【涉外律师解读】企业出海印度尼西亚：跨境网络数据安全合规手册

一、核心法律框架概述

印度尼西亚网络数据安全领域以《电子信息和交易法》（EIT Law，经 2024 年修订）为基础核心，辅以《个人数据保护法》（PDP Law）、《2019 年电子系统和交易实施政府条例》（GR 71/2019）、国家网络和密码局（BSSN）相关规章及行业专项法规，构建了覆盖网络犯罪惩治、数据保护、系统安全、 incident 响应等全链条的合规体系。其中，EIT Law 规制各类网络犯罪与电子系统义务，PDP Law 聚焦个人数据全生命周期保护，GR 71/2019 细化电子系统提供商（ESP）的实操要求，BSSN 相关规章明确 cybersecurity 技术标准与危机管理流程，行业法规则针对金融、医疗、电信等敏感领域提出特殊要求。

二、禁止性网络行为及法律责任

企业及员工在印尼境内外开展活动时，需严格规避以下网络违规行为，相关行为均构成刑事或行政违法，面临严厉处罚：

1.非法访问（黑客行为）：未经授权故意访问他人计算机或电子系统（含绕过安全机制），违反 EIT Law 第 30 条，最高可处 8 年监禁及 8 亿印尼盾罚款；若造成物质损失，最高刑为 12 年监禁及 120 亿印尼盾罚款。典型案例中，被告人非法访问地方政府数据库并试图出售 230 万条人口记录，被判处 1 年监禁及 2 亿印尼盾罚款。

2.拒绝服务攻击（DDoS）：通过破坏安全系统访问电子系统或导致系统无法正常运行，违反 EIT Law 第 30 条、第 33 条，最高可处 10 年监禁及 100 亿印尼盾罚款，实际量刑通常为 2-3 年监禁及 200-2000 万印尼盾罚款。

3.钓鱼与信息伪造：伪造、篡改电子信息 / 文档以欺骗他人，或非法转移他人电子凭证、银行信息等，违反 EIT Law 第 32 条、第 35 条，最高可处 12 年监禁及 120 亿印尼盾罚款；同时可能触犯《刑法典》欺诈条款，额外面临 4 年监禁。

4.恶意软件传播：植入勒索软件、间谍软件、病毒等破坏系统或非法访问数据，违反 EIT Law 第 30 条、第 33 条、第 36 条，最高可处 10 年监禁及 100 亿印尼盾罚款。

5.网络犯罪工具相关行为：创建、销售、分发或持有用于网络犯罪的软硬件（如键盘记录器、密码破解工具），违反 EIT Law 第 34 条，最高可处 8 年监禁及 80 亿印尼盾罚款。

6.身份盗窃与数据滥用：伪造、滥用他人电子身份或个人数据，违反 EIT Law 第 35 条及 PDP Law 相关条款，最高可处 12 年监禁及 120 亿印尼盾罚款；若涉及个人数据伪造，还可能面临 PDP Law 规定的 6 年监禁及 60 亿印尼盾罚款。

7.电子盗窃与泄密：未经授权转移、泄露他人电子信息或商业秘密，违反 EIT Law 第 32 条及《商业秘密法》，最高可处 8 年监禁及 80 亿印尼盾罚款；侵犯版权的，最高可处 4 年监禁及 10 亿印尼盾罚款。

8.未经授权渗透测试：无论是否出于恶意，未经系统所有者许可的渗透测试均构成非法访问，违反 EIT Law 第 30 条，最高可处 8 年监禁及 8 亿印尼盾罚款。

上述罪名均具有域外效力，只要行为对印尼产生法律影响或损害印尼利益，无论行为人位于何地，均适用印尼法律追究责任。

三、企业核心安全义务与实操要求

（一）通用安全措施

企业作为电子系统提供商（ESP，包括所有运营电子系统的个人、企业及机构），需满足以下最低安全要求：

1.建立并维护电子系统的物理与非物理安全防护，制定并更新安全程序与指南，配备充足的人员与机构支持，实施绩效管理并制定业务连续性计划。

2.定期开展网络风险评估，针对威胁与中断制定并执行缓解措施，确保系统免受干扰、故障与数据损失。

3.制定内部数据保护与安全政策，明确个人数据处理的安全等级，采取技术与运营措施保障数据的保密性、完整性与可用性。

4.留存所有电子系统活动（含个人数据处理）的审计轨迹，用于监管核查、执法配合及纠纷解决。

5.对负责系统安全与数据保护的员工开展定期培训与教育，确保人员具备相应安全意识与操作能力。

6.对电子系统进行客观可行性测试，验证其是否符合安全与运营要求。

（二）Incident 响应与报告机制

1.内部响应能力：建立专门的网络事件响应团队（CIRT），负责事件缓解、系统恢复、信息上报及跨机构协调，并向 BSSN 下属的国家 CIRT 注册。

2.报告义务触发与要求：

个人数据泄露：发生数据泄露后，需在 3×24 小时内书面通知受影响数据主体及监管机构（当前为通信和数字事务部 MOCDA），通知内容需包含泄露数据类型、时间、方式及补救措施；若影响公共服务或公共利益，需向公众披露。

高风险网络事件：发现高风险或有重大影响的网络事件后，需在 24 小时内报告至行业 CIRT（如有）或相关监管部门，并抄送国家 CIRT，报告需包含联系人信息、事件描述、时间线及影响评估。

系统严重中断：因外部行为导致电子系统严重故障或中断时，需立即向 MOCDA 及 BSSN 报告。

3.应急计划制定：制定覆盖威胁场景、职责分工、沟通流程、恢复程序、资金保障及报告要求的应急计划，每两年至少开展一次模拟测试，每年接受 BSSN 评估。

（三）特定主体额外要求

1.公共部门 ESP 需将电子系统与数据存储在印尼境内（国内无相关技术时除外），未来需遵守 “单一数据” 政策，将数据存储于政府提供的数据中心。

2.关键信息基础设施（VII）运营者（涵盖政府、能源、交通、金融、健康、ICT、食品、国防等领域），需实施 ISO/IEC 27001 标准并获得认证，建立风险管理制度、事件响应团队，每年开展安全成熟度评估，配合 BSSN 的全国网络安全协调工作。

四、特定行业额外合规要求

（一）金融服务行业

需遵守印尼央行（BI）与金融服务管理局（OJK）的专项规定：

1.建立健全网络韧性与安全管理框架，开展固有风险评估，定期进行漏洞分析、桌面推演、社会工程学测试及对抗性攻击模拟。

2.设立专门的网络韧性部门或 CIRT，明确网络事件的报告与通知流程，确保及时响应各类安全威胁。

（二）医疗行业

1.严格遵守《健康法》与 PDP Law，医疗数据需在印尼境内处理，明确患者对自身健康信息的所有权，仅在患者同意、法律要求或公共卫生紧急情况下方可披露数据。

2.使用符合标准的安全电子病历系统，数据存储期限不少于 25 年，并需与卫生部平台实现互联互通。

（三）电信行业

需遵守 MOCDA 的专项规定，确保网络可靠性与安全性，防范网络滥用，配合合法监听要求，落实电子系统安全标准，保障用户数据安全并支持政府的网络事件管理工作。

五、公司治理与责任追究

（一）管理层责任

公司董事（BOD）与监事（BOC）需以善意和合理谨慎的态度履行职责，将网络安全风险纳入公司整体风险管理范畴。若因未履行安全义务导致公司损失，管理层可能承担个人责任；若涉及个人数据非法处理，管理层还可能面临刑事处罚，最高可处 6 年监禁及 60 亿印尼盾罚款，公司则可能被处以最高 10 倍于个人罚款的处罚，甚至面临执照吊销或解散。

（二）数据保护负责人任命

满足以下条件之一的企业，需任命数据保护官（DPO）：数据处理涉及公共利益、核心业务包含大规模系统性个人数据监控，或核心业务涉及大规模特殊类别个人数据及犯罪相关数据处理；DPO 可位于印尼境内或境外。同时，需任命至少一名印尼境内的联系人，作为与 MOCDA 及执法机构的沟通纽带。

六、国际合规与数据跨境

（一）数据跨境传输限制

1.个人数据跨境传输需满足以下条件之一：接收国具备足够的数据保护水平、双方签订具有约束力的安全保障协议，或获得数据主体的明确同意（前两项的实施细则尚未生效）。

2.公共部门 ESP 的所有数据需在印尼境内存储与处理，私人部门 ESP 若处理战略或关键数据，未来可能被要求遵守国内存储要求。

（二）国际标准对齐

企业需参考国际通用标准提升合规水平，如 BSSN 要求 ESP 采用 ISO/IEC 27001 信息安全管理体系标准，金融行业需遵循巴塞尔委员会相关网络韧性框架。

七、风险防范与保险

（一）允许的防护措施

企业可使用信标、蜜罐、sinkholes 等防护工具，但需遵守以下限制：信标不得非法拦截第三方通信，蜜罐不得超范围收集个人数据，sinkholes 仅可用于内部恶意流量分流。同时，企业可监控自身 IT 系统（含员工邮件与互联网使用），但需基于明确的内部政策或劳动合同，事先通知员工，且不得超出安全防护目的，不得非法拦截通信内容。

（二）保险与 ransom 支付风险

1.企业可购买网络保险，覆盖数据泄露、业务中断、系统故障、数字资产恢复等损失，保险范围由保险合同约定。

2.目前无明确规定禁止使用保险支付 ransom，但若收款方为恐怖组织或被列入恐怖主义相关名单，支付行为将构成恐怖主义融资罪，最高可处 15 年监禁及 10 亿印尼盾罚款，企业需严格评估相关法律风险。

八、执法配合与调查应对

（一）执法机构权力

印尼执法机构（包括国家警察网络犯罪部门、总检察长办公室等）在调查网络事件时，可行使以下权力：搜查与扣押证据、要求 ESP 提供系统信息、查封或扣押涉案 IT 设备、责令 ESP 暂停社交媒体账号、银行账户及数字资产的访问权限，以及在法定条件下拦截电子通信。

（二）企业配合义务

企业需配合执法机构的合法调查请求，按要求提供电子系统数据、访问权限及相关证据，但无义务在系统中设置后门或提供加密密钥。ESP 需确保系统具备合法访问能力，以便在收到执法机构合法请求时提供必要数据。

免责声明

法律及程序可能发生变更。本文仅提供一般性信息，不构成法律建议。若您在海外遭遇法律纠纷，请立即联系我们咨询专业涉外律师。