2024年10月17日,印尼总统佐科·维多多签署了期待已久的《个人数据保护法》(Undang-Undang Perlindungan Data Pribadi, UU PDP——法律编号2022年第27号,因过渡期条款实际于2024年10月全面生效)。这部法律标志着印尼——这个拥有2.78亿人口、东南亚最大的互联网经济体——结束了"无综合性数据保护法"的时代。
UU PDP的执法过渡期于2026年4月届满。2026年5月,印尼数据保护机构(Lembaga Perlindungan Data Pribadi, LPDP——根据法律设立的独立监管机构)宣布启动首批执法行动,对三家"严重违反"PDP的互联网企业发出整改令,其中一家为印尼头部电商平台(中资背景)。
对于已在或拟进入印尼市场的中资科技企业(电商、金融科技、云服务、社交媒体等),这部新法带来了从"近乎无监管"到"东盟最严之一"的跳跃式变化。本文系统解析UU PDP的核心制度、与GDPR/PIPL的横向对比和中资企业的合规路径。
一、UU PDP的核心制度框架
(一)适用范围——域外管辖
UU PDP第四条规定了广泛的域外管辖效力:
UU PDP适用于:
- 在印尼境内进行的数据处理活动
- 在印尼境外进行的数据处理活动,但该活动在印尼境内产生法律效力(Legal Consequences)或对印尼境内的数据主体产生影响
- 在印尼境外进行的数据处理活动,但该活动涉及印尼公民的个人数据——无论数据处理者是否在印尼设有机构
这意味着:即使一家中资技术公司仅在印尼运营一个APP(服务器在新加坡、公司注册地在香港),只要其收集或处理印尼公民的个人数据,UU PDP即可对其行使管辖权。
(二)个人数据的分类
UU PDP将个人数据分为两类:
- 一般个人数据(Data Pribadi Bersifat Umum):
- 姓名、性别、国籍、联系方式
- 身份号码、出生日期
- 职业、教育背景
- 生物识别数据(照片、指纹、声纹)
- 特定个人数据(Data Pribadi Bersifat Spesifik)——对应GDPR的Special Categories:
- 健康数据和医疗记录
- 生物识别数据(用于唯一识别目的)
- 基因数据
- 犯罪记录
- 儿童个人数据(17岁以下)
- 金融数据(银行账号、信用记录、收入)
- 宗教/信仰
- 政治观点
特定个人数据的处理须满足更高的合法性标准:
- 取得数据主体的明示同意(Explicit Consent)
- 或法律法规明确授权
- 或数据主体本人已公开披露
(三)数据处理的合法性基础
UU PDP承认的六项合法性基础(与GDPR高度相似但排列不同):
- 同意(Persetujuan)——最核心的合法性基础
- 合同履行(Pemenuhan Perjanjian)
- 法定义务(Kewajiban Hukum)
- 数据主体的重大利益(Kepentingan Vital)
- 公共利益(Kepentingan Umum/Pelayanan Publik)
- 正当利益(Kepentingan yang Sah)
"同意"的强制要求:
- 同意须为自由给予、具体、知情、明确(Freely Given, Specific, Informed, Unambiguous)
- 必须以印尼语(Bahasa Indonesia)书写或以清晰的口头方式表达
- 沉默、预选框(Pre-ticked Boxes)、默认勾选不构成有效同意
- 在多个处理目的并存时,须为每个目的单独取得同意
- 数据主体有权随时撤回同意——撤回须与同意一样"容易"
- 儿童(17岁以下)的个人数据处理须取得父母/监护人同意
(四)数据主体权利——七大权利
UU PDP赋予了数据主体七大权利(与GDPR的八大权利高度相似但整合了"自动化决策权"):
- 知情权
- 访问权
- 更正权
- 删除权/被遗忘权
- 限制处理权
- 数据可携权(Portabilitas Data)
- 反对权——包括反对为直接营销目的处理个人数据
数据控制者有义务在30个工作日内(可延长至额外30个工作日)回应数据主体的权利请求。拒绝请求须书面说明理由。
二、数据控制者的核心义务
(一)数据保护官(PPD — Pejabat Pelindungan Data Pribadi)
UU PDP第53条强制要求满足以下条件之一的数据控制者任命数据保护官:
- 处理个人数据以提供公共服务
- 核心业务涉及大规模、系统性监控
- 核心业务涉及大规模处理特定个人数据或与刑事犯罪相关的个人数据
PPD必须是具有数据保护专业能力的个人——可以是内部员工或外部委托。PPD的联系信息须公开并向LPDP通报。
实践中,大多数面向用户的中资互联网企业(电商、金融科技、社交)均须任命PPD。
(二)数据处理影响评估(DPIA)
在从事"对个人数据保护存在高风险"的数据处理活动前,数据控制者有义务进行DPIA(Penilaian Dampak Pelindungan Data Pribadi)。
高风险活动的定义(PDP配套政府条例草案):
- 自动化决策——对个人产生法律影响或类似重大影响
- 大规模处理特定个人数据
- 系统性、大规模监控公开区域
- 涉及弱势群体的数据处理
- 将个人数据与其他数据集进行匹配或组合
DPIA须至少包含:
- 描述处理活动和目的
- 评估处理活动的必要性和相称性
- 评估数据主体的权利和自由面临的风险
- 计划的风险缓解措施
(三)数据泄露通知
数据泄露通知义务——UU PDP最具"东盟特色"的规定之一:
- 通知数据主体:在知晓数据泄露后3×24小时(即72小时但以工作日和工作小时计)内书面通知受影响的数据主体
- 通知LPDP:在知晓数据泄露后3×24小时内书面通知LPDP
- 通知内容:泄露的性质、泄露的个人数据类型、受影响数据主体的数量、数据控制者已采取和将采取的补救措施
- 公开通告:在特定情形下(大规模泄露或高风险泄露),数据控制者须通过全国性媒体发布公开通告
延迟通知的后果:行政处罚(最高可达年营收的2%)+可能导致刑事诉讼中的"加重情节"
(四)跨境数据传输
UU PDP第56条规定了跨境数据传输的限制:
- 数据控制者将个人数据传输至印尼境外前,须确保接收国/地区提供的"数据保护水平"对等:
- 不低于UU PDP的保护标准
- 具有有效的个人数据保护法
- 具有独立的数据保护监管机构
- 跨境传输须遵循额外的合规措施(至少满足一项):
- 接收国/地区的充分性认定(Adequacy Decision)——由LPDP发布
- 适当保障措施(Appropriate Safeguards)——标准合同条款(SCC)
- 数据主体的明示同意(在被告知传输目的地保护水平不足的情况下)
2026年初:LPDP尚未正式发布任何国家的充分性认定名单。中国不在"自动获认可"的范围——这意味着所有向中国跨境传输印尼公民个人数据的行为,须依赖SCC或明示同意。
三、执法与处罚体系
(一)LPDP的执法权力
LPDP被赋予广泛的调查和执法权力:
- 传唤和询问相关当事人
- 进入数据控制者的场所进行检查
- 要求提交文件和数据
- 进入数据控制者的IT系统获取证据
- 委托第三方技术专家进行取证分析
- 发布行政命令(整改令、暂时性或永久性禁止处理令)
- 实施行政处罚(罚款)
(二)行政处罚
行政处罚类型:
- 书面警告
- 暂停数据处理活动(全部或部分)
- 永久性禁止特定数据处理活动
- 删除或销毁个人数据
- 行政罚款——最高可达年营收的2%
罚款的计算基数:"年营收"指数据控制者(含其集团)在印尼的年度营业总收入——这对大型跨国科技企业来说是极为可观的潜在罚金。
(三)刑事责任
UU PDP设置了严厉的刑事制裁:
违法行为 最高监禁 最高罚款
--------- --------- ---------
未经合法权利收集个人数据以牟利或损害数据主体 5年 50亿盾(约合31万美元)
故意且非法披露个人数据 4年 40亿盾
非法使用个人数据(收集目的外使用) 5年 50亿盾
伪造个人数据以牟利 6年 60亿盾
妨碍LPDP调查 2年 20亿盾
值得注意的是:UU PDP也规定了"法人刑事责任"(Corporate Criminal Liability)——公司可因未尽到防止犯罪发生的监管义务(超级原则——Superior Responsibility Doctrine)而被追究刑事责任。法人犯罪可被处以企业刑事罚金(最高可达上述个人罚金的3倍)和其他附加刑事处罚(包括吊销营业执照、强制性公司解散)。
四、与GDPR和PIPL的横向对比
维度 印尼UU PDP 欧盟GDPR 中国PIPL
------ ---------- --------- ---------
适用基础 混合(属地+属人+效果原则) 属人+属地+效果原则 属地+属人(域外适用取决于处理目的)
合法性基础 六项(无"正当利益"明文,但列表中有) 六项(含正当利益) 七项(含"人力资源管理所必需")
同意标准 积极行为(平权选择) 自由给予、具体、知情、明确 自愿、明确、知情
DPO强制 特定条件下(含公共服务、大规模监控) 广泛强制(核心活动涉及大规模处理) 特定条件下(处理量达到国家网信办门槛)
数据泄露通知 3×24小时 72小时 立即+向主管部门
数据本地化 无强制性本地化要求 无强制性本地化要求 关键信息基础设施(CIIO)强制本地化
最高罚款 年营收2% 全球年营收4%或2,000万欧元 年营收5%或5,000万元人民币
刑事制裁 有(最高6年监禁) 无(由成员国刑法补充) 有(最高7年监禁)
跨境传输门槛 充分性认定/SCC/同意 充分性认定/SCC/BCR/行为准则 安全评估/SCC/认证
五、中资企业的合规路径
(一)第一阶段:数据映射——完成后才能谈合规
在启动任何合规整改之前,必须完成全面的数据映射(Data Mapping):
- 识别所有处理的个人数据类别和来源
- 追踪数据在企业内外的流转路径
- 识别涉及的所有第三方处理者(云服务商、支付处理器、分析工具等)
- 识别跨境数据传输(印尼→新加坡、印尼→中国等)
- 识别高风险处理活动(需要DPIA)
(二)第二阶段:制度搭建
- 隐私政策(Kebijakan Privasi):须以印尼语撰写,清晰、简明、易读
- 同意管理平台(CMP):搭建符合UU PDP的同意收集和撤回机制
- DPO任命:内部招聘或外部委托
- 数据泄露响应预案(Incident Response Plan):确保3×24小时能完成通知
- SCC签署:针对所有跨境传输签署标准合同条款
(三)第三阶段:持续合规
- 定期DPIA(新项目上线前)
- 年度数据保护审计
- 员工数据保护培训
- LPDP监管动态跟踪
印尼UU PDP的执法列车已经启动。对于中资科技企业来说,摆在面前的选择很清晰:要么投入资源建立UUPDP合规体系,要么承受执法带来的直接处罚和间接商誉损失——后者在当今"数据主权"意识觉醒的印尼社会,代价可能远超预算中的合规成本。
优先投入方向:隐私政策的印尼语本地化、用户同意的有效获取机制、数据泄露响应预案、跨境传输的SCC签署——这四项是最快见效、最易被执法关注的合规项目。
