如今，个人数据已成为数字经济的命脉，也是阿拉伯联合酋长国各机构最为敏感的法律责任来源之一。每一个姓名、电话号码、电子邮箱地址和交易记录，如今都受一套联邦立法框架的约束——该框架要求企业保护其所收集的数据，并赋予个人对其数据的真正掌控权。阿联酋立法者通过《联邦个人数据保护法》确立了这一框架，在信息自由流动与业务需求之间，以及数据主体的基本权利之间取得平衡。本文阐述企业的主要义务与个人所享有的权利，并厘清谁受该法约束、谁可获豁免。

根据阿联酋《个人数据保护法》，企业有哪些义务、个人享有哪些权利？

法律框架与监管机构

本国的个人数据保护制度以《联邦个人数据保护法》为基础，该法为个人数据的收集、处理、存储与保护，以及各方的权利与义务，确立了总体框架。其实施由依据另一项独立联邦法律设立的阿联酋数据办公室负责监督，该办公室是负责发布指引、受理投诉并监督合规情况的主管监管机构。若干详细的程序性事项——例如处罚、跨境传输管控以及豁免的界限——则交由该法的《实施细则》规定。

适用范围：谁受该法约束？

该法适用于以电子或其他方式对个人数据进行的全部或部分处理，并在特定情形下具有域外适用效力。其适用范围包括：

豁免于该法的实体与情形

该法明确规定了其条款不适用的若干情形——这是确定各实体适用何种立法的关键所在：

为什么自由区是独立的？根据这一豁免，凡设有自身制度的自由区内运营的实体——例如迪拜国际金融中心和阿布扎比全球市场——均受其独立立法及各自的监管机构约束，而非联邦法。此外，阿联酋数据办公室还可依据《实施细则》的管控规定，豁免某些不处理大量数据的机构履行部分要求。

本国的多层级保护体系

个人数据处理原则

同意以及无须同意即可合法处理的情形

原则上，未经数据主体同意，禁止处理其个人数据。该同意须为控制者能够证明的同意；须清晰、简明、明确且易于获取；并须包含以简便方式撤回同意的权利——撤回不影响此前处理的合法性。该法将若干处理属合法的情形排除于同意要求之外，其中包括：

企业的义务（控制者与处理者）

数据泄露的通报

控制者一旦获悉任何危及数据隐私、保密性与安全的侵入或侵害，即须向办公室通报侵害的性质、原因、可能影响及所采取的措施，并在侵害涉及数据主体的数据时通知该数据主体。处理者一旦获悉，须立即通知控制者，以便控制者向办公室通报。

委任数据保护官（DPO）

在以下三种情形下，须委任一名合格的数据保护官：处理因采用新技术或数据规模而对数据隐私造成高风险；处理涉及对敏感数据进行系统而全面的评估，包括画像与自动化处理；或处理针对大量敏感数据进行。该数据保护官负责核查合规情况、受理请求与投诉，并作为与办公室联络的纽带。

个人对其个人数据享有的权利

数据的跨境传输

个人数据可向能够提供充分保护水平的国家或地区传输至本国境外，或在若干特定情形下传输，其中包括：数据主体在不与公共及安全利益相抵触的前提下作出的明确同意；传输为在司法机关面前确立权利所必需；为订立或履行符合数据主体利益的合同；为涉及国际司法合作的程序；或为维护公共利益。这些情形的管控由《实施细则》规定。

监督、投诉与处罚

阿联酋数据办公室的角色：数据主体在其任何权利受到侵害时，有权向办公室提交投诉；办公室可核查侵害的原因，并对违反该法条款及为执行该法所发布决定的控制者或处理者处以行政处罚。此类行政处罚的数额及其程序由该法的《实施细则》规定，此外办公室还有权发布指引并跟进合规情况。

法律依据

常见问题