大挑战！中东海湾数据保护法规解析！

在进军中东海湾互联网市场的过程中，遵守当地的数据保护法规是不可忽视的重要一环。

近年来，中东海湾合作委员会地区的经济持续蓬勃发展和多元化，吸引着越来越多的初创企业和大品牌进驻该地区市场。随着迪拜 2020 年世博会的成功举办和沙特红海项目的不断推进，中东海湾市场的潜力无疑令人瞩目。然而，伴随这些巨大的商机，也带来了更大的挑战。

网络犯罪日益猖獗，中东海湾地区的经济体成为网络攻击的主要目标。数据显示，阿联酋在2021年受到的网络攻击增加了71%，预计给阿联酋企业造成7.46亿美元的损失。数据保护和隐私问题因此成为全球和该地区最热门的议题之一。

为了维护数字经济的持续发展，中东海湾六国纷纷制定全面的个人数据保护立法，以确保个人数据的安全使用。

本文是阿中产业研究院“中东生意经”系列第7篇，深度介绍中阿投资、贸易和工程建设领域的产业政策、法律法规、产业趋势、市场需求、竞争格局和潜在交易机会。

Photo by Joshua Sortino on Unsplash

最近，阿曼于2022年2月9日发布了关于《个人数据保护法》的第6号苏丹尼法令，并于2023年2月13日正式生效。此法令将撤销与阿曼个人数据保护法相冲突的旧有法律，包括2008年《阿曼电子交易法》。企业在中东海湾市场如何遵守这些新的数据保护法规，将由阿曼政府在立法生效前后颁布的实施条例予以规范。

为了帮助您更好地了解中东海湾六国数据保护立法的关键条款，阿中产业研究院总结了相关内容，包括数据保护立法、数据保护监管机构、数据保护法的适用范围、数据使用的限制、安全审核、个人数据传输、违规行为通知监管机构以及处罚等方面的要点。

我们建议您在该地区开展业务前，对当地的数据保护法律法规进行深入了解，并采取相应的措施，以确保您的企业在中东海湾市场的顺利发展。

1. 数据保护立法

(1) 阿曼：关于颁布《个人数据保护法》的苏丹尼第 6/2022 号法令(Personal Data Protection Law)

(2) 阿联酋：2021 年第 45 号联邦法令关于《个人数据保护法》(Protection of Personal Data)

(3) 沙特：沙特阿拉伯内阁关于批准《个人数据保护法》的第 98/1443 号决定(Personal Data Protection Law)

(4) 科威特：科威特关于《数据隐私保护条例》的第 42/2021 号决定(Data Privacy Protection Regulation)

(5) 卡塔尔：2016年第13号《个人数据隐私保护法》(Personal Data Privacy Protection)

(6) 巴林：巴林关于《个人数据保护法》的第 30/2018 号法律(Law on Personal Data Protection)

2. 数据保护监管机构

(1) 阿曼：交通运输和信息技术部(Ministry of Transport, Communications and Information Technology)

(2) 阿联酋：阿联酋数据办公室(UAE Data Office)

(3) 沙特：沙特数据和人工智能管理局(Saudi Authority for Data and Artificial Intelligence)

(4) 科威特：电信和信息技术总局(Telecommunication and Information Technology General Authority)

(5) 卡塔尔：交通运输部(Ministry of Transport and Communication)

(6) 巴林：个人数据保护局(Personal Data Protection Authority)

3. 数据保护法的适用范围

(1) 阿曼：

适用于根据数据保护法处理和保护的个人数据，但以下情况除外 (i) 保护公共利益 (ii) 遵守法律义务 (iii) 履行数据主体作为一方的合同。

(2) 阿联酋：

适用于 (i) 居住在阿联酋或在阿联酋有营业地点的任何数据主体 (ii) 位于阿联酋境内的任何控制者或处理者处理阿联酋境内数据主体的个人数据 (iii) 位于阿联酋境外的任何控制者或处理者处理阿联酋境内数据主体的个人数据的个人数据处理。

(3) 沙特：

适用于在沙特境内处理与个人相关的个人数据，包括由沙特以外的任何实体处理居住在沙特的个人的个人数据。

(4) 科威特：

适用于收集、处理和存储个人数据的所有电信和信息技术服务提供商（“服务提供商”），无论数据处理发生在科威特境内还是境外，且涉及发送广告或营销材料或监控数据主体的行为和趋势的处理活动。

(5) 卡塔尔：

适用于以电子方式处理、获取、收集或提取的个人数据，以准备以任何其他方式进行电子处理，或通过电子和传统处理相结合的方式进行处理。

(6) 巴林：

适用于 (i) 通常居住在巴林或在巴林有营业地点的每个自然人，以及 (ii) 在巴林有营业地点的每个法人，以及 (iii) 通常不在巴林居住且在巴林没有营业地点的每个自然人或法人使用巴林可用的方式处理数据的数据处理，除非使用此类方式的目的仅仅是通过巴林传输数据。

4. 数据使用的限制

(1) 阿曼

处理数据并向数据主体发送营销材料需要数据主体的明确书面同意。

处理与遗传、健康、种族、性、政治或宗教观点或信仰以及刑事定罪或安全措施有关的个人数据需要获得监管机构的许可。

除非符合儿童的最大利益，否则未经儿童监护人批准，禁止处理儿童的个人数据。

(2) 阿联酋

未经数据主体同意，禁止处理个人数据，但数据保护法中规定的某些情况除外。

(3) 沙特

处理数据并向数据主体发送营销材料需要获得数据主体的书面同意。如果是儿童或无行为能力的个人数据，则需要获得法定监护人的同意。

(4) 科威特

处理数据需要获得数据主体（或儿童数据的法定监护人）的同意。

(5) 卡塔尔

控制者不得 (i) 在未获得个人同意的情况下处理个人数据，但为实现合法目的而必须进行的处理除外(ii) 在未获得事先同意的情况下，为直接营销的目的向个人发送任何电子通信(iii) 限制跨境数据流，除非此类数据的处理违反了卡塔尔《个人隐私数据保护法》或可能对个人数据或数据当事人的隐私造成严重损害(iv) 在未获得监管机构许可的情况下处理特殊性质的个人数据。

(6) 巴林

处理个人数据需要数据主体明确同意（书面或电子方式），除非以下任何一项需要进行处理：(i) 执行数据主体作为一方的合同；(ii) 应数据主体的要求采取措施，以签订合同；(iii) 履行法律规定的义务，违反合同义务或法院命令；(iv)保护数据主体的切身利益；(v) 直接为了控制者和向其披露数据的任何第三方的合法利益，除非这与数据主体的合法利益相冲突。数据主体的基本权利和自由（处理敏感个人数据还有其他例外情况）。

处理 (i) 敏感个人数据 (ii) 生物识别数据 (iii) 遗传数据（由医生处理和医疗必要时除外） (iv) 出于不同目的而处理的两个或多个控制者的个人数据文件的链接 (v) 用于监控目的的光学记录需要获得监管机构的许可。

5. 安全审核

(1) 阿曼

监管机构可以要求控制者和处理者任命一名外部审计员，以确保个人数据处理程序符合 DPL 并生成报告。

(2) 科威特

服务提供商应对个人数据保护承诺进行全面审核和审查。

(3) 卡塔尔

控制者应对个人数据保护要求的合规程度进行全面的审计和审查。

6. 个人数据传输

(1) 阿曼

控制者可以根据《执行条例》将个人数据转移到阿曼境外，除非该数据的处理违反了 阿曼数据保护法或会对数据主体造成伤害。

(2) 阿联酋

如果数据传输目的地国家有足够的保护水平，则个人数据可以传输到阿联酋境外。

如果没有足够的保护水平，且数据可能会被传输到阿联酋境外，则 (i) 根据合同或协议，要求该国境内没有足够保护的实体实施数据保护法中规定的条款、措施、控制和要求 (ii) 如果获得数据主体的明确同意 (iii) 如果传输是遵守法律义务、在控制者与数据主体之间或控制者与第三方之间签订或执行合同以实现数据主体的利益、执行与国际司法合作有关的程序或保护公众所必需的兴趣。

(3) 沙特

个人数据不得转移到沙特阿拉伯境外（履行公约规定的义务或服务于沙特阿拉伯王国的利益除外），除非满足以下条件：(i) 转移不会损害国家安全；(ii) 为保护所转移数据的机密性提供充分的保证，因此保护级别与数据保护法中规定的相同；(iii) 转移仅限于所需的最低个人数据；(iv) 监管机构根据条例批准转移。

(4) 科威特

如果服务提供商打算根据监管机构发布的数据分类政策将个人数据传输到科威特境外，则服务提供商应通知数据主体。

(5) 卡塔尔

除非对此类数据的处理违反了《数据保护法》，或此类处理可能对数据或数据当事人的隐私造成严重损害，否则控制者不得采取任何可能限制跨境数据流的决定或措施。

(6) 巴林

数据不得传输到巴林境外，除非在以下情况下：(i) 传输到 2022 年第 42 号决定所附的充分保护水平国家名单中包含的国家或地区 (ii) 经监管机构许可进行传输，必须根据 2022 年第 42 号决定第 3 条提出申请，并且如果监管机构认为数据将得到充分保护，则将根据具体情况予以批准。

如果数据传输到的国家/地区没有足够的保护水平，则在以下情况下仍可传输数据：(i) 如果数据主体同意 (ii) 如果数据已公开可用 (iii) 如果为了执行控制者与数据主体之间的合同、为了数据主体的利益执行或签订控制者与第三方之间的合同、保护数据主体的切身利益、遵守法律或司法义务或命令、以及调查、直接主张或辩护法律主张而有必要进行传输。

7. 违规行为通知监管机构

(1) 阿曼

如果发生可能导致数据被非法破坏、更改、披露、访问或处理的数据泄露，控制者必须通知监管机构和数据主体。违规通知要求的更多细节将包含在执行条例中。

(2) 阿联酋

控制者在发现违规行为后必须立即通知监管机构。

如果违规行为会损害数据的隐私、机密性和安全性，则必须通知数据主体。

通知的期限和方式由数据保护法实施条例规定。

(3) 沙特

如果违规行为会对数据或数据主体造成严重损害，控制者应在意识到违规行为和数据主体后立即通知监管机构。

(4) 科威特

服务提供商应在得知违规行为后 72 小时内通知监管机构和数据主体。

(5) 卡塔尔

控制者应将任何违规行为以及此类违规行为是否可能对数据或数据主体的隐私造成严重损害通知数据主体和监管者。

(6) 巴林

第43/2022号决定第四条规定数据泄露通知要求如下：

(i) 控制者必须开放沟通渠道，直接与数据主体或其法律代表沟通，以通知他们违规行为，除非数据已加密或控制者已采取后续措施以确保不会对数据主体的权利和自由造成高风险；

(ii) 控制者必须在发现违规行为后 72 小时内将违规情况通知监管机构。 如果未在规定期限内通知监管机构，则通知必须包含延迟的理由。如果监管机构认为该事件可能会给数据主体的权利带来高风险，则可以命令通知数据主体。

8．处罚

企业可能会因违反数据保护法而被处以巨额罚款外。在某些情况下，不遵守相关规定可能会导致发出强制执行通知，实际上禁止企业处理数据，从而有效地阻止他们继续运营。

9. 启示

为了遵守中东海湾六国的数据保护法，中国企业可以采取一些标准化的操作和程序步骤，例如：

(1) 确保所持有（或控制）的个人数据不超出业务活动和业绩所需的范围；

(2) 对员工进行数据使用和网络安全方面的培训，并定期刷新/更新此类培训；

(3) 了解保险范围并持续评估网络风险及其可能的影响；

(4) 制定应急和响应措施，组织包括一个由律师、IT 取证人员、法务会计师和公关机构组成的专业外部违规响应团队，确保团队成员可以在发生网络数据安全事件时立即做出响应。

中国企业应遵守这些步骤，并确保其数据收集、处理和存储的实际操作符合数据保护法。

作者：阿中产业研究院

提示：本文著作权归原创作者阿中产业研究院所有，转载或引用请注明来源。