跳转到主要内容

印度尼西亚的第一部数据保护法,即《个人数据保护法》,是以欧盟的《通用数据保护条例》(EU GDPR)为基础的。新法律明确规定了获取和处理个人数据的法律依据类型,并对违反法律规定的人规定了严格的刑事和行政制裁。其中包括高达公司年收入2%的公司罚款。

经过多年的讨论和延期,2022年9月下旬,印度尼西亚颁布了第一部个人数据保护法(PDP法)。重要的是,该法律获得批准的速度之快,正值该国近几个月发生了一系列备受瞩目的数据泄露事件,国家网络和加密局(National Cyber and Encryption Agency)正在调查名为“比约卡”(Bjorka)的黑客声称他们可以访问政府机密数据的说法。PDP法严格基于欧盟通用数据保护条例(EU GDPR)。

根据印尼新的《个人数据保护法》,当地企业和国际公司将对其处理印尼消费者数据的方式负责。该法律规定,如果发生数据泄露,公司将被处以高达公司年收入2%的罚款,个人也将面临高达60亿卢比(40万美元)的罚款。

仅2022年第一季度,印尼公民和机构遭受的网络攻击就达到1180万次,比2021同期增加了22%。此外,根据国际刑警组织的报告,印尼遭受的勒索软件攻击比东南亚任何其他国家都多。

在《个人数据保护法》出台之前,管理个人数据使用的规则分散在不同的法律中,这使得消费者很难追究企业滥用个人数据的责任。

印度尼西亚个人数据保护法的主要特点是什么?

个人数据主体、控制者和处理者

数据主题

《个人数据保护法》引入了“个人数据主体”一词,该词被定义为个人数据所属的人。数据主体有权获得有关其个人数据被请求的原因以及如何使用的信息。他们还可以要求更正任何不正确的个人数据,并可以撤回处理个人数据的同意。

个人数据控制器

数据控制者是对个人数据处理进行控制的任何个人、公共机构或组织。

个人数据处理器

数据处理者是指代表数据控制者对个人数据处理进行控制的任何个人、公共机构或组织。

数据控制者和处理者必须确保处理的个人数据的准确性和安全性。

处理个人数据

根据以前的现行法律,所有者的同意是获取个人数据的唯一公认的法律依据。《个人数据保护法》拓宽了处理个人数据的法律途径。这些是:

  • 合同:当个人数据主体是协议的一方或在签订协议时满足个人数据要求时,协议中的义务;
  • 法律义务:根据印度尼西亚法律法规履行法律义务;
  • 重大利益:保护数据主体的重大利益;
  • 同意:从数据主体处获得的与已向数据主体解释的一个或多个目的相关的明确同意;
  • 合法利益:通过观察数据控制者的利益与数据主体的权利之间的平衡来实现其他合法利益;或
  • 公共任务:由数据管理员根据印度尼西亚法律法规在公共利益或服务环境中执行任务。

数据控制者在处理个人数据时必须出示数据主体同意的证据。

豁免

PDP法不适用于个人或家庭活动的个人数据处理。此外,处理个人数据的其他豁免包括:

  • 国防和安全目的;
  • 执法;
  • 国家行政范围内的公共利益;或
  • 金融服务部门的监管。

域外影响

PDP法适用于在PDP法范围内开展活动的任何个人、公共机构或国际组织,且位于:

  • 在印度尼西亚管辖范围内;或
  • 在印度尼西亚管辖范围之外,但对印度尼西亚管辖范围或位于该国管辖范围之外的印度尼西亚公民的数据主体具有法律影响。

跨境个人数据传输

新法律允许数据控制者在以下情况下将个人数据传输至位于印度尼西亚境外的数据控制者:

  • 数据控制者接收个人数据的国家具有与印度尼西亚同等或更高的个人数据保护机制;
  • 如果能够满足上述规定,数据控制者必须确保有充分的个人数据保护,并且具有约束力;或
  • 如果不能满足上述规定,数据控制者必须获得数据主体的同意,才能将其个人数据转移到国外。

任命数据保护官员

如果数据控制者或处理者为了公众利益处理个人数据、大规模监督个人数据或处理与犯罪活动相关的个人数据,则他们必须任命一名数据保护官员。

该官员的任命基于其法律知识、个人数据保护实践、专业精神和履行此职责的能力。

在公司合并、收购和合并的情况下会发生什么?

必须向相关数据主体通知公司合并、收购和合并,以及此类活动可能导致的任何个人数据传输。

这可以通过个人通知数据主体或通过大众媒体来实现。此外,如果数据控制者被解散或清算,个人数据的存储、传输或删除必须依法进行,并且必须通知数据主体。

制裁

刑事制裁

《个人数据保护法》明确规定禁止使用个人数据。这些是:

  • 某人非法获取不属于自己的个人数据,意图使自己或他人受益,导致数据主体遭受损失;
  • 非法披露非自己个人数据的人;
  • 非法使用非自己的个人数据的人;或
  • 在此类活动导致他人损害的情况下,创建虚假个人数据。

违反《PDP法》的人可能面临三种类型的刑事制裁:

  • 处罚:个人最高可被罚款60亿卢比(40万美元),公司最高可被罚600亿卢比(400万美元);
  • 监禁:个人最高可面临六年监禁;或
  • 其他处罚:包括没收犯罪所得资产、冻结公司活动、关闭公司、吊销营业执照等。

这些刑事制裁可以对公司管理团队、控制人、受益所有人或发出命令的人实施。

行政处罚

违反《个人数据保护法》某些规定的企业可以受到书面警告、删除个人数据、暂停个人数据处理活动或行政罚款等形式的行政处罚。

行政罚款最高可达公司年收入的2%。这仍然低于欧盟GDPR规定的罚款,即公司年收入的4%。

 

文章链接