This post is also available in: English (英语) Indonesia (印度尼西亚语)

印度尼西亚《个人数据保护法》（PDP）

《个人数据保护法》（PDP 法），正式名称为《2022年第27号个人数据保护法》，是印尼保护个人数据的重要法律框架。这部全面的法律于2022年10月17日颁布，对数据控制者、数据处理者以及所有涉及个人数据处理的相关实体具有深远影响。

 

国际标准

PDP 法参考了欧盟《通用数据保护条例》（GDPR）的模式，使印尼与全球公认的数据隐私标准保持一致。它建立了统一且有条理的个人数据保护制度，标志着印尼从以往碎片化、分行业规章为主的监管环境迈出重大一步。

PDP 法之前的时代

在 PDP 法出台之前，印尼依赖多部法律法规的结合来保护个人数据，包括《2008年第11号电子信息与交易法》（EIT 法）、《2019年第71号政府条例》（电子系统和交易的实施）、以及《2020年第5号部长条例》（关于私营部门电子系统运营商）。这些法规主要涉及通过电子系统处理的个人数据，并统称为“通用数据保护法规”。

特定行业的规定

印尼的多个行业也有各自的数据保护条款。例如：

• 电信行业：《电信法》禁止窃听信息，并对电信服务运营商施加严格的保密义务。
• 公共信息行业：《公共信息法》限制涉及个人权利的信息披露，并禁止公开私人信息，包括医疗记录、财务数据等敏感类别。
• 银行与资本市场行业：《银行法》和《资本市场法》对个人及企业数据隐私进行规范。这些法律要求在将数据转移至印尼境外之前必须取得事先批准。

并行与过渡

现有的行业特定法规仍将有效，除非与 PDP 法发生冲突。PDP 法规定了自颁布之日起两年的过渡期，至 2024 年 10 月 17 日结束。在此期间，数据控制者和数据处理者必须将其实践与该法律的条款保持一致。预计还将出台实施细则以便于合规，同时一个专门机构——PDP 局将负责监督和执行与 PDP 法一致的数据隐私措施。