导语:
当海湾地区的数字化转型加速,阿曼正用一部严格的数据保护法,为外国投资者设立新的市场准入标准。阿曼,这个扼守霍尔木兹海峡的苏丹国,正积极推进“2040愿景”经济多元化战略。随着数字经济占比提升,个人数据保护成为该国法治化营商环境的重要一环。
对于中资企业而言,无论是已在阿曼经营多年的石油服务商、基建承包商,还是新进入的电商平台、金融科技公司,都必须面对一个现实:阿曼《个人数据保护法》已全面落地,合规不再是选择题,而是生存题。
PART 01
法律框架
从皇家法令到实施细则
PART 02
核心合规要点
七个必须掌握的维度
PART 03
处罚体系
高达130万美元的“合规警示”
PART 04
对中企出海的特定影响与应对策略
PART 05
结语
法律框架
从皇家法令到实施细则
阿曼的数据保护体系以皇家法令第6/2022号颁布的《个人数据保护法》(PDPL)为核心。该法于2022年发布,2023年2月正式生效,随后在2024年通过第34/2024号部长决定发布了配套的执行条例,进一步细化了各项合规要求。
关键节点:
2022年:皇家法令第6/2022号颁布PDPL
2023年2月:法律正式生效
2024年:执行条例(第34/2024号部长决定)发布,明确具体操作细则
2026年:监管机构执法力度持续加强,进入全面执行阶段
法律条文参考:
皇家法令第6/2022号《个人数据保护法》第1-3条:立法目的、适用范围和关键定义
同法第12-18条:数据主体权利(访问、更正、删除、反对等)
执行条例(第34/2024号部长决定)第5-9条:同意机制的具体要求
同执行条例第22-25条:数据保护官的任命条件与职责
核心合规要点
七个必须掌握的维度
适用范围:域外效力的“长臂管辖”
阿曼PDPL具有明确的域外适用效力,管辖以下情形:
在阿曼境内设立的数据控制者或处理者
虽未在阿曼设立,但向阿曼境内个人提供商品或服务的外国实体
监控阿曼境内个人行为的外国实体
对中企的影响:许多中国企业的阿曼业务通过远程方式开展(如跨境电商、SaaS服务),即使没有当地实体,只要处理阿曼居民个人数据,就必须遵守PDPL。
同意机制:书面、明确、可撤回
PDPL对同意的要求极为严格:
必须获得数据主体的明确书面同意(法律规定的例外情形除外)
同意必须是自由、具体、知情且毫不含糊的
禁止使用预选勾选框或默认同意
撤回同意的途径必须与给予同意时同样简便
敏感数据的处理需要更高标准的同意
实操建议:中企的隐私政策和用户注册流程必须针对阿曼市场单独设计,确保同意机制符合当地语言(阿拉伯语)和文化习惯。
数据主体权利:八大权利体系
阿曼PDPL赋予数据主体以下核心权利:
1) 知情权:了解数据收集的目的、接收方、存储期限等
2) 访问权:获取其个人数据的副本
3) 更正权:要求修正不准确或不完整的数据
4) 删除权(被遗忘权):在特定条件下要求删除数据
5) 限制处理权:在争议期间暂停数据处理
6) 反对权:反对基于特定目的的处理
7) 可携权:以结构化、通用格式获取数据并传输给其他控制者
8) 不受自动化决策约束权:反对完全由算法做出的重要决定
法律条文参考:PDPL第12-18条系统规定了上述权利及其行使程序。
数据保护官:强制性任命条件
根据执行条例,以下情况必须任命数据保护官(DPO):
政府部门和公共机构
核心业务涉及大规模系统化监控的企业
大规模处理敏感数据的企业
其他执行条例规定的特定情形
DPO必须具备专业知识,直接向最高管理层汇报,并保持独立履职。其联系方式必须在监管机构备案。
数据跨境传输:严格限制下的“四条路径”
阿曼对个人数据的跨境传输设置了严格限制,基本逻辑是:禁止向保护水平低于阿曼的国家传输,除非满足特定条件。
合法传输的路径:
1) 充分性认定:目的地国家被阿曼监管机构认定为提供充分保护(目前尚未公布名单)
2) 适当保障措施:采用标准合同条款、有约束力的公司规则等
3) 数据主体明确同意:已充分告知传输风险并获得明确书面同意
4) 法定例外:履行合同、保护重大公共利益、法律要求等
对中企的挑战:中国尚未被认定为“充分保护国家”,从阿曼向中国总部传输员工或客户数据,必须通过其他三条路径之一获得合法性基础。使用标准合同条款是最可行的方案。
数据安全与泄漏通知
安全保障义务:
实施适当的技术和组织措施保护个人数据
进行数据保护影响评估(DPIA)
建立数据安全政策和内部流程
泄漏通知要求:
向监管机构报告:发现数据泄露后必须在规定时限内向交通、通信和信息技术部(MTCIT)报告
向数据主体通知:当泄露可能对其权利和自由构成高风险时
记录保存:所有数据泄露事件必须记录在案,供监管机构检查
数据本地化倾向:敏感数据的特殊要求
虽然PDPL未强制要求所有数据本地化,但执行条例对敏感数据和重要数据的存储和处理提出了更严格要求。实际操作中,许多企业选择将阿曼个人数据存储在本地或海湾地区的数据中心,以降低合规风险。
处罚体系
高达130万美元的“合规警示”
阿曼PDPL的处罚力度在海湾国家中属于第一梯队:
行政罚款:最高可达50万阿曼里亚尔(约合130万美元)
业务制裁:吊销营业执照、暂停数据处理活动
刑事处罚:严重违规可能面临监禁
双重处罚:企业及其负责人可能同时被追责
公开通报:重大违规案件可能被监管机构公开曝光
处罚裁量因素:
违规的性质、严重程度和持续时间
受影响数据主体的数量和数据类型
企业是否采取了补救措施
是否属于重复违规
法律条文参考:PDPL第37-42条详细规定了处罚体系和程序。
对中企出海的特定影响与应对策略
影响一:市场准入门槛提高
许多中企在阿曼参与基建、能源项目,需要处理大量阿曼籍员工的个人数据。PDPL合规已成为投标资格预审的隐性要求,不合规可能导致错失商机。
应对:将数据合规纳入项目前期规划,提前投入资源建设合规体系。
影响二:总部与分支的数据流动受限
从阿曼子公司向中国总部传输员工信息、客户数据,必须通过标准合同条款等机制获得合法性基础。
应对:由集团法务牵头,统一设计跨境传输的合规框架,避免各子公司自行其是。
影响三:科技类企业的“产品合规”要求
电商、金融科技、SaaS服务等企业进入阿曼市场,产品设计必须融入“隐私默认设置”,用户界面和同意机制需符合当地要求。
应对:在进入市场前完成产品合规改造,将数据保护要求纳入开发流程。
影响四:与本地合作伙伴的合规协同
与阿曼本地企业合资合作时,需要确保对方的数据保护水平符合PDPL要求,否则可能承担连带责任。
应对:在合作协议中加入数据保护条款,要求合作方提供合规证明,定期审查其合规状况。
影响五:争议解决与监管沟通
MTCIT的执法方式和监管风格可能与国内不同,应对监管调查需要专业的本地支持。
应对:建立与当地律所、咨询机构的合作关系,确保在监管介入时能获得及时、专业的支持。
结 语
阿曼的数据保护法不是孤立的国内立法,而是海湾合作委员会(GCC)国家数据保护浪潮的一部分。与沙特、阿联酋、卡塔尔等国的法律相比,阿曼PDPL在结构和要求上与GDPR高度相似,但又有独特的本地化特征。
对中国企业而言,阿曼是一个合规难度适中但处罚严厉的典型市场。在这里建立起的数据合规体系,完全可以成为企业进入其他海湾国家乃至整个中东市场的标准化作业程序。
合规不是成本,是出海的预装系统。在阿曼,这个系统已经开始强制运行,而且检查力度正在逐年加强。现在启动合规建设,是为未来十年的中东业务铺平道路。
如果您的企业有出海阿曼🇴🇲的计划,需要专业的支持与协助,欢迎随时联系我们。
#出海 #阿曼 #出海阿曼 #数据合规 #跨境许可 #阿曼劳动法 #阿曼投资 #合规 #跨境合规 #中国企业出海 #海外投资 #海外市场 #海外劳动法 #DeepSeek #环球法律动态 #出海交流社群 #合规法律咨询 #投资指南 #跨境贸易法律服务 #涉外法律交流群 #中企出海 #劳动法 #工会 #出海企业工会 #数据隐私 #EOR
[参考资料]
1. 阿曼《个人数据保护法》(皇家法令第6/2022号)官方门户):https://decree.om/2022/rd20220006/
2. 交通、通信和信息技术部(MTCIT)官方网站:https://mtcit.gov.om/
3. 第34/2024号部长决定(执行条例):该执行条例尚未在公开网络发布标准化英文链接
4. DataGuidance - 《阿曼:如何落地数据保护法》:https://www.dataguidance.com/opinion/oman-operationalizing-data-protection-law-how-put
5. Kiteworks - 《阿曼数据安全标准》:https://www.kiteworks.com/cybersecurity-risk-management/oman-data-security-standards/
6. Ardent Privacy - 《阿曼PDPL与银行业:金融机构的关键合规义务》:https://www.ardentprivacy.ai/blog/omans-pdpl-and-the-banking-sector-key-compliance-obligations-for-financial-institutions/
7. Ardent Privacy - 《阿曼个人数据保护法全面解析》:https://www.ardentprivacy.ai/omans-personal-data-protection-law/
8. PwC - 《阿曼数据隐私手册》https://www.pwc.com/m1/en/services/consulting/documents/oman-data-privacy-handbook.pdf
9. Wizuda - 《MFT软件与阿曼PDPL合规》:https://wizuda.com/blog/mft-software-omani-pdpl/
10. SearchInform - 《阿曼PDPL 2026全面执法:DLP合规指南》:https://searchinform.com/blog/2026/2/18/oman-pdpl-2026-full-enforcement-dlp-compliance/
往期精选
境外律师专访系列
出海法务室播客系列
关于我们
LAW PURPOSE
律意是一家创新型综合性跨境法律服务平台。
基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球156个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系/关注我们
小管家微信
小红书
知乎
播客
电话:+86 021 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7楼728
