一、外资与优惠政策

（一）外资准入要求

2020年11月23日，阿联酋通过2020年第26号联邦法令修订了2015年《商业公司法》，取消了外资股比限制，仅对具有战略影响的行业（Activities with Strategic Impact）保留投资限制。[1]2021年5月30日，阿联酋内阁决议通过了具有战略影响力的行业清单，包括：

1. 国家安全与国防（主管部门：国防部、内政部）。
    
2. 银行、外汇、金融机构、保险（主管部门：中央银行）。
    
3. 印刷货币（主管部门：中央银行）。
    
4. 通讯传播（主管部门：通讯传播与电子监管总局）。
    
5. 朝觐与副朝觐服务（主管部门：伊斯兰事务与捐赠事务总局）。
    
6. 古兰经朗诵中心（主管部门：伊斯兰事务与捐赠事务总局）。
    
7. 渔业相关服务业（禁止外商投资）。

对涉及以上1至6项的行业，外商投资者需向各酋长国的公司事务主管机关依法提出申请，相关部门在5个工作日内将申请材料递交行业主管部门。行业主管部门在14个工作日内决定是否批准，若批准申请，需要列明本国居民的应持股比例以及其他控制条件。外国投资者不得投资上述第7项渔业相关服务业。

（二）离岸与在岸投资

外国投资者在阿联酋的投资有两种选择：离岸投资和在岸投资。离岸投资是指在阿联酋境内设立的自由贸易区（Free Zone）或经济特区（Special Economic Zone）（统称自由贸易区）进行投资。在岸投资是指在自由贸易区以外的其他区域进行投资。自由贸易区和和非自由贸易区属于不同的司法管辖区，适用的法律也不同。

自由贸易区的优势包括：无股比限制，外国投资者可100%控股；资本与货物可全部回流，允许收入及利润100%汇回本国；无最低投资资本要求；股东责任仅限于实收股本；免征企业所得税（有时间限制）、个人所得税及进出口关税；投资者可享有长期租赁权（最长可达25年）；投资所需程序相对简化，公司成立速度较快；提供完善的厂房、仓储设施以及支持服务；部分自由贸易区免征增值税等。[2]

但是，外国投资者在自由贸易区的经营活动也受到限制：

1. 每个自由贸易区都有特定的业务范围，投资者只能在该范围内开展业务；
    
2. 自由贸易区内注册的公司不得在自由贸易区以外开展业务，如果需要扩展业务至非自贸区，需先获得相应自由贸易区当局的初步许可，再向相关酋长国的经济发展部申请许可证。

二、经营主体设立

（一）经营实体形式

阿联酋《商业公司法》中规定了5种公司组织形式：普通合伙企业（General Partnership）、有限合伙企业（Limited Partnership）、有限责任公司（Limited Liability Company）、公众股份有限公司（Public Joint Stock Company）和私营股份有限公司（Private Joint Stock Company）。[3]

对外国投资者而言，最常用的组织形式为有限责任公司。有限责任公司由2-50个股东组成，但是在名称中注明“一人有限责任公司”的情况下，也可以由一人独资设立有限责任公司。有限责任公司的股东仅以其出资额为限承担责任。[4]有限责任公司需要至少一名经理，除非公司章程或者委任协议另有约定，经理有权对外代表公司，经理的行为对公司具有约束力。[5]

初入阿联酋做前期市场调研的外国公司可在阿联酋设立代表处（外国公司的代表办事处），其目的仅限于研究市场和生产能力，不从事任何商业活动。[6]

（二）出资要求

在阿联酋设立有限责任公司，没有最低注册资本要求。有限责任公司的股东可以用货币或实物出资，需在公司设立时实缴。货币出资需存入阿联酋当地银行。[7]公众股份有限公司的发起人可以进行实物出资。[8]可以通过章程约定出资期限，先认缴招股说明书中规定的资本比例，再向公众发行剩余股份，类似于“认缴制”。

（三）本地股东和董事要求

2021年《商业公司法》删除了关于外国投资者最多持有49%股份、主要股东须为阿联酋籍、外国公司应指派阿联酋公民作为代理人的限制性规定；删除了董事会主席及多数董事会成员应为阿联酋公民的规定。

依照新法，阿联酋各行业主管机关应派代表组成委员会，委员会有权对具有战略影响力的行业公司的外资持股比例、董事会组成等涉及公司控制权事项施加具体限制。[9]因此，对本地股东和董事的具体要求，需要根据行业结合当地规定确定。

（四）外汇管制

阿联酋外汇不受限制，可自由汇进汇出，但须符合阿联酋政府的反洗钱规定。一般情况下，外商投资资本和利润回流不受限制。对支付给非阿联酋居民的源自阿联酋的收入，适用0%的预提所得税。出入境携带超过10万美元或等值金额的其他国家货币，需要申报。

外资企业在阿联酋开立外汇账户，须提交在阿联酋注册公司工商执照、财务报表等材料。[10]

三、用工要求

2022年2月，《阿联酋劳动法》和《实施条例》生效，全面规范劳动关系。大部分自贸区受《阿联酋劳动法》管辖，但迪拜国际金融中心（DIFC）和阿布扎比全球市场（ADGM）分别适用其2019年颁布的《DIFC劳动法》和《ADGM就业条例》。

（一）本地员工人数和比例要求

阿联酋政府推行本地化（Emiratisation）政策，要求私营企业至少2%的员工为阿联酋国民。该比例自2024年起每年增加2%，直至达到10%，违者将面临罚款。[11]自由区内的实体暂不适用此政策。

（二）外国人签证

阿联酋提供多种签证，包括工作签证、绿色签证、黄金签证等。

1. 工作签证

雇主需申请电子签名卡（eSignature Card）、工作许可预批准（Pre-Approval Work Permit），并支付批准费用（Approval Fees）和银行担保（Bank Guarantee）。员工完成体检和身份证申请后，可以获得两年有效期的居留许可（工签）。

2. 绿色签证

适用于不需要担保人的自由职业者、自雇人士等，有效期5年，持有绿色签证者可以为直系亲属提供签证担保。

3. 黄金签证

适用于杰出人才、投资者、企业家、科学家、高级技工等，有效期最长10年，持有人无需担保人，可以为其家庭成员和家政人员提供签证担保。[12]

（三）薪资成本

1. 最低工资要求

阿联酋国民根据教育水平设定最低工资，无高中文凭为3000迪拉姆，高中文凭为4000迪拉姆，大学学位为5000迪拉姆。外籍工人无联邦最低工资标准。[13]

2. 社会福利

雇主还需要为员工缴纳社会保障金（仅适用于阿联酋和海湾合作委员会国民）、医疗保险、离职福利。雇主缴纳社会保障金的比例为12.5%（阿联酋大陆和自由区）或15%（阿布扎比）。外籍员工的总体额外成本约为员工工资的5%到10%。[14]

（四）工作时间和休息休假

1. 工作时间

最长工作时间为每天8小时或每周48小时。斋月期间，穆斯林员工每日工作不超过6小时。员工的加班费为日工资的25%（夜间为50%）每天加班不超过2小时。

2. 休息休假

年假：服务期满6个月不满1年的，每月2天；服务期满1年，每年30天。

病假：试用期后，工人每年可享有不超过90天的病假，前15天全薪，随后30天半薪，之后无薪。

其他假期：包括丧假、育儿假、学习假、产假（60天，前45天全薪，后15天半薪）等。[15]

（五）解除劳动关系的条件和成本

1. 试用期解除

雇主或雇员可提前14天通知解除劳动关系，不需特别理由。[16]

2. 非试用期解除

雇主需提前通知并支付终止服务津贴，通知期通常为30至90天。[17]终止服务津贴的标准为：服务1-5年每年21天工资，超过5年每年30天工资。[18]雇主可因员工法定的不当行为解雇员工，此时可以立即解雇且无需支付终止服务津贴。[19]

3. 雇员辞职

通常需提前通知，通知期取决于服务年限，通常为30天至90天。特殊情况下，雇员可无通知辞职。[20]

4. 非法解雇

雇主有义务向员工支付由主管法院估计的公平补偿。补偿金额应考虑工作类型、员工遭受的损失金额和服务期限。补偿金额不超过员工三个月工资，根据员工最后工资计算。[21]

四、基本税负

（一）税收体系

阿联酋为低税国家，无个人所得税、预提所得税和资本利得税。税收由联邦税务局负责征收与管理，主要税种包括企业所得税、消费税、增值税、关税以及酋长国特别税种。1997年，中国与阿联酋签订避免双重征税协定，涵盖不动产所得、营业利润、股息、利息等，旨在减少双重征税，促进经济合作。

（二）企业所得税

企业所得税于2023年6月30日起实施。[22]应税收入超过375,000迪拉姆（约等于10.2万美元）的部分，企业所得税适用税率9%。[23]免税实体包括政府机构、特定自然资源企业、公益组织、社会保障基金、符合条件的投资基金等。

迪拜于2024年3月7日颁布《2024年第1号法令》，向外资银行开征20%的年度收入税。外资银行若已缴交企业税（即9%的税率，适用于年收入超过375,000阿联酋迪拉姆的企业），相关金额将自新的20%税项中扣除。新法令适用于迪拜所有外资银行，但不包括于迪拜国际金融中心（DIFC）持牌经营的外资银行。[24]

（三）增值税

增值税于2018年1月1日起实施，对境内提供应税货物及劳务或进口应税货物及劳务的纳税人征收，标准税率为5%。[25]特定商品或服务（如向海合会以外地区出口商品和服务、国际运输、飞机船舶供应、特定贵金属供应或进口、住宅建筑、教育、医疗保健服务等）适用0%税率或免税。[26]

（四）消费税

消费税自2017年10月1日起实施，目前征收消费税的商品及税率为：烟草和烟草制品100%、电子烟装置及其使用的液体100%、能量饮料100%、碳酸饮料50%、含糖饮料50%。[27]

（五）关税

阿联酋实施海合会国家关税联盟规定，除53种免税商品外，其余商品统一征收5%的关税，此外每张报关单还要加收30迪拉姆（约合8.2美元）的费用。烟草、碳酸饮料和酒精饮料的关税分别为200%、100%和200%。[28]

（六）预提所得税

对于特定类型的源自阿联酋的收入，在支付给非阿联酋居民时适用 0% 的预提所得税。由于适用 0% 税率，在实际操作中无需缴纳预提所得税，阿联酋企业或境外收入接收方也无需办理与预提所得税相关的登记或申报义务。预提所得税不适用于阿联酋居民之间的交易。

五、数据保护与合规

（一）立法情况和适用范围

1. 阿联酋联邦层面立法

阿联酋联邦层面于2021年9月20日公布了《个人数据保护法》（Federal Decree-Law No. 45 of 2021 on the Protection of Personal Data Protection，简称“阿联酋PDPL”），以此为依据提供了统一的个人数据保护规范，是阿联酋地区数据保护法律规范的主体。该法于2022年1月2日生效。[29]

阿联酋PDPL适用于位于阿联酋的任何数据控制者（data controller）或处理者（data processor，即受托处理者）所进行的所有个人数据处理活动（无论其处理的个人数据的数据主体位于何处），以及位于阿联酋境外处理阿联酋境内数据主体个人数据的任何数据控制者或数据处理者的个人数据处理活动[30]。但是，该法律不适用于：（1）处理个人数据的政府机构；（2）安全和司法当局持有的个人数据；（3）仅出于私人目的处理其个人数据的数据主体；（4）与数据主体的健康有关，并受规范健康数据保护和处理的特定立法约束的个人数据；（5）与银行、信贷数据以及受特定法律约束的受保护和处理此类个人数据的信息相关的个人数据；（6）位于阿联酋自由区的公司和机构，这些公司和机构有自己的个人数据保护立法。[31]企业出海需要根据自身行业的性质来判断是否属于阿联酋PDPL的适用范围，并关注该行业是否有其他法律对相应数据的处理和传输活动做出更为严格的规范。

在阿联酋联邦层面，还有一些针对特定行业制定的法律也提供了个人数据保护相关的法律规范。其中，《消费者保护法》（The Federal Law No. 15 of 2020 on Consumer Protection）、《网络访问管理政策》（Internet Access Management （IAM） policy）、《打击谣言和网络犯罪法》（Federal Decree Law No. 34 of 2021 on Combatting Rumors and Cybercrimes）和《现代技术贸易法》（Federal Decree-Law No. 14 of 2023 on Commerce through Modern Means of Technology）等不涉及健康数据、银行和信贷的排除规定，可以与阿联酋PDPL竞合适用，即针对行业特定情况采用更为严格的行业法律要求、无特殊规定情形则适用阿联酋PDPL。而《关于在卫生领域使用信息和通信技术（ICT）的法律》（Federal Law No. 2 of 2019 Concerning the Use of Information and Communication Technology（ICT）in Health Fields）因涉及医疗与健康数据保护，应排除阿联酋PDPL的适用。

2. 阿联酋自由区的数据保护立法

阿联酋自由区包括有迪拜国际金融中心（DIFC）、迪拜健康城（DHCC）、阿布扎比全球市场（ADGM）等。

（1）迪拜国际金融中心DIFC

2020年7月1日起，《迪拜国际金融中心数据保护法》（DIFC DP Law，简称“《DIFC数据保护法》”）生效，其配套的还有《迪拜国际金融中心数据保护条例》（DIFC DP Regulations，简称“《DIFC数据保护条例》”）。根据《DIFC数据保护法》第6条第3款，其适用于在DIFC区域内设立的数据控制者或数据处理者的个人数据处理活动，无论处理行为是否发生于DIFC区域内；也适用于在DIFC内将个人数据处理活动作为其稳定经营的一部分的数据控制者或数据处理者，而无论其设立地点（即该法具有域外适用效力）。《DIFC数据保护法》广泛的适用范围为迪拜国际金融中心的数据跨境流动减少了阻碍，使金融数据的往来交互更为快速便捷。企业出海应当注意其是否属于《DIFC数据保护法》的规制对象，从而判断是否需要遵守该法律。

《DIFC数据保护法》的内容与GDPR较为类似，《DIFC数据保护法》主要包括数据处理活动的基本原则、数据主体的权利、数据控制者与数据处理者的义务、数据泄露通知、法律责任等章节，主要内容包括：合法性基础（Article 10）、数据主体的权利（Article 32 to Article 38）、数据控制者/处理者的义务（Article 14、 Article 39、Article 15、Article 41）、透明度要求（Article 39）、数据保护机构（Article 43）、违法后果（Schedule 2）等。

《DIFC数据保护条例》则细化了《DIFC数据保护法》中的若干条款的实施规则，如数据泄露通知的程序与规则（Article 8）、数据保护专员的职权行使程序与限制（Article 3、Article 7.1、Article 7.2、Article 8.1）。

根据《DIFC数据保护法》规定，处理个人数据的合法性基础在于获得了当事人同意，除非满足了其他例外情形。数据主体享有知情权、更正权、删除权、拒绝处理权等权利。数据控制者和数据处理者享有保护数据安全义务、记录义务、通知义务等义务。在透明度方面，数据控制者和数据处理者应当避免引起数据主体误解，并不得以暗示数据主体将受到歧视的方式诱使数据主体同意。

（2）迪拜健康城DHCC

在2008年，迪拜就在DHCC开始实施《DHCC数据保护条例》。后2013年修订，新条例命名为《迪拜健康城健康数据保护条例》（Dubai Healthcare City Health Data Protection Regulation, Regulation Number （7） of 2013，HDPR）。根据迪拜HDPR第8条，迪拜HDPR适用于所有持证人对患者健康信息的管理，无论这些信息保存在何处。迪拜HDPR适用于广泛类型的患者健康信息，包括（1）病人的健康信息，包括病史；（2）关于患者目前或曾经患有的任何残疾的信息；（3）关于正在或已经向该患者提供的任何医疗保健服务的信息；（4）该病人提供的与该病人捐赠任何身体部位或任何身体物质有关的信息，或从对该病人的任何身体部位或任何身体物质的测试或检查中得出的信息；或（5）在向该患者提供任何医疗保健服务之前或过程中收集到的该患者的相关信息。迪拜HDPR对健康数据的全过程保护完善了患者福祉，也对出海医疗健康企业在个人数据保护方面提出了更高的要求。

HDPR规定了一系列“健康数据保护原则”，涉及收集患者健康数据的方式和目的、数据来源、数据存储和安全、数据访问和更正、数据保留以及使用、数据披露限制。

其内容包括，主体在收集患者健康数据时应当遵守目的正当和最小必要原则；应当向患者披露其收集、使用、储存数据的规则；持证主体应当采取技术措施和管理措施以确保健康数据的安全。

（3）阿布扎比全球市场ADGM

阿布扎比全球市场所实施的为2021年2月11日所发布的《2021数据保护条例》（Data Protection Regulation 2021，简称“《ADGM数据保护条例》”）。根据《ADGM数据保护条例》第3条的规定，《ADGM数据保护条例》适用于控制者或处理者在ADGM的机构活动中对个人数据的处理，无论处理是否在ADGM境内进行；如果处理者为ADGM以外的控制者处理个人数据，则处理者必须尽可能遵守本条例的要求，同时考虑到控制者是否须遵守其本国司法管辖区法律规定的类似义务。ADGM的域外效力并非强制性规定，但仍可作为企业出海的重要参考以降低合规风险。

《ADGM数据保护条例》为数据控制者和数据处理者设置了较高的保护义务，处理个人数据的合法性基础原则上需要取得个人同意，除非具备其他合法性基础；数据主体享有知情权、更正权、删除权、可携带权、拒绝权等权益；明确了合法、目的正当、最小必要、充分保障安全的处理原则。

与阿联酋PDPL不同的是，《ADGM数据保护条例》对企业必须设置数据保护官的情形更多参考了GDPR的规定。根据《ADGM数据保护条例》，若企业的核心业务活动包括个人数据处理活动，需要定期和系统地大规模监测数据主体，或包括大规模处理特殊类别的个人数据，则企业应当设置一名数据保护官。

（二）处理个人数据的合法性基础

1. 个人数据

阿联酋PDPL将个人数据定义为与特定自然人有关的任何数据，或与自然人有关的、具有识别要素或可通过身体、生理、经济、文化、社会特征直接或间接识别的数据。

迪拜《DIFC数据保护法》将个人数据定义为“任何涉及已识别或可识别自然人的信息”；阿布扎比《ADGM数据保护条例》将个人数据定义为“与数据主体有关的任何信息”。

迪拜HDPR将患者健康信息定义为执照持有人、雇员、承包商等不同类型主体所持有的信息。

2. 敏感个人数据

对于敏感个人数据的定义，阿联酋PDPL与阿布扎比《ADGM数据保护条例》、迪拜《DIFC数据保护法》没有明显区别，均包含揭示种族或民族血统、政治观点、宗教或哲学信仰的个人数据以及生物识别数据和与刑事定罪有关的个人数据。不同的是，迪拜《DIFC数据保护法》、阿布扎比《ADGM数据保护条例》还包含了“与健康有关的数据或与自然人的性生活或性取向有关的数据”，这与该地区的历史文化背景密切相关。

3. 合法性基础

信息处理者要取得合法处理个人信息的法律地位必须具备合法性基础，否则其处理行为即属违法行为。阿联酋PDPL第4条、迪拜《DIFC数据保护法》第10条和阿布扎比《ADGM数据保护条例》第5条均对合法性基础进行了说明，除了数据主体同意外，还主要包含为履行数据主体作为一方的合同、为履行控制者的法律义务、为保护数据主体或其他自然人的重要利益而必须的处理、为文件归档、科学、历史和统计研究等目的所必需以及为执行公共机构的职能和保护公共利益所进行的处理。值得注意的是，虽然阿联酋的立法也在很大程度上参考了GDPR，但是阿联酋PDPL并没有明确将“合法利益”作为独立的合法性基础。

（三）数据主体的权利

阿联酋PDPL第13条至第18条、迪拜《DIFC数据保护法》第6部分和阿布扎比《ADGM数据保护条例》第3部分规定了数据主体的权利，与欧盟GDPR的规定基本一致，主要包含访问权、可携带权、更正权、删除权、限制处理的权利、停止处理的权利、不受自动化决策权。

在数据主体权利的响应时间方面，阿联酋PDPL、迪拜《DIFC数据保护法》及阿布扎比《ADGM数据保护条例》均没有明确的规定。但是，迪拜《DIFC数据保护法》提供了针对该法的一般救济途径，即任何受影响方可在收到法律本部分规定的指示后14天内要求监管机构负责人审查该指示。数据处理者或控制者如需对数据主体权利进行响应，应在合理时间内将其转发给相关部门，在核实个人身份及确定个人数据的存储位置后，及时根据数据主体的请求类型采取适当行动（如复制、删除数据及限制处理），向数据保护官（DPO）提供适当的详细信息，以便向数据主体发送和回复。

（四）数据控制者和数据处理者的义务

数据控制者是决定个人数据处理目的和方式的实体，负责确保这些处理活动合法、透明，采取适当措施保护个人数据的安全并响应数据主体的请求。数据处理者代表数据控制者处理个人数据，必须遵循控制者的指示，确保数据处理的安全性，在需要时协助控制者履行其对数据主体的义务。

企业作为数据控制者与数据处理者两种不同的数据处理角色时，需要承担的义务也是不同的。在一般义务方面，处理者的一般义务主要包括在控制者的指示和授权下根据协议进行个人数据的处理、采用适当的技术措施和组织程序保护个人数据、在期限内进行处理、处理期结束后将数据移交控制者时删除数据、确保数据处理的安全性、保存代表控制者处理个人数据的特别记录。数据控制者必须承担个人数据处理活动的责任，落实告知同意的要求，采取适当的组织和技术措施保障个人数据的安全，形成个人数据处理记录，并需要和监管部门保持沟通合作。此外，迪拜《DIFC数据保护法》和阿布扎比《ADGM数据保护条例》还规定了控制者或处理者的“设计和默认的数据保护”原则。以及，对控制者提供平台在线服务，迪拜《DIFC数据保护法》提出默认隐私偏好设置收集个人数据应保持最小限度的要求。

在具体义务方面，数据控制者和数据处理者承担的义务也存在显著差异：

（1）报告个人数据泄露的义务：阿联酋PDPL第9条、阿布扎比《ADGM数据保护条例》第32条将向调查局和监管机构负责人报告个人数据泄露的义务施加给控制者，而迪拜《DIFC数据保护法》第7部分第41条要求处理者发现个人数据泄露后立即通知控制者，控制者或处理者须全面配合监管机构负责人进行调查。

（2）任命和监督数据保护官的义务：迪拜《DIFC数据保护法》第16条提出控制者或处理者可选择指定一名符合要求的DPO，而阿联酋PDPL第10条和阿布扎比《ADGM数据保护条例》第35条规定在特定情况下，控制者和处理者必须任命一名DPO。任命者还应确保DPO适当及时参与数据保护事务，为DPO提供必要的资源及支持。

（3）DPIA：阿联酋PDPL第21条和阿布扎比《ADGM数据保护条例》第34条要求控制者使用任何会对数据当事人个人数据的隐私和保密性构成高风险的现代技术时，在进行处理之前评估拟处理操作对个人数据保护的影响；迪拜《DIFC数据保护法》第20条要求控制者还考虑数据处理行为对相关数据主体权利的风险。此外，控制者也可选择对不属于高风险处理活动的个人数据处理进行此类评估。

（五）数据跨境传输合规要求

1. 阿联酋

（1）阿联酋PDPL的规定

阿联酋PDPL对于数据跨境转移的规则借鉴了GDPR关于充分性认定与豁免条件设置的思路，在第22条和第23条中分别规定了“在有适当保护级别的情况下为处理目的跨境转移和共享个人数据”及“在没有适当保护级别的情况下为处理目的跨境转移和共享个人数据”的豁免规则。

① 在有适当保护情况下进行转移

根据阿联酋PDPL第22条，如个人数据要跨境传输至阿联酋以外地区，则该地区立法必须对个人数据提供适当的保护水平，具体包括保护个人数据的机密性和隐私性相关的主要条款、措施、控制、要求和规则，以及与通过监管或司法实体对控制者或处理者实施的条款。个人数据也可以传输到与阿联酋有双边或多边个人数据保护协议的国家。可能包含白名单国家清单的阿联酋PDPL执行条例原计划在2022年3月20日发布，但据目前的信息显示，这些执行条例的发布已经被无限期推迟。因此，现在尚无阿联酋PDPL认定的白名单国家，建议密切关注阿联酋相关监管机构发布的最新指南和白名单更新。

② 在缺乏适当保护情况下进行转移

在缺乏适当的保护水平时，阿联酋PDPL也规定了一系列豁免。在以下情况下，个人数据可以合法跨境转移：

a）在没有数据保护法的地区，该地区企业可以根据数据传输协议，使该地区企业满足本文所述的规定、措施、控制和条件，并通过合同中指定的该地区监管机构或司法机构对该地区的数据控制者或数据处理者采取适当的措施；

b）数据主体明确表示同意，前提是跨境传输不损害阿联酋的公共或安全利益；

c）传输对于履行义务和司法确权是必要的；

d）传输是签订或履行控制者与数据主体之间或控制者与第三方之间为了数据主体利益而签订的合同所必需的；

e）传输是履行与国际司法合作有关的行为所必需的；

f）传输是保护公共利益所必需的。

（2）行业立法的特殊要求

值得注意的是，在行业立法中也含有禁止特定类别数据出境的要求。《关于在卫生领域使用信息和通信技术（ICT）的法律》（ICT in Health Fields）第13条规定，不得存储、处理、生成或转移与在阿联酋境内提供的医疗服务有关的健康数据，除非酋长国卫生当局与卫生和公共援助部协调发布的决议允许。部长级决议2021年第51号（Ministerial Resolution 51/2021） 放宽了对某些类型处理操作的数据传输限制，在海外医疗、医疗检测、科学研究、保险理赔和承保、与阿联酋政府或机构合作的组织、可穿戴设备和医疗保健检测设备、药物警戒报告、卫生当局批准的数据等方面设置了可传输到阿联酋境外的例外条款。

2. 迪拜《DIFC数据保护法》与HDPR

（1）迪拜《DIFC数据保护法》

迪拜《DIFC数据保护法》第26条及第27条针对数据跨境传输以及保护水平是否充足的不同情况进行了详细的规定。

① 在具有足够保护水平情况下进行转移

监管机构负责人应根据一系列因素判断某第三国、地区、特定行业或国际组织是否具有足够的数据保护水平。这些因素包括：

a）法治与个人权利保护情况；

b）公共机构获取个人数据的方式；

c）数据保护法律的有效性及持续传输规则；

d）独立监管机构的存在及其执法能力；

e）国际承诺、条约，以及在国际或区域组织中的成员资格；

f）监管机构负责人还可以参考其他主管数据保护机构作出的类似充分性决定，结合上述因素，判断第三国或组织是否符合要求。

② 在缺乏足够保护水平情况下进行转移

第27条规定了在缺乏足够保护的情况下，从DIFC向第三国或国际组织转移个人数据的详细要求，其中包括适当性保障措施、例外情况与特定情况下进行有限数据转移三方面。

a）适当性措施

控制者或处理者提供适当的保障措施，确保数据主体享有可执行的权利和有效的法律补救措施。这些保障措施可以包括法律约束力的协议、标准数据保护条款、行为准则、认证机制等。

b）例外情况

适用特定例外情况，如数据主体同意、履行合同、出于公共利益或法律要求、保护数据主体或其他人的重要利益等。

c）在特定情况下有限的数据转移

在特定情况下可进行有限的数据转移，如非重复性转移、涉及少量数据主体、为控制者的合法利益提供保障等。

迪拜DIFC还在其官网上提供了数据出口评估、DIFC标准合同条款、与公共机构或执法部门共享数据的评估工具、尽职调查风险评估、第三国或司法管辖区充足性评估等模板或评估工具供出海企业参考。

（2）迪拜HDPR

迪拜HDPR第9部分规定将患者健康信息转出DHCC需要同时满足第三方法律法规能够确保对患者健康信息提供充分保护以及转移经患者授权或是向患者持续提供医疗服务所必需。

3. 阿布扎比《ADGM数据保护条例》

阿布扎比《ADGM数据保护条例》第40条至44条对于将个人数据传输至ADGM以外进行了规定，其思路与迪拜《DIFC数据保护法》基本一致。

（1）充足性的认定

如果接收方能够提供充足的保护，监管机构负责人可以批准将个人数据转移至该司法管辖区或国际组织。判断的主要因素有权利保障、监管机构的独立性和国际承诺等。

（2）适当的保护措施

在没有适足性决定的情况下，个人数据可转移至ADGM以外的地区或国际组织，但需提供适当保障措施。企业可以根据ADGM发布的标准合同条款（Standard Contractual Clauses,“SCCs”）来签订合同，以便合法地将个人数据从ADGM传输到其他地区。这些条款为企业提供了一种简化的方式来确保数据传输的合规性，既可以作为现有合同的一部分，也可单独签订。

此外，ADGM还特别提出利用具有约束力的公司规则（Binding Corporate Rules, “BCRs”）来进行数据跨境传输。BCRs为全球业务提供了统一的数据保护标准，减少因签订单独数据保护协议而产生的行政负担和成本。但是，BCRs的批准过程可能复杂且耗时，需要与数据保护监管机构密切合作。目前，中国企业采用BCRs的情况较少。

（3）例外规定

在没有适足性决定或适当保障措施时，数据转移必须符合以下条件之一：

a）数据主体知晓相关风险并明确同意的转移；

b）为履行与数据主体的合同或合同前义务的转移；

c）为履行控制者与其他方为数据主体利益而签订的合同的转移；

d）出于重要公共利益的必要转移；

e）按照阿联酋法律要求的转移；

f）为确立、行使或捍卫法律主张的必要转移；

g）在数据主体无法同意的情况下，为保护其或他人重要利益的转移。

（六）监管机构和执法现状

1. 数据保护影响评估（DPIA）

阿联酋PDPL、迪拜《DIFC数据保护法》和阿布扎比《ADGM数据保护条例》均要求在处理可能对数据主体权利造成高风险的数据之前，进行数据保护影响评估（DPIA）。评估的内容至少包括对处理操作的性质、范围、目的的描述，并且，评估必须分析处理行为的必要性和合规性，必须识别和评估数据主体面临的风险并建议减轻风险的措施。同时，控制者在进行DPIA时还必须与DPO进行协调，定期审查评估结果以确保处理符合要求。

但是，三者之间也存在着一些差异：

（1）适用情况

阿联酋PDPL与迪拜《DIFC数据保护法》明确规定了必须进行DPIA的具体情况，如系统全面评估、自动处理和大量敏感数据的处理；而阿布扎比《ADGM数据保护条例》相对简化，要求所有可能对自然人的数据权利造成高风险的数据处理行为进行DPIA。

（2）例外处理

阿联酋PDPL与迪拜《DIFC数据保护法》在某些情况下提供了如公共权力活动等具体的例外规定，而阿布扎比《ADGM数据保护条例》没有特别提到具体例外，只是强调所有高风险数据处理行为都需进行DPIA。

（3）通知要求

阿联酋PDPL与迪拜《DIFC数据保护法》没有明确规定通知要求，而阿布扎比《ADGM数据保护条例》规定如果DPIA表明处理可能对自然人的权利造成高风险，控制者必须在进行处理前通知DPO，并提供评估中的信息。

出海企业进行DPIA除了应遵守阿联酋和自贸区的相关法律外，还可以利用ISO27001 / ISO27701等既定框架来评估和制定适当的措施，审查数据处理过程中的风险和技术漏洞，降低已确定的风险。

2. 组织内设置DPO的要求

阿联酋PDPL、迪拜《DIFC数据保护法》和阿布扎比《ADGM数据保护条例》都规定了DPO的设置，要求其负责监督组织的数据保护计划并确保遵守适用的数据保护法律。

（1）触发任命的情形：

三部法律都要求在存在高风险的数据处理活动时任命DPO，尤其是在处理涉及个人隐私和敏感数据的情况下。阿联酋PDPL的触发条件更加明确，强调当处理自动化决策、大规模处理敏感数据时需要任命DPO，具体指在数据处理对个人隐私可能产生严重影响时。迪拜《DIFC数据保护法》的规定更宽泛，要求在任何“高风险”情况下任命DPO，同时包括对新技术应用时潜在风险的评估。阿布扎比《ADGM数据保护条例》与迪拜《DIFC数据保护法》类似，但特别指出在涉及新技术、或处理规模和复杂性显著增加时，也需要任命DPO。

（2）资质和岗位要求：

三部法律都要求DPO具备数据保护领域的专业技能和经验，且能够独立履行职责。DPO也需要获得足够的资源和权限支持，以确保有效监督和执行数据保护措施。阿联酋PDPL在任职资格上更为灵活，允许DPO由组织内部现有雇员担任，或者由外部顾问提供服务。其更侧重于技能和专业知识，而不强制要求独立性达到迪拜《DIFC数据保护法》和阿布扎比《ADGM数据保护条例》的水平。迪拜《DIFC数据保护法》在资质要求上更为严格，明确规定DPO可直接向高级管理层报告，并获得组织内不受限制的访问权限，从而确保DPO具备足够的权威和信息获取能力。阿布扎比《ADGM数据保护条例》与迪拜《DIFC数据保护法》类似，但规定在不会产生利益冲突的前提下，DPO可在大型集团内部担任其他职责。

（3）职责要求：

三部法律都要求DPO承担一些核心职责，如监督组织数据处理的合规性、提供数据保护方面的咨询和建议、作为数据保护监管机构的主要联络点并确保及时沟通。阿联酋PDPL侧重于内部流程的管理，如处理个人数据相关的投诉、提供技术咨询、监督系统安全措施的执行，较少涉及独立性和广泛的外部沟通。迪拜《DIFC数据保护法》和阿布扎比《ADGM数据保护条例》在职责范围上的规定更为全面，特别强调DPO的独立性，要求其避免任何可能产生利益冲突的其他职责。DPO的任务还包括协助执行数据保护影响评估、组织培训、定期审查内部数据处理操作，确保持续合规。

（4）备案要求：

三部法律均要求DPO与监管机构保持联络，及时提供相关信息。阿联酋PDPL在备案方面要求相对宽松，重点在于DPO的保密义务和对个人数据的保护，未明确规定DPO的常规备案义务。迪拜《DIFC数据保护法》和阿布扎比《ADGM数据保护条例》的规定更加详细，要求DPO定期向监管机构备案，保持高度透明，向监管机构报告处理活动的详细信息、数据保护影响评估结果等。此外，还强调DPO在必要情况下需及时向监管机构报告潜在的数据泄露或其他重大风险。

企业出海至迪拜DIFC与阿布扎比ADGM时，应注意其针对DPO的法律规定要普遍严格于阿联酋PDPL，更强调DPO的高度独立性、外部透明度与监管合规性。

（七）法律责任

阿联酋PDPL并未明确规定违反该法的法律责任，仅规定将由阿联酋PDPL的实施细则具体规定（尚未正式出台）[32]。《DIFC数据保护法》对每一具体条款的违反后果均具体化了处罚金额。违反每一条款的罚款从25,000美元至100,000美元不等，并且同一行为可能违反多条规定，在罚款之外还可能需要承担赔偿责任。

阿布扎比《ADGM数据保护条例》[33]规定，数据保护专员有权针对违反专员发布的指示或数据保护法规的行为发出处罚通知、做出行政处罚。罚款将根据违法行为的性质、违法行为的主观恶意、数据控制者或处理者应承担责任等因素确定，最高不超过2800万美元。

阿联酋刑法第379条禁止未经秘密相关人员同意使用或披露“秘密”信息。违反本条规定，负责使用和/或披露此类信息的个人可能会被处以罚款和/或监禁等潜在刑事责任。

六、实用信息源

1. 商务部对外投资和经济合作司等三部门联合出具的《对外投资合作国别（地区）指南 阿联酋 2024年版》
2. 阿联酋政府网站：阿联酋政府门户网站（网址：www.uae.gov.ae）
3. 阿联酋经济部网站，http：//iffyxfa0bf6f21a30403dsccxqob6x6kuk655o.fhfi.libproxy.ruc.edu.cn/en/establishing-business-in-the-uae
4. 阿联酋司法部网站，（网址：https：//www.moj.gov.ae）
5. 阿联酋法律门户网（网址：https：//elaws.moj.gov.ae/mojANGULAR/index.html）
6. 迪拜法院（网址：https：//www.dc.gov.ae/PublicServices/Categories.aspx?SiteCategoryName=Open_Data⟨=en）
7. 阿联酋立法平台（网址：https：//uaelegislation.gov.ae/）
8. 一带一路法治地图（网址：http：//qhsk.sz.gov.cn/qhbr/page/search.html#）