印度尼西亚省安邦崩溃的欧盟-美国数据隐私框架必须维护数据传输的安全性

雅加达 - 欧盟 - 美国数据隐私框架(EU-US Data隐私框架/DPF)自2023年7月通过以来,是欧盟和美国之间个人数据传输的主要基础,现在正面临一个黯淡的未来。美国的重大政策变化以及欧洲数据保护当局的怀疑反应引发了对框架可持续性的担忧。

DPF的可持续性最大的打击之一是解雇了美国隐私和公民自由监督委员会(PCLOB)的五名成员中有三名,导致该机构没有配额,并因美国政府的隐私和数据监控实践而失去独立主管的职能。该委员会以前被认为是美国情报系统对外国人数据的问责制的重要支柱。

另一个问题来自美国总统于2025年初签署的第14215号行政令。该命令要求美国总统首先审查美联储原则执行机构联邦贸易委员会(FTC)的所有行动。

这被认为是对美国数据保护监管机构独立性和执法可信度的直接威胁。不仅如此,《外国情报监测法》(FISA)第702条的延期于2024年4月进一步扩大了美国政府在不需要法院授权的情况下访问属于非美国公民的电子数据的权力。这种情况加强了美国对外国人,包括欧盟公民,当然还有印度尼西亚人没有提供适当的隐私保护的看法。

在欧洲,各种数据保护当局已经开始表达他们的担忧。挪威、丹麦、德国、瑞典和比利时的当局呼吁企业制定退出DPF的战略。

例如,挪威当局建议该公司考虑向美国传输数据的替代机制。德国政府强调,美国在限制对外国人数据的监管方面,必须信守其承诺。

与此同时,比利时甚至裁定,允许美国与欧盟国家之间进行金融信息交换的FATCA协议违反了该地区适用的隐私原则。

即便如此,直到2025年7月底,民进党在技术上仍然有效,据记录,超过2,800家美国公司仍在该框架内保持认证。然而,由于地缘政治和法律形势不确定,大多数公司正在评估替代方案,例如使用标准合同条款(SCC),并考虑区域性数据存储,以避免依赖现在不稳定的跨境转移机制。

虽然欧盟怀疑美国数据保护的安全性,但这种情况并没有对从美国到印度尼西亚的数据传输合作产生直接影响。印度尼西亚政府确保涉及印度尼西亚公民的任何个人数据传输都必须遵守2022年第27号《个人数据保护法》(PDP法)。该法律于2024年10月全面生效,为所有个人数据收集、存储和处理活动提供全面保护。

在双边合作的背景下,2025年7月22日,印尼和美国商定了一项数字贸易框架,其中包括承认美国是一个具有足够数据保护水平的国家。

该协议旨在作为消除两国之间数字障碍的一种形式,并为跨境传输个人数据的公司提供法律确定性。但是,印尼政府断言,该协议不是将公民个人数据主权移交给外国实体的一种形式。

通信和信息部长Meutya Hafid表示,此次合作实际上加强了国内的数据保护机制。从美国到印度尼西亚的数据传输仅允许用于合法和有限的目的,例如印度尼西亚人使用谷歌、Facebook或Instagram等数字服务。

国务秘书Prasetyo Hadi部长Prasetyo Hadi还澄清说,没有一项印度尼西亚公民的数据可以自由提交给外国政府。政府只规定了在国际数字生态系统中使用数据时如何保护。

然而,这笔交易并没有受到批评。印度尼西亚网络安全论坛的Ardi Sutedja等几位网络安全专家警告说,美国仍然没有专门规范个人数据保护的联邦法律。

这引起了人们的担忧,即在没有足够的法律保障的情况下,可以暴露印度尼西亚公民的数据。来自PDI Perjuangan派系的印度尼西亚众议院议员Tb Hasanuddin甚至呼吁政府在管理跨境数据传输合作时采取更透明和谨慎的行动。

尽管DPF面临不明的未来,但印尼政府强调,国家数据保护制度仍然牢固,并将继续得到维护。包括来自美国在内的国外的数据传输将始终受到监控,以遵守PDP法。

如果目的地国家被认为不符合相等保护标准,则有义务有额外的保护机制,如双边协议或标准合同条款。如果所有这些都未达到,则必须事先获得数据所有者的明确批准。

随着全球动态的不断发展,印尼现在正面临着重大挑战,以确保其公民的个人数据的保护不会在跨境数字化流量中得到妥协。预计政府和行业参与者将继续更新他们对国家法规的遵守情况,并监控国际法的发展,以确保所有公民的数字权利在不可阻挡的全球连接时代保持安全。