2022年第27號法律

2022年第27號法律（印尼個人資料保護法，PDP Law）是印尼首部全面性個人資料保護法，仿照歐盟GDPR設計，於2024年10月起全面生效。該法確立了資料主體權利（如查閱、刪除、撤回同意權）、資料控制者與處理者的義務、DPO（資料保護官）設置、DPIA（資料保護影響評估）及罰則等核心條文。在ISO 27701框架下，這代表企業必須將隱私保護從「選項」升格為「法定義務」，並建立可稽覈的技術與組織控制措施。對臺灣企業而言，若有印尼業務或客戶，此法直接適用於其數據處理行為，具有域外管轄效力。

實務應用分為三個階段：第一階段為風險識別，企業需依第34條規定對高風險處理活動執行DPIA，識別對資料主體可能造成的風險等級。第二階段為控制措施導入，包括建立資料處理活動記錄（第38條）、實施資料最小化原則、設計隱私設計（Privacy by Design）機制，並任命DPO。第三階段為事件應變，第46條要求資料外洩時必須在72小時內通知監管機關及資料主體。參考GDPR第33條的72小時通報要求，企業需建立完整的事件應變流程（Incident Response Plan），並將其納入ISO 22301業務持續管理體系。

主要挑戰有三：第一，法規差異，臺灣個資法對DPO的強制性要求較低，而印尼PDP Law對特定類型資料處理有明確DPO設置義務。第二，在地化合規成本，印尼要求資料處理活動需符合在地監管要求，企業需評估資料在地化儲存的技術可行性。第三，人才短缺，具備雙語能力且熟悉ISO 27701與印尼PDP Law的DPO人才稀缺。對策上，企業應先以ISO 27701作為管理基礎，透過30天完成現況差距分析，60天建立DPO機制，90天完成DPIA與員工培訓，以系統性方式降低合規風險。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專注臺灣企業Law Number 27 of 2022相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家企業。申請免費機制診斷：https://winners.com.tw/contact