UAE PDPL Cookie 同意指南:2021年第45号联邦法令(出版商版)
阿拉伯联合酋长国于2021年底通过《个人数据保护法》,并于次年正式施行。Federal Decree-Law 45 of 2021,即PDPL,是该国首部综合性联邦隐私法规,其结构大量借鉴GDPR,同时针对UAE联邦法律及数据本地化要求对关键条款作出调整。对于在UAE运营或以UAE流量为目标的出版商——该市场随着区域电子商务、金融科技以及Dubai和Abu Dhabi超大规模媒体企业的蓬勃发展而迅速扩张——PDPL将cookie同意从一项软性期望转变为联邦合规义务。本指南将介绍PDPL如何处理在线跟踪、UAE数据办公室的执法重点,以及对cookie横幅设计和CMP配置的实际影响。
PDPL的法律框架
PDPL适用于对UAE居民个人数据的处理,无论处理行为发生在UAE境内还是境外,无论控制者或处理者是否在UAE设立。因此其领域外效力与GDPR相同——一家位于伦敦或新加坡、处理UAE居民数据的出版商同样在适用范围之内。监管机构为UAE数据办公室,依据同一立法方案设立,其执法立场审慎但日趋积极。
PDPL的核心原则对任何熟悉GDPR的人而言都不陌生:合法依据、目的限制、数据最小化、准确性、存储限制、完整性与保密性以及问责制。Article 4规定的合法依据包括同意、合同履行、法律义务、重大利益、公共利益及合法利益,每项均有其适用范围和条件。对于在线跟踪而言,相关依据是同意,以及在有限情形下的合法利益。未经同意预先安装收集个人数据的cookie,其违规性质与GDPR下相同。
PDPL下何为个人数据
PDPL对个人数据的定义宽泛,与GDPR高度一致:与已识别或可识别自然人相关的任何数据,包括在线标识符。持续识别设备的cookie、与其他数据一并处理的IP地址、广告ID及指纹式标识符均在适用范围内。数据办公室的实施指引已确认,EU对行为及广告cookie的分析标准在UAE基本适用——区别在于执法架构,而非实质标准。
PDPL还定义了一类具有更严格处理要求的敏感个人数据,涵盖健康信息、基因与生物特征数据、宗教信仰、犯罪记录及类似类别。捕获上述任何数据的cookie须取得明确同意并采取额外保障措施。
PDPL下的Cookie同意
PDPL不像EU ePrivacy Directive那样包含专门针对cookie的条款。同意要求源自Article 6,该条款规定了有效同意的一般标准:必须具体、明确、知情且自愿作出,且数据主体撤回同意须与给予同意同样便捷。数据办公室将该标准解释为要求:
- 明确的肯定性行为,发生在非必要cookie触发之前。持续浏览、滚动或默示同意均不充分。
- 细化类别控制,将严格必要cookie、分析cookie与广告cookie分别区分,访问者可选择性接受或拒绝。
- 清晰的撤回机制,可从任何存在跟踪行为的页面访问,且撤回须立即生效。
- 同意决定的记录留存,足以满足Article 5项下的问责要求。
实际操作上,这与出版商为GDPR所建立的运营标准相同。符合EDPB Cookie横幅工作组标准的横幅即可满足PDPL要求;未能符合该标准的横幅在PDPL审查下同样不合格。
跨境数据传输
PDPL最具特色的内容之一是其跨境传输框架。PDPL Articles 22和23规定了将个人数据传输至UAE境外的条件,其结构与GDPR第五章相平行,但并非完全相同。
充分性认定
PDPL允许数据办公室认定某些国家提供充分保护。目前的名单短于欧洲委员会的认定名单,预计将继续演变。在某国获得认定之前,传输须采用其他合法机制。
标准合同安排
PDPL允许以适当的合同保障措施为基础的传输,结构上类似于EU SCC。许多UAE控制者采用由数据办公室应要求审查的定制合同附录。
特定例外情形
明确同意、合同履行及重大利益例外情形可以适用,但解释范围严格。以同意作为传输的常规依据——在GDPR下通常被视为例外而非系统性做法——在此同样受到类似对待。
对于在线出版商而言,实际影响在于cookie同意记录现在还须支持传输问责义务。如果UAE访问者接受将其数据传输至美国广告技术供应商的cookie,CMP须能够呈现授权该数据流的传输工具。
行业与自由区注意事项
UAE的隐私格局具有多层结构。联邦PDPL广泛适用,但若干自由区——Dubai国际金融中心(DIFC)、Abu Dhabi全球市场(ADGM)及Dubai医疗城——实行各自早于PDPL的数据保护制度。DIFC数据保护法第5号(2020年)和ADGM数据保护法规(2021年)均与GDPR对齐,适用于各自辖区。跨多个区域运营的出版商须协调联邦PDPL与适用自由区框架;多数情况下实质标准趋于一致,但监管渠道有所不同。
数据办公室的信号
UAE数据办公室在执法立场上保持审慎,优先推进能力建设、行业磋商及典型案例处理,而非推行高频罚款制度。公开指引文件强调:
横幅设计
数据办公室采用EDPB式标准进行横幅设计审查,将缺少拒绝按钮、欺骗性链接样式及预勾选复选框视为需整改的常见缺陷。预期标准与欧洲规范趋于一致。
跨境透明度
办公室已发出信号,国际传输将是重点审查领域,尤其是个人数据被路由至未获充分性认定的司法管辖区的情形。传输机制的记录被视为问责要求,而非可选事项。
阿拉伯语披露
尽管PDPL未强制要求阿拉伯语,数据办公室已表明,对于以阿拉伯语受众为主的情形,披露信息应提供阿拉伯语版本,兼顾无障碍访问和证据留存目的。
实用合规清单
针对服务于UAE流量的任何cookie横幅,需回答六个具体问题。
1. 跟踪前的肯定性同意
非必要cookie是否在脚本加载器层面被阻止,直至访问者采取肯定性行动?在已触发的跟踪器上预加载横幅属于当然违规。
2. 细化类别
横幅是否将必要、分析和广告类别分开,并提供独立开关?捆绑"全部接受"而无细化选项属于缺陷。
3. 阿拉伯语可用性
横幅是否检测阿拉伯语访问者并默认以阿拉伯语呈现,以英语作为可切换备选?数据办公室已明确指出语言无障碍问题。
4. 撤回访问
撤回控制是否持续存在且可从每个页面访问?多步骤设置深埋于页脚链接中,不符合"撤回须与给予同样便捷"的标准。
5. 跨境传输记录
对于每个触发国际传输的cookie,传输机制(充分性、合同保障措施、例外情形)是否已记录且可应要求呈现?
6. 同意日志
系统是否记录每次同意决定的时间戳、横幅版本、选择及访问者所在司法管辖区,以便出版商在数据办公室调查时以证据作答?
PDPL在区域格局中的定位
UAE PDPL是近年来在海湾地区相继生效的多个隐私框架之一——沙特阿拉伯PDPL、巴林个人数据保护法、卡塔尔个人数据隐私法及阿曼个人数据保护法均与之并行。区域内实质标准正在向GDPR对齐原则趋同,各国在监管架构、传输机制和行业豁免方面存在差异。对于在整个海湾地区运营的出版商而言,按照更高标准——细化同意、持续撤回、记录传输、阿拉伯语支持、审计级日志——一次性构建合规体系,即可通过处理欧洲合规的同一CMP基础设施应对区域合规需求。UAE在许多方面是区域风向标:数据办公室的行动走向,往往为邻近监管机构所效仿。