大挑戰！中東海灣數據保護法規解析！

在進軍中東海灣互聯網市場的過程中，遵守當地的數據保護法規是不可忽視的重要一環。

近年來，中東海灣合作委員會地區的經濟持續蓬勃發展和多元化，吸引著越來越多的初創企業和大品牌進駐該地區市場。隨著迪拜 2020 年世博會的成功舉辦和沙特紅海項目的不斷推進，中東海灣市場的潛力無疑令人矚目。然而，伴隨這些巨大的商機，也帶來了更大的挑戰。

網路犯罪日益猖獗，中東海灣地區的經濟體成為網路攻擊的主要目標。數據顯示，阿聯酋在2021年受到的網路攻擊增加了71%，預計給阿聯酋企業造成7.46億美元的損失。數據保護和隱私問題因此成為全球和該地區最熱門的議題之一。

為了維護數字經濟的持續發展，中東海灣六國紛紛制定全面的個人數據保護立法，以確保個人數據的安全使用。

本文是阿中產業研究院「中東生意經」系列第7篇，深度介紹中阿投資、貿易和工程建設領域的產業政策、法律法規、產業趨勢、市場需求、競爭格局和潛在交易機會。

Photo by Joshua Sortino on Unsplash

最近，阿曼於2022年2月9日發布了關於《個人數據保護法》的第6號蘇丹尼法令，並於2023年2月13日正式生效。此法令將撤銷與阿曼個人數據保護法相衝突的舊有法律，包括2008年《阿曼電子交易法》。企業在中東海灣市場如何遵守這些新的數據保護法規，將由阿曼政府在立法生效前後頒布的實施條例予以規範。

為了幫助您更好地了解中東海灣六國數據保護立法的關鍵條款，阿中產業研究院總結了相關內容，包括數據保護立法、數據保護監管機構、數據保護法的適用範圍、數據使用的限制、安全審核、個人數據傳輸、違規行為通知監管機構以及處罰等方面的要點。

我們建議您在該地區開展業務前，對當地的數據保護法律法規進行深入了解，並採取相應的措施，以確保您的企業在中東海灣市場的順利發展。

1. 數據保護立法

(1) 阿曼：關於頒布《個人數據保護法》的蘇丹尼第 6/2022 號法令(Personal Data Protection Law)

(2) 阿聯酋：2021 年第 45 號聯邦法令關於《個人數據保護法》(Protection of Personal Data)

(3) 沙特：沙烏地阿拉伯內閣關於批准《個人數據保護法》的第 98/1443 號決定(Personal Data Protection Law)

(4) 科威特：科威特關於《數據隱私保護條例》的第 42/2021 號決定(Data Privacy Protection Regulation)

(5) 卡達：2016年第13號《個人數據隱私保護法》(Personal Data Privacy Protection)

(6) 巴林：巴林關於《個人數據保護法》的第 30/2018 號法律(Law on Personal Data Protection)

2. 數據保護監管機構

(1) 阿曼：交通運輸和信息技術部(Ministry of Transport, Communications and Information Technology)

(2) 阿聯酋：阿聯酋數據辦公室(UAE Data Office)

(3) 沙特：沙特數據和人工智慧管理局(Saudi Authority for Data and Artificial Intelligence)

(4) 科威特：電信和信息技術總局(Telecommunication and Information Technology General Authority)

(5) 卡達：交通運輸部(Ministry of Transport and Communication)

(6) 巴林：個人數據保護局(Personal Data Protection Authority)

3. 數據保護法的適用範圍

(1) 阿曼：

適用於根據數據保護法處理和保護的個人數據，但以下情況除外 (i) 保護公共利益 (ii) 遵守法律義務 (iii) 履行數據主體作為一方的合同。

(2) 阿聯酋：

適用於 (i) 居住在阿聯酋或在阿聯酋有營業地點的任何數據主體 (ii) 位於阿聯酋境內的任何控制者或處理者處理阿聯酋境內數據主體的個人數據 (iii) 位於阿聯酋境外的任何控制者或處理者處理阿聯酋境內數據主體的個人數據的個人數據處理。

(3) 沙特：

適用於在沙特境內處理與個人相關的個人數據，包括由沙特以外的任何實體處理居住在沙特的個人的個人數據。

(4) 科威特：

適用於收集、處理和存儲個人數據的所有電信和信息技術服務提供商（「服務提供商」），無論數據處理髮生在科威特境內還是境外，且涉及發送廣告或營銷材料或監控數據主體的行為和趨勢的處理活動。

(5) 卡達：

適用於以電子方式處理、獲取、收集或提取的個人數據，以準備以任何其他方式進行電子處理，或通過電子和傳統處理相結合的方式進行處理。

(6) 巴林：

適用於 (i) 通常居住在巴林或在巴林有營業地點的每個自然人，以及 (ii) 在巴林有營業地點的每個法人，以及 (iii) 通常不在巴林居住且在巴林沒有營業地點的每個自然人或法人使用巴林可用的方式處理數據的數據處理，除非使用此類方式的目的僅僅是通過巴林傳輸數據。

4. 數據使用的限制

(1) 阿曼

處理數據並向數據主體發送營銷材料需要數據主體的明確書面同意。

處理與遺傳、健康、種族、性、政治或宗教觀點或信仰以及刑事定罪或安全措施有關的個人數據需要獲得監管機構的許可。

除非符合兒童的最大利益，否則未經兒童監護人批准，禁止處理兒童的個人數據。

(2) 阿聯酋

未經數據主體同意，禁止處理個人數據，但數據保護法中規定的某些情況除外。

(3) 沙特

處理數據並向數據主體發送營銷材料需要獲得數據主體的書面同意。如果是兒童或無行為能力的個人數據，則需要獲得法定監護人的同意。

(4) 科威特

處理數據需要獲得數據主體（或兒童數據的法定監護人）的同意。

(5) 卡達

控制者不得 (i) 在未獲得個人同意的情況下處理個人數據，但為實現合法目的而必須進行的處理除外(ii) 在未獲得事先同意的情況下，為直接營銷的目的向個人發送任何電子通信(iii) 限制跨境數據流，除非此類數據的處理違反了卡達《個人隱私數據保護法》或可能對個人數據或數據當事人的隱私造成嚴重損害(iv) 在未獲得監管機構許可的情況下處理特殊性質的個人數據。

(6) 巴林

處理個人數據需要數據主體明確同意（書面或電子方式），除非以下任何一項需要進行處理：(i) 執行數據主體作為一方的合同；(ii) 應數據主體的要求採取措施，以簽訂合同；(iii) 履行法律規定的義務，違反合同義務或法院命令；(iv)保護數據主體的切身利益；(v) 直接為了控制者和向其披露數據的任何第三方的合法利益，除非這與數據主體的合法利益相衝突。數據主體的基本權利和自由（處理敏感個人數據還有其他例外情況）。

處理 (i) 敏感個人數據 (ii) 生物識別數據 (iii) 遺傳數據（由醫生處理和醫療必要時除外） (iv) 出於不同目的而處理的兩個或多個控制者的個人數據文件的鏈接 (v) 用於監控目的的光學記錄需要獲得監管機構的許可。

5. 安全審核

(1) 阿曼

監管機構可以要求控制者和處理者任命一名外部審計員，以確保個人數據處理程序符合 DPL 並生成報告。

(2) 科威特

服務提供商應對個人數據保護承諾進行全面審核和審查。

(3) 卡達

控制者應對個人數據保護要求的合規程度進行全面的審計和審查。

6. 個人數據傳輸

(1) 阿曼

控制者可以根據《執行條例》將個人數據轉移到阿曼境外，除非該數據的處理違反了 阿曼數據保護法或會對數據主體造成傷害。

(2) 阿聯酋

如果數據傳輸目的地國家有足夠的保護水平，則個人數據可以傳輸到阿聯酋境外。

如果沒有足夠的保護水平，且數據可能會被傳輸到阿聯酋境外，則 (i) 根據合同或協議，要求該國境內沒有足夠保護的實體實施數據保護法中規定的條款、措施、控制和要求 (ii) 如果獲得數據主體的明確同意 (iii) 如果傳輸是遵守法律義務、在控制者與數據主體之間或控制者與第三方之間簽訂或執行合同以實現數據主體的利益、執行與國際司法合作有關的程序或保護公眾所必需的興趣。

(3) 沙特

個人數據不得轉移到沙烏地阿拉伯境外（履行公約規定的義務或服務於沙烏地阿拉伯王國的利益除外），除非滿足以下條件：(i) 轉移不會損害國家安全；(ii) 為保護所轉移數據的機密性提供充分的保證，因此保護級別與數據保護法中規定的相同；(iii) 轉移僅限於所需的最低個人數據；(iv) 監管機構根據條例批准轉移。

(4) 科威特

如果服務提供商打算根據監管機構發布的數據分類政策將個人數據傳輸到科威特境外，則服務提供商應通知數據主體。

(5) 卡達

除非對此類數據的處理違反了《數據保護法》，或此類處理可能對數據或數據當事人的隱私造成嚴重損害，否則控制者不得採取任何可能限制跨境數據流的決定或措施。

(6) 巴林

數據不得傳輸到巴林境外，除非在以下情況下：(i) 傳輸到 2022 年第 42 號決定所附的充分保護水平國家名單中包含的國家或地區 (ii) 經監管機構許可進行傳輸，必須根據 2022 年第 42 號決定第 3 條提出申請，並且如果監管機構認為數據將得到充分保護，則將根據具體情況予以批准。

如果數據傳輸到的國家/地區沒有足夠的保護水平，則在以下情況下仍可傳輸數據：(i) 如果數據主體同意 (ii) 如果數據已公開可用 (iii) 如果為了執行控制者與數據主體之間的合同、為了數據主體的利益執行或簽訂控制者與第三方之間的合同、保護數據主體的切身利益、遵守法律或司法義務或命令、以及調查、直接主張或辯護法律主張而有必要進行傳輸。

7. 違規行為通知監管機構

(1) 阿曼

如果發生可能導致數據被非法破壞、更改、披露、訪問或處理的數據泄露，控制者必須通知監管機構和數據主體。違規通知要求的更多細節將包含在執行條例中。

(2) 阿聯酋

控制者在發現違規行為後必須立即通知監管機構。

如果違規行為會損害數據的隱私、機密性和安全性，則必須通知數據主體。

通知的期限和方式由數據保護法實施條例規定。

(3) 沙特

如果違規行為會對數據或數據主體造成嚴重損害，控制者應在意識到違規行為和數據主體後立即通知監管機構。

(4) 科威特

服務提供商應在得知違規行為後 72 小時內通知監管機構和數據主體。

(5) 卡達

控制者應將任何違規行為以及此類違規行為是否可能對數據或數據主體的隱私造成嚴重損害通知數據主體和監管者。

(6) 巴林

第43/2022號決定第四條規定數據泄露通知要求如下：

(i) 控制者必須開放溝通渠道，直接與數據主體或其法律代表溝通，以通知他們違規行為，除非數據已加密或控制者已採取後續措施以確保不會對數據主體的權利和自由造成高風險；

(ii) 控制者必須在發現違規行為後 72 小時內將違規情況通知監管機構。 如果未在規定期限內通知監管機構，則通知必須包含延遲的理由。如果監管機構認為該事件可能會給數據主體的權利帶來高風險，則可以命令通知數據主體。

8．處罰

企業可能會因違反數據保護法而被處以巨額罰款外。在某些情況下，不遵守相關規定可能會導致發出強制執行通知，實際上禁止企業處理數據，從而有效地阻止他們繼續運營。

9. 啟示

為了遵守中東海灣六國的數據保護法，中國企業可以採取一些標準化的操作和程序步驟，例如：

(1) 確保所持有（或控制）的個人數據不超出業務活動和業績所需的範圍；

(2) 對員工進行數據使用和網路安全方面的培訓，並定期刷新/更新此類培訓；

(3) 了解保險範圍並持續評估網路風險及其可能的影響；

(4) 制定應急和響應措施，組織包括一個由律師、IT 取證人員、法務會計師和公關機構組成的專業外部違規響應團隊，確保團隊成員可以在發生網路數據安全事件時立即做出響應。

中國企業應遵守這些步驟，並確保其數據收集、處理和存儲的實際操作符合數據保護法。

作者：阿中產業研究院

提示：本文著作權歸原創作者阿中產業研究院所有，轉載或引用請註明來源。