导航

如今我们正处于一个艰难的时期。新冠肺炎疫情导致国际交往大幅度减少，许多国家和城市都进入“封闭”状态。为保持社交距离，我们不得不留在家中，依赖线上工具进行工作、交流和娱乐。在此之前，我们从未如此热情地拥抱互联网服务，如此彻底地将自己暴露于网络之中，我们也从未如此认真地对待自己的个人信息和隐私保护问题。

在此背景下，企业也非常警惕在相关业务中由于使用个人信息而带来的合规风险。放眼全球，作为传统工业巨头，欧盟在数据保护方面出台了《通用数据保护条例》（GDPR）；作为互联网的发源地、众多知名互联网企业的根据地，美国加州也在《加州消费者隐私保护法案》（CCPA）中规定了相关内容。反观中国，这一拥有丰富历史的文明古国，近年来已成为全球互联网技术创新发展的试验基地，在数据保护立法上，现在走到哪个阶段了呢？

法规体系

中国目前并未制定、将来也不会制定一部涵盖数据保护所有方面的综合性法律。2019年12月，全国人大常委会发布的2020年度立法计划中，明确包括分别起草《个人信息保护法》与《数据安全法》。这主要是因为立法者希望我国的数据保护机制能够既保护公民个人信息和网络隐私，又保护与政府利益相关的重要数据。在全球化时代背景下，这一强调“双重目的”的立法路径似乎是一种较为保守的选择。然而，随着一些主要西方国家民粹主义上升所掀起的反全球化浪潮，这一立法模式也显得不那么保守了。

在中国现行的数据保护机制下，数据保护的相关要求散见于各层级的法律渊源中，并通过一些国家标准推广数据保护相关的建议性操作实践。具体而言，中国的数据保护法规体系主要由以下四个方面组成：

（1）一般数据安全要求，包括《网络安全法》及其配套法规、规章以及标准；

（2）国家秘密保护，包括《保守国家秘密法》及其配套实施法规；

（3）个人信息保护，包括《民法典》相关规定、《消费者权益保护法》，以及有关的国家标准；

（4）重要数据保护，包括各行业相关部门规章与地方法规。

监管机构

鉴于前述中国数据保护机制的“双重目的”，需要不止一个监管者合力管理，以确保数据保护计划体系下两方面的职能都能得到落实。我国数据保护主要监管机构及其职能如下：

（1）国家互联网信息办公室（网信办），负责领导立法工作，指导、协调有关法律法规实施工作；

（2）公安部，负责打击数据安全犯罪与网络安全违法行为；

（3）国家市场监督管理总局（市监局），监管市场经济活动中涉及个人信息安全的行为，例如非法侵犯消费者隐私的经营行为；

（4）工业和信息化部（工信部），负责电信服务业的数据保护；

（5）其他有关各部门，监管各自负责行业内的数据安全合规情况。

一般规定：个人数据和信息保护

合法、正当、必要原则。法律要求网络运营者合法开展个人信息相关业务，必须具有正当理由，并能够证明其收集、使用个人信息的必要性。合法、正当、必要原则的具体标准可以在全国信息安全标准化技术委员会（TC260）发布的诸部推荐性国家标准中找到，例如《信息安全技术 个人信息安全规范》。

同意原则。根据这一原则，网络运营者应当公布其收集和使用个人信息的规则和政策，并告知个人信息主体收集目的、手段和范围。在收集任何个人敏感信息之前，网络运营者应征得个人信息主体的明示同意，并确保个人信息主体的明示同意是在其完全知情的基础上自主给出的。个人敏感信息包括人脸、银行帐户等敏感信息。

个人信息的全生命周期保护要求。我国法律对个人信息的保护完整覆盖了个人信息的全生命周期，从收集到存储、使用、处理、共享、传输，直到删除。生命周期各阶段个人信息保护的关键要求如下：

• 收集：网络运营者必须严格遵守合法、正当、必要以及知情同意原则。
• 使用和处理：使用和处理个人信息不得超出收集前获得的授权范围。若有必要在未获得相应同意的情况下使用和处理个人信息，网络运营者必须就另外增加的使用个人信息的范围取得额外同意。需要额外注意的是，在数据处理外包的情况下，网络运营者必须确保外包商在外包处理活动中严格遵守上述要求。
• 存储：仅允许在实现主体授权使用目的所必需的最短时间内存储个人信息。建议在存储个人信息时进行去标识化处理，并且将可用于恢复识别个人的信息与去标识化后的信息分开存储。建议采用加密存储措施来存储个人敏感信息。
• 共享和传输：网络运营者在向第三方共享或传输个人信息之前，必须额外征得个人信息主体的相关同意。网络运营者可能还需要在进行共享和传输之前进行安全影响评估。在进行共享传输之时与完成传输之后，网络运营商应明确个人信息接收者的责任和义务，并合理监督接收者的行为。
• 尊重个人信息主体的权利：网络运营者必须尊重并响应个人信息主体的请求，例如撤回同意、更正或删除其个人信息、提供存储在网络运营者处的数据副本或注销其账户。

一般规定：重要数据保护

与个人信息保护不同，重要数据保护作为“双重目的”立法体系的另一支柱，在我国仍处于起步阶段。《网络安全法》和一些地方法规仅设置了一些宏观性的原则及参考。而该领域的专门法规——《数据安全管理办法》（征求意见稿）仍未正式出台。

重要数据保护的本地化规则在很大程度上仍不清晰。依据《网络安全法》，关键信息基础设施的运营者（CIIO）有义务将其在中国境内运营中收集和产生的个人信息和重要数据本地化。这一数据本地化的要求包括原则上应在中国境内存储此类重要数据，仅在必要时进行跨境传输；同时，实施数据跨境传输前应通过相关安全评估。

CIIO还应当在重要数据处理过程中采取备份和加密措施。《数据安全管理办法》（征求意见稿）试图为实现数据本地化提出比《网络安全法》更为详细、具体的要求。然而，无论是《网络安全法》还是《数据安全管理办法》（征求意见稿），都没有为“CIIO”和“重要数据”这两个关键概念提供明确的判断路径或决定标准。由于上述法律和规定的模糊性，导致一些行政法规和部门规章试图将数据本地化规则的适用范围延伸至其他数据类型，或是扩张解释CIIO的定义。但这一做法不仅容易引起混淆，也并未取得任何积极成果。

值得肯定的是，若干部委和地方政府已经确定或开始确定其管辖范围内的行业或地区的重要数据。已确定的重要数据包括例如人类遗传资源、人口健康信息、地理测绘信息、个人征信信息和个人财务信息。我们预计，将有越来越多的行业和地方政府采取同样的行动，以明确其管辖范围内重要数据的范围。

近期热门监管话题

APP：2019年，一个引人注目的监管动态是，多个政府机构联合执法打击APP违法违规运营。网信办、工信部、公安部与市场监督管理总局共同发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。此次治理行动贯穿2019年全年，重点针对不当隐私条款、未明示个人信息收集和使用范围、以及个人信息的过度收集。对违法行为施加的处罚种类包括公开曝光、停业整顿、吊销相关业务许可证或者吊销营业执照。

同时，有关部门也发布了一系列APP违法行为评估指南和认定方法，要求APP运营商提供用户友好的隐私条款、充分告知用户个人信息收集的范围和目的、并在收集个人信息之前获得用户的明确同意。

Cookie：Cookie和类似技术通常用于追踪和记录用户状态以及用户在网站上的行为。尽管目前还没有专门的法律来规范Cookie的使用，但司法实践中普遍存在一种共识——Cookie的使用是收集个人信息的一种手段。因此，网络运营者在使用Cookie或类似技术时，应将收集行为及其目的告知个人信息主体，明确需要收集的个人信息的类型，并征得个人信息主体的同意，以最大程度地减少潜在的法律风险和纠纷。

网络爬虫：网络爬虫是一种广泛应用的数据自动采集的技术工具。但是，若网络爬虫工具的使用者未能识别、有意忽略、或甚至故意违反网络服务提供者对网络爬虫的任何使用限制或禁止协议，将会面临重大法律风险。非法使用爬虫的行为可能产生相关行政责任甚至刑事责任。

软件开发工具包（SDK）：第三方SDK可能在用户和服务提供者不知情的情况下收集设备信息和其他个人信息。在2019年的一项执法行动中，曾发现同一SDK多次违法收集个人信息。SDK使用过程中的潜在风险也已经引起了立法者的注意。《数据安全管理办法》（征求意见稿）要求网络运营者对SDK提供商制定特定的数据安全要求和责任。

为了避免SDK带来的法律风险，我们建议的做法是：（1）请求SDK提供商进行陈述和保证，以确保数据保护合规性；（2）对SDK或使用SDK的应用程序进行合理的技术测试；（3）对SDK或使用SDK的应用程序进行实时监控，并及时切断SDK对任何个人信息的访问。

人脸识别：人脸识别，以及其他类似的生物特征识别应用程序被广泛运用于个人身份的识别与验证。根据法律规定，人脸作为生物识别信息，是受到严格保护的个人敏感信息。设备运营商可通过其控制的移动设备或其他设备收集和使用个人生物识别信息。但是，不正当收集和使用人脸信息将带来巨大的法律风险。

举例而言，2019年，一款允许用户“换脸”的应用程序Zao，在我国引发了对用户隐私保护的担忧。Zao的用户协议标明，用户只要接受Zao的用户协议，即中允许Zao的开发人员收集和存储其面部图像，并在未经用户进一步同意的情形下，将其出售给第三方。

由此，Zao受到了工信部的公开批评，并被要求更改其用户协议以解决前述个人信息安全问题。2019年6月25日，TC260在其升级的国家标准中专门针对生物识别信息更新了保护要求，正是受到该事件的部分影响。

区块链：区块链是一种安全的分布式账本，可帮助企业安全地记录交易信息。然而，私有区块链有可能被用于收集并储存个人信息。例如，零售商可以利用区块链收集和存储大量有关用户及其消费偏好、购买历史、支付习惯和金额等数据。

2019年2月15日生效的《区块链信息服务管理规定》要求区块链信息服务提供者落实信息内容安全管理责任，建立健全用户注册、信息审核、应急处置、安全防护等管理制度。

尽管自该规定确定区块链信息服务提供者的法定义务以来，目前还没有涉及私有区块链的用户个人信息违规案例公布，但或许很快便会看到相关案例或违规事件的发生。

数据保护合规策略

各国法律采取了不同的个人数据保护策略和路径。其中，美国采取了较为宽松、自由的态度，认为个人数据虽然属于个人利益，应置于数据主体的绝对控制之下，数据主体也由此应承担自我保护的主要责任，而政府仅需承担次要责任。

该规范路径使得大多数高科技公司都将个人数据视为“狂野西部”的“免费”黄金。在这一关键时刻，《加州消费者隐私法案》（CCPA）在高科技公司的摇篮——加州应运而生，其旨在修复数据主体的权利以及其他组织使用个人信息数据的权利之间的平衡。然而，这一自由的规范路径鼓励了新技术的研究发展，其中一些新技术需建立在大量的试验和数据分析基础之上，具有代表性地体现了美国“新技术优先”的政策思想。

相比之下，欧盟则采取了截然不同的做法，认为虽然个人数据属于个人利益，应受到数据主体的绝对控制，但所有欧盟主体的个人数据的汇总，构成了属于欧盟委员会的一种新形式的、有价值的无形资产。因此，欧盟致力于确保这些个人利益得到妥善的保护。

沿着这一监管思路，欧盟为资助政府保护这种个人利益而征收所谓的数字资产税也就不足为奇了。欧盟采取此种相对保守的路径，是因为其抵御来自美国技术巨头入侵的技术能力相对较弱。

中国的数据保护机制仍在发展。中央政府已经意识到正确的数据保护规制路径将决定国家的未来。综合历史因素与中国的政府结构，中国将更多地倾向于采用类似欧盟《通用数据保护条例》（GDPR）的数据保护机制。不过，中国政府也意识到，完全照搬GDPR的数据保护机制可能会在其技术巨头与美国对手之间的竞争中造成不利影响，尤其是在依赖大量数据以支持技术发展的领域，例如人工智能（AI）。

因此，中国为数据保护创造了一个“双重目的”的平行规范结构。一方面，我国个人信息保护的限制不及GDPR严格，以便为技术进步和探索留出空间，同时通过对重要数据加以更严格的限制以平衡个人信息保护和技术发展；另一方面，法律试图定义CIIO和重要数据的概念，为先进技术的入侵设置障碍。这一路径十分具有中国特色，体现了技术发展与个人信息安全之间的竞争利益。

宏观合规建议

如果您是一家完全符合GDPR要求的外国技术公司，那么您很可能已满足了中国的个人信息保护法律法规的要求。

如果您是一家美国公司，并且没有适当的GDPR合规策略，则您现在可能需要做的是：确定您当前基于美国的个人数据保护政策与中国的个人信息保护要求之间的差距，根据中国法律的要求进一步弥补该差距。然而，如果您是符合CCPA规定的美国公司，则您可能已经遵守、或仅需采取很少的步骤就能符合中国个人信息保护的相关要求。

无论您是欧盟公司还是美国公司，为满足重要数据的保护要求，您需要做的是密切关注CIIO和重要数据保护法规的发展情况，并分析您在中国收集的数据是否可以确定为重要数据。如果是，您可能需要制定特殊的合规策略来解决中国重要数据保护的相关问题。如果不是，您已基本满足法规的要求。

赵欣瑶和王旖璞也对本文作出了贡献

环球律师事务所

上海市徐汇区淮海中路999号环贸广场办公楼一期36层 邮编：200031

电话：+86 21 2310 9517

传真：+86 21 2310 8299

www.glo.com.cn

---

印度

我们生活的方方面面，无论是医学、天文学、金融、法律、社会生活还是几乎其他所有的事情，都是由计算机驱动，或者间接依赖于计算机的传播和存在。虽然计算机使我们的生活变得容易，但它们也带来了一系列新的挑战。

正如微软创始人比尔盖茨的名言所说：“计算机生来就是解决以前不存在的问题。”尽管如此，某些源自对计算机依赖的挑战可能会对社会产生不利影响，除非有一个强大和健全的法律框架，否则社会将无法获得保护。本期文章旨在介绍目前管理印度网络安全和数据隐私的法规。

随着数字化在生活各个领域的出现，政府最初采取的措施是针对电子记录的认可，以及对数字处理的认可和批准。为此，有几部现行法律进行了修改，以迎接数字化带来的新挑战。

尽管如此，印度在网络安全方面迈出最重要的第一步是2000年《信息技术法案》的颁布。随后的法律发展虽然非常有限，但还是为进一步的发展铺平了道路，并导致《信息技术法案（修正案）》于2008年通过。

《信息技术法案》广泛涵盖了各种网络罪行和网络违法行为。几乎所有已知的构成与信息技术有关的刑事犯罪活动都被《信息技术法案》所涵盖。

• 黑客。虽然《信息技术法案》没有明确提到黑客行为，但《信息技术法案》第43条规定如果任何人未经所有者的许可访问计算机、计算机系统或计算机网络（小节a）、或者下载、复制和提取任何数据（小节b），或导致任何系统中断（小节e），都将通过向受影响人士进行赔偿的方式承担赔偿责任。《信息技术法案》第66条进一步规定包括黑客行为在内的第43条所述的犯罪行为可被处以三年以下有期徒刑或最高7100美元的罚款，或两项并罚。
• 网络钓鱼。《信息技术法案》没有明确界定网络钓鱼行为。不过，《信息技术法案》第66C条和第66D条规定了对网络钓鱼类行为的处罚。第66C条规定任何人以欺诈或者不诚实方式使用他人的电子签名、密码或者其他独特识别特征将面临三年以下监禁和最高1300美元的罚款。除了《信息技术法案》之外，1860年《印度刑法典》第419条也对冒充他人的欺骗行为规定了类似的处罚。
• 恶意软件/病毒攻击。根据《信息技术法案》第43条C款，如果任何人未经所有人的许可向计算机资源引入任何计算机污染物或计算机病毒，都将通过赔偿的方式承担赔偿责任。该等行为根据《信息技术法案》第66条的规定也会受到处罚。
• 网络恐怖主义。2008年《信息技术法案》的修正案增加了第66F条，对网络恐怖主义进行了明确的规定。根据第66F条的规定，如果犯罪行为带有威胁印度团结、诚信、安全或主权的意图，或者对人民进行恐怖袭击，或者其行为造成人员伤亡、财产破坏或者中断对生命至关重要的服务和供应，或者对关键信息基础设施产生不利影响，都将构成网络恐怖主义，并可能导致终身监禁。

信息技术领域发展迅速，随着时间的推移印度政府继续制定了一些规定和条例扩大《信息技术法案》的范围，以跟上新的挑战。随着时间的推移，政府制定了各种规定，其中有一些在网络安全和数据隐私方面发挥了重要作用：

1. 2011年《信息技术（合理安全实践和程序及敏感个人数据或信息）规则》（SPDI规则）；
2. 2011年《信息技术（中介机构准则）规则》；
3. 2011年《信息技术（网吧准则）规则》；
4. 2011年《信息技术（电子服务交付）规则》；
5. 2013年《信息技术（印度计算机应急响应小组及履行职能和职责的方式）规则》（CERT-In规则）；以及
6. 2018年《信息技术（受保护系统的信息安全实践和程序）规则》。

政府颁布的各种信息技术规则使个人和组织承担了重要义务，以确保安全实践，并报告网络安全事件。上述CERT-In规则要求受到任何“网络安全事件”影响的个人和企业实体应当向印度计算机应急响应小组（CERT-In）进行报告。网络安全事件是指违反明确或者默示适用的安全政策的、与网络安全有关的任何真实或疑似不良事件。

印度计算机应急响应小组的成立是为了在网络安全突发事件期间响应并协调行动，并提供信息以帮助提高网络安全。

毫无疑问的是，《信息技术法案》将会遇到需要特殊知识才能解决的更深层次的技术问题。因此，《信息技术法案》规定有关该法案的争议任命特殊的“裁判官”，这些裁判官的决定可以被再次上诉到根据该法案专门成立的上诉法院。

根据2000年《信息技术法案》第48（1）条的规定，电子和信息技术部于2006年10月设立了网络法规上诉法院。2008年《信息技术法案（修正案）》将该法院重新命名为网络上诉法院（CyAT）。根据《信息技术法案》，任何人因为认证授权控制机构或者裁判官的命令受到侵害的，都可以向网络上诉法院提起上诉。

印度在确保个人数据方面采取了重要措施，并努力使其法律框架与全球进程接轨。法律法规的一部分是旨在让这些机构有义务确保适当的基础设施和安全，以保护进入他们手中的数据。根据SPDI规则，储存财务、健康、密码、生物识别等数据的公司和组织应当制定包含与寻求保护的信息资产相称的技术、操作和物理安全控制措施的政策。

法律法规的另一部分是界定了什么是个人数据，以及在数据隐私和信息披露方面必须遵守的政策。SPDI规则中的规则2（i），个人信息是指与能够识别该自然人有关的任何信息，以及直接或间接与法人实体获得或可能获得的其他信息。规则3规定将密码、财务信息、身心健康状况、性取向、生物特征等信息归为敏感数据。

根据这些规则，任何公司或个人须明确披露（在其网站或任何合同中）有关个人数据的政策、收集和使用该等信息的目的、披露信息的相关政策，以及所采用的合理安全程序。这些规则确保了个人数据是安全的，泄露这些数据的人士知悉收集这些数据的意图，以及寻求这些数据的机构是否对这些数据会受到保护产生任何信心。

随着情况日益复杂，人们认识到现行数据隐私法的不足之处。2017年8月，在KS Puttaswamy法官诉Union of India案中，印度最高法院认可了制定更健全的法律保护个人数据的需要。它明确认可了个人的基本隐私权和加强个人数据保护的必要性。

随后BN Srikrishna法官主持的专家委员会发布了报告和法律草案。印度议会目前正在审议2019年《个人数据保护法案》，该法案既符合专家委员会起草的法律草案，也与2018年欧盟的《通用数据保护条例》 有共鸣。

鉴于信息技术的动态性质，与其相关的法律也以比其他法律更快的速度经历着持续的发展。印度政府已经认识到这种动态，并不断地通过扩大《信息技术法案》的范围来改革信息技术法律。

近期，随着2018年《信息技术（受保护系统的信息安全实践和程序）规则》和《个人数据保护法案》的出台，政府认识到进一步加强数据隐私法律的重要性，这是为跨境信息流动注入信心的一个积极方向。

LEXORBIS
709/710 Tolstoy House
15-17 Tolstoy Marg
New Delhi – 110 001 India
电话: +91 11 2371 6565
传真: +91 11 2371 6556
电子邮件: mail@lexorbis.com
www.lexorbis.com

---

印度尼西亚

印度尼西亚拥有东南亚地区发展最快的数字经济。由于政府一直在推动数字商业的发展，并鼓励中小企业参与互联网和科技的使用，迎接“工业4.0”时代的到来，因此预计这种增长还将持续。

信息技术在印尼的经济中发挥着重要作用，数字产业的快速发展增加了制定更先进和全面的网络安全和数据保护规则的必要性。

鉴于数字技术的快速发展，印度尼西亚自2008年起制定了一项专门规范电子信息和交易的法律：2008年第11号法律《电子信息与交易法》，并经2016年第19号法律修订。这部法律对电子信息和系统在各种环境下的运营和参与制定了基本规则，其中包括网络安全和个人数据保护。

不过，印尼的电子商务平台也无法避免其内部数据库遭到破坏，导致用户数据（用户名、电子邮箱、电话号码和加密密码）的大量泄露。在印尼越来越将电子商务作为其经济的重要支持系统的同时，这些事件暴露了电子系统的安全漏洞。因此，政府的政策和法规也在试图适应这些技术的发展与挑战。

网络安全

《电子信息与交易法》及其实施条例，比如2019年第71号《关于提供电子系统和交易的政府条例》，涵盖了关于网络安全的一般规定，预计将会在保持中立技术原则的同时，促进并适应对电子系统的依赖。《电子信息与交易法》要求电子系统运营商以可靠和安全的方式提供系统，并对系统的正确运行负责。根据第71号条例，安全方面包括对电子系统的物理和非物理性保护，并包括硬件和软件的安全。此外，该条例还要求电子系统运营商维护和实施安全程序、设施和系统，以防止和减轻安全威胁和攻击。

根据印尼通讯和信息技术部的2016年第4号《关于信息安全管理系统的条例》（第4号条例），信息安全管理标准的合规要求取决于相关电子系统的风险类别。该条例将风险分为：（1）战略风险；（2）高风险；和（3）低风险。

被认定为战略风险和高风险的电子系统需要实施ISO/IEC 27001信息安全标准，而被认定为低风险的电子系统必须执行信息安全指数准则。

不过，第4号条例预计会在未来进行更新，因为它仍然提到第71号条例的前身2012年第82号《关于提供电子系统和交易的政府条例》，该条例已被第71号条例废止。

信息安全管理技术要求的确定，包括适用的信息安全指数，最初是被委派为通讯和信息技术部。不过，这个角色现在被分配给了网络安全局（Badan Siber dan Sandi Negara, or BSSN）。预计未来BSSN将会就信息安全要求和合规方面制定技术法规。

除了BSSN之外，另一个被授权处理网络安全事务的机构是印尼互联网基础设施/协调中心的安全事件响应小组（ID-SIRTII），由通讯和信息技术部于2007年成立。ID-SIRTII的职责重点是提高对信息技术安全、对电信网络特别是互联网中的威胁进行事前监控、事前检测和事前预警的认识。

在刑事方面，《电子信息与交易法》第46条规定，违反网络安全的行为将被处以8年以下有期徒刑以及/或者最高达8亿印尼卢比（5.3万美元）。

数据保护

根据《印度尼西亚宪法》第28G条的规定，数据和隐私保护被认为是基本人权。该条款规定人人都应当有权保护自己、家庭、荣誉、尊严和财产。不过，迄今为止印尼还没有出台专门针对数据和隐私保护的法律，因此相关的规定仍然分散在多个行业的法律法规中。

不过，《电子信息与交易法》、第71号条例和第20号条例目前被认为是个人数据管理的保护伞，适用于任何商业领域的电子系统操作。

这些条例强调了通过电子媒体使用涉及个人数据的信息时必须获得同意的重要性，除非相关法律法规另有规定。

《电子信息与交易法》中“保护个人数据是个人隐私权的一部分”的理念确立了第20号条例的总体原则，强调在处理或管理个人资料、核实所处理个人数据以及保护数据当事人对其个人数据的权利时，均需要取得数据当事人的同意。

第20号条例要求电子系统运营商在处理个人数据的所有阶段均须取得数据当事人的同意，包括收集、处理、储存、发布或删除个人数据。

根据第71号条例，政府尝试采用基于更常见标准的个人数据保护规则，这体现了欧盟《通用数据保护条例》（GDPR）的重要影响，这可以从我们的以下分析中看出：

第71号条例第14（1）条提到个人数据保护的基本原则（与《通用数据保护条例》第5条的规定基本类似）；

基于数据当事人同意的一个或多个目的，并遵守《通用数据保护条例》第六条的其他规定，有关合法处理个人数据的要求被认为是合法处理个人数据的依据。不过，相比于对同意要求进行豁免，第71号条例采取了另一种方法，同意仍然是一项强制性要求。

“个人数据控制者”（pengendali data pribadi）术语的使用直接来自《通用数据保护条例》。该术语仅在第71号条例第14条出现过一次，但没有对它进行详细说明。此外，与《通用数据保护条例》相比，第71号条例并没有明确区分“个人数据控制者”和“个人数据处理者”。

一般“遗忘权”的发展是《电子信息与交易法》首先确立的，要求电子系统运营商根据法院命令或者根据数据当事人的请求，删除在其控制下并且不再相关的电子信息和/或电子文档，取决于具体行使的权利是删除权还是消除权。

政府正在草拟一份有关个人数据保护的法案，根据最新的草案，笔者认为该法案进一步采纳了《通用数据保护条例》的原则。这可以被视为一个提高印尼的法规与全行业标准兼容性的机会。例如，将个人数据控制者和个人数据处理者加以了区分，并且该法案将违法行为的通知时间缩短为3天，而第20号条例规定了14天。不过，目前还没有迹象表明该法案将在何时成为法律。

更密切关注

考虑到最近对几家数字平台公司的网络攻击，很明显数据滥用对于犯罪分子来说有着巨大的吸引力，网络犯罪不可避免地成为了发展趋势。随着数据现在被视为公司的重要资产，在不影响一系列预防措施的情况下，预计政府和私营部门将更加关注与网络安全和数据保护相关的问题。因此，意识到打击网络犯罪和建立有效和高效的个人数据保护的必要性将是政府和国家企业部门关注的重点领域。

ABNR COUNSELLORS AT LAW
Graha CIMB Niaga 24/F
Jl Jenderal Sudirman Kav 58
Jakarta 12190 Indonesia
电话： +62 21 250 5125
电子邮件： info@abnrlaw.com
www.abnrlaw.com

---

台湾

台湾的网络安全法律由不同制度中的法律法规组成。虽然《网络安全管理法》于2018年颁布，但它主要确立了对政府机构和特定的非政府机构的网络安全管控机制。其他相关法律法规也很重要，其中包括《刑法典》、《个人数据保护法》和新的《反渗透法》。

刑法典

《刑法典》第36章“计算机犯罪”对网络安全进行了规定。下列行为将受到刑事处罚，包括但不限于监禁和罚款。

• 侵入他人的电脑（《刑法典》第358条）。如果某人（i）输入他人的账户名和密码；（ii）破坏计算机的保护措施；或者（iii）利用系统漏洞，无正当理由进入他人的计算机或相关设备，都属于《刑法典》第358条规定的犯罪。“理由”可以包括其他相关人士的授权或者法律要求。
• 非法处理电子记录或磁记录。非法获取、删除或者修改他人计算机或相关设备中的电子记录或磁记录的行为可能会违反《刑法典》第359条的规定。“电子记录或磁记录”是指“利用电子、磁、光或者其他类似方式进行计算机处理的记录”。
• 干扰计算机或相关设备的使用。干扰他人使用计算机或相关设备，并对公众或他人造成伤害的，可能会违反《刑法典》第362条的规定。

《刑法典》第36章对于使用计算机程序进行犯罪的行为进行了规定。为了进行上述第358条、第259条和第362条规定的犯罪行为的目的为自己或他人制作计算机程序，可能会违反《刑法典》第363条的规定。

民法典

《民法典》没有关于网络安全侵权民事责任的具体法律法规。不过，如果任何人通过侵入他人电脑或者通过其他方式影响网络安全，造成其他人遭受损失或损害，受损害的人/实体可以要求根据《民法典》第184条（侵权）和其他条款的规定要求赔偿，包括但不限于原则上的第18条（侵犯个人权利）和第195条（名誉侵权），以及其他可能与特定情况相关的条款。

个人数据保护法

为了保护个人数据，《个人数据保护法》规定，政府/非政府机构必须采取适当的安全措施阻止个人数据被盗取、篡改、损坏、销毁或泄露。这些规定与网络安全没有直接关系。但是，个人数据目前是利用互联网进行收集、处理和转移的，因此，安全措施也可能有助于提高网络安全措施的整体有效性。

《个人数据保护法》还规定管理某些行业的中央主管机构可以指定并命令某些非政府机构（私人实体）为了保护个人数据文件建立所谓的安全和维护计划，并制定和实施在业务终止后处理个人数据的准则。

比如，台湾金融监督管理委员会制定了《金融监督管理委员会指定非政府机构保护个人数据文件的安全与维护计划》。根据该等规定，提供电子商务服务的非政府机构必须采取以下信息安全措施，包括：（1）验证身份；（2）隐藏个人数据；（3）确保通过互联网进行加密传输；（4）对某些应用系统的开发、上线和维护程序进行验证和确认；（5）建立和实施个人数据文件和数据库的保护和监管措施；（6）制定防止外部未经授权访问的解决方案；以及（7）制定解决方案并监督非法/异常访问和使用。

网络安全管理法

台湾的《网络安全管理法》于2018年6月6日颁布。除了《刑法典》和《个人数据保护法》之外，《网络安全管理法》主要监管政府或特定非政府机构对网络安全程序的管理，以构建保护国家网络安全的环境。《网络安全管理法》的主管机构是作为台湾最高行政权力机构的行政院。经济部也发布了台湾企业根据《网络安全管理法》建立相关网络安全机制的指导意见。

《网络安全管理法》的适用范围包括政府机构和特定的非政府机构。特定的非政府机构包括国有企业、政府资助的基金会和“基础设施供应商”。

这一点很重要，因为基础设施供应商需要建立符合《网络安全管理法》要求的网络安全保护机制，确保相关的敏感信息会很安全，并且不会被恶意泄露给他人，从而维护安全。

基础设施供应商是指由主管相关行业的中央机构指定的并且报主管机构批准的、维护或提供全部或部分关键基础设施的实体。

关键基础设施包括在能源、水、通信、金融、交通、紧急医疗、政府机构和高科技园区等领域的设施供应商。

一旦供应商被指定为基础设施供应商，它们也需要承担与政府机构相同的义务，建立网络安全保护机制，防止敏感信息通过互联网意外泄露，从而对安全造成不利影响。

根据《网络安全管理法》，政府机构和特定非政府机构的职责分为三个阶段：

• 事先规划。《网络安全管理法》要求政府机构或特定非政府机构事先建立“安全和维护计划”以及“报告和反应机制”，以便工作人员据此执行。机构还应当考虑有关业务重要性、保密性和敏感性，有关机构的层级，保留或处理信息的类别、数量和属性，以及有关机构的信息和通信系统的规模和属性的标准，规定网络安全责任等级。
• 维护。各机构应当定期向中央主管机构提供报告，主管机构可以根据《网络安全管理法》进行现场尽职调查。如果发生任何影响网络安全的事件，各机构必须向中央主管机构报告并且采取措施控制损失，并按照中央主管机构制定的机制恢复运行。
• 事后纠正。在网络安全事件发生后，或者中央主管机构发现有关机构的网络安全控制机制存在缺陷时，有关机构必须采取措施纠正该等缺陷，并提交有关为弥补该等缺陷所采取的措施的报告。各机构必须跟踪有关补救和纠正措施的执行情况和效果，以确保全面纠正有关缺陷。

由于对网络安全的威胁可能来自世界各地，因此《网络安全管理法》还要求政府建立信息共享机制。鼓励政府和非政府机构之间进行信息共享，以加强网络安全网络。

已建立的信息共享机制包括国家信息共享和分析中心（N-ISAC）、国家计算机应急响应小组（N-CERT）以及国家安全运营中心（N-SOC）。

反渗透法

《反渗透法》于2020年1月初生效，该法案禁止受“渗透来源”指示或者资助的人士进行非法竞选、游说活动，或者接受非法政治捐款以及扰乱社会秩序。

起草和通过《反渗透法》的背景是在台湾近期举行地方选举的时候，岛内外人士在互联网上制造所谓的“假新闻”试图影响选举结果。

FORMOSA TRANSNATIONAL ATTORNEYS AT LAW
13/F, 136 Jen Ai Road, Sec. 3, Taipei
电话： +886 2 2755 7366
传真： +886 2 2755 6486
www.taiwanlaw.com