中国企业出海之数据合规 —— 阿联酋
近年来,我国将阿联酋作为中东外交的优先方向和高质量共建“一带一路”的重要合作伙伴。中国同阿联酋在多个经济领域的合作被称为“21世纪全球合作的典范”。据官方发布的文件显示1,中阿两国在基础设施互联互通、区域经济贸易、数字经济等多个领域的合作正不断取得积极成果。在此背景下,中国企业向阿联酋拓展各类海外业务的经济活动日益增多。不可避免的,这些经济活动会涉及到个人数据的处理,企业需要事先了解并考虑如何遵守当地的数据保护法律和监管要求,以降低跨国经营中的数据合规风险。鉴于此,我们将阿联酋作为研究对象,希望通过分析其数据合规制度和实践,为中国企业在该地区开展业务提供数据合规指引。本文将聚焦于阿联酋的相关法规与实践。
一 概述 阿联酋属于联邦制国家,由阿布扎比、迪拜、沙迦、阿治曼、乌姆盖万、哈伊马角和富查伊拉7个酋长国组成,首都为阿布扎比。联邦内各酋长国既施行联邦政府制定的法律,又施行根据《阿联酋联邦宪法》授权所制定的当地法律法规。因为联邦法律的效力高于各酋长国的法律,所以,各酋长国的部分民商事领域活动受到联邦法律和当地法律的双重约束。 阿联酋联邦共设有45个贸易自由区(free zones)。为鼓励经济发展,自由贸易区在外资所有权、税收和监管等方面可以自行制定自己的规则和条例,其中包括数据合规相关法律法规。但是,联邦层面和酋长国的相关法律仍然适用于那些自由贸易区没有特别规定的领域。 2021年11月27日,阿联酋内阁办公室发布了2021年第45号关于个人信息数据保护的联邦法令,即《个人数据保护法》(Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection,“PDPL”)。阿联酋PDPL是阿联酋第一部规范阿联酋个人数据收集和处理的综合性联邦数据隐私法。该法于2022年1月2日生效。阿联酋PDPL不适用于位于有数据保护相关立法的阿联酋自由区的组织,也不适用于受与健康数据、银行和信贷数据有关的具体数据保护法约束的组织。 在阿联酋,自由贸易区如迪拜国际金融中心(Dubai International Financial Center,“DIFC”)、迪拜健康城(Dubai Healthcare City,“DHCC”)和阿布扎比全球市场(Abu Dhabi Global Market,“ADGM”)通常会优先适用其自贸区相应的隐私保护法。具体来说,适用顺序和规则如下: 1. 迪拜国际金融中心(DIFC):在此区域内,优先适用《迪拜国际金融中心数据保护法》(The DIFC Data Protection Law (DIFC Law No. 5 of 2020, “DIFC DP Law”)。此外,还应遵守《迪拜国际金融中心数据保护条例》(DIFC Data Protection Regulations, “DIFC DP Regulations”),这些条例提供了DIFC DP Law的具体实施细节和要求。 2. 迪拜健康城(DHCC):在DHCC区域内,优先适用《迪拜健康城健康数据保护条例》(Dubai Healthcare City Health Data Protection Regulation, Regulation Number (7) of 2013, “HDPR”),该条例专门针对健康数据的保护提供了指导。 3. 阿布扎比全球市场(ADGM):在ADGM区域内,优先适用《2021年数据保护条例》(Data Protection Regulations 2021,“DPR 2021”)。 如果企业的数据处理活动超出了上述区域,或者涉及到不在上述区域内的数据主体,那么则需要遵守阿联酋PDPL。这样的法律适用顺序和规则确保了在不同区域内运营的实体能够遵守适当的数据保护法律,同时也保障了数据主体的隐私权利。 除了上述有关个人数据保护的主要法律法规,阿联酋在各个领域/行业(例如医疗、消费者保护、电子商务等)还颁布了与该领域/行业相关的个人数据保护的特殊规则。企业在评估个人数据合规要求时也需要审慎考虑其所在领域/行业的要求,注意相对于一般规则更为严格的特殊规定,对相应敏感信息采取更为严密的保护措施。 为帮助企业更系统地理解阿联酋在个人数据保护方面的重要规则,下文我们将从个人数据保护法的适用范围和重要定义、个人数据处理的合法性基础及告知同意的要求、数据主体权利、数据控制者和处理者的权利义务、数据本地化及跨境转移规则、数据保护影响评估(DPIA)、数据保护官(DPO)这几大方面对阿联酋的法律要求进行对比分析,为中国企业在阿联酋进行经营活动中涉及个人数据处理的合法合规性提供初步的指引。 二 个人数据保护法的适用范围 (一)阿联酋PDPL的适用范围 根据阿联酋PDPL第2条第1款的规定,阿联酋PDPL具有域内和一定的域外效力,适用于单独进行数据立法的自由区以外的联邦所有地区,包括居住在阿联酋或者在阿联酋拥有营业地的数据主体、在阿联酋境内处理境内或境外个人数据的控制者和处理者及在阿联酋境外设立、处理阿联酋境内个人数据的控制者和处理者。 但是,阿联酋PDPL第2条第2款明确了其适用范围的限制:阿联酋PDPL并不适用于(1)处理个人数据的政府机构;(2)安全和司法当局持有的个人数据;(3)仅出于私人目的处理其个人数据的数据主体;(4)与数据主体的健康有关,并受规范健康数据保护和处理的特定立法约束的个人数据;(5)与银行、信贷数据以及受特定法律约束的受保护和处理此类个人数据的信息相关的个人数据;(6)位于阿联酋自由区的公司和机构,这些公司和机构有自己的个人数据保护立法。 在阿联酋联邦层面,还有一些针对特定行业制定的法律也提供了个人数据保护相关的法律规范。其中,《消费者保护法》(The Federal Law No. 15 of 2020 on Consumer Protection)、《网络访问管理政策》(Internet Access Management (IAM) policy)、《打击谣言和网络犯罪法》(Federal Decree Law No. 34 of 2021 on Combatting Rumors and Cybercrimes)和《现代技术贸易法》(Federal Decree-Law No. 14 of 2023 on Commerce through Modern Means of Technology)等不涉及健康数据、银行和信贷的排除规定,可以与阿联酋PDPL竞合适用。即,针对行业特定情况采用更为严格的法律要求,未规定情形仍适用阿联酋PDPL。而《关于在卫生领域使用信息和通信技术(ICT)的法律》(Federal Law No. 2 of 2019 Concerning the Use of Information and Communication Technology (ICT) in Health Fields)因涉及医疗与健康数据保护,应排除阿联酋PDPL的适用。 企业出海需要根据自身行业的性质来判断是否属于阿联酋PDPL的适用范围,并关注该行业是否有其他法律对相应数据的处理和传输活动做出更为严格的规范。 (二)迪拜DIFC、DHCC 数据保护法的适用范围 2020年7月1日起,《迪拜国际金融中心数据保护法》(DIFC DP Law)生效,其配套的还有《迪拜国际金融中心数据保护条例》(DIFC DP Regulations)。根据《DIFC数据保护法》第6条第3款,其适用于在DIFC区域内设立的数据控制者或数据处理者的个人数据处理活动,无论处理行为是否发生于DIFC区域内;也适用于在DIFC内将个人数据处理活动作为其稳定经营的一部分的数据控制者或数据处理者,而无论其设立地点。迪拜DIFC DP Law广泛的适用范围为迪拜国际金融中心的数据跨境流动减少了阻碍,使金融数据的往来交互更为快速便捷。企业出海应当注意其是否属于迪拜DIFC DP Law的规制对象,从而判断是否需要遵守该法律。 在2008年,迪拜就在DHCC开始实施《DHCC数据保护条例》。后2013年修订,新条例命名为《迪拜健康城健康数据保护条例》(HDPR)。根据迪拜HDPR第8条,迪拜HDPR适用于所有持证人对患者健康信息的管理,无论这些信息保存在何处。并且,迪拜HDPR适用于广泛类型的患者健康信息,包括(1)病人的健康信息,包括病史;(2)关于患者目前或曾经患有的任何残疾的信息;(3)关于正在或已经向该患者提供的任何医疗保健服务的信息;(4)该病人提供的与该病人捐赠任何身体部位或任何身体物质有关的信息,或从对该病人的任何身体部位或任何身体物质的测试或检查中得出的信息;或(5)在向该患者提供任何医疗保健服务之前或过程中收集到的该患者的相关信息。迪拜HDPR对健康数据的全过程保护完善了患者福祉,也对出海医疗健康企业在个人数据保护方面提出了更高的要求。 (三)阿布扎比ADGM数据保 护条例的适用范围 阿布扎比酋长国(“阿布扎比”)是阿联酋的第一大酋长国,亦是中东的重要经济体。阿布扎比全球市场(ADGM)是阿布扎比的自由区之一,于2021年2月11日发布《2021数据保护条例》(“《ADGM数据保护条例》”,“DPR 2021”),旨在规范ADGM区域内的数据处理活动。根据DPR 2021第3条的规定,DPR2021适用于控制者或处理者在ADGM 的机构活动中对个人数据的处理,无论处理是否在ADGM进行;如果处理者为ADGM以外的控制者处理个人数据,则处理者必须尽可能遵守本条例的要求,同时考虑到控制者是否须遵守其本国司法管辖区法律规定的类似义务。ADGM的域外效力并非强制性规定,但仍可作为企业出海的重要参考以降低合规风险。 三 处理个人数据的合法性基础 及告知同意的要求 (一)个人数据 个人数据的定义是个人数据保护的起点。 阿联酋PDPL将个人数据定义为与特定自然人有关的任何数据,或与自然人有关的、具有识别要素或可通过身体、生理、经济、文化、社会特征直接或间接识别的数据。并且,阿联酋PDPL还分别定义了敏感个人数据以及生物识别数据。 迪拜DIFC DP Law没有对个人数据做出明确定义,但给出了处理原则;阿布扎比ADGM DPR 2021则针对特殊个人数据进行了定义并明确了处理方法。 迪拜HDPR将患者健康信息定义为执照持有人、雇员、承包商等不同类型主体所持有的信息。 (二)敏感个人数据 对于敏感个人数据的定义,阿联酋PDPL与阿布扎比ADGM DPR 2021没有明显区别,均包含揭示种族或民族血统、政治观点、宗教或哲学信仰的个人数据以及生物识别数据和与刑事定罪有关的个人数据。不同的是,阿布扎比ADGM DPR 2021还包含了“与健康有关的数据或与自然人的性生活或性取向有关的数据”,这与该地区的历史文化背景密切相关。迪拜DIFC DP Law提出了特殊个人数据的概念和处理原则,但并没有明确的文本定义。 (三)合法性基础 信息处理者要取得合法处理个人信息的法律地位必须具备合法性基础,否则其处理行为即属违法行为。阿联酋PDPL、迪拜DIFC DP Law和阿布扎比ADGM DPR 2021均对合法性基础进行了说明,除了数据主体同意外,还主要包含为履行数据主体作为一方的合同、为履行控制者的法律义务、为保护数据主体或其他自然人的重要利益而必须的处理以及为执行公共机构的职能和保护公共利益所进行的处理。值得注意的是,阿联酋PDPL并没有明确将“合法利益”作为独立的合法性基础,而这一点在《通用数据保护条例》(General Data Protection Regulation, “GDPR”)中有明确规定。由于DIFC的法律框架强调与GDPR保持一致性,ADGM的立法也在很大程度上参考了GDPR。因此,DIFC DP Law和ADGM DPR 2021的规定与GDPR基本相同,这有助于在自贸区内运营的国际企业更好地遵守数据保护规定。 (四)告知同意 1. 告知 “告知-同意”是个人数据保护的重要规则,作为个人信息主体意愿表达的工具,体现了个人信息自决权。阿联酋PDPL第6条、迪拜DIFC DP Law第2C部分第12条及阿布扎比ADGM DPR 2021第6条均规定了同意数据处理的条件,要求告知以真实明确、清晰易懂的方式进行。为了满足透明度的要求,告知应当包括如下几个方面: 关于正在收集或处理的个人数据的详细信息 处理目的和收集信息的法律依据 收集个人数据的方法 个人数据的存储方式 数据将被处理的时限及销毁时间 数据主体的权利以及如何行使这些权利 组织和数据保护官的详细联系方式 个人数据的接收方和跨境转移的详情 上述信息应在收集个人数据时提供给个人,如果是从其他来源收集的,则应在合理的时间范围内提供给个人。 2. 同意 阿联酋PDPL、迪拜DIFC DP Law及阿布扎比ADGM DPR 2021在“告知-同意”中主要进行了“同意”部分的规定:同意必须在数据主体至少知道控制者的身份以及处理个人数据目的的基础上自愿作出,数据主体有权随时撤销同意且撤销同意不会影响撤销前处理行为的合法性。其中,迪拜DIFC DP Law和阿布扎比ADGM DPR 2021还特别规定了如果将处理个人数据的同意作为履行义务、进行处理行为的条件,则数据主体的同意不满足自愿性的要求;以及,撤回同意必须和给予同意一样容易,这和GDPR的要求是一致的。迪拜DIFC DP Law更加注重长期处理行为中同意的持续有效性,要求控制者采取适当且合比例的措施进行定期评估,给予数据主体重新确认或撤销同意的机会。 四 数据主体的权利 阿联酋PDPL第13条至第18条、迪拜DIFC DP Law第6部分和阿布扎比ADGM DPR 2021第3部分规定了数据主体的权利,与欧盟GDPR的规定基本一致,主要包含访问权、可携带权、更正权、删除权、限制处理的权利、停止处理的权利、不受自动化决策权。 在数据主体权利的响应时间方面,阿联酋PDPL、迪拜DIFC DP Law及阿布扎比ADGM DPR 2021均没有明确的规定。但是,迪拜DIFC DP Law提供了针对该法的一般救济途径,即任何受影响方可在收到法律本部分规定的指示后14天内要求监管机构负责人审查该指示。数据处理者或控制者如需对数据主体权利进行响应,应在合理时间内将其转发给相关部门,在核实个人身份及确定个人数据的存储位置后,及时根据数据主体的请求类型采取适当行动(如复制、删除数据及限制处理),向数据保护官(DPO)提供适当的详细信息,以便向数据主体发送和回复。 五 数据控制者和处理者的权利义务 数据控制者是决定个人数据处理目的和方式的实体,负责确保这些处理活动合法、透明,采取适当措施保护个人数据的安全并响应数据主体的请求。数据处理者代表数据控制者处理个人数据,必须遵循控制者的指示,确保数据处理的安全性,在需要时协助控制者履行其对数据主体的义务。 企业作为数据控制者与数据处理者两种不同的数据处理角色时,需要承担的义务也是不同的。在一般义务方面,处理者的一般义务主要包括在控制者的指示和授权下根据协议进行个人数据的处理、采用适当的技术措施和组织程序保护个人数据、在期限内进行处理、处理期结束后将数据移交控制者时删除数据、确保数据处理的安全性、保存代表控制者处理个人数据的特别记录。数据控制者必须承担个人数据处理活动的责任,落实告知同意的要求,采取适当的组织和技术措施保障个人数据的安全,形成个人数据处理记录,并需要和监管部门保持沟通合作。此外,迪拜DIFC DP Law和阿布扎比ADGM DPR 2021还规定了控制者或处理者的“设计和默认的数据保护”原则。以及,对控制者提供平台在线服务,迪拜DIFC DP Law提出默认隐私偏好设置收集个人数据应保持最小限度的要求。 在具体义务方面,数据控制者和数据处理者承担的义务也存在显著差异: (1) 报告个人数据泄露的义务:阿联酋PDPL第9条、阿布扎比ADGM DPR 2021第32条将向调查局和监管机构负责人报告个人数据泄露的义务施加给控制者,而迪拜DIFC DP Law第7部分第41条要求处理者发现个人数据泄露后立即通知控制者,控制者或处理者须全面配合监管机构负责人进行调查。 (2) 任命和监督数据保护官的义务:迪拜DIFC DP Law第16条提出控制者或处理者可选择指定一名符合要求的DPO,而阿联酋PDPL第10条和阿布扎比ADGM DPR 2021第35条规定在特定情况下,控制者和处理者必须任命一名DPO。任命者还应确保DPO适当及时参与数据保护事务,为DPO提供必要的资源及支持。 (3) DPIA:阿联酋PDPL第21条和阿布扎比ADGM DPR 2021第34条要求控制者使用任何会对数据当事人个人数据的隐私和保密性构成高风险的现代技术时,在进行处理之前评估拟处理操作对个人数据保护的影响;迪拜DIFC DP Law第20条要求控制者还考虑数据处理行为对相关数据主体权利的风险。此外,控制者也可选择对不属于高风险处理活动的个人数据处理进行此类评估。 (4) 数据跨境:阿联酋PDPL和迪拜DIFC DP Law对于控制者和处理者在个人数据的跨境转移方面的义务没有提出明确的划分。阿布扎比ADGM DPR 2021规定,数据处理者在处理个人数据时,包括将这些数据发送到ADGM管辖区之外或国际组织,都必须遵循数据控制者提供的书面指示。此外,数据处理者有责任在进行任何跨境数据传输之前,向数据控制者说明所有相关的法律要求,确保控制者能够依法做出决策。 六 数据跨境转移规则 (一)阿联酋 1. 阿联酋PDPL的规定 阿联酋PDPL对于数据跨境转移的规则借鉴了GDPR关于充分性认定与豁免条件设置的思路,在第22条和第23条中分别规定了“在有适当保护级别的情况下为处理目的跨境转移和共享个人数据”及“在没有适当保护级别的情况下为处理目的跨境转移和共享个人数据”的豁免规则。 (1) 在有适当保护情况下进行转移 根据PDPL第22条,如个人数据要跨境传输至阿联酋以外地区,则该地区立法必须对个人数据提供适当的保护水平,具体包括保护个人数据的机密性和隐私性相关的主要条款、措施、控制、要求和规则,以及与通过监管或司法实体对控制者或处理者实施的条款。个人数据也可以传输到与阿联酋有双边或多边个人数据保护协议的国家。可能包含白名单国家清单的阿联酋PDPL执行条例原计划在2022年3月20日发布,但据目前的信息显示,这些执行条例的发布已经被无限期推迟。因此,现在尚无PDPL认定的白名单国家。对于出海企业来说,如果需要将个人数据从阿联酋传输回中国,可能需要采取额外的保护措施,比如使用标准合同条款或进行个人数据保护影响评估(DPIA),以确保符合PDPL的要求。同时,企业应密切关注阿联酋相关监管机构发布的最新指南和白名单更新。 (2) 在缺乏适当保护情况下进行转移 在缺乏适当的保护水平时,PDPL也规定了一系列豁免。在以下情况下,个人数据可以合法跨境转移: 在没有数据保护法的地区,该地区企业可以根据传输数据协议,使该地区企业满足本文所述的规定、措施、控制和条件,并通过合同中指定的地区监督或司法机构对该地区数据控制者或数据处理者采取适当的措施 数据主体明确表示同意,前提是跨境传输不损害阿联酋的公共或安全利益 传输对于履行义务和司法确权是必要的 传输是签订或履行控制者与数据主体之间或控制者与第三方之间为了数据主体利益而签订的合同所必需的 传输是履行与国际司法合作有关的行为所必需的 传输是保护公共利益所必需的 2. 行业立法的特殊要求 值得注意的是,在行业立法中也含有禁止特定类别数据出境的要求。《关于在卫生领域使用信息和通信技术(ICT)的法律》(ICT in Health Fields)第 13 条规定,不得存储、处理、生成或转移与在阿联酋境内提供的医疗服务有关的健康数据,除非酋长国卫生当局与卫生和公共援助部协调发布的决议允许。联邦部2021年第51号决议(Ministerial Resolution 51/2021) 放宽了对某些类型处理操作的数据传输限制,在海外医疗、医疗检测、科学研究、保险理赔和承保、与阿联酋政府或机构合作的组织、可穿戴设备和医疗保健检测设备、药物警戒报告、卫生当局批准的数据等方面设置了可传输到阿联酋境外的例外条款。 (二)迪拜DIFC DP Law与HDPR 1. 迪拜DIFC DP Law 迪拜DIFC DP Law第26条及第27条针对数据跨境传输也基于保护水平是否充足的不同情况进行了详细的规定。 (1) 具有足够保护水平情况下进行转移 监管机构负责人应根据一系列因素判断某第三国、地区、特定行业或国际组织是否具有足够的数据保护水平。这些因素包括: 法治与个人权利保护情况 公共机构获取个人数据的方式 数据保护法律的有效性及持续传输规则 独立监管机构的存在及其执法能力 国际承诺、条约,以及在国际或区域组织中的成员资格 监管机构负责人还可以参考其他主管数据保护机构作出的类似充分性决定,结合上述因素,判断第三国或组织是否符合要求。 (2) 缺乏足够保护水平情况下进行转移 第27条规定了在缺乏足够保护的情况下,从DIFC向第三国或国际组织转移个人数据的详细要求,其中包括适当性保障措施、例外情况与特定情况下进行有限数据转移三方面。 适当性措施 控制者或处理者提供适当的保障措施,确保数据主体享有可执行的权利和有效的法律补救措施。这些保障措施可以包括法律约束力的协议、标准数据保护条款、行为准则、认证机制等。 例外情况 适用特定例外情况,如数据主体同意、履行合同、出于公共利益或法律要求、保护数据主体或其他人的重要利益等。 特定情况下有限的数据转移 在特定情况下可进行有限的数据转移,如非重复性转移、涉及少量数据主体、为控制者的合法利益提供保障等。 迪拜DIFC还在其官网上提供了数据出口评估、DIFC标准合同条款、与公共机构或执法部门共享数据的评估工具、尽职调查风险评估、第三国或司法管辖区充足性评估等模板或评估工具可供出海企业进行参考。 2. 迪拜HDPR 迪拜HDPR第9部分规定将患者健康信息转出DHCC需要同时满足第三方法律法规能够确保对患者健康信息提供充分保护以及转移经患者授权或是向患者持续提供医疗服务所必需。 (三)阿布扎比ADGM DPR 2021 阿布扎比ADGM DPR 2021第40条至44条对于将个人数据传输至ADGM以外进行了规定,其思路与迪拜DIFC DP Law基本一致。 (1) 充足性的认定 如果接收方能够提供充足的保护,监管机构负责人可以批准将个人数据转移至该司法管辖区或国际组织。判断的主要因素有权利保障、监管机构的独立性和国际承诺等。 (2) 适当的保护措施 在没有适足性决定的情况下,个人数据可转移至ADGM以外的地区或国际组织,但需提供适当保障措施。企业可以根据ADGM发布的标准合同条款(Standard Contractual Clauses, “SCCs”)2来签订合同,以便合法地将个人数据从ADGM传输到其他地区。这些条款为企业提供了一种简化的方式来确保数据传输的合规性,可以作为现有合同的一部分,也可单独签订。 此外,ADGM还特别提出利用具有约束力的公司规则(Binding Corporate Rules, “BCRs”)3来进行数据跨境传输。BCRs为全球业务提供了统一的数据保护标准,减少因签订单独数据保护协议而产生的行政负担和成本。但是,BCRs的批准过程可能复杂且耗时,需要与数据保护监管机构密切合作。目前,中国企业采用BCRs的情况较少。 (3)例外规定 在没有适足性决定或适当保障措施时,数据转移必须符合以下条件之一: 数据主体知晓相关风险并明确同意的转移 为履行与数据主体的合同或合同前义务的转移 为履行控制者与其他方为数据主体利益而签订的合同的转移 出于重要公共利益的必要转移 按照阿联酋法律要求的转移 为确立、行使或捍卫法律主张的必要转移 在数据主体无法同意的情况下,为保护其或他人重要利益的转移 企业在出海至阿联酋时,面对数据跨境传输的规则,首先需要了解阿联酋PDPL、迪拜DIFC DP Law和阿布扎比ADGM DPR 2021的相关要求。这些法律规定企业在跨境转移个人数据时,必须考虑数据接收方所在司法管辖区的数据保护水平,并根据该保护水平采取适当的措施,以确保个人数据的安全和隐私得到充分保护。如果接收方能够提供足够的保护,或者阿联酋与该司法管辖区有双边或多边数据保护协议,跨境数据传输通常是允许的。在缺乏适当保护的情况下,企业可能需要采取额外的保护措施,例如使用“SCCs”或“BCRs”。此外,企业还应关注行业特定的立法,如DHCC对健康数据的传输限制。同时,企业应密切关注监管机构发布的最新指南和白名单更新,以确保其数据跨境传输活动始终符合阿联酋的数据保护法规。 七 DPIA 阿联酋PDPL、迪拜DIFC DP Law和阿布扎比ADGM DPR 2021均要求在处理可能对数据主体权利造成高风险的数据之前,进行数据保护影响评估(DPIA)。评估的内容至少包括对处理操作的性质、范围、目的的描述,并且,评估必须分析处理行为的必要性和合规性,必须识别和评估数据主体面临的风险并建议减轻风险的措施。同时,控制者在进行DPIA时还必须与DPO进行协调,定期审查评估结果以确保处理符合要求。 但是,三者之间也存在着一些差异: (1) 适用情况 阿联酋PDPL与迪拜DIFC DP Law明确规定了必须进行DPIA的具体情况,如系统全面评估、自动处理和大量敏感数据的处理;而阿布扎比ADGM DPR 2021相对简化,要求所有可能对自然人权利造成高风险的数据处理进行DPIA。 (2) 例外处理 阿联酋PDPL与迪拜DIFC DP Law在某些情况下提供了如公共权力活动等具体的例外规定,而阿布扎比ADGM DPR 2021没有特别提到具体例外,只是强调所有高风险处理都需进行DPIA。 (3) 通知要求 阿联酋PDPL与迪拜DIFC DP Law没有明确规定通知要求,而阿布扎比ADGM DPR 2021规定如果DPIA表明处理可能对自然人的权利造成高风险,控制者必须在进行处理前通知DPO,并提供评估中的信息。 出海企业进行DPIA除了应遵守阿联酋和自贸区的相关法律外,还可以利用ISO27001 / ISO27701等既定框架来评估和制定适当的措施,审查数据处理过程中的风险和技术漏洞,降低已确定的风险。 八 组织内设置DPO的要求 阿联酋PDPL、迪拜DIFC DP Law和阿布扎比ADGM DPR 2021都规定了DPO的设置,要求其负责监督组织的数据保护计划并确保遵守适用的数据保护法律。 (1) 触发任命的情形: 三部法律都要求在存在高风险的数据处理活动时任命DPO,尤其是在处理涉及个人隐私和敏感数据的情况下。 阿联酋PDPL的触发条件更加明确,强调当处理自动化决策、大规模处理敏感数据时需要任命DPO,具体指在数据处理对个人隐私可能产生严重影响时。 迪拜DIFC DP Law的规定更宽泛,要求在任何“高风险”情况下任命DPO,同时包括对新技术应用时潜在风险的评估。 阿布扎比ADGM DPR 2021与迪拜DIFC DP Law类似,但特别指出在涉及新技术、或处理规模和复杂性显著增加时,也需要任命DPO。 (2) 资质和岗位要求: 三部法律都要求DPO具备数据保护领域的专业技能和经验,且能够独立履行职责。DPO也需要获得足够的资源和权限支持,以确保有效监督和执行数据保护措施。 阿联酋PDPL在任职资格上更为灵活,允许DPO由组织内部现有雇员担任,或者由外部顾问提供服务。其更侧重于技能和专业知识,而不强制要求独立性达到迪拜DIFC DP Law和阿布扎比ADGM DPR 2021的水平。 迪拜DIFC DP Law在资质要求上更为严格,明确规定DPO可直接向高级管理层报告,并获得组织内不受限制的访问权限,从而确保DPO具备足够的权威和信息获取能力。 阿布扎比ADGM DPR 2021与迪拜DIFC DP Law类似,但规定在不会产生利益冲突的前提下,DPO可在大型集团内部担任其他职责。 (3) 职责要求: 三部法律都要求DPO承担一些核心职责,如监督组织数据处理的合规性、提供数据保护方面的咨询和建议、作为数据保护监管机构的主要联络点并确保及时沟通。 阿联酋PDPL侧重于内部流程的管理,如处理个人数据相关的投诉、提供技术咨询、监督系统安全措施的执行,较少涉及独立性和广泛的外部沟通。 迪拜DIFC DP Law和阿布扎比ADGM DPR 2021在职责范围上的规定更为全面,特别强调DPO的独立性,要求其避免任何可能产生利益冲突的其他职责。DPO的任务还包括协助执行数据保护影响评估、组织培训、定期审查内部数据处理操作,确保持续合规。 (4) 备案要求: 三部法律均要求DPO与监管机构保持联络,及时提供相关信息。 阿联酋PDPL在备案方面要求相对宽松,重点在于DPO的保密义务和对个人数据的保护,未明确规定DPO的常规备案义务。 迪拜DIFC DP Law和阿布扎比ADGM DPR 2021的规定更加详细,要求DPO定期向监管机构备案,保持高度透明,向监管机构报告处理活动的详细信息、数据保护影响评估结果等。此外,还强调DPO在必要情况下需及时向监管机构报告潜在的数据泄露或其他重大风险。 DPO 可以帮助证明企业的合规性,是加强问责制的一部分。鉴于三部法律均要求组织内设置DPO,计划在阿联酋域内设立公司实体的中国企业需特别注意当地关于数据合规管理人员或组织的任命要求。企业出海至迪拜DIFC与阿布扎比ADGM时,应注意其针对DPO的法律规定要普遍严格于阿联酋PDPL,更强调DPO的高度独立性、外部透明度与监管合规性。 注: [1] 参见《中华人民共和国和阿拉伯联合酋长国联合声明》——在阿拉伯联合酋长国总统穆罕默德·本·扎耶德·阿勒纳哈扬对中华人民共和国进行国事访问之际,2024年5月30日,https://www.gov.cn/yaowen/liebiao/202406/content_6955171.htm [2] 阿布扎比全球市场(ADGM)在阿联酋率先发布了对欧洲委员会的标准合同条款(SCCs)的补充文件,以支持在ADGM运营并需进行个人信息跨境转移的企业。这些补充文件作为符合ADGM数据保护法规的一项“转移机制”,旨在辅助那些已经采纳欧盟SCCs的企业减少重复性工作并避免额外的合规负担,从而为依赖SCCs的企业提供支持。 [3] 具有约束力的公司规则(BCRs)是一套由跨国公司制定并经数据保护监管机构批准的内部政策,确保在全球范围内处理个人数据时遵守统一的数据保护标准,简化跨国数据传输的合规流程。 作者: 袁琼,君合律师事务所合伙人;业务领域:公司与并购、电信与互联网、隐私保护、网络安全与信息法;邮箱:yuanq@junhe.com 栗晔;邮箱:liye@junhe.com 感谢实习生庞怡凡对本文的贡献 声明:《君合法律评论》所刊登文章仅代表作者本人观点,不得视为君合律师事务所或其律师出具的正式法律意见或建议。 (来源:君合法律评论)
