本文共字，预计阅读时间。

根据印度尼西亚信息与通讯部的数据，到2025年，印尼全国数字经济规模有望达到1460亿美元，到2030年将进一步增加到3300亿美元。随着印度尼西亚技术服务的发展，数据泄漏事件频发。为进一步保护公民隐私权，规范在线交易数据收集和使用，与国际数据跨境传输接轨，以及协调各部门各行业之间的个人信息保护工作，印度尼西亚迫切需要统一的法律框架来保护公民个人信息。 在此背景下，印度尼西亚有望在今年正式出台单独的个人信息保护法案，本文将简要介绍该立法的数据合规要求。

数据保护法律体系概况

虽然印度尼西亚政府以及国会（House of Representatives）已同意就《个人数据保护（草案）》（Draft Law on Personal Data Protection，以下简称《PDP草案》）开展工作，但迄今为止，印度尼西亚尚未正式颁布该专门性立法，政府和国会也将举行多次会议以落实《PDP草案》。

即使如此，印度尼西亚对于个人数据保护仍可见于其他法律规定之中，如：《电子信息法》（2016年第19号法律），规定了保护个人数据是隐私权的一部分；《关于电子系统中的个人数据保护》（2016年第20号条例），规范了电子系统提供者对个人数据保护的要求，包括将同意作为保护数据的核心基础；以及《关于电子系统与交易》（2019年第71号条例）。除此之外，卫生医疗与银行领域也颁布了相关法律规定保护个人数据。信息与通讯部（Ministry of Communication and Informatics，以下简称“MOCI”）监督数据处理行为，若《PDP草案》得以正式颁布实施，MOCI可能会颁布的相关条例和指引，需持续关注。

适用范围

处理合法性基础

可以对标《个人信息保护法》第13条对印度尼西亚数据处理合法性基础进行交叉理解。

数据控制者义务

《PDP草案》规定了数据控制者的多项义务，具体如下：

数据主体权利与保护

印度尼西亚数据保护法律体系下的数据主体权利以及例外情形详见下表：

跨境传输

在以下情况下，数据控制者可以将个人数据传输到印度尼西亚管辖范围之外。

法律责任承担

数据控制者违法违规处理个人数据，需要承担法律责任，主要包括以下方面：

1.行政处罚：

• 书面警告；
• 暂时停止个人数据处理活动；
• 删除或销毁个人数据；
• 赔偿; 和/或
• 行政罚款。

2.刑事处罚：

• 故意或非法使用他人个人数据：最高7年的监禁或最高700亿印尼盾的罚款；
• 附加处罚：没收利润和/或财产、没收犯罪所得并支付赔偿金的形式追加处罚。

以上为我们对印度尼西亚数据合规的重点解读，即使印度尼西亚政府在大力推进《PDP草案》颁布进程，但仍无法明确其正式出台日期，在《PDP草案》正式生效前，出海印度尼西亚的企业可参考《电子信息法》、《关于电子系统中的个人数据保护》以及《关于电子系统与交易》规范自身数据处理行为。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。