迪拜国际金融中心数据保护法下企业义务与个人权利

17 January 2026

如今，个人数据已成为企业最宝贵的资产之一，同时也是组织面临的最敏感的法律责任来源之一。每一个姓名、电话号码、电子邮箱地址和交易记录都受制于严格的监管框架，该框架要求企业保护其所收集的数据，并赋予个人对自身数据的真正掌控权。在迪拜国际金融中心（DIFC）辖区内，《数据保护法》确立了一套完整的框架，在信息自由流动与商业需求之间，以及数据主体的基本权利之间取得平衡。本文以务实的方式阐释企业在该法下的主要义务以及个人所享有的权利，以帮助组织与个人厘清自身的法律地位。

根据 DIFC 数据保护法，企业有哪些义务、个人享有哪些权利？

法律的适用范围及受其约束的主体

《数据保护法》由迪拜国际金融中心颁布并生效，废止并取代了此前的立法，其后又在最新修订之后形成了合并版本。该法旨在为个人数据的处理与自由流动提供标准与管控措施，并保护数据主体的基本权利，包括这些权利如何适用于新兴技术。

本法适用于：以自动化方式处理个人数据，以及当数据构成结构化档案系统一部分时以非自动化方式进行的处理；适用于任何在 DIFC 注册成立的控制者或处理者，无论处理在何处进行；亦适用于在 DIFC 境内进行的任何处理，无论其注册地为何。

本法不适用于：自然人在纯粹个人或家庭活动过程中、与任何商业目的无关地处理个人数据。该法的实施由中心的数据保护专员监督，专员拥有监管、调查与处罚的权力。

规范数据处理的一般原则

该法要求每一家处理个人数据的企业遵守一系列核心原则，并能够向专员证明其合规情况。这些原则是合规的支柱：

合法与透明
就数据主体而言，应以合法、公平、透明的方式处理数据。

目的限制
为收集时确定的特定、明确且合法的目的而收集，不得以与之不符的方式使用。

数据最小化
仅限于与目的相关且必要的范围，不作无正当理由的扩张。

准确性
应准确并在必要时保持更新，及时予以更正或删除而无不当迟延。

存储限制
以仅在目的所需期间内可识别数据主体的形式予以保存。

安全与问责
以适当的技术与组织措施安全保存；证明合规的举证责任由控制者承担。

合法依据：无依据则不得处理

企业不得处理任何个人数据，除非依据该法穷尽列举的合法依据中的至少一项：

同意数据主体为特定目的作出的同意

合同履行数据主体为当事方之合同所必需

法律义务遵守适用法律

重大利益保护数据主体或他人的生命

公共利益DIFC 机构为中心利益履行的职责

正当利益除非被数据主体的权利所压倒

特殊类别数据：敏感数据受额外条件约束，仅在特定情形下方可处理，例如明确同意、为雇佣相关目的所必需、保护重大利益，或与所追求目标相称的重大公共利益事由。

企业义务（控制者与处理者）

有效同意

当以同意为依据时，应通过明确的肯定性行为自由作出，且毫不含糊地表明同意；企业须能够证明其已取得同意并管理其撤回，对于持续性处理则须定期重新确认。

问责与设计层面的保护

企业须实施适当的技术与组织措施，并贯彻"经由设计及默认的数据保护"原则，使默认情况下仅处理各目的所必需的数据，并在法律有此要求时向专员登记。

处理活动记录

控制者与处理者须保存处理活动的书面记录，包括数据主体类别、数据类别与接收方类别，向第三国或国际组织的任何传输及其保障措施，删除期限，以及在可能情况下对安全措施的概括性描述。

数据保护官（DPO）

DIFC 机构，以及系统性或经常性从事"高风险处理活动"的任何控制者或处理者，须指定数据保护官。该官员须具备所需的专业能力与独立性，可直接向高级管理层报告，并开展年度合规评估。

影响评估与事先咨询

在进行高风险处理之前，企业须开展数据保护影响评估，分析对个人权利的风险及应对措施，并可事先咨询专员，同时遵守因该咨询而发出的任何指令。

处理者与向中心外的传输

与处理者的往来受具有约束力的书面协议规范，该协议界定责任、保密义务与次处理者管控。数据仅可传输至能提供充分保护水平的目的地，或在缺乏此种充分性时须有适当的保障措施。

停止处理与透明告知

当目的不复存在或同意被撤回时，企业须停止处理，并删除、匿名化、假名化或加密数据，或使其无法再被使用，并通过隐私告知向个人提供有关其数据如何被处理的清晰信息。

个人对其个人数据享有的权利

该法赋予数据主体一系列可执行的权利，企业须提供至少两种行使方式：

撤回同意
当同意为处理依据时，享有随时撤回同意的绝对权利。

访问、更正与删除
取得确认及数据副本，并要求更正或删除——免费且在请求后一个月内完成。

反对处理
对特定处理提出反对；除非企业证明存在压倒个人权利的迫切理由，否则该反对视为正当。

限制处理
在如对数据准确性存在争议或处理不合法等情形下要求限制处理。

数据可携
以可携格式取得数据，并在技术可行时使其直接传输给另一方。

自动化决策与画像
对仅基于自动化处理、产生法律或重大影响的决策提出反对，并要求人工复核。

不受歧视
不因仅仅行使该法所赋予的权利而受到较不利的对待。

通知接收方
在数据被更正、删除或限制时，控制者须通知接收方。

个人数据泄露的通知

向专员通知当泄露危及数据主体的机密性、安全或隐私时，控制者须在情形所许可的范围内尽快通知专员，说明泄露的性质、可能的后果及已采取的应对措施。处理者须毫不迟延地通知控制者。

向数据主体通知当泄露可能对个人的安全或权利造成高风险时，控制者须尽快向受影响个人告知，存在即时损害风险时则须立即告知，以清晰语言说明并提出减轻影响的建议。泄露还须以书面形式记录。

处罚、责任与获得赔偿的权利

专员有权发出指令，并依据该法所附的处罚表对违规者处以行政罚款，同时享有一般性罚款权。以下为以美元计的最高罚款示例：

$50,000

违反一般原则、合法处理要求或安全措施

$75,000

未向个人提供所要求的处理信息

$100,000

侵犯个人的访问、更正、反对与删除等权利

民事责任与直接诉权：控制者对因不合法处理造成的损害承担责任，处理者在违反其义务或超出控制者指令行事时承担责任，为确保有效赔偿，责任可为连带责任。因违规而遭受损害的数据主体，除有权向专员提出申诉外，还可直接向法院申请赔偿。

法律依据

适用立法：《迪拜国际金融中心 2020 年第 5 号数据保护法》——合并版本，经《DIFC 2025 年第 1 号法律修订法》及《DIFC 2022 年第 2 号法律》修订。

相关条款：一般原则（第 9 条）、处理的合法性（第 10 条）、特殊类别（第 11 条）、同意（第 12 条）、问责（第 14 条）、处理记录（第 15 条）、数据保护官（第 16 至 19 条）、影响评估（第 20 条）、数据传输（第 26 至 27 条）、信息提供（第 29 至 31 条）、个人权利（第 32 至 40 条）、泄露通知（第 41 至 42 条）、指令、罚款、责任及私人诉权（第 59 至 64A 条），以及处罚表（附表 2）。

“ 数据保护合规不再是一种表面的可选项，而是任何在中心运营的组织治理的组成部分；一家将其政策建立在"经由设计的保护"原则之上的企业，在保护客户的同时，也同样使自身免于罚款。
— 阿瓦德·阿尔梅希里律师

需要数据保护与合规方面的咨询吗？

我们的法律团队为组织与个人提供支持，协助起草隐私政策、处理协议、泄露应对程序，以及行使法律所赋予的各项权利。

联系我们

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS

常见问题

DIFC 数据保护法适用于谁？+

它适用于在 DIFC 境内处理个人数据、在中心注册成立的任何控制者或处理者（无论处理在何处进行），以及在中心境内进行的任何处理（无论注册地为何）。它不适用于与任何商业目的无关的纯粹个人或家庭活动。

企业何时须指定数据保护官（DPO）？+

DIFC 机构，以及系统性或经常性从事高风险处理活动的任何控制者或处理者，须予指定；专员亦可要求其他实体指定。该官员须具备所需的专业能力与独立性，并可直接向高级管理层报告。

企业须在多长时间内回应访问请求？+

数据主体有权免费且在请求后一个月内取得确认及其数据副本，但企业在法律所定理由（如保护调查或公共安全）下可对信息予以限制的情形除外。

发生数据泄露时应当如何处理？+

当泄露危及数据的机密性、安全或隐私时，控制者须尽快通知专员，并在泄露可能造成高风险时告知数据主体，同时以书面记录泄露并采取减轻影响的措施。

个人可否就违法行为请求赔偿？+

可以。因违反该法而遭受损害的数据主体，除有权向专员提出申诉外，还可直接向法院申请赔偿；为确保有效赔偿，控制者与处理者的责任可为连带责任。

为协助您实现合规或行使您的权利，我们的团队随时为您服务。

联系我们

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS

守护您数据与业务的法律专业能力

✓ 起草隐私政策与数据处理协议

✓ 泄露应对程序与申诉处理

✓ 代表个人行使其权利

立即预约咨询

以我们的法律专业，为您服务

法律免责声明

本文旨在传播法律文化、提升社会认知，不构成针对任何具体事项的法律意见或法律咨询。法律处理因个案情形而异，因此在采取任何行动之前，建议咨询合格的法律顾问。阅读本内容不构成律师与委托人之间的关系。如本译文与阿拉伯文版本存在任何歧义，应以阿拉伯文文本为准。

我们在迪拜的服务

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS 在迪拜为迪拜国际金融中心境内及境外运营的组织提供有关个人数据保护与隐私合规的服务，从构建治理框架、起草隐私政策与处理协议，到管理个人请求、应对数据泄露事件以及与主管监管机构打交道，以维护商业声誉并降低法律风险。

我们在其他酋长国的服务

我们的服务延伸至阿布扎比、沙迦、阿治曼、乌姆盖万、哈伊马角与富吉拉的客户，我们协助组织与个人理解其在国家监管环境下与个人数据相关的义务与权利，并提供务实建议，帮助在商业需求与个人隐私保护之间取得平衡，同时密切关注影响这一关键领域的任何立法动态。