印尼推出個人隱私保護法 行使資料主權在地化｜專家論點【Howie Su】

作者：Howie Su（產業分析師）

從歐盟 GDPR 法規中學習

2022 年關於個人資料保護的第 27 號法律《PDP 法》標誌著印尼致力於組織或公司處理個人資料的透明度和問責制的關鍵時刻。《PDP 法》的製定是為了保護個人權利，特別是在個人資料處理活動方面，PDP 其中一個重點是要求個人資料控制者，保留全面的處理活動記錄（ROPA）。此義務類似於歐盟 2018 年《一般資料保護規範》（GDPR）的規定，強調記錄個人資料處理過程的重要性。

從本質上講，ROPA 充當詳細的日誌或審計跟踪，為當局提供有關組織如何管理個人資料處理的透明視圖，如果不遵守規定，業者後果可能很嚴重，因為監管機構有權徵收巨額罰款。

根據 GDPR，這些罰款可能高達 2,000 萬歐元（約 2,030 萬美元），凸顯了保持準確且最新的 ROPA 的重要性。然而，與 GDPR 規定適用於員工超過 250 名（或更少）​​的企業不同，PDP 法要求所有個人資料控制者和處理者遵守此義務。這種廣泛的適用性突顯印尼政府致力於在各種規模的公司的個人資料處理活動中培養透明度和問責文化。

ROPA 包含哪些內容？

雖然《PDP 法》沒有具體規定個人資料控制者執行 ROPA 的強制性組成部分，但印尼政府將在其政府法規中進一步概述這些義務。根據最新的《PDP 法》實施條例草案，印尼政府將 ROPA 的強制性組成部分劃分為個人資料控制者執行的行為和個人資料處理者執行的行為。而根據最新的法案草案，個人資料控制者進行的 ROPA 應包括但不限於：

• 個人資料控制者、聯合個人資料控制者和/或個人資料處理者的姓名和聯絡資訊
• 個人資料負責人的聯絡方式
• 收集來源和發送個人資料的目的
• 處理個人資料的基礎
• 處理個人資料的目的
• 個人資料類型
• 個人資料主體的類別
• 除個人資料控制者以外可存取個人資料的各方
• 履行個人資料主體的權利
• 繪製個人資料流向圖
• 確保個人資料安全的技術和組織措施

這背後不難看出印尼積極確保資料不落入他國企業或機構手中，即確保「數位主權」的完整性，數位主權由資料主權（公司對其使用和產生的資料擁有多少控制權）與技術主權（指公司或國家對其使用的數位技術的控製程度）兩者組成。過去，幾乎所有西方世界的資料都儲存在美國，主因在於各國依賴美國的科技公司，在較小程度上依賴中國的科技公司來儲存和管理大量資料。由於大量資料儲存和處理發生在海外，各國政府和政策制定者對此表示擔憂，他們希望制定更強大的參數來在本地使用和儲存數據，這將確保歐洲國家能夠管理自己的數據，改善其數位生態系統並提高主動性。

瀏覽 257 次