Luật Bảo vệ dữ liệu cá nhân của Indonesia

Những đòi hỏi từ thực tế

Tổng thống Indonesia Joko Widodo nhấn mạnh tính cấp thiết trong việc yêu cầu các bộ, ngành liên quan phối hợp điều tra các cáo buộc vi phạm dữ liệu cá nhân trong bối cảnh Indonesia đang đối mặt sức ép gia tăng về việc cải thiện năng lực an ninh mạng sau khi số vụ xâm phạm dữ liệu nhằm vào các công ty và tổ chức Chính phủ tăng mạnh vào năm ngoái.

Trích dẫn số liệu thống kê từ Surfshark, hãng Thông tấn nhà nước Antara cho biết, Indonesia xếp thứ ba trong số quốc gia bị ảnh hưởng nhiều nhất bởi các vụ vi phạm dữ liệu trong quý III năm 2022, với 12,7 triệu tài khoản địa phương bị xâm phạm.

Cơ quan Mã hóa và Không gian mạng Quốc gia (BSSN) ngày 13.9 cho biết, các đơn vị chức năng đang điều tra tuyên bố của nhóm tin tặc, có tên Bjorka, khẳng định đã hack vào dữ liệu của một số trang web Chính phủ, thư của Tổng thống và các tài liệu mật từ cơ quan tình báo.

Trước đó, hôm 7.9, BSSN thông báo đang tiến hành điều tra nghi vấn rò rỉ dữ liệu của 105 triệu người dân do chính nhóm Bjorka tiến hành bằng cách hack thông tin từ người dùng thẻ SIM. Theo BSSN, dữ liệu bị đánh cắp bao gồm những thông tin như số nhận dạng công dân, tên, tuổi, ngày sinh, giới tính, địa chỉ nhà riêng... Người phát ngôn BSSN Ariandi Putra cho biết, dữ liệu bị đánh cắp trong giai đoạn 2017 - 2020. Hiện nhà chức trách cho biết, đang điều tra vụ rò rỉ dữ liệu liên quan đến thẻ sim điện thoại. Đã có hơn 2 triệu dòng dữ liệu bị rò rỉ trong vụ việc này.

Tháng 8.2022, thông tin chi tiết cá nhân 17 triệu khách hàng của nhà cung cấp điện do nhà nước PT PLN (Persero) điều hành bị rò rỉ, dữ liệu của 26 triệu khách hàng tham gia dịch vụ internet và truyền hình kỹ thuật số IndiHome của Telkom Indonesia cũng bị đánh cắp. Theo báo cáo, lịch sử duyệt web, ngày tháng, mật khẩu, miền, nền tảng và liên kết URL là dữ liệu bị lộ. Mặt khác, các dữ liệu bí mật và nhạy cảm khác như địa chỉ email, giới tính, số điện thoại và thẻ căn cước cư trú cũng bị rò rỉ.

Vào tháng 9.2021, Chính phủ Indonesia cũng đã điều tra về một sự cố, một lỗ hổng bảo mật đáng ngờ trong ứng dụng kiểm tra và theo dõi Covid-19 sau khi dữ liệu của 1,3 triệu người dùng từ ứng dụng Thẻ cảnh báo sức khỏe điện tử (eHAC) của Bộ Y tế lại hiển thị trong một máy chủ mở, nhiều báo cáo phương tiện truyền thông bao gồm cả Reuters và CNN Indonesia cho biết. Theo một báo cáo của công ty nghiên cứu an ninh mạng vpnMentor được công bố vào ngày 30.8.2021, dữ liệu bị rò rỉ chứa ID, địa chỉ và lịch sử sức khỏe. Hồ sơ vaccine Covid của Tổng thống Indonesia Joko Widodo cũng bị rò rỉ trong vụ này.

Nội dung đạo luật

Các nhà chức trách cho biết, Luật của Indonesia tham khảo Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu trên cơ sở xem xét, sửa đổi cho phù hợp với đất nước. Bộ Kỹ thuật số, Bộ Văn hóa, Truyền thông và Thể thao (DCMS) cho biết, Indonesia đã tiến hành những cải cách cần thiết của luật dữ liệu kế thừa từ EU và mang lại cho các tổ chức sự linh hoạt hơn để bảo vệ dữ liệu cá nhân theo “những phương thức tương xứng hơn”.

Cụ thể, theo Luật Bảo vệ dữ liệu cá nhân, người kiểm soát dữ liệu cá nhân sẽ được yêu cầu cập nhật và sửa lỗi trong dữ liệu cá nhân trong 24 giờ sau khi nhận được yêu cầu làm như vậy. Luật cũng nêu rõ các tài liệu hoặc trường hợp cơ bản mà dữ liệu cá nhân có thể được truyền ra bên ngoài Indonesia, chẳng hạn như sự chấp thuận trước của chủ sở hữu dữ liệu cá nhân và các thỏa thuận quốc tế song phương.

Luật yêu cầu những người thu thập và xử lý dữ liệu phải bảo đảm tính bảo mật của dữ liệu cá nhân mà họ xử lý. Nếu xảy ra rò rỉ, trung tâm điều khiển và bộ xử lý dữ liệu có thể phải chịu trách nhiệm. Trên hết, bất kỳ hành vi sử dụng bất hợp pháp dữ liệu cá nhân nào cũng sẽ là hành vi phạm tội.

Luật này đưa ra các khung hình phạt nghiêm khắc đối với những chủ thể xử lý dữ liệu làm rò rỉ hoặc sử dụng sai mục đích thông tin cá nhân. Theo đó, các bên khai thác dữ liệu có thể phải đối mặt với 5 năm tù giam và khoản tiền phạt tối đa 5 tỷ rupiah (337.000 USD) nếu làm rò rỉ hoặc lạm dụng thông tin cá nhân.

Các cá nhân làm giả dữ liệu cá nhân để thu lợi có thể đối mặt tối đa 6 năm tù và mức phạt 6 tỷ rupiah.

Ngoài ra, luật còn bao gồm các khoản phạt có thể lên tới 2% doanh thu hàng năm của doanh nghiệp trong trường hợp rò rỉ dữ liệu. Tài sản của doanh nghiệp bị rò rỉ dữ liệu cá nhân cũng có thể bị tịch thu hoặc bán đấu giá.

Các tổ chức có thể thu thập thông tin cá nhân cho mục đích cụ thể nào đó nhưng phải xóa số dữ liệu này sau khi đạt được mục đích. Việc thu thập những thông tin như tên tuổi, giới tính, tiền sử bệnh tật… phải có sự đồng ý của cá nhân liên quan và thỏa thuận nói rõ dữ liệu sẽ được sử dụng thế nào. Nạn nhân của việc sử dụng sai dữ liệu có quyền yêu cầu được bồi thường cho việc vi phạm dữ liệu cá nhân và có quyền rút lại sự đồng ý cho phép sử dụng dữ liệu. Các bên liên quan sẽ có 2 năm để tuân thủ các quy định trên khi luật mới có hiệu lực.

Chủ tịch Hạ viện Puan Maharani cho biết, các quy tắc phái sinh, bao gồm việc thành lập một cơ quan giám sát có nhiệm vụ bảo vệ dữ liệu cá nhân của công chúng, sẽ được tiến hành ngay sau khi Luật được thông qua. Cơ quan này sẽ đóng vai trò hướng dẫn cho các bộ, cơ quan và các nhà hoạch định chính sách nhằm xây dựng một môi trường an ninh kỹ thuật số quốc gia mạnh mẽ.

Trước đó, tiến trình thông qua Luật Bảo vệ dữ liệu cá nhân bị đình trệ vài tháng do tranh cãi liên quan đến việc thành lập cơ quan này. Các nghị sĩ cho rằng cơ quan này cần phải độc lập trong khi Chính phủ muốn nó trực thuộc Bộ Truyền thông và Công nghệ Thông tin Indonesia. Cuối cùng, hai bên nhất trí để Tổng thống kiểm soát cơ quan này, còn Quốc hội quy định về vai trò của nó.

Luật cũng dự kiến ​​sẽ bổ sung và tập hợp tất cả các quy định hiện hành liên quan đến bảo vệ dữ liệu cá nhân thành một hệ thống quy phạm pháp luật thống nhất.  Indonesia hiện có 32 luật có các điều khoản điều chỉnh việc bảo vệ dữ liệu cá nhân.