阿联酋数据保护法：业务合规指南

阿拉伯联合酋长国开发了中东最复杂的数据保护框架之一，拥有多项重叠的法律来管理联邦、自由区和特定部门司法管辖区的数据保护。了解哪些法律适用于您的企业，并确保遵守所有适用的制度，对于在阿联酋快速增长的数字经济中合法运营至关重要。

阿联酋的主要数据保护立法包括：2021 年 9 月生效的关于个人数据保护 (PDPL) 的第 45/2021 号联邦法令、2020 年 DIFC 数据保护法（适用于迪拜国际金融中心的企业）、2021 年 ADGM 数据保护条例（适用于阿布扎比全球市场的企业）以及涵盖医疗保健、电信和金融服务的行业特定法规。

要点

• 阿联酋 PDPL（联邦法令第 45/2021 号）适用于在阿联酋进行域外个人数据处理
• DIFC 和 ADGM 自由区拥有自己的以 GDPR 为蓝本的独立数据保护法
• 阿联酋 PDPL 提供八个处理法律依据；最常用的是同意和合法利益
• 数据主体权利包括访问、更正、删除、可移植、撤回同意和反对
• 跨境数据传输需要充分性确定或适当的保障措施
• 阿联酋数据办公室（UAEDO）是联邦监管机构； DIFC 专员和 ADGM 监管机构监管各自的自由区
• PDPL 的处罚包括高达 2000 万迪拉姆（540 万美元）的罚款和对某些违规行为的监禁
• 医疗保健数据、财务数据和生物识别数据作为敏感数据受到加强保护

---

阿联酋数据保护框架：司法管辖区重叠

联邦 PDPL（阿联酋大陆）

关于个人数据保护的第 45/2021 号联邦法令（通常称为 PDPL 或 UAE DPL）适用于：

• 居住在阿联酋的自然人
• 在阿联酋处理个人数据或有关阿联酋居民的个人数据的任何实体，无论处理发生在何处
• 在阿联酋境内处理个人数据的法人

PDPL 得到了第 33/2022 号行政法规内阁决定的补充，其中提供了详细的实施要求。阿联酋数据办公室 (UAEDO) 负责监督执行、注册要求和指南发布。

2020 年 DIFC 数据保护法（DP 法）

迪拜国际金融中心（DIFC）是一个独立的自由区，拥有基于英国普通法的自己的法律体系。 2020 年 DIFC 数据保护法由 DIFC 数据保护专员负责管理，其结构和要求与 GDPR 密切相关。它适用于：

• 处理个人数据的 DIFC 注册实体
• DIFC 以外处理 DIFC 内个人数据的实体

ADGM 数据保护条例 2021

阿布扎比全球市场 (ADGM) 自由区遵循与 DIFC 类似的做法，数据保护法规由 ADGM 注册机构管理。这些法规也严格遵循 GDPR 原则。

实际影响：在迪拜大陆运营的企业，其在 DIFC 注册的子公司和 ADGM 分支机构可能同时面临所有三个制度下的义务。了解您的法人实体结构是合规映射的起点。

---

阿联酋 PDPL：核心义务

个人数据定义和类别

根据阿联酋 PDPL，个人数据是指直接或间接识别自然人身份的任何数据，无论是通过姓名、声音、图片、身份证号码还是与身体、心理、经济、文化或社会身份有关的任何其他特征或数据。

敏感个人数据（需要加强保护）包括：

• 与家庭或种族出身相关的数据
• 政治观点
• 宗教或哲学信仰
• 与犯罪记录相关的数据
• 生物识别数据
• 健康数据
• 与儿童相关的数据

处理敏感数据需要明确同意或属于特定豁免范围（法律义务、医疗必要性、切身利益）。

处理的法律依据

阿联酋 PDPL 第 5 条承认八个法律依据：

1. 数据主体的明确同意
2. 与数据主体的合同执行
3. 遵守法律义务
4. 保护数据主体或第三方的切身利益
5. 公共利益或行使官方权力
6. 控制者或第三方的合法利益（除非被数据主体的利益推翻）
7. 法律主张的确立、行使或辩护
8. 出于公共利益的存档、研究或统计目的

同意要求：根据阿联酋 PDPL，同意必须是明确、具体、知情且可验证的。控制者必须能够证明已获得同意。撤回同意必须像给予同意一样容易，并且基于同意的处理必须在撤回后停止。

数据主体权利

阿联酋 PDPL 授予数据主体权利，必须在 30 天内 履行（可在有正当理由的情况下延长）：

行使权利：控制者必须建立清晰的渠道来接收和响应权利请求。拒绝必须记录并附有理由。

---

控制者和处理者的义务

控制者义务

在阿联酋数据办公室注册：处理个人数据的企业可能需要在阿联酋数据办公室注册。 UAEDO 正在通过附加法规制定注册要求 - 监控 UAEDO 指南以了解当前要求。

隐私声明：必须在收集时或之前向数据主体提供，披露：

• 控制者的身份和联系方式
• 处理的目的和法律依据
• 收集的个人数据的类别
• 数据保留期限
• 数据主体权利以及如何行使这些权利
• 跨境转账信息
• 提供数据是强制的还是自愿的

数据保护官：阿联酋 PDPL 要求任命一名数据保护官 (DPO)，负责：

• 公共机构
• 其核心活动需要对个人进行大规模系统监控的控制者或处理者
• 核心活动涉及敏感数据大规模处理的控制器或处理器

不符合这些标准的私营企业仍可能受益于任命 DPO 进行治理。

安全措施：考虑处理的性质、范围、背景和目的以及数据主体权利的风险，实施适当的技术和组织安全措施。

处理者协议

处理者必须仅根据记录的控制器指令处理数据。控制者和处理者之间的协议必须涵盖：

• 数据处理说明和范围
• 保密义务
• 安全要求
• 子处理器限制
• 数据主体权利方面的协助
• 数据归还或删除义务

---

跨境数据传输规则

阿联酋 PDPL 第 22 条限制个人数据在阿联酋境外的传输。允许的转移机制：

UAEDO 充分性决定：UAEDO 正在制定具有充分数据保护的国家名单。截至 2026 年初，正式的充足性清单仍在制定中。在实践中，许多阿联酋企业使用合同条款进行跨境转移。

自由区注意事项：DIFC 和 ADGM 有自己的转移机制。 DIFC 数据保护法承认向适当国家（包括 GDPR 适当国家）的传输、具有约束力的公司规则和标准合同条款。 DIFC 专员已批准具体的转移机制。

---

2020 年 DIFC 数据保护法 — 主要差异

对于在 DIFC 内或通过 DIFC 运营的企业，2020 年 DIFC DP 法直接适用，并且比联邦 PDPL 更符合 GDPR。主要特点：

六大合法依据（匹配GDPR）：同意、合同、法律义务、切身利益、公共任务、合法利益

更严格的同意要求：处理特殊类别的个人数据需要书面同意；必须自由给予同意（权力不平衡考虑适用）

数据泄露通知：72 小时通知 DIFC 专员；高风险的单独通知 — 与 GDPR 时间相同

DPO 要求：与 GDPR 相同的阈值（系统监控、大规模特殊类别数据、公共权威）

罚款：1 级违规行为最高可达 100,000 美元； 2 级无限制（严重、故意或鲁莽违规）

数据保护影响评估：高风险处理所需（与 GDPR 第 35 条相同的触发器）

---

特定行业的数据保护要求

医疗保健数据

阿联酋的健康数据法（联邦法第 2/2019 号）和迪拜卫生局法规对医疗保健数据提出了额外要求：

• 医疗保健数据共享需要患者同意（公共卫生和研究的特定例外）
• 医疗数据必须存储在阿联酋境内，除非跨境传输得到特别授权
• 电子健康记录必须满足特定的安全性和互操作性标准
• 迪拜卫生局维持医疗保健数据的强制性数据本地化要求

金融服务

阿联酋中央银行和证券和商品管理局 (SCA) 对金融机构有数据保护和网络安全要求。主要要求包括：

• 客户数据分类和保护与敏感度成正比
• 在规定的时间内向客户发出数据泄露通知
• 限制未经同意共享客户财务数据
• 网络安全框架合规性（CBUAE 银行网络安全框架）

电信数据

电信监管局 (TRA) 监管电信提供商的个人数据处理，包括：

• 订户隐私保护
• 通话详细记录访问限制
• 位置数据保护
• 某些电信数据的数据本地化要求

---

阿联酋 PDPL 下的违规通知

阿联酋 PDPL 第 16 条要求控制者通知：

1. 阿联酋数据办公室：在发现可能导致数据主体受损的个人数据泄露后 72 小时内
2. 数据主体：如果违规行为可能导致其权利面临高风险，则不得无故拖延

向阿联酋发展组织发出的通知必须包括：

• 违规行为的性质
• 受影响数据主体的类别和大致数量
• 受影响的个人数据记录的类别和大致数量
• DPO 的联系方式
• 违规可能造成的后果
• 为解决违规问题而采取或提议的措施

记录：即使不需要通知（因为数据主体不太可能面临风险），也必须在内部记录违规行为的事实、影响和补救措施。

---

PDPL 处罚和执行

阿联酋数据办公室 (UAEDO) 拥有广泛的执法权力，包括调查、行政罚款以及就刑事事项移交公诉机关。

行政处罚：

• 对违反控制者/处理者义务的行为处以最高 500 万迪拉姆（136 万美元）的罚款
• 对于涉及敏感数据或对数据主体造成伤害的违规行为，处以最高 2000 万迪拉姆（544 万美元）的罚款

刑事处罚：关于打击谣言和网络犯罪的第 34/2021 号联邦法与 PDPL 对于某些数据相关犯罪的重叠。特定数据相关犯罪可能会导致监禁和/或最高 300 万迪拉姆的罚款。

DIFC 专员罚款：对严重违规行为处以无限罚款；较轻的违规行为罚款 100,000 美元。 DIFC 历来积极执行并公布了决定。

---

阿联酋数据保护合规清单

• 为每个法人实体确定的适用法律（联邦 PDPL、DIFC DP 法、ADGM DPR 或组合）
• 跨所有系统完成个人数据清单
• 识别敏感数据并加强保护
• 记录每项处理活动的法律依据
• 发布的隐私声明涵盖所有必需的披露
• 根据需要指定 DPO；已公布联系方式
• 记录数据主体权利程序（30 天响应期限）
• 处理器协议已审核并更新为符合 PDPL 要求
• 跨境转移评估已完成——机制已到位
• 评估医疗数据本地化（如果适用）
• 记录并实施与风险成比例的安全措施
• 记录违规通知程序（72 小时时间表）
• 已完成有关 PDPL/DIFC DP 义务的员工培训
• UAEDO注册根据现行法规进行评估

---

常见问题

哪项阿联酋数据保护法适用于我的自由区业务？

这取决于您的自由区。在 DIFC 注册的企业须遵守 2020 年 DIFC 数据保护法，该法独立于联邦 PDPL。 ADGM 中的企业须遵守 2021 年 ADGM 数据保护条例。其他自由区（JAFZA、DMCC、迪拜互联网城等）中的企业通常需遵守联邦 PDPL 以及自由区自身的法规。在许多情况下，特别是对于业务遍及阿联酋大陆和自由区的企业而言，适用多个框架。

阿联酋 PDPL 是否需要数据本地化？

阿联酋 PDPL 本身并未强加全面的数据本地化要求——在适当的保障措施下允许跨境传输。然而，特定行业的法规（特别是医疗保健和金融服务）可能会对特定数据类别施加本地化要求。阿联酋中央银行的网络安全框架和迪拜卫生局法规对某些受监管数据施加了数据驻留义务。除了 PDPL 之外，还要始终检查行业特定要求。

阿联酋数据保护如何应用于云服务？

代表阿联酋企业处理阿联酋个人数据的云服务提供商是 PDPL 下的处理者。如果数据存储在阿联酋境外，他们必须与控制者签订处理者协议，实施适当的安全措施，并遵守跨境传输要求。使用云服务的阿联酋企业应验证：云提供商的 PDPL 合规状况、BAA/DPA 是否到位以及数据存储位置是否需要跨境传输机制。

阿联酋的人工智能和自动化决策方法是什么？

阿联酋 PDPL 包括一项权利，不受仅基于自动化处理的决策的影响，这些决策会产生重大法律或类似的重大影响 - 需要根据请求进行人工干预。阿联酋还制定了人工智能道德框架和迪拜人工智能战略2031，强调人工智能中的数据隐私和道德。使用人工智能进行重大决策（信用评分、人力资源筛选、客户分类）的企业应评估 PDPL 义务和特定行业的人工智能治理要求。

阿联酋数据保护与 GDPR 相比如何？

阿联酋 PDPL 共享 GDPR 的基本原则（合法性、公平性、透明度、目的限制、数据最小化、准确性、存储限制、安全性、问责制）和类似的数据主体权利。然而，PDPL 在某些领域的规定性较差——时间表、DPO 资格要求和 DPIA 要求不如 GDPR 详细。 2020 年 DIFC DP 法在结构和细节上与 GDPR 更加接近。同时遵守 GDPR 和阿联酋 PDPL 的组织会发现，GDPR 合规性为 PDPL 合规性奠定了坚实的基础，还需要一些针对阿联酋的补充。

---

后续步骤

阿联酋复杂的多层数据保护环境——联邦 PDPL、DIFC、ADGM 和行业法规——需要一种结构化的合规方法，将义务映射到每个相关法律实体和数据流。 ECOSIRE 的团队拥有在阿联酋自由区和大陆环境中进行合规管理的经验，在同时满足多种监管要求的技术平台实施方面拥有特殊的专业知识。

开始使用：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。阿联酋数据保护法正在不断发展，本指南反映了截至 2026 年初的要求。请咨询合格的阿联酋法律顾问，获取针对您的组织和司法管辖区的具体建议。