随着全球互联网信息技术发展,数据隐私保护成为各国都无法绕开的一个重要议题。印度尼西亚自2020年以来,关于个人数据隐私的各类社会问题层出不穷,包括2020年印尼电商巨头Tokopedia涉及9100万用户的数据泄露事件、印尼居民社保信息在网上出售的案件、印尼卫生部管理的电子申报软件eHAC数据泄露事件等等。印尼民众以及政府都意识到迫切需要一部专门的数据隐私法来规范和解决此类问题。
本文就印尼目前的个人数据隐私保护法律现状及几点重要问题做详细解答和阐述。
一、印度尼西亚管辖范围内是否有数据隐私法?
目前,印度尼西亚并没有一部专门的数据隐私法,但有一些其他适用于数据保护相关的法律法规。比如,于2008年实施,2016年修订的《信息和电子交易法》,是该国数据隐私和个人数据保护的主要参考。
目前整个印尼社会对于数据隐私法规(RUU PDP)的需求已经日益迫切,印尼通信和信息技术部也于2020年明确提出,希望于该年颁布《个人数据保护法》。根据当前的 PDP 法律草案,处理个人数据的实体将有两年的时间来实现完全合规。它将适用于全球所有处理属于印度尼西亚客户的个人数据的实体。如果 PDP 法案通过,这将是印度尼西亚第一部为保护个人数据提供全面规定的法律。
二、印度尼西亚数据保护法的适用范围?
第 19/2016 号《信息和电子交易法》(EIT)的数据保护规定在某些情况下具有域外适用性。《个人数据保护法》(PDP)将提供更多具体信息,PDP 法预计将适用于印度尼西亚境内外的所有实体,以及处理印度尼西亚公民个人数据的所有部门。
它阐明了该法律适用于个人、法人实体、商业实体、政府机构和公共实体的下列情况:
(1)在印度尼西亚境内造成法律后果;
(2)影响包括印度尼西亚境内外的印度尼西亚公民( PDP 法案第 2 条)。
三、在个人数据保护方面,印尼相关的监管和执法机构有哪些?
印尼没有专门负责保护个人数据和监管公司遵守数据保护法的专门机构。通常,由通信和信息技术部 (MOCI) 负责管理和执行与个人数据保护相关的法规。MOCI 的行动同时可以得到警方的支持。
四、印尼关于个人数据是如何定义的?
对于个人数据的定义和细节说明因行业及相关法规而异。最基础来说,任何能够识别个人身份的信息都受法律保护。PDP 法案将个人数据定义为:关于已识别个人或可以通过使用电子或非电子系统单独或结合其他信息、直接或间接识别出个人的任何数据(PDP 法案第 1 条)。
五、印尼对于个人数据的同意要求是什么?
作为处理个人数据的一般规则,EIT 法、GR 71/2019、MOCI 20/2016 以及其他印尼数据保护相关的法律法规要求必须获得个人数据所有者的“同意”。
在 GR 71/2019 中规定了可以在未经数据所有者同意的情况下进行数据处理的特殊情况,包括:
(1)控制人根据法律规定承担相关法律义务;
(2)出于数据主体的重大利益;
(3)出于控制人的合法利益。
六、在印尼,个人数据的跨境传输受到哪些限制?
根据印尼目前数据保护的相关法律法规的规定,未经数据主体同意,禁止传输个人数据。PDP 法案提议,只要运营商与 MOCI 或授权机构协调,就可以允许其进行跨境数据传输。跨境传输完成后,运营商必须向部长提交执行报告。但考虑该法案当前仍未通过,相关要求可能会做进一步改变。
获取更多关于印尼以及其他国家的法律政策规定,欢迎关注兰迪出海官网,上海兰迪律师事务所专业海外律师将为您带来最新最全的海外投资资讯;如需专业的跨境法律服务,也欢迎通过官网下方的联系方式直接联系我们。