网络安全法规之比较:印尼

    作者: Danar Sunartoputra,Indra Allen和Daniel Aryo Radityo,Melli Darsa & Co律师事务所
    0
    73

    中国大陆

    印度

    台湾

     

    印尼有很多政府机构和企业正在考虑一项新兴的、极其现代的科技,即元宇宙。元宇宙的英文是由“meta”(意为“超越”)和“universe”(“宇宙”)组成,有望通过互联网显著推进社会联结,提升虚拟3D体验,无论是在旅游和文化探索中,还是在交互式银行、消费品销售、办公交流、教育和日常生活中。

    不过,数字世界和真实世界的这种逐渐趋同特别有争议的一个方面是, 它要求收集生物特征识别数据来识别个人身份,以在此虚拟元宇宙中展示个人的自然属性。但是,由于本身易于受到潜在威胁,获取生物特征识别数据是个敏感问题,而就对个人数据的保护和对网络攻击的防备而言,印尼的监管框架作为有限。

    在本文中,笔者讨论了现行框架和期盼已久但最近才由印尼众议院通过的《个人数据保护法》,以及是否需要制定更加具体的生物特征识别数据法规以备元宇宙变革的到来。

    元宇宙初现

    疫情鼓励很多企业家重新考虑如何更有效地经营企业。毫不奇怪的是,许多企业利用数字会议平台如视频会议、在线研讨会和诸多其他形式的互联网沟通形式,转战线上。不过,尽管有一些明显的好处,与真实世界更加灵活的体验相比,仍然存在被视为略带制约的局限。因此,元宇宙的出现弥合了形而上的差距,回答了上述问题。元宇宙创造了物质世界的副本,在虚拟世界中提供了真实生活体验,当事人无需真身出现,即能通过元宇宙中代表自己的化身更有效地社交,出席会议,并参加活动。

    Indra Allen, Melli Darsa & Co
    Indra Allen
    合伙人
    雅加达Melli Darsa & Co律师事务所
    电话:+62 811 1071 678
    电子信箱:
    indra.allen@pwc.com

    在印尼,和其他地方一样,元宇宙也提供了改善和提振国民经济的很多机会,利益相关方已开始探索这个虚拟世界,以推动经营活动。作为最大的国有银行之一,印尼人民银行签订了开发元宇宙生态系统的谅解备忘录。举例而言,这可能向客户提供使用虚拟银行服务的新体验和机会。与此同时,尽管仍有开发成本,元宇宙企业也可能降低建设实体办公室的成本。

    另外,印尼旅游和创意经济部最近也签订了合作计划,以推出“WonderVerse”。WonderVerse是一个向全球推广印尼旅游的元宇宙平台,上面有虚拟空间供本地企业以虚拟方式营销产品。

    元宇宙是新兴事物,仍在不断演变,远未成型。开发处于早期阶段,即使竞相创造最优生态系统的科技公司对于成型后的元宇宙是什么样子,也不过只有初步想法。虽然有很多种方式参与虚拟世界,但已发现的一个敏感缺点是访问的单一性,需要提交包括生物特征识别数据在内的很多数据,才能注册用户资料,以确保只有获得授权的当事人才能访问系统。

    生物特征识别数据法规

    在印尼,稍微涉及生物特征识别数据的最早立法为关于公民身份管理的第23 (2006)号法律,后经2013年第24号法律修改。后者描述了必须予以保护的各类个人数据,如指纹和眼睛虹膜,这两者是不同类型的生物特征识别数据。不过,该法并未明确定义生物特征识别数据,也未对其提供与时俱进的保护。直到最近,印尼都没有制定对生物特征识别数据予以规定的法规,即使经2016年第11号法律修订的关于电子信息和交易的第11 (2008)号法律亦是如此。

    最近的《个人数据保护法》是调整个人数据的最重要法律,它给予个人数据更加显著、更加严格、更加协调一致的保护。它将个人数据分为一般数据和特别数据,而生物特征识别数据属于特别个人数据。这种分类法类似于欧盟《通用数据保护条例》将生物特征识别数据归为“敏感数据”的做法。

    《个人数据保护法》将生物特征识别数据定义为与个人的身体、生理或行为特征有关,可确定个人唯一性的数据,如面部识别或指纹分析(指纹)数据。它还解释了必须维护和注意的个人独特性和/或特征,包括但不限于指纹记录、视网膜扫描和DNA样本。

    网络脆弱性

    尽管人们认为,将生物特征识别数据用于身份识别比基于密码的方法更安全,此类数据仍然非常敏感、有着高风险,可能会使得某人的资料和特征受到网络威胁。非法窃取生物特征识别数据有很多方法,无论是通过IT系统发动网络攻击,或者只是访问级别导致的内部威胁,以及许多其他可能性。例如,高分辨率的照片可用来操纵面部识别系统。

    《个人数据保护法》第27、28条规定,个人数据控制者仅可以有限且具体的方式处理个人数据,该方式应合法有效且透明。这意味着个人数据的收集必须按处理目的予以限制,并在收集时明确。

    Daniel Aryo Radityo, Melli Darsa & Co
    Daniel Aryo Radityo
    高级律师
    雅加达Melli Darsa & Co律师事务所
    电话:+62 813 1771 8778
    电子信箱:daniel.radityo@pwc.com

    处理必须按相关法律法规执行,应使数据主体充分了解将以何种方式处理其个人数据。此外,第34条强调,如果数据处理被视为会对数据主体带来高风险,个人数据控制者还必须评估数据处理对个人数据保护的影响。

    根据第58条,政府负责通过成立数据保护机构来依法保护个人数据,该机构将由总统直接任命(并对总统负责)。它将获得的授权包括:制定和规定个人数据保护、监督、行政执法政策和策略,并为非诉讼解决争议提供便利。

    简言之,《个人数据保护法》制定了比以往有意义得多的政策。根据该法,公司如果未在数据泄露后的72小时内通知数据主体和相关主管机关,将被处以最高相当于年收益或收入2%的高额罚金,并可能受到其他惩罚。有些人可能会认为,鉴于生物特征识别数据的敏感性,对于大公司而言,2%的罚金并不算高,但是与之前14天通知期相比,现行通知期短得多,企业应该有所预见并做好准备。

    展望

    元宇宙可能的确是加强印尼数字经济的解决办法之一。但是,如今科技日新月异的同时,预计网络攻击并不会停止。作为元宇宙不可分割的一部分,生物特征识别数据现在是,今后将一直是敏感、有高风险的信息,需要特别注意。《个人数据保护法》被视为对生物特征识别数据制定了更加具体的规定,要求必须按照非常有限的方式严格处理。全世界预计,在今天的商业格局中,对更先进技术的使用将继续发展变化。在此背景下,有意思的是看现行法律法规如何作为看门人,有效地与时俱进而不过时。

    尽管《个人信息保护法》要求成立数据保护主管机关,但是该部门是否会完全独立,尚待观察。可能值得考虑的是成立独立的生物特征识别数据监控职能部门,承担最高标准的监督职能,对获取、处理、监督和销毁生物特征识别数据的标准予以监管,防止今后的网络威胁。

    最后,同样重要的是,执法者拥有足够的能力(包括先进技术支持),以确保依法调查并惩处破坏个人数据保护的任何行为,形成令人畏惧的强大威慑效应,因为个人数据一旦遭非法泄露,损害几乎无法挽回。

    Melli Darsa & Co Logo

    MELLI DARSA & CO
    Indonesian member law firm of PwC global network
    World Trade Center III
    Jl Jenderal Sudirman Kavling 29-31, Kuningan
    South Jakarta – 12920, Indonesia
    电话:+62 21 521 2901
    电邮:id_contactus@pwc.com

    www.pwc.com/id