根据印度尼西亚通信和信息部的数据,到2025年,全国数字经济有可能达到1460亿美元,到2030年将进一步增加到3300亿美元。随着印度尼西亚技术服务的发展,数据泄漏事件频发,为了进一步保护公民的隐私权、规范在线交易数据收集、使用行为、与国际关系中数据跨境传输接轨,以及协调各部门各行业之间的个人信息保护工作,印度尼西亚迫切需要统一的法律框架来保护公民个人信息。 在此背景下,印度尼西亚有望在今年正式出台单独个人信息保护法案,本文将简要介绍该立法的数据合规要求。
- 数据保护法律体系概况
虽然印度尼西亚政府以及众议院(House of Representatives)已同意就个人数据保护草案(Draft Law on Personal Data Protection,以下简称“PDP”草案)开展工作,但迄今为止,印度尼西亚尚未正式颁布该专门性立法,政府和众议院也将举行多次会议以落实PDP草案。
即使如此,印度尼西亚对于个人数据保护仍可见于其他法律规定之中,如:《电子信息法》(2016年第19号法律),规定了保护个人数据是隐私权的一部分;《关于电子系统中的个人数据保护》(2016年第20号条例),规范了电子系统提供者对个人数据保护的要求,包括将同意作为保护数据的核心基础以及《关于电子系统与交易》(2019年第71号条例)。除此之外,卫生医疗与银行领域也颁布了相关法律规定保护个人数据。通信和信息部(Ministry of Communication and Informatics,以下简称“MOCI”)监督数据处理行为,若PDP草案得以正式颁布实施,MOCI可能会颁布的相关条例和指引,需持续关注。
- 适用范围
- 处理合法性基础
可以对标《个人信息保护法》第13条对印度尼西亚数据处理合法性基础进行交叉理解。
- 数据控制者义务
PDP草案规定了数据控制者的多项义务,具体如下:
- 数据主体权利与保护
印度尼西亚数据保护法律体系下的数据主体权利以及例外情形详见下表:
- 跨境传输
在以下情况下,数据控制者可以将个人数据传输到印度尼西亚管辖范围之外。
- 法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
- 行政处罚:
- 书面警告;
- 暂时停止个人数据处理活动;
- 删除或销毁个人数据;
- 赔偿; 和/或
- 行政罚款。
- 刑事处罚:故意或非法使用他人个人数据:最高7年的监禁或最高700亿印尼盾的罚款;附加处罚:没收利润和/或财产、没收犯罪所得并支付赔偿金的形式追加处罚。
以上为我们对印度尼西亚数据合规的重点解读,即使印度尼西亚政府在大力推进PDP草案颁布进程,但仍无法明确其正式出台日期,在PDP草案正式生效前,出海印度尼西亚的企业可参考《电子信息法》、《关于电子系统中的个人数据保护》以及《关于电子系统与交易》规范自身数据处理行为。
