印度尼西亚作为东南亚核心经济体,是中国企业出海东南亚的关键布局市场,当地个人数据与数据保护相关法律法规体系兼具本土特色与区域合规要求。掌握印度尼西亚数据合规规则,开展企业合规自查与整改,能有效降低法律与商业风险,避免对企业海外发展及品牌信誉造成负面影响。
一、立法及执法体系
1.立法框架
· 法律法规
印度尼西亚在个人数据保护方面的综合性法律文件为2022年颁布的《个人数据保护法》(Law No.27 of 2022 regarding Personal Data Protection,以下简称“印尼PDPL”),是印度尼西亚首部关于个人数据保护综合性法律,使之前零散分布的个人数据保护法律规定更加体系化。
印尼在2023年发布了《个人数据保护法实施条例草案》(Draft Government Regulation on the Implementation of the PDP Law,以下简称“实施条例”),用于细化2022年印尼PDPL的实操规则,但其正式版本仍未获得印尼总统签署颁布,暂未落地生效。
· 国际协作
印尼作为东盟成员国,参与东盟区域内数据跨境流动规则的制定与落地,推动东盟成员国间的数据保护协作与规则互认。同时,印尼积极与亚太地区经济体开展数据保护合作,逐步接轨国际数据保护标准,但暂未与中国等达成数据跨境充分性认定。
2.监管与责任
· 监管机构
在专门的国家数据保护机构(PDP Agency)正式设立之前,印度尼西亚通信和数字事务部将继续负责监督数字空间《个人数据保护法》的实施工作——其职责包括监测注册服务商运营的电子系统,通过特定评估工具核查服务运营商等机构是否遵守个人数据保护相关规定。
· 法律责任
印尼PDPL明确了行政、民事、刑事三重法律责任。行政处罚方面,违规企业最高可处年收入或营业额的2%;民事责任上,数据处理者需对因违规处理造成的数据主体损失承担赔偿责任;刑事责任针对故意泄露、篡改、非法交易个人数据等严重行为,相关责任人可被处以有期徒刑及罚金,具体刑期与罚金数额根据违规情节轻重界定。
二、个人及特殊个人数据
1. 个人数据
“个人数据”是指指通过电子或非电子系统,单独或结合其他信息直接、间接识别或可识别特定个人的相关数据,包括姓名、性别、国籍、宗教信仰、婚姻状况等数据。
2. 特殊个人数据
· 定义
指处理后可能对数据主体造成更大损害(如歧视、重大损失)的个人数据。
· 特殊个人数据包括:
(1)健康数据与信息:指与个人身体健康、心理健康和/或医疗服务相关的记录或说明;
(2)生物识别数据:指与个人身体、生理或行为特征相关,可实现个人唯一识别的数据,如面部图像、指纹数据,还包括指纹、视网膜、DNA 样本等具有唯一性的个人特征数据;
(3)基因数据:指与个人先天遗传或早期产前发育特征相关的各类数据;
……
三、处理个人数据的核心合规要求
1. 核心原则(印尼PDPL第16条)
· 数据处理具有限制性、特定性、合法性和透明度
· 符合预设处理目的
· 保障数据主体权利
· 数据准确、完整、无误导、及时更新且可追溯
· 采取保护措施,防止数据被非法访问、披露、篡改、滥用、丢失、损坏
……
(1)儿童个人数据处理:处理儿童个人数据,必须依据法律法规取得其父母和/或监护人的同意。
(2)残障人士个人数据处理:处理残障人士个人数据,需依据法律法规通过特定沟通方式进行;必须依据法律法规取得其本人和/或监护人的同意。
2. 合法性基础
印度尼西亚原则上要求处理个人数据必须获得数据主体的同意,但也同样提供了同意之外的其他个人数据处理的合法依据,包括:
(1)数据主体针对控制者告知的一项或多项特定目的,作出的合法明示同意;
(2)为履行合同义务(数据主体为合同一方),或为满足数据主体签订合同前的要求;
(3)为履行控制者的法定义务;
……
· 数据控制者应告知的内容:
印尼PDPL第21条规定,如果数据控制者基于“数据主体的合法明示同意”进行数据处理时,控制着必须向数据主体告知以下信息,同时,若以下信息发生变更时,数据控制者必须在变更前告知数据主体:
(1)数据处理的合法性依据;
(2)数据处理目的;
(3)拟处理的个人数据类型及相关性;
……
· 告知形式:
(1)个人数据处理的同意需以书面或可记录的形式作出,包括电子与非电子的形式,且不同形式具备同等的法律效力;
(2)若同意包含其他处理目的,该同意的提出需满足:
a.可与其他内容明确区分;
b.格式易懂、易获取;
c.使用简洁、明确的语言(印尼语)。
· 数据主体撤回同意后的处理终止:
(1)数据主体撤回处理同意后,控制者必须终止相关个人数据处理;
(2)收到同意撤回申请后,控制者必须在72小时内完成处理终止。
3.个人数据保护失效的告知义务(印尼PDPL第46条)
· 定义
个人数据保护失效是指在个人数据的保密性、完整性和可用性方面,未能履行保护义务的情形,包括故意或过失的安全侵权行为,导致数据在传输、存储或处理过程中被损坏、丢失、篡改、披露或非法访问。
· 告知时间与形式
若发生个人数据保护失效,个人数据控制者必须在最迟 3×24(七十二)小时内,以书面形式向个人数据主体和个人数据保护机构发出通知。
· 告知内容
(1)个人数据泄露的时间和方式;
(2)泄露的个人数据内容;
(3)个人数据保护失效的影响,以及个人数据控制者为处理和恢复泄露的个人数据所采取的措施。
· 在特定情形下(如影响公共服务、损害社会公共利益),控制者必须向社会公众告知数据保护失效事件。
· 若个人数据保护失效未导致个人数据泄露,则无需履行前述的通知义务。
4.个人数据保护影响评估(印尼PDPL第34条)
指对个人数据处理行为产生的潜在风险进行评估,并制定风险缓解措施的行为,包括保护数据主体权利、遵守本法规定的相关措施。前款所述高潜在风险的个人数据处理包括:
(1)作出对数据主体产生法律后果或重大影响的自动化决策;
(2)处理特殊个人数据;
(3)大规模处理个人数据;
(4)为对数据主体进行系统性评估、评分或监控而处理数据;
(5)为数据匹配或合并而处理数据;
(6)采用新技术处理个人数据;和 / 或
(7)限制数据主体权利行使的个人数据处理。
5.控制者数据安全保障义务(印尼PDPL第35条)
措施如下:
· 制定并实施技术操作措施,防止数据处理行为违反法律法规
· 根据数据处理中需保护的个人数据的性质和风险,确定数据安全等级
6.个人数据保护官(印尼PDPL第53条)
指负责确保个人数据保护原则得到遵守,并缓解保护侵权风险的专员/工作人员。
· 强制任命情形:
(1)为公共服务目的进行的个人数据处理;
(2)个人数据控制者的核心活动具有需要对个人数据进行定期、系统性监控的性质、范围和/或目的,且监控规模较大
(3)个人数据控制者的核心活动包括对特殊类别个人数据和/或与刑事犯罪相关的个人数据进行大规模处理。
· 资质和岗位要求:
个人数据保护官员的指定,需依据其专业能力、数据保护法律知识、实务经验及履职能力。
· 职责要求
(1)告知并建议控制者/处理者遵守本法规定;
(2)监督并确保控制者/处理者遵守本法及内部政策;
(3)为数据保护影响评估提供建议,并监督控制者/处理者的执行情况;
(4)协调并担任数据处理相关问题的联络人。
· 履行前款职责时,专员/工作人员需结合数据处理的性质、范围、背景和目的,关注相关风险;
四、个人数据跨境处理
1.跨境传输条件
根据印尼PDPL规定,控制者将个人数据转移至印尼境外的控制者和/或处理者需满足以下条件:
· 控制者必须确保数据接收方所在国家的个人数据保护水平,等同于或高于本法规定(暂无白名单国家清单)
· 若未满足前项要求,控制者必须确保存在充分、有约束力的个人数据保护措施
· 若未满足前两项的要求,控制者必须取得数据主体的同意。
2.实施条例针对个人数据跨境传输豁免条件的细化指引(鉴于实施条例还未正式生效,品牌方若需相关信息请联系中申连锁外服)
结语
印尼个人数据保护法规体系虽落地时间较短,但监管要求严格,跨境传输设置了明确的硬性规则,是中国企业出海印尼的核心合规门槛。建议出海企业吃透印尼PDPL及行业专项规则,搭建符合印尼要求的数据保护体系,及时适配监管规则的更新调整,降低长期合规风险,支撑企业在印尼市场的稳定经营与发展。