2022年10月17日,《印度尼西亚个人数据保护法》(以下简称《个人数据保护法》)正式生效,该法关于个人数据跨境传输的规定与印度尼西亚其他相关法律共同构成了印度尼西亚个人数据跨境传输规则。
法律框架
《个人数据保护法》对以往部分法律法规中关于个人数据保护的规定进行了整合,既是印度尼西亚第一部综合性个人数据保护立法,也是个人数据跨境传输规则的主要立法。该法规定了个人数据保护的主要原则、个人数据主体的权利、个人数据控制者和个人数据处理者的义务以及对违法行为的行政和刑事制裁措施。
在与《个人数据保护法》不相冲突的情况下,该法生效之前与个人数据保护相关的法律法规,对属于规制范围内的、特定类型的数据处理活动作出的规定仍然有效,如2008年《印度尼西亚关于电子信息和交易的第11号法案》(以下简称《印度尼西亚电子信息和交易法》,该法已被2016年第19号法案修正)、2016年《关于电子系统中个人数据保护的第20号通信和信息技术部条例》(以下简称2016年《第20号条例》)、2019年《关于电子系统和交易运行的第71号政府条例》(简称2019年《第71号条例》)以及2019年《关于通过电子系统进行交易的第80号政府条例》(简称2019年《第80号条例》)等。
尽管《个人数据保护法》是一部较为全面的法律,适用于所有个人数据处理活动,但该法的大部分规定,包括个人数据跨境传输的相关规定,都需要通过实施条例予以细化,才能得到充分实施。2023年8月31日,印度尼西亚通信和信息技术部发布了《印度尼西亚个人数据保护法实施条例》草案(以下简称《实施条例》草案),该草案将于2024年10月生效。
监管机构
印度尼西亚正在根据《个人数据保护法》的授权,建立个人数据保护监管机构。建成之后,该个人数据保护监管机构的职责主要有:制定个人数据保护的政策和战略;监督个人数据保护工作的实施情况;对违反《个人数据保护法》的行为进行执法以及促进个人数据保护替代性争议解决机制发展。
目前,个人数据保护监管的职责主要由印度尼西亚通信和信息技术部承担,该部主要负责电子系统和交易行业内的个人数据保护事宜,如就跨境传输个人数据与电子系统运营商进行协调;监督个人数据是否存在泄露风险;监督电子系统内个人数据保护工作的实施情况以及对电子系统和交易行业内违反个人数据保护相关法律法规的行为实施行政处罚等。
2016年《第20号条例》主要内容
在《个人数据保护法》正式生效之前,2016年《第20号条例》作为《印度尼西亚电子信息和交易法》的实施条例,是印度尼西亚个人数据跨境传输规则的主要法律依据。
根据2016年《第20号条例》第22条,任何在印度尼西亚的电子系统运营商,如果打算将个人数据跨境传输至印度尼西亚境外,在开展个人数据跨境传输活动的事前和事后,均须向印度尼西亚通信和信息技术部提交个人数据跨境传输报告,并与该部门进行协调。协调的具体形式如下:(1)提交关于个人数据跨境传输计划的报告,报告中需列明目的地国家、接收方名称、传输日期和传输目的;(2)必要时,可以向政府提出辩护相关请求,如提出咨询;(3)提交关于个人数据跨境传输实施情况的报告。
2016年《第20号条例》没有规定具体的报告期限,但在实践中,有关实体每年都需要向印度尼西亚通信和信息技术部提交个人数据跨境传输报告。
《个人数据保护法》主要内容
适用范围
《个人数据保护法》适用于处理个人数据的任何印度尼西亚个人、私营或公共实体以及政府机构,还适用于在印度尼西亚境外运营但其业务在印度尼西亚境内产生法律效力的企业。总之,无论在哪个国家开展业务,所有处理印度尼西亚个人数据的实体都必须遵守该法律。
个人数据相关定义
个人数据。《个人数据保护法》将“个人数据”定义为“通过电子或非电子系统,直接或间接地,单独或与其他信息相结合,与已识别或可识别的个人相关的任何数据”。并将个人数据分为特定个人数据和一般个人数据。
特定个人数据。特定个人数据是指在数据处理过程中可能对数据主体造成较大影响的个人数据,如可能对数据主体造成歧视或其他可能对数据主体造成较大损失的个人数据。特定个人数据具体是指:有关健康的数据和信息;生物识别数据;遗传数据;犯罪记录;儿童个人数据;个人财务数据;相关法律规定的其他数据。有关实体处理特定个人数据时需要承担额外的义务,例如,数据控制者需要进行个人数据保护影响评估并任命一名数据保护官。
一般个人数据。一般个人数据是指个人数据主体的基本信息,包括:姓名、性别、国籍、宗教信仰、婚姻状况以及共同用于识别个人身份的个人数据。
个人数据跨境传输的法定情形
符合下列几项情形之一时,数据控制者能够对个人数据进行跨境传输:(1)接收个人数据跨境传输的国家的个人数据保护水平与《个人数据保护法》规定的个人数据保护水平同等或更高(“充分性保护水平”);(2)若接收个人数据跨境传输的国家缺乏“充分性保护水平”,数据控制者应提供充分且具有约束力的个人数据保障措施(“适当的保障措施”);(3)若接收个人数据跨境传输的国家既缺乏“充分性保护水平”,也不具备“适当的保障措施”,数据控制者应在进行个人数据跨境传输之前获得数据主体的同意(“数据主体的同意”)。上述三项法定情形必须依次进行评估,按顺序实施。
《实施条例》草案主要内容
《实施条例》草案对《个人数据保护法》的规定进行了细化,扩大了特定个人数据的范围,也概述了个人数据跨境传输的条件。
扩大了特定个人数据的范围
《实施条例》草案在《个人数据保护法》规定的特定个人数据之外,引入了“根据法律法规确定其他数据为特定个人数据”的机制,扩大了特定个人数据的范围。
如果“其他数据”有可能对数据主体造成重大伤害,如可能对数据主体造成歧视、物质或非物质损失,印度尼西亚通信和信息技术部在与个人数据保护监管机构协商后,有权将该类“其他数据”指定为特定个人数据。
概述了个人数据跨境传输的条件
充分性保护水平。《个人数据保护法》对个人数据跨境传输规定了若干要求,第一项是数据接收方必须具备与《个人数据保护法》规定的个人数据保护水平同等或更高的个人数据保护水平。《实施条例》草案进一步明确,个人数据保护监管机构需要从以下几方面对数据接收方的个人数据保护水平进行评估并作出充分性决定:是否已制定个人数据保护法;是否有个人数据保护监管部门或机构;是否已通过国际条约或其他法律文件作出国际性承诺或约定其他义务;是否已加入相关的个人数据保护多边性或区域性的体系。
适当的保障措施。《实施条例》草案进一步规定,如果不能满足同等或更高的个人数据保护水平要求,个人数据控制者必须确保数据接收方提供充分且具有约束力的个人数据保障措施。充分且具有约束力的个人数据保障措施主要有:数据传输方与数据接收方之间的国际条约;个人数据保护标准合同条款;具有约束力的集团公司政策;个人数据保护监管机构认为充分且具有约束力的其他文书。其中,标准合同条款必须至少涵盖以下事项:处理个人数据的依据;个人数据保护条款;在未能保护个人数据情况下的通知义务以及对接收跨境传输的个人数据的其他方进行尽职调查的义务。具有约束力的集团公司政策只能适用于同一集团公司内进行的个人数据跨境传输。
数据主体的同意。如果既不具有同等或更高水平的个人数据保护水平,也无法提供充分且具有约束力的个人数据保障措施,可以诉诸于数据主体的同意。数据主体的同意仅适用于以下有限情形:个人数据跨境传输不是经常性的;个人数据跨境传输涉及的个人数据主体数量有限;个人数据跨境传输是遵守不侵犯个人数据主体的利益、权利和自由的规定所必需的;个人数据控制者已对相关风险进行评估,并采取了相应保障措施;个人数据控制者已将个人数据跨境传输活动和进行个人数据跨境传输的合法利益通知个人数据保护监管机构和个人数据主体。
(作者单位:江苏省淮安市中级人民法院)