近年来，阿拉伯联合酋长国（UAE）加入了越来越多的中东和北非国家（MENA）的行列，开始立法保护数据隐私。这是一个令人鼓舞的步骤，有助于建立一个区域和国际框架，供各组织在保护个人数据方面遵循。然而，在同一时期，阿联酋政府被指控（错误地）使用数据来监督本国公民和打消异议。对于在阿联酋做生意的公司来说，克服这些法律和道德矛盾可能是一项挑战，尤其是考虑到缺乏独立的国家媒体来报道事实。（记者无国界组织2019年新闻自由指数在180个国家中排名第133位）。这里，我们来看看阿联酋的数据隐私现状。我们将检查目前的法律和即将出台的新法律。我们还将讨论在这样一个大数据处理方式在某些方面是进步的，而在另一些方面是专制的国家，公司如何运作。阿联酋和自由区的数据隐私法目前，阿联酋的数据隐私法是复杂和零碎的。这在一定程度上是由于阿联酋在联邦管辖区和阿联酋自由区之间不寻常的划分，这两个地区受各自的法律管辖。自由区法律迪拜国际金融中心（DIFC）和阿布扎比全球市场（ADGM）都制定了数据保护法，GSMA称之为"与其他发达国家的数据保护法基本一致"。2019年7月，迪拜国际金融中心宣布计划更新其2007年的数据保护法，纳入欧盟通用数据保护条例（GDPR）和加利福尼亚消费者隐私法（CCPA）的内容。ADGM在2018年通过了几项受GDPR启发的数据保护法修正案，包括对数据控制者提出更严格的报告违规行为的要求，并提高违规行为的最高罚款。国家法律在联邦层面上，阿联酋还没有制定全面的数据隐私立法，尽管有法律管理特定部门，并有迹象表明，进一步的监管正在进行中。电信管理局政策和项目部主任Mohammad Al-Zarooni说，一项类似于GDPR的联邦法律正在制定中。扎鲁尼特别表示，阿联酋政府计划在未来三年内实施60项数据安全计划，从公用事业、卫生和农业等关键基础设施入手。2019年2月，阿联酋发布了2019年第2号联邦法律（称为"健康数据法"），该法强调了与GDPR相同的许多概念，尽管有一些重大偏离。除其他外，该法对以下方面有具体要求：*数据保留：提供者必须保留信息至少25年，从病人最后一次手术之日算起。GDPR并不同意这一要求，事实上，它要求数据的保存时间不得超过处理所需的时间。*数据本地化：法律禁止将健康数据传输到阿联酋境外，但有一些例外。*数据处理：医疗机构必须确保数据准确、安全，仅用于预期目的，未经同意不得共享数据。*数据安全：《健康数据法》与《全球数据保护条例》相一致，要求企业遵守保护健康数据的国际最佳做法，并明确规定只有经授权的人员才能访问健康数据。*数据集中：该法规定建立一个由卫生部运营的集中数据管理系统，通过该系统，卫生服务提供者可以访问、存储和交换数据。阿联酋还发布了国家物联网（IoT）监管框架，该框架由GDPR提供信息，并强调了目的限制（仅用于声明目的的数据）、数据最小化（不收集超过处理所需的数据）的重要性，以及存储限制（可识别数据只存储为处理所需的时间）。法律还要求，任何提供物联网服务的实体，无论其总部在哪里，都必须在政府登记。应对对阿联酋监控状况的担忧虽然阿联酋推动的数据隐私立法使他们与其他国家保持一致，但如果不检查政府在哪些方面未能尊重其境内人民的隐私，就不可能对阿联酋的隐私做出公正的评估。2019年初，路透社披露了"乌鸦计划"的故事，这是一个由阿联酋政府实施的秘密计划，目的是监视阿联酋的记者、活动人士和异见人士。这个项目主要由前国家安全局雇员管理，使用了一种叫做Karma的尖端网络战工具，特工们可以远程访问目标的iphone，以及其中的所有照片、文本和位置信息。"乌鸦计划"不仅监视阿联酋公民，还监视包括美国人在内的外国人，这一事件促使人们呼吁对情报官员在被外国雇佣时如何使用专门的网络战工具施加更大的限制。然后，在2019年12月，《纽约时报》报道说，在阿联酋（Skype和WhatsApp受到限制）流行的短信应用程序ToTok实际上是一个间谍工具，旨在"试图追踪安装在手机上的人的每一次谈话、动作、关系、约会、声音和图像"。更令人不安的是，《泰晤士报》发现，该应用程序母公司的员工在LinkedIn上吹嘘，他们的工具能够从数十亿个视频源中找到个人面孔。为了应对这些担忧，苹果和谷歌都将ToTok从他们的应用商店中删除（不过谷歌后来恢复了它），而且它已经被世界各地的用户下载了数百万次。阿联酋政府一贯否认其数据收集政策有任何邪恶之处。电信监管局（TRA）对ToTok事件的回应是，它"实施严格的标准来保护用户的隐私，这符合国际标准。"然而，阿联酋也因公开反对政府而将人权活动人士监禁，并在2019年，一名英国女子因在脸书上称前夫新妻为"马"而被拘留。ToTok的曝光使得阿联酋数据隐私合规成为一个微妙的平衡点。IAM如何帮助将风险降至最低。"在推特上留言鉴于这些故事，企业应该批判性地思考阿联酋政府坚持将数据存储在本地，推动数据集中管理平台，以及对政府注册的要求。在阿联酋开展业务时管理数据隐私目前，在阿联酋处理数据需要微妙的平衡。企业必须遵守现行法律，为可能的演变做好准备，并仔细考虑在一个数据容易被滥用的国家工作时如何遵守法律。在合规方面，阿联酋法律最苛刻的方面涉及本地化和保留。在阿联酋开展业务需要企业能够访问本地服务器，并承诺在这些服务器上存储数年的数据。同时，阿联酋对安全的要求集中在访问管理上，像Auth0这样的身份平台可以确保对敏感数据的访问限制在正确的人身上。撇开合规性不谈，企业应谨慎对待阿联酋的数据。检查您的数据收集策略，以确保您没有潜在地危及您的用户。培训你派往阿联酋的任何员工如何降低风险，包括在他们的个人设备上。"当阿联酋正在制定类似GDPR的数据隐私法时，请了解如何应对当前的数据隐私要求。"在推特上留言使数据隐私成为一个持续的项目对于在阿联酋做生意的公司来说，当涉及到以合法、道德和盈利的方式使用数据时，几乎没有简单的答案。相反，随着法律、政治、网络安全威胁和最佳实践的发展，在尊重用户安全的同时实现法规遵从性是一个需要不断讨论的话题。不过，幸运的是，您不必独自处理这些复杂的问题。在Auth0，数据隐私和安全性是我们平台上每一项功能的核心，我们一直在全球范围内关注数据隐私立法。联系我们的专业专家，了解正确的身份和访问管理平台是如何使您的数据策略适应不断变化的法律和时代的关键。关于Auth0Auth0为应用程序、设备和用户提供了一个验证、授权和安全访问的平台。安全性和应用程序团队依赖Auth0的简单性、可扩展性和专业知识，使身份对每个人都有效。Auth0每月维护超过45亿次登录交易，确保身份安全，从而使创新者能够进行创新，并使全球企业能够为其全球客户提供可靠、卓越的数字体验。更多信息，请访问https://auth0.com或在Twitter上关注@auth0。Auth0文档在几分钟内实现身份验证OAuth2和OpenID连接：专业指南获取免费电子书！.灯箱{宽度：100%；身高：