佐科·维多多总统于 2022 年 10 月 17 日正式批准了 2022 年第 27 号《个人数据保护法》。此法律自 2020 年 1 月 28 日征求公众意见以来至今,民众可谓是期待已久。在此法律获得批准之前,印尼虽然对个人数据的保护未纳入法律保护范围,但对此也有30 多条不同法律和法规的约束,尤其针对电子系统提供了相当全面的法律内容,但由于缺乏具体特定的规定,导致个人很难追究公司滥用其数据的责任。

《印尼个人数据保护法》第1条中规定了个体作为“数据主体”,及任何人、公共实体或国际组织作为个人数据的“控制者”和“处理者”的权利和责任。此外, 还阐明了数据和实体的定义、合法依据、处理义务、问责措施、控制者和处理者的关系等,与欧盟等其它国家区域的《通用数据保护条例 (GDPR)》内容大体相似；但在某些法规上还有不同之处：如《个人数据保护法》第 2 条第 1 项在区域保护范围上阐述到任何个人、公共机构或国际组织的数据不仅在印尼管辖范围内受到保护,也包括在印尼法律管辖的区域范围。

尽管印尼政府在未来需进一步完善各项法规,但《印尼个人数据保护法》为管理印尼的数据处理奠定了全面的基础。其第 74 条在关于合规期限上, 要求数据控制者、处理者及其它各方在《PDP法》在总统批准生效后需在2年内遵守执行,否则将以即将生效的刑事规定进行处理。对于之前颁布的其他有关个人数据保护的法律法规,只要不违反《个人数据保护法》第 75 条所述的有关保护规定,均可视为适用。

《印尼个人数据保护法》将“个人数据”定义为通过电子或非电子系统直接或间接识别、可单独识别或与其他信息结合识别的任何信息；同时第 4 条还定义了“一般个人数据”,如全名、性别、公民身份、宗教和婚姻状况及与其他数据结合可识别个人的数据等；“特定个人数据”,如特征、健康信息、基因、犯罪记录、儿童数据、个人财务和任何其他符合规定的数据。此外,还提出“ 特定个人数据法”的提供可能对数据主体造成损害。

因此,《个人数据保护法》第 20 条规定依法处理特定或一般的“个人数据”的六个法律依据,即：

1. 获得数据主体的明确同意或批准；
2. 履行数据主体协议的义务和要求；
3. 保护数据主体的切身利益；
4. 根据现行法律法规履行数据控制者的义务；
5. 为公共利益、服务或控制者以执行任务为目的；
6. 在数据处理的目的和需求方面实现合法利益,平衡控制者的利益与数据主体的权利。

鉴于印尼是世界第四的人口大国,《印尼个人数据保护法》的出台将对个人数据传输和保护的监管机制产生重大的影响。；此法律对数据主体进行了适当的定性,从而进一步明确了数据主体在保护和传输个人数据方面的权利和义务,较之先前的法律法规更加明确。

作为印尼领先的审德律师事务所可帮助您的公司进一步了解有关个人数据的保护,并可指导如何更好地遵守执行恶化操作；此外,审德律师事务在提供隐私、数据保护和网络安全业务服务上在印尼也是先驱。如您对《个人数据保护法案》合规方面有任何咨询,请随时发送消息至 info@schinderlawfirm.com

Author: Dewi Susanti