在亚洲,充分了解数据隐私框架至关重要。然而,虽然该地区的法律有着相似的内容,但由于隐私合规文化相对较新,而且各司法管辖区的做法各不相同,因此仍然存在差距。在此,专家们将详细介绍菲律宾、泰国和印度尼西亚如何建立其管理个人数据的法律框架。
信息技术的发展和用户在数字媒体中的参与度增加,提高了人们对获得个人隐私这一基本人权的认识。鉴于个人数据的大量使用和利用,个人数据保护已变得十分紧迫,这使得隐私越来越受到重视。
ABNR律师事务所驻雅加达合伙人
电邮: aderadjat@abnrlaw.com
在印尼,个人数据保护法规比较分散,主要体现在《电子信息与交易法》(EIT法)、健康与病历法规以及人口管理法。目前,EIT法及其实施细则已成为电子系统中个人数据保护的主要参考,适用于各个行业。然而,现在迫切需要一个一致的监管和法律框架来解决这个问题。
为了解决数字时代日益重要的个人数据保护问题,印尼政府正在起草一项法案(PDP法案),该法案目前正在定稿。PDP法案旨在成为印尼的主要隐私法。PDP法案以欧盟的《通用数据保护条例》(GDPR)为基础,对数据隐私保护进行了一些重大且急需的修改,使其更加符合其他国家目前适用的标准(尤其是GDPR)。对PDP法案进行的重大调整概述如下。
个人数据的分类
EIT法、《关于提供电子系统和交易的2019年第71号政府条例》(GR 71)以及通信和信息技术部(MCIT)《关于电子系统中个人数据保护的2016年第20号条例》(MR 20/2016) 均未对个人数据进行明确描述,而将其宽泛地定义为“通过使用电子系统和/或非电子手段直接或间接地使用该数据或将其与其他信息相结合来识别或能够识别该人身份、与个人有关的任何数据” 。
在即将出台的PDP法案中,个人数据分为一般个人数据和特定个人数据,前者包括姓名、性别、国籍、宗教信仰以及用于识别个人身份的其他综合数据;后者包括健康、生物特征、基因、政治观点、犯罪记录、个人财务数据、性取向、儿童数据以及法律法规规定的其他数据。
然而,无论如何分类,PDP法案没有区分一般个人数据和特定个人数据的处理要求。因此,PDP法案的实施细则以及后续的部门规章可能需要对此作出详细规定。
数据控制人与数据处理人
目前,印尼的法律和法规没有区分数据控制人和处理人。因此,处理个人数据的各方均需承担相同的责任和义务,无论其在数据处理中的实际角色如何。
PDP法案解决了这一问题,它与GDPR一样,将数据控制人和处理人的角色分开。PDP法案将数据控制人定义为决定个人数据处理目的并控制个人数据处理的一方,而数据处理人则被定义为代表数据控制人处理个人数据的一方。
PDP法案进一步区分了责任,处理个人数据的责任由数据控制人而非处理人承担。然而,如果数据处理人在处理时偏离由数据控制人预先设定的指令、顺序或目的(这意味着前者的角色等同于数据控制人的角色),则数据处理人应承担责任。
ABNR律师事务所驻雅加达合伙人
电邮: ksidarta@abnrlaw.com
法律依据
根据GR 71,个人数据被处理的任何人均必须对数据处理明确表示同意。目前,除执法事项外,印尼的法律和法规并不基于此而运作。这一要求被企业视为一种负担,因为他们需要获得数据主体的明确同意,而该同意有时可能被合理地视为已经暗示或不可能获得。
PDP法案采用了类似于GDPR的原则,同意只是合法处理个人数据的若干要求之一。PDP法案为未经同意而处理个人数据的情况引入了类似于GDPR条款的例外情况:
(1)为履行数据主体为一方的合同,或为了在订立合同之前满足数据主体的要求;
(2)为遵守法律规定的数据控制人义务;
(3)为实现数据主体的重大利益;
(4)为行使法律赋予数据控制人的权力;
(5)履行数据控制人为了公共利益而必须履行的公共服务义务;和/或
(6)为追求数据控制人或数据主体的合法利益。
PDP法案中有关强制性同意规定的例外情况,与GR 71的条款相抵触。然而,由于PDP法案在监管体系中的地位将高于GR 71,因此其条款可能会取代GR 71的条款,包括有关个人数据处理合法基础的条款。
跨境数据转移
根据MR 20/2016,个人数据的跨境转移不受限制,前提是转移得到数据主体的同意,并与印尼通信和信息技术部或其他相关部门进行协调。根据印尼通信和信息技术部的现行政策,应通过提交年度报告来实施强制性协调。
PDP法案就控制人对控制人的跨境个人数据传输提出了新的规定,跨境个人数据传输将受到以下条件的限制:
(1)伙伴国家的个人数据保护水平等于或高于PDP法案中的规定;
(2)国家之间有国际协议;
(3)数据控制人之间订立了涉及个人数据保护事项的合同;和/或
(4)数据主体的同意。
但上述规定不适用于控制人对处理人的跨境个人数据转移。
ABNR律师事务所驻雅加达律师
电邮: mtimur@abnrlaw.com
数据泄露
一旦发生数据泄露,GR 71和MR 20/2016要求电子系统运营商在第一时间向MCIT和执法机构报告泄露情况,并在发现泄露后14天内通知数据主体。
PDP法案还对报告义务进行了详细规定,这些规定也适用于电子和传统的个人数据处理。根据PDP法案,数据控制人必须在72小时内书面通知数据主体及通信和信息技术部,告知未能保护个人数据的情况。通知必须详细说明:(i)泄露的数据;(ii)数据何时以及如何外泄;(iii)管理和恢复工作。
数据保护官
PDP法案还引入一项义务,规定符合以下标准的数据控制人和处理人应任命一名数据保护官:
(1)数据处理是为了提供公共服务;
(2)数据控制人的主要活动需要对个人数据进行大规模、频繁和系统的监控;以及
(3)数据控制人的核心活动涉及大规模处理特定个人数据和/或与犯罪活动有关的个人数据。
必须根据数据隐私方面的专业资格、法律知识和实践经验来任命数据保护官。然而,PDP法案并未具体规定强制性资格、技能或教育背景。一般而言,他们的角色是保护和确保由数据控制人或处理人处理的个人数据的安全。
结论
虽然PDP法案被列为立法的优先事项,但目前尚不清楚它何时将作为法律发布和颁布。由于印尼政府仍在集中精力处理新冠疫情,该法案的定稿可能会被推迟。
印尼企业对该法案非常期待,因为全面和一致的个人数据法规是其活动的一个重要方面。由于商业活动已经从根本上变得更加国际化,PDP法案被视为更符合国际标准,如要在这个日益全球化的数字化时代做生意,这是不可避免的结果。
作者:ABNR律师事务所合伙人Agus Ahadi Deradjat、Kevin Omar Sidharta 和律师Mahiswara Timur
Ali Budiardjo Nugroho Reksodiputro Counsellors at Law (ABNR)
Graha CIMB Niaga, 24/F
Jl. Jend. Sudirman, Kav. 58
Jakarta – 12190, Indonesia
电话: +62 21 250 5125/5136
电邮: info@abnrlaw.com
