本文作者:安全内参社区研究员 彭汉英

2020年6月1日,迪拜颁布了《迪拜国际金融中心数据保护法》(以下简称“迪拜《数据保护法》”),旨在为数据的控制者和处理者处理和转移个人数据提供标准和控制,保护数据主体的权利,包括这些权利应用于新兴技术中的个人数据保护。该法律将于2020年7月1日生效,并给予三个月的宽限期,将于2020 年10月1日起实施。以下是对这部法律的合规指引,翼对在迪拜国际金融中心内处理数据的中国公司有帮助。

一、迪拜《数据保护法》的主要内容

(一)迪拜《数据保护法》的适用范围

根据该法第6条第3款,

  • 首先,该法适用于在迪拜国际金融中心(DIFC)中成立的数据控制方或处理方对个人数据的处理,无论处理行为是否在DIFC内进行。

  • 其次,该法适用于在DIFC内将处理个人数据作为其稳定安排的一部分、而不是偶尔进行的数据控制方或处理方,无论其在哪里成立。

  • 再次,该法适用于数据控制方或处理方在DIFC内(而不是在第三国)处理和转移数据的活动。“在DIFC内处理数据的活动”是指进行数据处理活动的手段或人员实际位于DIFC内。

因此,在DIFC内设立了实体,并在DIFC内进行数据处理活动的中国公司(包括金融机构),需要符合DIFC 2020年《数据保护法》的要求。

(二)问责制和通知

迪拜《数据保护法》的一个重要特点是规定了对数据控制者和处理者的问责制和向数据保护专员的通知程序。数据的控制者或处理者应当建立程序以证明遵守该法,应采取适当的技术和组织措施,以证明确实是根据该法进行数据处理,包括考虑所处理数据的性质、范围、背景和目的、处理过程给数据主体带来的风险,以及现行信息安全方面的良好行业惯例,确保安全水平与数据处理的风险相当,并考虑任何故意、过失、偶然、未经授权或非法的破坏、丢失、更改、泄露或访问个人数据的行为,确保处理个人数据的数量、类型、程度、存储期限和访问权都以必要性为原则,坚持处理数据的最小化原则。

如果数据控制者通过平台提供在线服务,则应设置平台的默认隐私首选项,以使收集的个人信息最小化。数据主体在首次使用时应该可以主动选择隐私偏好,并且能够轻松更改。

收集或处理个人数据的控制者或处理者应以书面形式实施和维护数据保护政策,必须通知数据保护专员,并持续更新通知的内容。数据控制者或处理者可以任命数据保护官(DPO)来实施数据保护的要求。如果不任命DPO,则应在其组织内明确分配监督和遵守数据保护的义务和责任,并能够根据要求向数据保护专员提供负责人员的详细信息。

数据的控制者和处理者将是问责制的责任方,需要建立程序,考虑任命数据保护官,并采取技术和组织措施,确保遵守迪拜《数据保护法》,依该法进行数据收集和处理活动。

(三)数据控制者维度:收集、提供个人数据和保存记录

数据控制者是指在DIFC内单独或与他人共同确定个人数据的处理目的和方式的自然人、法人或非法人团体。联合控制人是指两名或以上人员共同确定处理个人数据的目的和方式。联合控制人应通过具有法律约束力的书面协议,确定其各自的责任,联合控制人应对该法下所有的义务承担连带责任,并且数据主体既可以就每个共同控制人也可以对联合控制人行使权利。

  • 首先,数据控制者收集个人信息必须征得数据主体的同意。作为数据处理的基础,数据主体必须通过明确的肯定性行为自由地、明确地表示同意。

  • 其次,数据控制者收集和要求提供个人数据需要符合要求。在收集个人数据时,控制者应以简洁明了、透明、可理解和易于访问的形式,以通俗易懂的语言,向收集数据的个人提供控制者的身份和联系方式、DPO的详细联系方式、数据处理的目的及合法依据、收件人或收件人类别、控制者是否打算将个人数据转移到第三国或国际组织,等等信息,使数据主体能够评估提供其个人数据的含义。

  • 再次,数据控制者应保留其处理活动的书面记录(可以是电子形式)。

  • 最后,如果因数据主体行使权利而导致处理的基础改变、不复存在或要求控制者停止处理,则控制者应确保相关个人数据(包括处理者持有的个人数据)被安全且永久地删除、匿名化、假名化或安全加密,除非保留数据对于确立或抗辩法律主张有必要,或者法律要求保留,或者用于公益且对数据主体不会带来风险。

(四)数据处理者维度:按照控制者的指示处理数据并保存记录

数据控制者或处理者,以及联合控制人或分处理者应当采取措施,确保任何获得授权访问数据的人必须基于控制者的指示,否则不得处理数据,除非法律要求他这样做。数据处理者应保存数据处理活动的书面记录,处理者和分处理者应立即将任何认为违反该法的情况通知数据控制者。

(五)客户维度:数据主体享有的权利

1. 数据主体的权利

数据主体享有:

  • 同意权

  • 撤回同意权

如果处理是基于数据主体的同意,则在任何时候都可以撤回同意,而不影响在撤回之前基于同意的处理的合法性。数据主体可以通过任何合理的方式通知数据的控制者,控制者必须在合理可行的范围内尽快停止处理个人数据。

  • 访问、纠正和删除个人数据的权利

数据主体有权在发出请求后一个月内要求控制者书面确认是否正在处理与他有关的个人数据,以及处理的目的、个人数据的类别以及个人数据的接收人或接收人类别的信息;要求免费提供电子版的“正在处理的个人数据”和任何有关其来源的信息的副本;要求纠正个人数据(除非在技术上不可行)和删除个人数据。

  • 反对处理权

数据主体有权在任何时候基于与其特定情况的合理理由反对处理与他有关的个人数据,而该个人数据的处理是基于公共利益或者为了控制者或第三方的合法利益。如果出于直接营销目的处理个人数据,则数据主体在任何时候都有权反对此类处理,包括在与该直接营销有关的范围内进行的分析。

  • 限制处理权

如果数据主体对个人数据的准确性提出质疑,或者数据处理非法,而数据主体反对删除个人数据并要求限制使用,或者控制者不再需要处理个人数据,而数据主体为建立、行使或抗辩法律要求而需要个人数据,则数据主体有权要求控制者限制对数据的处理。

除非不可能或需要付出不成比例的努力,否则控制者应将对个人数据的任何纠正、删除或限制通知每个个人数据的接收人。如果数据主体请求,控制者应将接收人名单告知数据主体。

  • 数据的可携带权

如果数据处理是基于数据主体的同意或为了履行合同,并以自动的方式进行,则数据主体有权以结构化、通用且机器可读的格式接收他提供给控制者的个人数据。如果数据主体要求,可以在不同的控制者之间实现现成的数据移植,并且数据主体有权直接将个人数据从控制者传送给另一人,如果在技术上可行的话。但是,如果这样做会侵犯任何其他自然人的权利,则控制者无需提供或传输个人数据。

  • 自动决策,包括分析

数据主体有权反对仅基于自动处理的、会对其产生法律后果或其他严重影响性后果任何决定,包括分析,并要求对此种决定进行人工审核。但如果是签订或履行数据主体与控制者之间的合同所必需的,或者根据DIFC有关欺诈、反恐、反洗钱以及逃税监控和预防的法律、控制者应受其管辖、并规定了适当的措施来维护数据主体的权利,或者是根据数据主体的明确同意进行的,则不适用。

2. 非歧视原则

控制者不得通过以下方式歧视任何数据主体:

(1)拒绝向数据主体提供任何商品或服务;

(2)对相同商品或服务收取不同的价格或费率,包括通过使用折扣或其他利益或处以罚款;

(3)向数据主体提供较低水平的商品或较差质量的服务;或者

(4)暗示数据主体将获得较低优惠的价格或费率,或较低水平的商品,或较差质量的服务。

以上内容并非禁止控制者向数据主体收取不同的价格或费率,或提供不同水平的商品或不同质量的服务,只要该差别客观、合理地直接与数据主体提供的数据的价值相关。控制者也可以提供财务激励措施,只要奖励的条款已明确传达,奖励的过程是透明的,处理程序符合法律规定。

3. 行使数据主体权利的方法

控制者应提供至少两种方法(包括但不限于邮寄、电话、电子邮件或在线表格),该方法不得繁琐,数据主体可以通过该方法与控制者取得联系,要求行使本节规定的权利。如果控制者维护一个网站,则至少有一种联系方式可通过该网站免费获得,而无需提交数据来创建任何类型的帐户,其中至少一种方法应与上述第(三)节中数据控制者收集个人数据时所提供的信息一致。

迪拜《数据保护法》赋予数据主体即迪拜本地的个人和企业广泛的权利,而且规定的条款十分详细,在DIFC内运营的商业组织在收集、处理、存储、转移客户的数据时需要注意符合这些规定。

(六)数据转移

对于数据转移,DIFC强调输入国应有足够充分的数据保护水平。数据保护专员须考虑第三国国家、地区或第三国内一个或多个指定部门或者国际组织的法治状况、公共机构对个人数据的访问、是否存在有效的数据保护法、是否具有足够执行力等因素,来确定是否可以将个人数据从 DIFC转移到第三国或国际组织。目前尚不清楚DIFC是否认为中国有足够的数据保护水平。

如果缺乏足够的数据保护水平,则只有在相关控制者或处理者采取了适当的数据保护措施,或数据主体被告知缺乏适当的保障措施而可能导致风险之后,已明确同意了数据转移,或转移仅涉及有限的数据主体、控制者已经完成数据传输的书面评估的情况下,才可以将个人数据从DIFC转移到第三国或国际组织。

如果中国公司在DIFC内运营的实体需要转移数据到中国,则需要研究如何采取适当的数据保护措施,或者签订标准合同条款,才可以将数据输出到DIFC以外。

(七)个人数据泄露

迪拜《数据保护法》规定,如果发生违反数据主体保密性、安全性或隐私性的个人数据泄露,数据控制者应在可能的情况下尽快将个人数据泄露事件通知数据保护专员,数据处理者在意识到个人数据泄露后应立即通知控制者,控制者或处理者应充分配合专员对个人数据泄露进行调查。

如果个人数据泄露可能对数据主体的安全或权利造成很高的风险,则控制者应尽快将个人数据泄露告知受影响的数据主体。如果立即有损坏数据主体的风险,则控制者应立即与受影响的数据主体沟通。控制者应以清晰明了的语言描述个人数据泄露的性质,并提供DPO或其他联系人的名字和联系方式,描述个人数据泄露的可能后果,以及控制者为解决个人数据泄露而已采取或拟采取的措施,在可能的情况下为数据主体提出建议,以减轻潜在的不利影响。控制者可以通过公共通信的方式通知数据主体。

也就是说,如果万一发生数据泄露,在DIFC内运营的商业组织需要尽快通知受影响的用户和DIFC的监管机构,即迪拜金融服务管理局(Dubai Financial Services Authority, DFSA)。

(八)救济、责任和制裁

1.救济

数据主体可以就控制者或处理者违反法律或侵犯其权利的行为向数据保护专员投诉(包括集体投诉)。专员可调查投诉的事项或进行调解,并在调查或调解的基础上,发出要求控制者或处理者在指定的时间内作为或不作为,或不得处理指示中指定的个人数据,或不得以指示中指定的目的或方式处理个人数据的指示,或者作出不违法的声明。

如果控制者或处理者不遵守指示和法令,则可能被处以罚款,或者向数据主体支付损害赔偿金和进行补偿。如果专员认为控制者或处理者或任何一方的管理人员没有遵守指示,他可以向法院申请,命令控制者或处理者或管理人员遵守指示和本法的有关条款,或命令控制者或处理者或管理人员支付产生的相关费用。

当然,受影响的当事方也可就专员提出的申请向法院提出意见。在收到指示后的十四天内,受影响的当事方也可以要求专员重新审查指示,专员可能会收到进一步的信息或意见,并修改或中止指示。

2. 罚款

如果数据保护专员认为控制者或处理者(包括分处理者)违反了法律,则可根据违规行为的严重性和对相关数据主体造成实际伤害的风险,针对所提到的违规行为向控制者或处理者科处行政罚款,罚款金额可参见《数据保护法》附表2(见附件)的规定。罚款应以书面通知发出,并应在通知中指定的日期之前支付。

如果在通知规定的期限内,控制者或处理者向数据保护专员支付了规定的罚款,则专员不得针对其就相关违法行为采取行动,但可以对持续的违法行为采取行动,包括除罚款外,还向有关控制者或处理者发出了指示但其未遵守的情况。

控制者或处理者可对专员科处罚款的决定提出异议。如果控制者或处理者没有提出异议,也未在通知中指定的期限内(或在确定异议后的十天内)支付罚款,专员可以向法院申请,法院也可依此命令控制者或处理者支付罚款,并可追回产生的利息、执行费用(包括法律费用)和其他因未付款而直接产生的费用。

3.向法院申请上诉

任何控制者或处理者被判定违反《数据保护法》或专员的指示,则可在三十天内就向法院提出上诉;数据主体不同意专员有关违反法律或不违反法律的裁定,可以在三十天内向法院提出上诉。法院也可发出其认为合理和适当的命令,包括对损害赔偿或补偿的救济、罚金和行政罚款,以及与是否违反法律相关的事实或不同事实的调查结果。

4. 补偿

除以上提到的行政罚款外,数据主体因违反法律而遭受实质性或非实质性损害的,还可以向法院申请从控制者或处理者获得赔偿,但不得要求任何人就相同的损害赔偿两次。任何控制者对违法处理数据的行为都应承担赔偿责任。处理者仅在未能履行《数据保护法》专门针对处理者的义务,或其行为超出或违反了控制者的合法指示时,才应对数据处理造成的损害承担赔偿责任。

如果在同一数据处理过程中涉及一个以上的控制者或处理者,或者同时涉及控制者和处理者两方,并且他们都须对数据处理引起的损害负责,则任何一方都应对全部损害承担连带责任,以确保对数据主体进行有效的补偿。

迪拜《数据保护法》就违反该法的不同条款规定了不同的罚款,堪称一大特色。这意味着在DIFC内运营的商业组织必须认真地、一板一眼地遵守这些规定。违反每一条款的罚款少则25,000美元,多则100,000美元,考虑到同一违规行为可能违反多项法规,以及需要承担赔偿责任,违规的成本也是很高昂的。

二、与GDPR和CCPA的比较

迪拜《数据保护法》对数据控制者和处理者提出了若干关键隐私和安全原则。该法借鉴和吸收了当前世界数据保护法的最佳实践,例如GDPR和CCPA以及其他具有前瞻性的数据立法,这为迪拜国际金融中心争取获得欧盟、英国和美国等其他司法管辖区的认可铺平了道路,从而为在DIFC内从事商务活动的实体跨境传输数据减少了摩擦力,这体现了迪拜《数据保护法》前瞻、灵活的一面。

当然,虽然迪拜《数据保护法》结合了 GDPR 和CCPA的优点,但遵守 GDPR和CCPA并不等同于遵守迪拜《数据保护法》,它们之间还是有区别的。

  • 首先,在适用范围上,GDPR 适用于在欧盟设立机构的数据控制者和处理者和未在欧盟设立营业场所、但向欧盟的数据主体提供商品或者服务的,以及未在欧盟设立营业场所、但在欧盟境内处理个人数据且根据国际公法应当适用欧盟成员国法律的。CCPA适用于加州居民的个人信息和满足在加州的年度总收入超过 2,500 万美元,或为了商业目的每年单独或组合购买、收取、出售或共享50,000 或更多人的个人信息,或通过销售加州消费者个人信息的收入占其年收入的 50% 或以上三项条件之一的企业。迪拜《数据保护法》适用于在DIFC内成立的数据控制方或处理方处理、转移数据的活动。

  • 数据请求方面,三者都授予数据主体要求提供其个人信息副本的权利和删除个人信息的权利,但GDPR是要求30天之内(可延长),CCPA要求在 45 天内(可延长),而迪拜《数据保护法》要求在一个月内。

  • 跨境数据转移方面,GDPR 对数据跨境传输到欧盟境外的情况规定了较为严格的条件。首先要看数据输入者所在国是否在“充分性认定白名单”(例如瑞士、以色列、日本等)上;若所在国未进入上述“充分性认定白名单”,则判断是否提供适当协议、行为准则为跨境传输提供保障;若不满足前述两项,则判断企业集团内部是否建立起有约束力的公司规则并被监管机构批准;若不满足前述三项中任意一项,那么向第三国或国际组织传输个人数据必须满足一定条件,例如订立标准合同、通过“必要性测试”和“偶然性判定”等。

    CCPA则无明确规定,事实上CCPA 并未对数据跨境流动设置限制。CCPA允许数据销售给第三方。在GDPR下,未获得许可则无法获得任何数据,这意味着销售或营销活动的可能性较低。迪拜《数据保护法》也没有涉及数据销售,而是对跨境数据转移设定了类似GDPR的限制,但目前还没有公布白名单。

  • 数据泄露方面,GDPR规定应在发现违规行为后72小时内通知受影响的客户和监管机构。CCPA未明确规定。迪拜《数据保护法》则要求数据控制者应在可能的情况下尽快将个人数据泄露事件通知数据保护专员,数据处理者应立即通知控制者。

  • 违规处罚方面,GDPR规定GDPR对数据控制者或数据处理者的行政罚款根据违规行为的性质不同,分为轻重两类:较轻的一类,处罚上限是1000万欧元或全球营收的2%(以较高者为准,针对不需要识别的处理规定以及一般性义务等);较重的一类是2000万欧元或全球营收的4%(以较高者为准,针对违反处理个人信息的原则、数据主体权利等)。GDPR中也认可民事损害赔偿机制,但没有规定统一的民事诉讼程序。事实上,GDPR更倚重行政规制。自实施以来,GDPR行政案件总量已达27万件而民事诉讼很少。

CCPA规定的罚款为:企业每次违法行为的罚款最高为2500美元,每次故意违法行为的罚款最高7500美元。对个人的法定损害赔偿金的幅度为每人每事件100美元到750美元,具体金额由法院综合考虑。CCPA对行政罚款规定了一些限制,其中最重要的是改正期(cure period)制度。CCPA针对行政罚款规定了30天的改正期。行政罚款启动的前提条件是,企业在收到总检察长发出的违规通知后的30天,仍然没有改正。换句话说,如果企业在30天内做出了整改,总检察长就不会提起罚款诉讼。

迪拜《数据保护法》按照违规行为涉及的特定条款规定不同的行政罚款金额,同时规定了对客户的损害赔偿和补偿原则。

综上所述,迪拜《数据保护法》建立了一个法律框架,为在DIFC内运营的商业组织提供了非常详细的合规指南,通过要求企业遵从数据和隐私的全球最佳实践,使DIFC保持在中东地区数据保护的最前沿,巩固了其作为全球领先的金融中心的声誉。

另一方面,迪拜《数据保护法》强调数据的合规性、完整性和安全性,给数据控制者和处理者分配了权利和义务,并要求DIFC内运营的实体在必要时任命数据保护官,建立程序,采取措施,进行数据保护影响评估,保护数据主体的权利,这在另一方面也给在 DIFC内运营的实体增加了数据合规的义务和成本。

正值欧盟GDPR实施两周年进行反思之际,迪拜《数据保护法》的生效无疑将给跨国公司在中东地区的运营带来合规成本。同样地,实施迪拜《数据保护法》也是有难度的,会给企业带来挑战。在DIFC内运营的商业组织需要考虑在该法在10月1日正式实施之前,有哪些需要调整和可以提前准备的,以符合监管要求和避免合规风险。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。