根据印度尼西亚通信和信息部的数据,到2025年,全国数字经济有可能达到1460亿美元,到2030年将进一步增加到3300亿美元。随着印度尼西亚技术服务的发展,数据泄漏事件频发,为了进一步保护公民的隐私权、规范在线交易数据收集、使用行为、与国际关系中数据跨境传输接轨,以及协调各部门各行业之间的个人信息保护工作,印度尼西亚迫切需要统一的法律框架来保护公民个人信息。 在此背景下,印度尼西亚有望在今年正式出台单独个人信息保护法案,本文将简要介绍该立法的数据合规要求。
01
虽然印度尼西亚政府以及众议院(House of Representatives)已同意就个人数据保护草案(Draft Law on Personal Data Protection,以下简称“PDP”草案)开展工作,但迄今为止,印度尼西亚尚未正式颁布该专门性立法,政府和众议院也将举行多次会议以落实PDP草案。
即使如此,印度尼西亚对于个人数据保护仍可见于其他法律规定之中,如:《电子信息法》(2016年第19号法律),规定了保护个人数据是隐私权的一部分;《关于电子系统中的个人数据保护》(2016年第20号条例),规范了电子系统提供者对个人数据保护的要求,包括将同意作为保护数据的核心基础以及《关于电子系统与交易》(2019年第71号条例)。除此之外,卫生医疗与银行领域也颁布了相关法律规定保护个人数据。通信和信息部(Ministry of Communication and Informatics,以下简称“MOCI”)监督数据处理行为,若PDP草案得以正式颁布实施,MOCI可能会颁布的相关条例和指引,需持续关注。
02
03
可以对标《个人信息保护法》第13条对印度尼西亚数据处理合法性基础进行交叉理解。
04
PDP草案规定了数据控制者的多项义务,具体如下:
05
印度尼西亚数据保护法律体系下的数据主体权利以及例外情形详见下表:
06
在以下情况下,数据控制者可以将个人数据传输到印度尼西亚管辖范围之外。
07
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
以上为我们对印度尼西亚数据合规的重点解读,即使印度尼西亚政府在大力推进PDP草案颁布进程,但仍无法明确其正式出台日期,在PDP草案正式生效前,出海印度尼西亚的企业可参考《电子信息法》、《关于电子系统中的个人数据保护》以及《关于电子系统与交易》规范自身数据处理行为。