合规2026年6月14日 | FlexyConsent

印度尼西亚UU PDP Cookie同意：发布商合规指南

印度尼西亚是全球第四大互联网市场。对于任何向其2.15亿网络用户提供内容的发布商而言，该国的《个人数据保护法》——Undang-Undang Pelindungan Data Pribadi，即UU PDP——如今是最重要的合规事项。该法于2022年10月颁布，经过两年过渡期后自2024年10月起全面执行。UU PDP以GDPR为蓝本，但引入了其特有的同意格式、控制者义务和处罚制度。本指南带领发布商了解UU PDP的具体要求、与GDPR的差异，以及如何配置满足印尼监管机构要求的同意横幅。

UU PDP的覆盖范围及适用对象

UU PDP是印度尼西亚首部综合性个人数据保护法规。在此之前，印度尼西亚的数据保护规则分散于银行、电信、电子商务、电子系统等各行业法规中。UU PDP将这些规则整合为统一的横向制度，适用于任何处理印尼数据主体个人数据的控制者或处理者，无论控制者设立于何处。

这一域外管辖效力对境外发布商而言至关重要。设立于美国、欧盟或新加坡的发布商，只要向实际位于印度尼西亚的用户提供内容，就受UU PDP约束。适用标准是功能性的，而非形式性的：只要控制者以Bahasa Indonesia内容、印尼支付选项或地理定向广告等方式面向印尼用户，UU PDP即全面适用。

Article 22规定的同意标准

UU PDP的Article 22定义了同意，是任何针对印尼流量的Cookie横幅的基石。该条款要求同意须满足以下条件：

明确——沉默、预先勾选的复选框以及继续使用网站均不构成同意。用户必须采取积极行动。
具体——同意必须与特定处理目的挂钩。一个涵盖十种不同目的的「全部接受」按钮极易受到质疑。
知情——数据主体在同意之前必须获知：控制者身份、数据类别、目的、保留期限、接收方及其权利。
以书面或电子方式记录——Article 22(3)要求控制者能够证明同意。将带时间戳的同意日志映射到哈希用户标识符可满足此要求；仅笼统声称用户点击了「接受」则不符合要求。
可以等同方式撤回——撤回同意必须与最初授予一样便捷。若拒绝需三次点击而接受只需一次，则不合规。

从业者对这些要求不会陌生：它们与GDPR的Article 7几乎一一对应。差异在于范围和执法，而非概念本身。

同意之外的合法依据

与GDPR一样，UU PDP也承认部分处理活动可以同意以外的合法依据为基础。Article 20列举了六种法律依据：同意、合同履行、法律义务、重大利益、公共任务和合理利益。然而，对于大多数Cookie和跟踪活动而言，实际上只有同意可用，因为针对用户请求的服务所必需Cookie的严格必要性豁免范围较窄，不延伸至广告或分析。

严格必要性豁免

会话Cookie、登录Cookie、语言偏好Cookie和购物车Cookie属于合同履行或风险极低的合理利益范畴，无需明确同意，但其类别仍须在隐私声明中予以披露。其他所有内容——分析、广告、再营销、第三方像素、指纹识别——均需Article 22同意。

儿童数据

Article 25要求对18岁以下数据主体的任何数据处理均须获得父母同意。这比GDPR的数字同意默认年龄16岁（成员国可降至13岁）更为严格。在Bahasa Indonesia中运营面向儿童内容的发布商应将门槛定为18岁，并配置父母验证流程，而非使用自我声明复选框。

跨境数据传输

Article 56规范个人数据向印度尼西亚境外的传输。控制者只有在满足以下三个条件之一时方可将数据传输至其他国家：目标国家具有与UU PDP相当的个人数据保护水平、已有适当保障措施到位，或数据主体已明确同意该传输。

印度尼西亚通信和信息部（Kominfo）尚未发布充分性认定名单。实践中，将数据传输至GDPR司法管辖区、美国、新加坡或澳大利亚的发布商依赖适当保障措施——通常是根据UU PDP调整的标准合同条款，并附有约束下游子处理者遵守UU PDP权利的约束性条款。对于在多个地区运营的广告技术供应商，您的数据处理协议必须明确说明哪些地区处理印尼用户数据以及每个环节适用的保障措施。

数据主体权利与72小时窗口

UU PDP赋予印尼数据主体与GDPR高度相似的权利：访问权、更正权、删除权、反对处理权、数据可携权以及对自动化决策的异议权。有两个具体事项对发布商尤为重要。

其一，Article 30要求控制者在合理时间内回应权利请求，实施条例规定确认答复须在三个工作日内完成，实质性答复最长不超过十四个工作日。这比GDPR一个月的默认期限更快。

其二，Article 46要求在个人数据泄露发生后3 x 24小时内——即自控制者知悉泄露起72小时内——通知受影响的数据主体及个人数据保护局。计时起点为控制者确认泄露之时，而非其本可发现泄露之时。

处罚与近期执法情况

UU PDP的处罚制度比许多发布商最初认为的更为严厉。Article 57规定行政处罚最高可达年收入的2%。Article 67 to 73规定最严重违规行为——包括非法收集个人数据和非法披露——可处最高六年有期徒刑及最高60亿rupiah罚款。

2025年全年执法处于软启动阶段，Kominfo以发出警告函和整改令为主，而非罚款。该阶段于2026年初结束。UU PDP下首例重大行政处罚——于2026年3月对一家国内电子商务运营商作出，原因是违规泄露通知不足以及在面向未成年人的产品线上缺少父母同意——明确表明执法已全面进入活跃阶段。

合规发布商横幅的样貌

对于2026年面向印尼流量的发布商而言，实用配置如下：

将横幅本地化为Bahasa Indonesia

Article 22的知情同意要求不能通过向Bahasa语言用户展示英语横幅来满足。CMP必须通过地理位置、IP或Accept-Language请求头检测印尼用户，并以Bahasa Indonesia提供横幅、隐私声明和精细化控制。

将同意视为仅限选择性加入

在用户明确接受之前，不得触发任何跟踪、广告或分析脚本。预先勾选类别、因继续浏览而默示同意，以及「使用本网站即视为同意」的通知，均不合规。

维护有据可查的同意日志

Article 22(3)明确规定：控制者必须能够提供证据。将用户标识符映射到时间戳、所展示横幅版本及所作选择的同意日志，是Kominfo在任何审计或投诉调查中将要求提供的文件。

使撤回真正等同于授予

持久性浮动同意图标、隐私偏好页面中的一键拒绝，或任何数据收集邮件中的明确退订链接——这些均属合理实施方式。埋藏在4000字隐私政策中的链接则不符合要求。

综合总结

UU PDP并非GDPR的复制版，但与GDPR足够相近，拥有成熟欧洲合规体系的发布商可在其现有同意基础设施基础上，通过针对性调整将其扩展至印度尼西亚：Bahasa本地化、18岁父母同意年龄门槛、72小时泄露通知，以及明确涵盖UU PDP的标准合同条款。尚未建立该基础设施的发布商应将UU PDP视为构建它的契机。印尼执法现已全面活跃，Kominfo调查启动后的整改成本，一律高于在上线前确保横幅合规的成本。