UU PDP Bao Gồm Những Gì và Ai Bị Ảnh Hưởng

UU PDP là quy chế bảo vệ dữ liệu cá nhân toàn diện đầu tiên của Indonesia. Trước khi ban hành, các quy tắc bảo vệ dữ liệu ở Indonesia được phân tán trong các quy định theo ngành — ngân hàng, viễn thông, thương mại điện tử, hệ thống điện tử. UU PDP hợp nhất chúng thành một chế độ ngang dọc duy nhất áp dụng cho bất kỳ người kiểm soát hoặc người xử lý nào xử lý dữ liệu cá nhân của chủ thể dữ liệu Indonesia, bất kể người kiểm soát được thành lập ở đâu.

Phạm vi lãnh thổ ngoài lãnh thổ này là thực tế quan trọng nhất đối với các nhà xuất bản nước ngoài. Nhà xuất bản có trụ sở tại Mỹ, EU hoặc Singapore phục vụ nội dung cho người dùng ở Indonesia đều nằm trong phạm vi UU PDP. Kiểm tra sự hiện diện mang tính chức năng, không mang tính hình thức: nếu người kiểm soát nhắm mục tiêu đến người dùng Indonesia — thông qua nội dung Bahasa Indonesia, các tùy chọn thanh toán Indonesia hoặc quảng cáo theo địa lý — UU PDP áp dụng đầy đủ.

Tiêu Chuẩn Đồng Ý Theo Article 22

Article 22 của UU PDP định nghĩa sự đồng ý và là nền tảng của bất kỳ biểu ngữ cookie nào nhắm đến lưu lượng truy cập Indonesia. Điều khoản yêu cầu sự đồng ý phải:

• Rõ ràng — im lặng, các ô được đánh dấu trước và việc tiếp tục sử dụng trang web không cấu thành sự đồng ý. Người dùng phải thực hiện một hành động tích cực.
• Cụ thể — sự đồng ý phải gắn với mục đích xử lý được xác định. Một nút Chấp nhận tất cả bao gồm mười mục đích khác nhau rất dễ bị tổn thương.
• Có đầy đủ thông tin — chủ thể dữ liệu phải nhận được trước khi đồng ý: danh tính người kiểm soát, các danh mục dữ liệu, mục đích, thời gian lưu giữ, người nhận và quyền của họ.
• Được lập thành văn bản hoặc được ghi lại điện tử — Article 22(3) yêu cầu người kiểm soát có thể chứng minh sự đồng ý. Nhật ký đồng ý có dấu thời gian được ánh xạ tới mã định danh người dùng được băm đáp ứng yêu cầu này; tuyên bố mơ hồ rằng người dùng đã nhấp Chấp nhận thì không.
• Có thể thu hồi theo các điều khoản tương đương — việc rút lại phải dễ dàng như việc cấp ban đầu. Đường dẫn từ chối mất ba lần nhấp trong khi chấp nhận chỉ mất một lần không tuân thủ.

Các chuyên gia sẽ nhận ra những yêu cầu này: chúng gần như một-một tương ứng với Article 7 của GDPR. Sự khác biệt nằm ở phạm vi và thực thi, không phải ở khái niệm.

Các Cơ Sở Pháp Lý Ngoài Sự Đồng Ý

Giống như GDPR, UU PDP công nhận các cơ sở pháp lý khác ngoài sự đồng ý cho một số hoạt động xử lý. Article 20 liệt kê sáu cơ sở pháp lý: đồng ý, thực hiện hợp đồng, nghĩa vụ pháp lý, lợi ích thiết yếu, nhiệm vụ công cộng và lợi ích hợp pháp. Tuy nhiên, đối với hầu hết các hoạt động cookie và theo dõi, chỉ có sự đồng ý mới thực sự khả thi, vì ngoại lệ về sự cần thiết nghiêm ngặt đối với các cookie cần thiết để cung cấp dịch vụ mà người dùng yêu cầu là hẹp và không mở rộng đến quảng cáo hoặc phân tích.

Ngoại lệ về sự cần thiết nghiêm ngặt

Cookie phiên, cookie đăng nhập, cookie tùy chọn ngôn ngữ và cookie giỏ hàng thuộc phạm vi thực hiện hợp đồng hoặc lợi ích hợp pháp với rủi ro rất thấp. Chúng không yêu cầu sự đồng ý rõ ràng, mặc dù danh mục của chúng vẫn phải được tiết lộ trong thông báo quyền riêng tư. Mọi thứ khác — phân tích, quảng cáo, nhắm mục tiêu lại, pixel của bên thứ ba, lấy dấu vân tay — đều yêu cầu đồng ý theo Article 22.

Dữ liệu trẻ em

Article 25 yêu cầu sự đồng ý của phụ huynh đối với bất kỳ hoạt động xử lý nào của chủ thể dữ liệu dưới 18 tuổi. Điều này nghiêm ngặt hơn mặc định tuổi đồng ý kỹ thuật số của GDPR là 16 (mà các quốc gia thành viên có thể giảm xuống 13). Nhà xuất bản chạy nội dung hướng đến trẻ em bằng Bahasa Indonesia nên coi ngưỡng là 18 và định cấu hình quy trình xác minh phụ huynh, không phải hộp kiểm tự khai báo.

Chuyển Giao Dữ Liệu Xuyên Biên Giới

Article 56 điều chỉnh việc chuyển giao dữ liệu cá nhân ra ngoài Indonesia. Người kiểm soát chỉ có thể chuyển giao dữ liệu sang quốc gia khác nếu đáp ứng ít nhất một trong ba điều kiện: quốc gia đích có mức độ bảo vệ dữ liệu cá nhân đầy đủ có thể so sánh với UU PDP, có các biện pháp bảo vệ phù hợp hoặc chủ thể dữ liệu đã đưa ra sự đồng ý rõ ràng cho việc chuyển giao.

Bộ Thông tin và Truyền thông Indonesia (Kominfo) vẫn chưa công bố danh sách đầy đủ. Trong thực tế, các nhà xuất bản chuyển giao dữ liệu đến các khu vực pháp lý GDPR, Hoa Kỳ, Singapore hoặc Australia dựa vào các biện pháp bảo vệ phù hợp — thường là các điều khoản hợp đồng tiêu chuẩn được điều chỉnh theo UU PDP, với điều khoản ràng buộc rằng các nhà xử lý phụ ở hạ lưu tôn trọng quyền UU PDP. Đối với các nhà cung cấp công nghệ quảng cáo hoạt động từ nhiều khu vực, thỏa thuận xử lý dữ liệu của bạn phải chỉ định khu vực nào xử lý dữ liệu người dùng Indonesia và các biện pháp bảo vệ nào áp dụng ở mỗi bước.

Quyền của Chủ Thể Dữ Liệu và Khung Thời Gian 72 Giờ

UU PDP trao cho chủ thể dữ liệu Indonesia các quyền gần giống với GDPR: tiếp cận, sửa chữa, xóa, phản đối việc xử lý, khả năng chuyển đổi dữ liệu và quyền thách thức các quyết định tự động. Hai điểm cụ thể quan trọng đối với các nhà xuất bản.

Thứ nhất, Article 30 yêu cầu người kiểm soát phản hồi yêu cầu về quyền trong thời gian hợp lý, mà quy định thực hiện đã đặt ra là ba ngày làm việc để xác nhận và tối đa mười bốn ngày làm việc để trả lời thực chất. Điều này nhanh hơn mặc định một tháng của GDPR.

Thứ hai, Article 46 yêu cầu thông báo về vi phạm dữ liệu cá nhân cho các chủ thể dữ liệu bị ảnh hưởng và cho Cơ quan Bảo vệ Dữ liệu Cá nhân trong vòng 3 x 24 hours — tức là 72 giờ kể từ khi người kiểm soát biết về vi phạm. Đồng hồ bắt đầu khi người kiểm soát đã xác nhận vi phạm, không phải khi có thể phát hiện ra nó.

Hình Phạt và Thực Thi Gần Đây

Chế độ xử phạt UU PDP có nhiều răng hơn nhiều nhà xuất bản ban đầu nhận ra. Article 57 quy định các chế tài hành chính lên đến 2% doanh thu hàng năm. Article 67 to 73 quy định các chế tài hình sự lên đến sáu năm tù và phạt tiền lên đến 6 tỷ rupiah đối với các vi phạm nghiêm trọng nhất, bao gồm thu thập dữ liệu cá nhân trái pháp luật và tiết lộ trái pháp luật.

Trong suốt năm 2025, việc thực thi đang trong giai đoạn ra mắt nhẹ nhàng, với Kominfo phát hành thư cảnh báo và lệnh khắc phục thay vì phạt tiền. Giai đoạn đó kết thúc vào đầu năm 2026. Hình phạt hành chính lớn đầu tiên theo UU PDP — được ban hành cho một nhà điều hành thương mại điện tử trong nước vào tháng 3 năm 2026 vì thông báo vi phạm không đầy đủ và thiếu sự đồng ý của phụ huynh đối với dòng sản phẩm nhắm đến người chưa thành niên — đặt ra dấu hiệu rõ ràng rằng việc thực thi hiện đang hoạt động.

Biểu Ngữ Nhà Xuất Bản Tuân Thủ Trông Như Thế Nào

Đối với nhà xuất bản phục vụ lưu lượng truy cập Indonesia vào năm 2026, cấu hình thực tế là:

Bản địa hóa biểu ngữ thành Bahasa Indonesia

Yêu cầu đồng ý có đầy đủ thông tin của Article 22 không được đáp ứng bởi biểu ngữ tiếng Anh hiển thị cho người dùng nói Bahasa. CMP phải phát hiện người dùng Indonesia — theo vị trí địa lý, IP hoặc tiêu đề Accept-Language — và phục vụ biểu ngữ, thông báo quyền riêng tư và các điều khiển chi tiết bằng Bahasa Indonesia.

Coi sự đồng ý chỉ là opt-in

Không có tập lệnh theo dõi, quảng cáo hoặc phân tích nào có thể kích hoạt trước khi người dùng chấp nhận rõ ràng. Các danh mục được đánh dấu trước, sự đồng ý ngụ ý từ việc duyệt web liên tục và thông báo "bằng cách sử dụng trang web này bạn đồng ý" đều không tuân thủ.

Duy trì nhật ký đồng ý được lập thành văn bản

Article 22(3) rõ ràng: người kiểm soát phải có thể cung cấp bằng chứng. Nhật ký đồng ý ánh xạ mã định danh người dùng với dấu thời gian, phiên bản biểu ngữ được hiển thị và các lựa chọn được thực hiện là tài liệu mà Kominfo sẽ yêu cầu trong bất kỳ cuộc kiểm toán hoặc điều tra khiếu nại nào.

Làm cho việc rút lại thực sự tương đương

Biểu tượng đồng ý nổi liên tục, từ chối một lần nhấp trong trang tùy chọn quyền riêng tư, hoặc hủy đăng ký rõ ràng trong bất kỳ email thu thập dữ liệu nào — mỗi cái là một cách triển khai hợp lý. Liên kết ẩn trong chính sách quyền riêng tư 4000 từ thì không.

Kết Hợp Tất Cả Lại

UU PDP không phải là bản sao của GDPR, nhưng đủ gần để các nhà xuất bản có chương trình tuân thủ châu Âu trưởng thành có thể mở rộng cơ sở hạ tầng đồng ý hiện có sang Indonesia với các điều chỉnh có mục tiêu: bản địa hóa Bahasa, ngưỡng tuổi 18 cho sự đồng ý của phụ huynh, thông báo vi phạm 72 giờ và các điều khoản hợp đồng tiêu chuẩn bao gồm rõ ràng UU PDP. Các nhà xuất bản không có cơ sở hạ tầng đó nên coi UU PDP là cơ hội để xây dựng nó. Việc thực thi của Indonesia hiện đang hoạt động, và chi phí khắc phục sau khi cuộc điều tra Kominfo bắt đầu luôn cao hơn chi phí thiết lập đúng biểu ngữ trước khi ra mắt.