一、核心法律框架概述
印度尼西亚网络数据安全领域以《电子信息和交易法》(EIT Law,经 2024 年修订)为基础核心,辅以《个人数据保护法》(PDP Law)、《2019 年电子系统和交易实施政府条例》(GR 71/2019)、国家网络和密码局(BSSN)相关规章及行业专项法规,构建了覆盖网络犯罪惩治、数据保护、系统安全、 incident 响应等全链条的合规体系。其中,EIT Law 规制各类网络犯罪与电子系统义务,PDP Law 聚焦个人数据全生命周期保护,GR 71/2019 细化电子系统提供商(ESP)的实操要求,BSSN 相关规章明确 cybersecurity 技术标准与危机管理流程,行业法规则针对金融、医疗、电信等敏感领域提出特殊要求。
二、禁止性网络行为及法律责任
企业及员工在印尼境内外开展活动时,需严格规避以下网络违规行为,相关行为均构成刑事或行政违法,面临严厉处罚:
1.非法访问(黑客行为):未经授权故意访问他人计算机或电子系统(含绕过安全机制),违反 EIT Law 第 30 条,最高可处 8 年监禁及 8 亿印尼盾罚款;若造成物质损失,最高刑为 12 年监禁及 120 亿印尼盾罚款。典型案例中,被告人非法访问地方政府数据库并试图出售 230 万条人口记录,被判处 1 年监禁及 2 亿印尼盾罚款。
2.拒绝服务攻击(DDoS):通过破坏安全系统访问电子系统或导致系统无法正常运行,违反 EIT Law 第 30 条、第 33 条,最高可处 10 年监禁及 100 亿印尼盾罚款,实际量刑通常为 2-3 年监禁及 200-2000 万印尼盾罚款。
3.钓鱼与信息伪造:伪造、篡改电子信息 / 文档以欺骗他人,或非法转移他人电子凭证、银行信息等,违反 EIT Law 第 32 条、第 35 条,最高可处 12 年监禁及 120 亿印尼盾罚款;同时可能触犯《刑法典》欺诈条款,额外面临 4 年监禁。
4.恶意软件传播:植入勒索软件、间谍软件、病毒等破坏系统或非法访问数据,违反 EIT Law 第 30 条、第 33 条、第 36 条,最高可处 10 年监禁及 100 亿印尼盾罚款。
5.网络犯罪工具相关行为:创建、销售、分发或持有用于网络犯罪的软硬件(如键盘记录器、密码破解工具),违反 EIT Law 第 34 条,最高可处 8 年监禁及 80 亿印尼盾罚款。
6.身份盗窃与数据滥用:伪造、滥用他人电子身份或个人数据,违反 EIT Law 第 35 条及 PDP Law 相关条款,最高可处 12 年监禁及 120 亿印尼盾罚款;若涉及个人数据伪造,还可能面临 PDP Law 规定的 6 年监禁及 60 亿印尼盾罚款。
7.电子盗窃与泄密:未经授权转移、泄露他人电子信息或商业秘密,违反 EIT Law 第 32 条及《商业秘密法》,最高可处 8 年监禁及 80 亿印尼盾罚款;侵犯版权的,最高可处 4 年监禁及 10 亿印尼盾罚款。
8.未经授权渗透测试:无论是否出于恶意,未经系统所有者许可的渗透测试均构成非法访问,违反 EIT Law 第 30 条,最高可处 8 年监禁及 8 亿印尼盾罚款。
上述罪名均具有域外效力,只要行为对印尼产生法律影响或损害印尼利益,无论行为人位于何地,均适用印尼法律追究责任。
三、企业核心安全义务与实操要求
(一)通用安全措施
企业作为电子系统提供商(ESP,包括所有运营电子系统的个人、企业及机构),需满足以下最低安全要求:
1.建立并维护电子系统的物理与非物理安全防护,制定并更新安全程序与指南,配备充足的人员与机构支持,实施绩效管理并制定业务连续性计划。
2.定期开展网络风险评估,针对威胁与中断制定并执行缓解措施,确保系统免受干扰、故障与数据损失。
3.制定内部数据保护与安全政策,明确个人数据处理的安全等级,采取技术与运营措施保障数据的保密性、完整性与可用性。
4.留存所有电子系统活动(含个人数据处理)的审计轨迹,用于监管核查、执法配合及纠纷解决。
5.对负责系统安全与数据保护的员工开展定期培训与教育,确保人员具备相应安全意识与操作能力。
6.对电子系统进行客观可行性测试,验证其是否符合安全与运营要求。
(二)Incident 响应与报告机制
1.内部响应能力:建立专门的网络事件响应团队(CIRT),负责事件缓解、系统恢复、信息上报及跨机构协调,并向 BSSN 下属的国家 CIRT 注册。
2.报告义务触发与要求:
个人数据泄露:发生数据泄露后,需在 3×24 小时内书面通知受影响数据主体及监管机构(当前为通信和数字事务部 MOCDA),通知内容需包含泄露数据类型、时间、方式及补救措施;若影响公共服务或公共利益,需向公众披露。
高风险网络事件:发现高风险或有重大影响的网络事件后,需在 24 小时内报告至行业 CIRT(如有)或相关监管部门,并抄送国家 CIRT,报告需包含联系人信息、事件描述、时间线及影响评估。
系统严重中断:因外部行为导致电子系统严重故障或中断时,需立即向 MOCDA 及 BSSN 报告。
3.应急计划制定:制定覆盖威胁场景、职责分工、沟通流程、恢复程序、资金保障及报告要求的应急计划,每两年至少开展一次模拟测试,每年接受 BSSN 评估。
(三)特定主体额外要求
1.公共部门 ESP 需将电子系统与数据存储在印尼境内(国内无相关技术时除外),未来需遵守 “单一数据” 政策,将数据存储于政府提供的数据中心。
2.关键信息基础设施(VII)运营者(涵盖政府、能源、交通、金融、健康、ICT、食品、国防等领域),需实施 ISO/IEC 27001 标准并获得认证,建立风险管理制度、事件响应团队,每年开展安全成熟度评估,配合 BSSN 的全国网络安全协调工作。
四、特定行业额外合规要求
(一)金融服务行业
需遵守印尼央行(BI)与金融服务管理局(OJK)的专项规定:
1.建立健全网络韧性与安全管理框架,开展固有风险评估,定期进行漏洞分析、桌面推演、社会工程学测试及对抗性攻击模拟。
2.设立专门的网络韧性部门或 CIRT,明确网络事件的报告与通知流程,确保及时响应各类安全威胁。
(二)医疗行业
1.严格遵守《健康法》与 PDP Law,医疗数据需在印尼境内处理,明确患者对自身健康信息的所有权,仅在患者同意、法律要求或公共卫生紧急情况下方可披露数据。
2.使用符合标准的安全电子病历系统,数据存储期限不少于 25 年,并需与卫生部平台实现互联互通。
(三)电信行业
需遵守 MOCDA 的专项规定,确保网络可靠性与安全性,防范网络滥用,配合合法监听要求,落实电子系统安全标准,保障用户数据安全并支持政府的网络事件管理工作。
五、公司治理与责任追究
(一)管理层责任
公司董事(BOD)与监事(BOC)需以善意和合理谨慎的态度履行职责,将网络安全风险纳入公司整体风险管理范畴。若因未履行安全义务导致公司损失,管理层可能承担个人责任;若涉及个人数据非法处理,管理层还可能面临刑事处罚,最高可处 6 年监禁及 60 亿印尼盾罚款,公司则可能被处以最高 10 倍于个人罚款的处罚,甚至面临执照吊销或解散。
(二)数据保护负责人任命
满足以下条件之一的企业,需任命数据保护官(DPO):数据处理涉及公共利益、核心业务包含大规模系统性个人数据监控,或核心业务涉及大规模特殊类别个人数据及犯罪相关数据处理;DPO 可位于印尼境内或境外。同时,需任命至少一名印尼境内的联系人,作为与 MOCDA 及执法机构的沟通纽带。
六、国际合规与数据跨境
(一)数据跨境传输限制
1.个人数据跨境传输需满足以下条件之一:接收国具备足够的数据保护水平、双方签订具有约束力的安全保障协议,或获得数据主体的明确同意(前两项的实施细则尚未生效)。
2.公共部门 ESP 的所有数据需在印尼境内存储与处理,私人部门 ESP 若处理战略或关键数据,未来可能被要求遵守国内存储要求。
(二)国际标准对齐
企业需参考国际通用标准提升合规水平,如 BSSN 要求 ESP 采用 ISO/IEC 27001 信息安全管理体系标准,金融行业需遵循巴塞尔委员会相关网络韧性框架。
七、风险防范与保险
(一)允许的防护措施
企业可使用信标、蜜罐、sinkholes 等防护工具,但需遵守以下限制:信标不得非法拦截第三方通信,蜜罐不得超范围收集个人数据,sinkholes 仅可用于内部恶意流量分流。同时,企业可监控自身 IT 系统(含员工邮件与互联网使用),但需基于明确的内部政策或劳动合同,事先通知员工,且不得超出安全防护目的,不得非法拦截通信内容。
(二)保险与 ransom 支付风险
1.企业可购买网络保险,覆盖数据泄露、业务中断、系统故障、数字资产恢复等损失,保险范围由保险合同约定。
2.目前无明确规定禁止使用保险支付 ransom,但若收款方为恐怖组织或被列入恐怖主义相关名单,支付行为将构成恐怖主义融资罪,最高可处 15 年监禁及 10 亿印尼盾罚款,企业需严格评估相关法律风险。
八、执法配合与调查应对
(一)执法机构权力
印尼执法机构(包括国家警察网络犯罪部门、总检察长办公室等)在调查网络事件时,可行使以下权力:搜查与扣押证据、要求 ESP 提供系统信息、查封或扣押涉案 IT 设备、责令 ESP 暂停社交媒体账号、银行账户及数字资产的访问权限,以及在法定条件下拦截电子通信。
(二)企业配合义务
企业需配合执法机构的合法调查请求,按要求提供电子系统数据、访问权限及相关证据,但无义务在系统中设置后门或提供加密密钥。ESP 需确保系统具备合法访问能力,以便在收到执法机构合法请求时提供必要数据。
免责声明
法律及程序可能发生变更。本文仅提供一般性信息,不构成法律建议。若您在海外遭遇法律纠纷,请立即联系我们咨询专业涉外律师。
热门跟贴