官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
根据印度尼西亚通信和信息部的数据,到2025年,全国数字经济有可能达到1460亿美元,到2030年将进一步增加到3300亿美元。随着印度尼西亚技术服务的发展,数据泄漏事件频发,为了进一步保护公民的隐私权、规范在线交易数据收集、使用行为、与国际关系中数据跨境传输接轨,以及协调各部门各行业之间的个人信息保护工作,印度尼西亚迫切需要统一的法律框架来保护公民个人信息。 在此背景下,印度尼西亚有望在今年正式出台单独个人信息保护法案,本文将简要介绍该立法的数据合规要求。
数据保护法律体系概况
虽然印度尼西亚政府以及众议院(House of Representatives)已同意就个人数据保护草案(Draft Law on Personal Data Protection,以下简称“PDP”草案)开展工作,但迄今为止,印度尼西亚尚未正式颁布该专门性立法,政府和众议院也将举行多次会议以落实PDP草案。
即使如此,印度尼西亚对于个人数据保护仍可见于其他法律规定之中,如:《电子信息法》(2016年第19号法律),规定了保护个人数据是隐私权的一部分;《关于电子系统中的个人数据保护》(2016年第20号条例),规范了电子系统提供者对个人数据保护的要求,包括将同意作为保护数据的核心基础以及《关于电子系统与交易》(2019年第71号条例)。除此之外,卫生医疗与银行领域也颁布了相关法律规定保护个人数据。通信和信息部(Ministry of Communication and Informatics,以下简称“MOCI”)监督数据处理行为,若PDP草案得以正式颁布实施,MOCI可能会颁布的相关条例和指引,需持续关注。
适用范围
适用范围 | 具体内容 |
适用情形 | 1. 域内实体 适用于在印度尼西亚管辖范围内的个人、组织以及公共机构。 2. 域外实体 适用于在印度尼西亚管辖范围外的个人、组织以及公共机构: (1) 在印度尼西亚境内造成法律后果;和/或 (2) 影响印度尼西亚公民。 |
处理合法性基础
可以对标《个人信息保护法》第13条对印度尼西亚数据处理合法性基础进行交叉理解。
中国 | 印尼 |
1. 取得个人的同意; 2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 3. 为履行法定职责或者法定义务所必需; 4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; 6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 7. 法律、行政法规规定的其他情形。 | 1. 取得数据主体的同意; 2. 履行数据主体为一方的协议或在签订协议时满足数据主体的要求; 3. 履行数据控制者的法律义务; 4. 保护数据主体的合法切身利益; 5. 履行数据控制者的法律规定的权力; 6. 为履行数据控制者为公共利益而承担的公共服务义务;和/或 7. 通过考虑数据控制者的目标、需求和利益平衡以及数据主体的权利来实现其他合法利益。 |
数据控制者义务
PDP草案规定了数据控制者的多项义务,具体如下:
序号 | 义务类型 | 义务内容 |
1 | 同意义务 | 数据控制者在处理个人数据之前需征得同意,但豁免除外。 |
2 | 目的限制义务 | 数据控制者应在合法、具体、适当的范围内处理个人数据。 |
3 | 通知义务 | 数据控制者应告知数据主体个人数据处理的目的、处理的个人数据的类型和相关性、个人数据的保留期限、数据主体的权利等。 |
4 | 准确性义务 | 数据控制者应以准确、完整、无误导、最新且负责任的方式处理个人数据。 |
5 | 保护义务 | 数据控制者必须避免未经授权的访问、未经授权的披露、未经授权的更改、滥用、破坏和/或个人数据丢失。 |
6 | 保留限制义务 | 数据控制者应在个人数据保留期结束后或应数据主体的要求销毁和/或删除。 |
7 | 记录义务 | 数据控制者需要记录所有个人数据处理活动。 |
8 | 数据转移限制义务 | 在某些情况下,数据控制者可以将个人数据转移到印度尼西亚管辖范围外。 |
9 | 保密义务 | 数据控制者有义务保密个人数据,特殊情况除外。 |
10 | 数据泄漏通知义务 | 如果发生数据泄露,数据控制者必须在72小时内以书面形式通知数据主体和MOCI,PDP草案规定了通知的内容。 |
11 | 数据保护官任命义务 | 在某些情况下,数据控制者需任命执行个人数据保护职能的官员。 |
数据主体权利与保护
印度尼西亚数据保护法律体系下的数据主体权利以及例外情形详见下表:
数据主体权利 |
1. 知情权 数据控制者应告知数据主体个人数据处理的目的、处理的个人数据的类型和相关性、个人数据的保留期限、数据主体的权利等。 2. 访问权 数据主体有权访问其个人数据,数据控制者应在规定的时间内响应。 3. 整改权 数据主体有权要求更新和/或更正其个人数据中的错误和/或不准确之处,数据控制者应在规定的时间内响应。 4. 删除权 数据主体有权要求数据控制者终止处理、删除和/或销毁其个人数据,数据控制者应在规定的时间内响应。 5. 撤回同意权 数据主体有权撤回已给予数据控制者对其个人数据处理的同意。 6. 反对受自动决策决定的权利 数据主体有权反对仅基于自动处理个人数据的决策行动。 7. 选择权 数据主体有权选择或不选择出于某些目的通过假名机制处理个人数据。 8. 限制处理权 数据主体有权根据处理个人数据的目的限制个人数据的处理,数据控制者应在规定的时间内响应。 9. 获得损害赔偿的权利 数据主体有权获得因违法违规处理其个人数据的赔偿。 10. 数据可移植权 数据主体有权以符合常用的结构和/或格式或电子系统以读取的形式从数据控制者处获取其个人数据,或发送其个人数据给其他数据控制者。 |
数据主体权利例外情形 |
对于删除权、撤回同意权、反对受自动决策决定权、选择权、限制处理权、数据可移植权,PDP草案规定了例外情况: 1. 国防安全利益; 2. 执法过程的利益; 3. 国家行政范围内的公共利益; 4. 金融服务部门、货币、支付系统和金融系统稳定的监管利益;或者 5. 为统计目的和国家行政范围内的科学研究。 |
跨境传输
在以下情况下,数据控制者可以将个人数据传输到印度尼西亚管辖范围之外。
法律要求 | 具体内容 |
允许跨境传输的情形 | 1. 接收方住所地国家或接收个人数据转移的国际组织的个人数据保护水平等于或高于PDP草案规定的水平; 2. 国家之间有国际协定; 3. 数据控制者之间存在合同,该合同具有根据PDP草案规定的保护个人数据的标准和/或保证; 和/或 4. 获得数据主体的同意。 |
法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
行政处罚:
书面警告;
暂时停止个人数据处理活动;
删除或销毁个人数据;
赔偿; 和/或
行政罚款。
刑事处罚:
故意或非法使用他人个人数据:最高7年的监禁或最高700亿印尼盾的罚款;附加处罚:没收利润和/或财产、没收犯罪所得并支付赔偿金的形式追加处罚。
以上为我们对印度尼西亚数据合规的重点解读,即使印度尼西亚政府在大力推进PDP草案颁布进程,但仍无法明确其正式出台日期,在PDP草案正式生效前,出海印度尼西亚的企业可参考《电子信息法》、《关于电子系统中的个人数据保护》以及《关于电子系统与交易》规范自身数据处理行为。
- 0 文章数
- 0 关注者