需注意评估同意的持续有效性，如若用户长期未登录，建议重新确认数据使用授权，强化动态合规。

目前PDPL并未要求数据本地化，但对于某些敏感数据，如健康数据，行业立法可能要求数据必须存储在阿联酋境内。

根据PDPL，如个人数据要跨境传输至阿联酋以外地区，则该地区立法必须对个人数据提供适当的保护水平。在缺乏适当的保护水平时，PDPL也规定了其他转移情况。在以下情况下，个人数据可以跨境转移：

1. 在没有数据保护法的地区，根据合同或协议的规定，有义务采取PDPL所规定的措施、控制手段和要求；

2. 若数据主体已明确同意其个人数据被传输至国家境外，前提是该传输不得与国家的公共利益或安全利益相冲突；

3. 若传输是为了履行义务、确立权利，或在司法机关面前行使或抗辩相关权利所必需的；

4. 若传输是为了签署或执行控制者与数据主体之间，或控制者与第三方之间所签订的、为数据主体利益服务的合同所必需的；

5. 若传输是为了执行与国际司法合作相关的行为所必需的；

6. 若传输是为了保护公共利益所必需的。

目前，阿联酋尚未发布PDPL的执行条例，其“充分保护水平”的司法管辖区清单也暂未可知。行业立法中也含有禁止特定类别数据出境的要求。《健康领域信息通信技术法》（ICT in Health Fields Law）^[19]规定，在阿联酋提供的卫生服务有关的健康信息和数据不得在境外存储、处理、生成或转移，除非酋长国卫生局与联邦卫生部协调作出决定。联邦部2021年第51号决议设置了例外情形，允许在海外就医、远程医疗等特定情况下将健康数据传输至境外^[20]。

迪拜和阿布扎比自由区对于数据跨境传输也提出了详细的规定。迪拜《DIFC数据保护法》允许向数据保护水平“充足”的第三国或组织传输数据，以及在保护不足时需通过协议条款、认证等保障措施，或符合数据主体同意、公共利益等例外情形。同时，DIFC官网提供评估工具及合同模板支持企业合规操作。阿布扎比《ADGM数据保护条例》规定，若接收方司法管辖区或组织的数据保护水平充足，可自由传输数据，否则需通过标准合同条款（SCCs）或约束性公司规则（BCRs）等保障措施，例外情形与PDPL和DIFC规则高度一致。

文章认为，企业需重点关注用户明示同意机制、部分行业数据本地化存储要求以及跨境传输要求，企业应建立动态合规策略，密切关注阿联酋联邦和自由贸易区内的监管动态，与监管加强沟通规避。

本文转自贸企通公众号，转载请注明出处，版权归原作者所有，侵删