网络安全法的亚洲视角 – 印度尼西亚

导航

印度尼西亚拥有东南亚地区发展最快的数字经济。由于政府一直在推动数字商业的发展，并鼓励中小企业参与互联网和科技的使用，迎接“工业4.0”时代的到来，因此预计这种增长还将持续。

信息技术在印尼的经济中发挥着重要作用，数字产业的快速发展增加了制定更先进和全面的网络安全和数据保护规则的必要性。

鉴于数字技术的快速发展，印度尼西亚自2008年起制定了一项专门规范电子信息和交易的法律：2008年第11号法律《电子信息与交易法》，并经2016年第19号法律修订。这部法律对电子信息和系统在各种环境下的运营和参与制定了基本规则，其中包括网络安全和个人数据保护。

不过，印尼的电子商务平台也无法避免其内部数据库遭到破坏，导致用户数据（用户名、电子邮箱、电话号码和加密密码）的大量泄露。在印尼越来越将电子商务作为其经济的重要支持系统的同时，这些事件暴露了电子系统的安全漏洞。因此，政府的政策和法规也在试图适应这些技术的发展与挑战。

网络安全

《电子信息与交易法》及其实施条例，比如2019年第71号《关于提供电子系统和交易的政府条例》，涵盖了关于网络安全的一般规定，预计将会在保持中立技术原则的同时，促进并适应对电子系统的依赖。《电子信息与交易法》要求电子系统运营商以可靠和安全的方式提供系统，并对系统的正确运行负责。根据第71号条例，安全方面包括对电子系统的物理和非物理性保护，并包括硬件和软件的安全。此外，该条例还要求电子系统运营商维护和实施安全程序、设施和系统，以防止和减轻安全威胁和攻击。

根据印尼通讯和信息技术部的2016年第4号《关于信息安全管理系统的条例》（第4号条例），信息安全管理标准的合规要求取决于相关电子系统的风险类别。该条例将风险分为：（1）战略风险；（2）高风险；和（3）低风险。

被认定为战略风险和高风险的电子系统需要实施ISO/IEC 27001信息安全标准，而被认定为低风险的电子系统必须执行信息安全指数准则。

不过，第4号条例预计会在未来进行更新，因为它仍然提到第71号条例的前身2012年第82号《关于提供电子系统和交易的政府条例》，该条例已被第71号条例废止。

信息安全管理技术要求的确定，包括适用的信息安全指数，最初是被委派为通讯和信息技术部。不过，这个角色现在被分配给了网络安全局（Badan Siber dan Sandi Negara, or BSSN）。预计未来BSSN将会就信息安全要求和合规方面制定技术法规。

除了BSSN之外，另一个被授权处理网络安全事务的机构是印尼互联网基础设施/协调中心的安全事件响应小组（ID-SIRTII），由通讯和信息技术部于2007年成立。ID-SIRTII的职责重点是提高对信息技术安全、对电信网络特别是互联网中的威胁进行事前监控、事前检测和事前预警的认识。

在刑事方面，《电子信息与交易法》第46条规定，违反网络安全的行为将被处以8年以下有期徒刑以及/或者最高达8亿印尼卢比（5.3万美元）。

数据保护

根据《印度尼西亚宪法》第28G条的规定，数据和隐私保护被认为是基本人权。该条款规定人人都应当有权保护自己、家庭、荣誉、尊严和财产。不过，迄今为止印尼还没有出台专门针对数据和隐私保护的法律，因此相关的规定仍然分散在多个行业的法律法规中。

不过，《电子信息与交易法》、第71号条例和第20号条例目前被认为是个人数据管理的保护伞，适用于任何商业领域的电子系统操作。

这些条例强调了通过电子媒体使用涉及个人数据的信息时必须获得同意的重要性，除非相关法律法规另有规定。

《电子信息与交易法》中“保护个人数据是个人隐私权的一部分”的理念确立了第20号条例的总体原则，强调在处理或管理个人资料、核实所处理个人数据以及保护数据当事人对其个人数据的权利时，均需要取得数据当事人的同意。

第20号条例要求电子系统运营商在处理个人数据的所有阶段均须取得数据当事人的同意，包括收集、处理、储存、发布或删除个人数据。

根据第71号条例，政府尝试采用基于更常见标准的个人数据保护规则，这体现了欧盟《通用数据保护条例》（GDPR）的重要影响，这可以从我们的以下分析中看出：

第71号条例第14（1）条提到个人数据保护的基本原则（与《通用数据保护条例》第5条的规定基本类似）；

基于数据当事人同意的一个或多个目的，并遵守《通用数据保护条例》第六条的其他规定，有关合法处理个人数据的要求被认为是合法处理个人数据的依据。不过，相比于对同意要求进行豁免，第71号条例采取了另一种方法，同意仍然是一项强制性要求。

“个人数据控制者”（pengendali data pribadi）术语的使用直接来自《通用数据保护条例》。该术语仅在第71号条例第14条出现过一次，但没有对它进行详细说明。此外，与《通用数据保护条例》相比，第71号条例并没有明确区分“个人数据控制者”和“个人数据处理者”。

一般“遗忘权”的发展是《电子信息与交易法》首先确立的，要求电子系统运营商根据法院命令或者根据数据当事人的请求，删除在其控制下并且不再相关的电子信息和/或电子文档，取决于具体行使的权利是删除权还是消除权。

政府正在草拟一份有关个人数据保护的法案，根据最新的草案，笔者认为该法案进一步采纳了《通用数据保护条例》的原则。这可以被视为一个提高印尼的法规与全行业标准兼容性的机会。例如，将个人数据控制者和个人数据处理者加以了区分，并且该法案将违法行为的通知时间缩短为3天，而第20号条例规定了14天。不过，目前还没有迹象表明该法案将在何时成为法律。

更密切关注

考虑到最近对几家数字平台公司的网络攻击，很明显数据滥用对于犯罪分子来说有着巨大的吸引力，网络犯罪不可避免地成为了发展趋势。随着数据现在被视为公司的重要资产，在不影响一系列预防措施的情况下，预计政府和私营部门将更加关注与网络安全和数据保护相关的问题。因此，意识到打击网络犯罪和建立有效和高效的个人数据保护的必要性将是政府和国家企业部门关注的重点领域。

ABNR COUNSELLORS AT LAW
Graha CIMB Niaga 24/F
Jl Jenderal Sudirman Kav 58
Jakarta 12190 Indonesia
电话： +62 21 250 5125
电子邮件： info@abnrlaw.com
www.abnrlaw.com