印尼通信与信息技术部(Kominfo)在 2024 年底发布了新版《个人数据保护实施条例》,对公共电子系统运营商(PSE)的数据存储义务作出了更严格的规定。Pearl Gateway 雅加达合规团队梳理了企业必须关注的三大变化。
第一,数据分类分级制度正式落地。企业需要将所处理的个人数据划分为”一般数据”和”敏感数据”两类,敏感数据(包括生物识别信息、财务数据、健康记录)必须存储在印尼境内,且跨境传输需获得数据主体的明示同意。
第二,数据保护官(DPO)成为强制配置。年处理个人数据超过 10 万人次的组织,必须指定一名具备数据保护专业资质的 DPO,并向 Kominfo 报备。该要求不仅适用于印尼本土企业,也适用于在印尼有用户的外国企业。
第三,违规处罚力度大幅提升。最高罚款从原来的 50 亿印尼盾(约 32 万美元)提升至 100 亿印尼盾,且 Kominfo 有权对严重违规者实施业务暂停令。Pearl Gateway 建议企业立即开展数据映射(Data Mapping)工作,明确数据资产的存储位置、处理流程和跨境流向,为合规整改争取时间窗口。