2022年9月20日,印度尼西亚总统和众议院 (DPR) 经过六年的审议,批准了个人数据保护法案(PDP法案),该法案于2022年10月17日被总统签署,标志着其正式成为法律(PDP法)并生效。
PDP 法将是印度尼西亚第一套与个人数据保护有关的综合规则,涵盖电子和非电子个人数据形式。该监管发展将给印度尼西亚不断增长的数字经济带来更高水平的个人数据保护。
新法还进一步规定了对某些个人数据泄露行为的刑事制裁。通过这种方式,政府向个人和企业发出了强烈信号,即个人数据保护正逐渐得到重视。
以下是我们在 PDP 法中发现的关键问题及初步看法。
域外效力
与经2016年第19号修订的2008年第11号法律《电子信息与交易法律》(EIT法)类似,PDP法声称具有域外效力,这可能会影响位于印度尼西亚管辖范围之外的个人数据控制者和处理者。
EIT法第2条规定,该法将适用于“任何在印度尼西亚司法辖区内和司法辖区外实施的本法规定的法律行为,该行为在印度尼西亚司法辖区内和/或印度尼西亚司法辖区外具有法律效力,并损害印度尼西亚利益。” “损害印度尼西亚利益” 的措辞在该法中被广泛定义为包括“损害国家利益、战略数据保护、国家尊严和地位、国家国防和安全、主权、公民以及印度尼西亚法律实体的利益”。
与EIT法相比,PDP法第2条的适用范围略有不同,它不再包含“损害国家利益”的概念。PDP法适用于根据该法实施法律行动的任何个人、公共机构或国际组织,并且:
位于印度尼西亚辖区内;和/或
位于印度尼西亚辖区外,但对 (i) 印度尼西亚辖区内;和/或 (ii)作为个人数据主体的位于印度尼西亚辖区外的印度尼西亚公民具有法律影响。
PDP 法没有详细说明“法律影响”一词,而其实施条例是否会对该术语的含义进一步明确,仍有待观察。
处理个人数据的理由
在PDP法颁布之前,与PDP法相比,印度尼西亚有关个人数据保护的现行法律法规更强调获得个人数据“所有者”的同意。PDP法拓宽了处理个人数据的可接受的理由,总体上更符合国际惯例。
PDP法要求个人数据控制者具有处理个人数据的理由,包括:
个人数据控制者将一项或多项具体目的告知个人数据主体,并获得其有效和明确的同意;
在个人数据主体为当事人一方的情况下,履行协议中的义务,或在签订协议时满足个人数据主体的要求;
个人数据控制者履行法律法规规定的义务;
实现保护个人数据主体重要利益;
为公共利益、公共服务而执行任务,或个人数据控制者基于法律法规授权而执行的行为;及/或
在个人数据控制者自身利益和个人数据主体权利之间的目的、需要、平衡利益基础上,满足其他正当利益。
上述的一些可接受理由的措辞非常广泛,其在实践中的确切含义和应用有些模糊。尽管如此,PDP法明确了个人数据的收集和处理可以在无需获得相关个人数据主体的有效和明确同意的情况下进行,只要个人数据控制者具有上述一个或多个处理个人数据的理由。这与之前的规定大相径庭,后者要求在几乎所有情况下都必须获得个人数据主体的有效和明确同意。
尽管如此,PDP法第24条规定,在处理个人数据时,个人数据控制者必须出示相关个人数据主体同意的证据。
适用的豁免
PDP 法不适用于个人出于个人或家庭目的处理个人数据的情景。法律法规的执行中,某些数据控制者的义务出于以下利益被豁免:
国防和安全;
执法;
为了国家行政管理的公共利益;或
为了国家行政管理的目的,对金融服务部门、货币和支付系统以及金融体系稳健实施监督管理。
个人数据的“主体”
PDP 法引入了“个人数据主体”的概念,将其定义为个人数据所依附的个人。而先前的规定使用的是 “个人数据所有者”的概念,其定义与 PDP 法下的“个人数据主体”基本相同。但考虑到个人数据的处理会涉及多方,将个人数据的所有权授予特定个人可能并不合适,因此引入这一新概念更符合国际惯例。
数据控制者和数据处理者
PDP 法将与个人数据保护相关的主要参与者分类为“个人数据控制者”、“个人数据处理者”和“个人数据主体”。我们已经在上面谈到了个人数据主体的概念。
“个人数据控制者”的概念在2019第71号年政府关于电子系统和交易管理的条例中已被简要提及,但没有详细说明其作用及责任。总体而言,与之前的规定相比,PDP法更好地定义和区分了数据控制者和数据处理者的角色。
在岸和离岸个人数据传输
PDP法使个人数据控制者能够更便捷地在境内外传输个人数据。
对于境内传输,新法第55条允许个人数据控制者将个人数据传输给印度尼西亚境内的其他数据控制者。传输者和接收者都必须按照PDP法的规定,保护所转让的个人数据。
PDP法第56条允许个人数据控制者在以下情况下将个人数据传输给位于印度尼西亚境外的个人数据控制者和/或处理者:
接收个人数据传输的个人数据控制者和/或处理者所在国家/地区的个人数据保护程度等于或高于 PDP 法规定的保护程度;
在无法满足上述(a)项规定的情况下,要求个人数据控制者确保有足够的个人数据保护措施,并且这种保护措施具有约束力;和/或
若无法满足上述(a)、(b)项规定的情况下,已征得个人数据主体的同意。
PDP法规定了与跨境数据传输相关的附加条款,这些条款将由未来的政府实施条例进行监管。
与之前的监管规定相比,PDP法不要求对任何跨境数据传输向通信和信息部(MOCI)进行事先和事后通知。这大大放宽了对于印度尼西亚数据控制者和处理者实施个人数据跨境传输的原有要求。同样,新法更符合国际惯例。
PDP法还表明,只要满足上述(a)和(b)项的要求,跨境数据传输无需获得个人数据主体的同意。而在以前的规定下,跨境传输个人数据需要得到个人数据主体的明确同意。
法律实体兼并、分立、收购或合并的通知要求
PDP法第48条要求,希望进行兼并、分立、导致控制权变更的收购或合并的企业个人数据控制者,应在企业行为完成之前和之后,通知相关个人数据主体该行为将产生的任何个人数据转移。
PDP法规定,可以通过向个人数据主体发出通知或通过大众媒体(电子或非电子方式,例如印刷媒体)发布公告的方式来满足要求。此外,PDP法还规定,企业个人数据控制者解散或清算时,个人数据的存储、转移、删除和销毁必须依照法律法规的规定进行,并必须通知相关数据主体。
个人数据保护负责人的任命要求
PDP法第53条要求,个人数据控制者和个人数据处理者在下列情况下任命负责人来履行个人数据保护职能:
为公共服务的利益处理个人数据;
个人数据控制者的核心活动因其性质、范围和/或目的,需要对个人数据进行大规模有序和系统的监督;和
个人数据控制者的核心活动包括大规模处理特定性质的个人数据和/或与犯罪活动相关的个人数据。
个人数据保护负责人的任命基于专业精神、法律知识、个人数据保护实践以及履行其职责所需的相关任务的能力。个人数据保护负责人可以由个人数据控制者和/或个人数据处理者从内部或外部招聘。
对禁止使用个人数据行为的制裁
PDP法明确禁止使用个人数据行为,第65条和第66条禁止任何人:
非法获取或收集不属于自己的个人数据,意图使自己或他人从个人数据中获得个人利益,并可能对个人数据主体造成损害;
非法披露不属于自己的个人数据;
非法使用不属于自己的个人数据;和/或
制造虚假个人数据或伪造个人数据,意图使自己或他人从此类活动中获得个人利益,并可能对他人造成损害。
违反这些规定的人可能会面临刑事制裁——这是印度尼西亚个人数据保护监管框架在 PDP 法下的一个重要新特征。
PDP 法对违反上述禁令的行为规定了三类刑事制裁:
经济处罚 —— 个人可能面临高达 60 亿印尼盾(40万美元)的罚款,企业可能面临高达 600 亿印尼盾(400万美元)的罚款;
监禁 —— 个人可能面临长达6年的监禁;或者
“其他”可能对企业施加的额外处罚,包括没收从犯罪中获得的利润/资产;冻结企业的全部或部分业务;永久禁止开展某些行动;关闭公司的营业地点和/或活动;必须履行其未履行的义务;损害赔偿金;吊销营业执照;和/或解散。
对于企业而言,PDP 法规定可对管理层(即董事会)成员、控制人、命令人(pemberi perintah)和实际所有人等实施刑事制裁。判处监禁的范围也可能扩大到这些当事人。
通过在PDP法中引入这些刑事制裁,印度尼西亚政府政府向个人和企业发出了强烈信号,即个人数据保护正逐渐得到重视。
第57条规定了对违反PDP法某些规定的行政处罚。这些行政处罚可以采取以下形式:
书面警告;
暂停个人数据处理活动;
删除或销毁个人数据;和/或
行政罚款。
第57条允许对违反PDP法的某些规定处以行政罚款。这些罚款最高可达违规方年收入的 2%。这个2%的门槛明显低于欧盟《通用数据保护条例》 (GDPR) 所要求的门槛,后者设定的最高限额为全球年收入的4%。行政罚款将由个人数据保护监管机构实施,该机构尚未成立(下文将进一步介绍)。
数据泄露的通知要求
如果个人数据控制者未能保护个人数据,PDP法第46条要求,个人数据控制者在个人数据保护失败后的3×24小时内,向相关个人数据主体和政府监管机构(如下所述)发出书面通知。这比旧规定下的14天期限要短得多。
个人数据保护失败被指未能在个人数据的保密性、完整性和可用性方面保护某人的个人数据,包括有意或无意的安全漏洞,导致对发送、存储或处理的相关个人数据的损坏、丢失、修改、披露或访问无效。
书面通知必须列出被泄露的个人数据的详细信息、个人数据被泄露的时间和方式,以及相关处理信息,包括个人数据控制者所做的任何恢复努力。在某些情况下,当个人数据保护失败扰乱了公共服务和/或对公共利益造成了严重影响时,个人数据控制者也可能需要告知公众有关个人数据保护失败的情况。
个人数据保护的监管机构
PDP 法规定,印度尼西亚政府将根据 PDP 法参与个人数据保护管理,这将通过印度尼西亚总统规定的政府机构 (lemmaga)来完成。当前阶段,该政府机构的名称、细节和自由裁量权等尚不清楚。PDP法规定,与该政府机构有关的进一步规定将受未来总统条例的约束。
过渡期
根据PDP法第74条,个人数据控制者、个人数据处理者和其他与个人数据处理相关的各方自PDP法颁布之日起,有两年的时间期限来遵守该法律。
PDP法第75条补充道,只要不与PDP法的规定相抵触,所有现有的规范个人数据保护的法律法规都将继续有效。要进一步确定旧的监管规定与PDP法下的新规定之间在个人数据保护方面存在的重叠和空白,仍需要进行仔细的法律解释。
按照印度尼西亚的惯常做法,可以预见PDP法的实施细则将在未来几个月内出台。就此,请关注我们以了解印度尼西亚实施PDP法的最新进展。
史密夫斐尔如何帮助您
史密夫斐尔的数据保护业务涵盖广泛,我们的律师就该领域的法律合规文件起草、监管和合规咨询建议积累了丰富经验,深入了解数据保护领域的法律和行业发展及其对客户及业务的影响。我们旨在为客户的数据保护问题找到实用的解决方案,着重从战略上最大化数据价值,同时将法律和声誉风险降至最低,能够为客户提供全面且具有战略重要性的数据保护建议。
相关推送
2022-07-15
2022-07-04
2022-06-29
如需就相关法律进行咨询,欢迎联系以下律师或您在史密夫斐尔的惯常联系人。
|
|
|
|
Nanda.Lau |
|
Peggy Chow Peggy.Chow |
|
|
|
|
|
Alizee Zheng |
史密夫斐尔律师事务所是领先的全球一体化综合性律所,在全球各主要司法辖区设有25家办公室,拥有约3000位律师。本所根植大中华区市场30余年,北京、上海、香港三个办公室拥有强有力的律师团队,对中国的商业文化有着细致深入的体会和理解,为客户提供高效、优质的全方位法律服务。
史密夫斐尔与上海市自贸区的科伟律师事务所正式联营,通过科伟史密夫斐尔联营办公室 (Herbert Smith Freehills Kewei (FTZ) Joint Operation) 提供中国法及外国法服务。
