一、经营主体设立

（一）公司注册形式

在印度尼西亚，企业可以根据自身的业务需求和规模选择不同的公司形式进行注册。以下是几种常见的公司类型：

1. 有限责任公司（简称PT PMDN）

有限责任公司（“本地公司”）是印度尼西亚最常见的公司形式，适用于大多数商业活动。本地公司的股东责任限于其投资资本，即股东仅以其投入公司的资金为限对公司债务负责。本地公司的股东必须是印尼本国公民或本地法人。此外，印尼《投资法》第33条禁止印尼国内投资者和外国投资者以协议或其他文件代他人持有股权。若外国投资者为规避行业准入限制，通过委托第三方代持股权的方式进行投资，其代持协议可能被宣告为无效。

2. 外资股份制有限责任公司（简称PT PMA）

外资股份制有限责任公司（“外资公司”）是专为外国投资者设置的组织形式，是股份制有限责任公司，享有与本地公司相同的权利和责任。外资公司可以完全由外国投资者持有，外国股东应至少持有51%的股份，剩下的股份可以由印度尼西亚本国的个人或公司持有。外国投资者能否投资某一行业及外资持股比例，应符合《2021年总统第10号投资部门条例》（新投资清单）要求。在外国投资者投资和收购已设立的印尼内资公司情况下，被收购的公司需要变更登记为外资公司，并适用外资公司的公司制度。中国工商银行、中国银行、长虹电器等我国企业都在印尼成立了外资公司。

3. 代表处

主要用于市场调研或产品营销，不能从事直接的商业活动。代表处没有最低资本要求，但其功能相对有限。例如，中国水电建设集团国际工程有限公司就在印尼成立了代表处。

（二）最低注册资本要求

本地公司（PT PMDN）：最低注册资本要求通常较低，但具体金额可能根据行业而有所不同。

外资公司（PT PMA）：最低注册资本为100亿印尼盾（约合449.6万人民币），且至少需在印度尼西亚银行存放100亿印尼盾。对于某些特定行业，如制造业，最低资本额可能更高，例如150亿印尼盾。初始最低实缴比例为25%，单个股东所持有的最低注册资本为1,000,000,000印尼盾（约合47万元人民币）。

（三）本股东和董事要求

本地公司（PT PMDN）：要求至少有两名股东，股东为当地股东（印尼人/本地公司），董事至少一名。

外资公司（PT PMA）：要求至少有两名股东，股东可以为印尼当地或外国的自然人或法人，且至少一名股东为外国的自然人或法人。公司至少有一名董事。外国人一般都可以担任董事，担任董事的外国人没有被要求必须居住在印尼。

（四）公司实际地址要求

在注册公司时，外国投资者应提交列明公司地址信息的文件，获得公司地址所在地地方政府出具的公司住所证明。印尼公司注册地址可以采用实体办公室或者虚拟办公室。但是，印尼的大部分公司执照，包括投资许可、居所证明、税号、公司注册设立登记执照、营业执照等多张主要执照上均有地址的说明，任何对地址的变更都将导致所有执照的变更。因此，公司在选择注册地址时需要充分考虑未来的发展规划，以合理规划公司运营成本。

（五）外汇管理

印度尼西亚实行相对自由的外汇管理制度，资本可自由转移，并且实行自由浮动汇率制度，汇率由市场供需决定。印度尼西亚外汇管理法规涵盖多个方面，包括《监管银行和非银行金融机构的外汇交易流量法》《印度尼西亚卢比与外汇交易限制法》《银行和客户外汇流动监测条例》《货币法》等。根据印度尼西亚《投资法》第8条，外国投资者享有将投资所得利润、银行利息、股息以及其他收入等以外币形式转让和汇回本国的权利，但需依据相关法律法规的规定行使。在外商直接投资方面，依据《2021年总统第10号投资部门条例》（新投资清单），除明确禁止投资的行业、限制投资的行业外，其余业务领域均对外商投资开放。

二、劳动用工合规

（一）本地员工和人数比例要求

印度尼西亚曾经通过外国员工签证申请的配额要求限定了外地员工与本地员工的比例，保障外籍员工的引入不会影响本国公民的就业机会。虽然目前配额制度已取消，但是公司在为外国员工申请工作签证时需要取得印尼政府人力部外籍员工安置计划的审批，公司的外籍员工比例较高可能会导致申请被拒绝。这意味着企业在规划员工结构时，仍需考虑本地员工的雇佣比例，以确保合规并顺利获得外籍员工的工作许可。

（二）外国人签证

在印度尼西亚，外国人工作签证的申请流程相对复杂，需要雇主仔细规划和准备。首先，企业需向人力部提交外籍员工安置计划（RPTKA），获得批准后才能为员工申请工作签证。此外，印尼对外籍员工的职位有一定的限制，通常要求外籍员工担任的职位是本地劳动力市场无法提供的专业技能岗位。因此印尼的外籍劳务人员多是外资企业以及合资企业的高级管理人员和技术人员，普通劳工禁止入境工作。

在印尼可以聘请外籍员工的雇主类型包括：

• 政府机构、外国和国际组织代表；

• 在印尼开展活动的外贸企业代表机构、外国公司代表机构、外国新闻机构；

• 在印度尼西亚开展商业活动的外国有限责任公司；

• 根据印尼法律成立的有限责任公司或基金会形式的法人实体，或在授权机构注册的外国商业实体；

• 社会、宗教、教育和文化机构；

• 被授权使用TKA的法人实体。

受聘的外籍员工必须符合以下条件：

• 接受过与任职岗位相符的教育；

• 具有足够的能力或至少5年的工作经验以适配所任职岗位；

• 将他的知识与专业技能传授给印尼员工。

（三）薪资成本

印尼的劳动力价格在亚洲地区具有竞争力。但近年来随着经济的发展和生活水平的提高，最低工资标准也在逐年增加。2024年，雅加达特区的最低工资水平为5,043,000印尼盾（约合2,346.53元人民币），而其他地区也根据经济发展水平和生活成本进行了相应的调整。此外，印尼的劳动法规定了加班工资的支付标准，例如在正常工作日加班需支付时薪的1.5倍，而在周末或法定假日加班则需支付更高的加班费。企业在制定薪资政策时，还需考虑当地的个税政策，并为员工代扣代缴个人所得税。

（四）解除劳动关系的条件和成本

在印度尼西亚，解除劳动关系需要遵循严格的法律程序和规定。劳动合同分为固定期限劳动合同和无固定期限劳动合同。印尼企业如计划雇佣非印尼籍员工，只能与外国员工签订固定期限劳动合同。

两类合同的解除条件和成本有所不同。对于无固定期限劳动合同，雇主需要支付相应的经济补偿。经济补偿包括离职补偿金、长期服务费（金额根据员工服务年限计算）和权利补偿金（对未休年假及搬迁等事项的补偿）。具体金额依据员工的工龄和工资标准确定。例如，工作时间3年或以上但少于6年的员工，可获得2个月工资的绩效津贴。如计划解雇固定期限员工，需要提前14日通知员工，并且支付赔偿金（金额为剩余劳动期限工资总额）与离职补偿金（金额根据员工服务年限计算，不适用于外籍员工）。此外，如果员工在试用期内被解雇，雇主需支付试用期工资。企业在解除劳动关系时，还需注意遵循当地的劳动争议解决机制，以避免法律风险。

三、基本税务要求

（一）个人所得税

印度尼西亚的个人所得税制度较为完善，税率结构和征税范围明确。2024年，印尼对个人所得税的计算方法进行了调整，采用平均有效税率进行计算。个人所得税的征收范围包括工资、津贴、奖金、加班费、租金收入、股息收入等多种形式。印尼的个人所得税起征点根据个人的婚姻状况和抚养人数有所不同，例如，未婚人员的起征点为54,000,000印尼盾，已婚人员的起征点为58,500,000印尼盾。此外，印尼个人所得税的申报和缴纳需通过注册税卡（NPWP）和电子税号（E-FIN），并在每年3月31日之前完成个人年度申报。

印尼的个人所得税按照超额累进税率进行计算：

印度尼西亚的企业所得税标准税率为22%。企业所得税的纳税年度一般为公历年度，企业需在次年的4月25日之前提交纳税申报表。企业需按月或按季度预缴税款，并在季度期后的第2个月的第14天前提交预缴税申报表。此外，印尼对某些特定行业或区域的投资提供了税收优惠，例如在经济特区（KEK）内开展生产经营的企业，根据其投资额可以享受最长10年的所得税免税优惠。在免税期结束后，企业还可以继续享受减半所得税的优惠。

（三）数字税

2021年5月，印尼税务总局（DJP）对8家国际公司的数字产品征收10%的增值税，包括Hotels.com LP、Epic Games International S.a,r.1.、Bertrange、Root Branch、ExpediaLodging Partner Sérl、BEX Travel Asia Pte. Ltd.、Travelcape LLC、Teamviewer Germany Gmbh、Scribd、Nexway Sasu等。目前，税务总局指定的需征缴增值税的数字公司有75家，包括Netflix、Shopee、Zoom和阿里云（新加坡）、Github、微软、UC浏览器（新加坡）等[1]。

（四）中国印尼税收协定

中印尼两国签订了《对于所得避免双重征税和防止偷漏税的协定》，旨在避免双重征税并促进国际投资。根据该协定，中国居民在印尼取得的所得，按照协定规定在印尼缴纳的税额，可以在对中国居民征收的中国税收中抵免。此外，协定还规定了对股息、利息、特许权使用费等所得的税收优惠政策。这些协定为中资企业在印尼的投资和运营提供了税收上的便利和保障，降低了企业的税收负担，增强了企业的竞争力。

四、外商投资限制

（一）鼓励/限制行业

印尼《投资法》鼓励国内外投资者自由投资任何产业，除非是基于健康、道德、文化、环境、国家安全与其他国家利益的需要，外国投资者才会被限制准入。在印尼，有25个行业被宣布为禁止投资行业，包括：受保护鱼类捕捞业、以珊瑚或珊瑚礁制造建筑材料，含酒精饮料工业、水银氯碱业、污染环境的化学工业、生化武器工业，机动车型号和定期检验、海运通信或支持设施、舰载交通通信系统、空中导航服务、无线电与卫星轨道电波指挥系统、地磅站，公立博物馆、历史文化遗产和古迹、纪念碑以及赌博业等。

目前，印尼实行“优先清单”制度，在基础设施（机场、港口）、可再生能源（小型水电、风电、太阳能、地热、生物质发电）、建筑服务、通信媒体信息技术、分销仓储、医疗医药等重点领域，取消或放宽股权比例等对外资的限制。例如，电动汽车为“优先清单”鼓励的投资行业，投资者可设立100%独资子公司。

（二）产业园区

印尼政府为吸引外资，建设了多个产业园区，提供了良好的基础设施和优惠政策。

1. 中国印尼综合产业园区青山园区：

位于印尼中苏拉威西省摩洛哇丽县，由上海鼎信投资（集团）有限公司控股、印尼八星投资有限公司参股合资组建。园区重点发展镍矿的采掘、出口及镍铁冶炼产业。园区提供税收优惠政策，如外商投资企业自用设备免征进口关税，出口产品进口原材料实行退税，在印尼国内购买用于生产出口产品的物资免增值税和奢侈品税。

在中国印尼综合产业园区青山园区入驻的中国企业包括：镍矿开采和冶炼企业（如苏拉威西矿业投资有限公司、印尼广青镍业有限公司、博利镍业有限公司）；不锈钢生产及加工企业（如印尼青山不锈钢有限公司、印尼瑞浦镍铬合金有限公司）；新能源材料企业（如华友钴业、格林美公司）等。

2. 雅加达工业园区：

位于印尼首都雅加达，是印尼重要的工业基地之一，吸引了众多国内外企业入驻。

园区提供完善的基础设施和配套服务，如供水、供电、交通、通讯等，并提供税收优惠和土地优惠等政策。

3. 巴淡岛自由贸易区：

位于印尼廖内群岛的巴淡岛，是印尼重要的自由贸易区之一。

园区提供税收优惠政策，如不收进口税，增值税、奢侈品销售税会进行适当条件下的减免。

园区吸引了大量从事进出口贸易、加工制造和物流仓储的企业。中国华电工程公司等中国企业入驻了该园区。

五、土地制度

（一）土地权利类型

印尼土地制度较为复杂，尤其对于外资企业而言，土地的所有权和使用权受到严格限制。外国企业不能直接拥有土地，但可以通过不同的土地使用权类型进行投资。常见的土地权利包括建筑权、使用权和开发权。建筑权允许企业在土地上建造并拥有建筑物，使用期为30年，可延长20年；使用权允许企业特定用途使用土地，使用期为25年，可延长20年；开发权则主要适用于农业、渔业和畜牧业，使用期为35年，可延长25年。

（二）土地价格

对于土地价格，印尼不同地区的土地成本差异较大，通常工业区的土地价格较高，而私有土地的价格高于国有土地。选择合适的园区时，企业需综合评估税收优惠、土地价格、用工成本及区域产业聚集效应等因素。

此外，外资企业在进行土地交易时，需要进行详尽的尽职调查，确保土地交易符合当地法律、规划要求，避免土地权属不清晰、未登记等潜在的法律风险。

六、环保要求

（一）环境保护立法

印尼政府主管环境保护的部门是环境与林业部，负责制定环保政策并监督执行。根据1997年实施的《环境保护法》，企业若对环境造成影响，必须获得环境部颁发的环境许可证。此外，企业还需遵守针对森林、动植物保护的法律要求。违反环保法规的企业将面临相应的法律制裁，因此，企业必须严格遵守当地环保要求，确保其项目的合法性和可持续发展。

（二）环保合规要求

在印尼进行投资时，环保合规是不可忽视的一环。所有企业在购买土地并准备建设前，需先完成环境评估（环评）手续。环评分为“大环评”和“小环评”。大环评通常在园区规划阶段进行，主要评估整个园区对环境的影响，并决定园区是否符合特定行业的环保要求；而小环评则针对企业个体项目的环境影响进行评估，是企业获得建设和生产许可的前提。企业必须确保小环评顺利通过，才能继续进行后续的建设和生产活动。

七、数据保护与合规

（一）立法情况及适用范围

1. 立法情况

印度尼西亚于2022年10月17日颁布的《个人数据保护法》（Law on Personal Data Protection，下称“PDPL”）搭建了个人数据保护的整体框架。数据控制者、数据处理者以及处理个人数据的相关方在PDPL颁布后有为期两年的过渡期，直至2024年10月17日。过渡期结束后，数据处理活动必须严格符合PDPL，任何不合规的行为都可能会受到处罚或强制执行。PDPL共16章76条，内容覆盖数据所有权、个人数据的收集、存储、处理、流转等方面。总体上看，PDPL与欧盟的《通用数据保护条例》（GDPR）较为相似。

2023年8月，《个人数据保护法实施条例政府草案》（Draft of the Government Regulation on the Implementing Regulation of Personal Data Protection Law，下称“Draft GR”）发布，Draft GR进一步扩展了PDPL中概述的原则。它规定了个人数据应如何被处理、存储和保护，数据控制者和处理者的角色和责任，组织应如何尊重数据主体的权利以及执行机制。

2. 适用范围

主体范围方面，PDPL适用于位于印度尼西亚境内的任何个人、公司、公共机构或国际组织。“个人”包括自然人和法人，公共机构是履行核心行政职能并从国家预算机构获得部分资金的组织。如果非政府组织（NGO）的部分或全部资金来自国家，则也可能被视为公共机构。国际组织是指被公认为国际法主体并有能力签订国际协议的机构[2]。

地域范围方面，PDPL既适用于印度尼西亚境内的上述主体，也具有域外管辖效力。PDPL的域外适用效力及于：

（1）数据处理活动在印度尼西亚境内产生法律后果的实体；或

（2）数据处理活动对居住在印度尼西亚境外的印度尼西亚公民产生法律后果的实体。

特别地，PDPL规定：基于个人或家庭目的的数据处理不受PDPL的约束。此类活动包括：

（1）不属于职业和/或商业活动范围内的数据处理活动；和/或

（2）不以公众为目标的数据处理活动[3]。

3. 重要定义

（1）个人数据：个人数据是指通过电子或非电子形式直接或间接地单独或与其他信息结合的与已识别或可识别的个人相关的任何数据；

（2）一般个人数据：包括姓名、性别、国籍、宗教、婚姻状况等；

（3）敏感个人数据：PDPL对于“敏感个人数据”采用“Specific Data”的表述，并通过列举的方式进行释明，根据其列举的具体内容包括：（1）健康信息与记录；（2）生物识别数据；（3）基因数据；（4）犯罪记录；（5）儿童数据；（6）个人财务数据，和/或；（7）其他法律法规规定的有关数据（从列举的数据内容来看，我们理解，PDPL规定的“Specific Data”与国内法上的“敏感个人信息”较为接近）；

（4）数据控制者：单独或共同决定个人数据处理活动的目的并对其拥有控制权的任何个人或公司、公共机构和国际组织；

（5）数据处理者：单独或共同代表控制者处理个人数据的任何个人、公司、公共机构和国际组织。

（二）数据处理的基本原则

PDPL规定了5项数据使用者在处理个人数据时需要遵守的数据处理原则：

1. 合法、公平、透明原则：数据处理必须有法律依据[4]，数据处理的方式和目的对数据主体必须是透明的。个人信息控制者在基于同意处理数据时，必须向数据主体提供关于数据处理的详细信息。处理目的、保留期限、将要处理的个人数据类型发生变化的，个人数据控制者必须在信息变更前通知个人数据主体[5]；
    
2. 目的限制原则：数据处理必须是为了特定、明确和合法的目的。数据处理应当限定在特定目的范围内[6]；
    
3. 数据最小化原则：仅收集和处理实现目的所必需的最少量的个人数据[7]；
    
4. 准确性原则：个人数据控制者应确保数据的准确性、完整性和一致性；为满足前述要求，个人数据控制者应进行核查[8]；
    
5. 目的一致性原则：数据处理应与收集个人数据时声明的目的一致[9]。

（三）数据处理的合法性基础

1. 同意：个人数据主体对个人数据控制者已告知的一个或多个特定目的。根据PDPL第21条，取得合法有效的同意要求数据控制者向个人数据主体提供以下信息：处理个人数据的合法性、处理个人数据的目的、待处理个人数据的类型与关联性、个人数据（包含个人数据的文件资料）存储期限、数据收集的详细信息、个人数据的处理期限、数据主体的权利[10]；
    
2. 合同必要性：个人数据主体是合同一方当事人，数据控制者履行协议义务，或在执行协议时满足个人数据主体的请求；
    
3. 遵守数据控制者的法律义务：个人数据控制者根据法律法规的规定履行法律义务；
    
4. 保护数据主体的重大利益；
    
5. 公共利益：根据法律法规，为公共利益、公共服务或根据法律法规执行个人数据控制者的职权；
    
6. 其他合法利益：在平衡处理目的、处理必要性及个人数据控制者与个人数据主体权利之间的情况下，满足其他合法利益[11]。

（四）数据主体的权利

根据PDPL的规定，数据主体有以下权利：

1. 知情权：个人数据主体有权获得以下信息：（1）明确个人数据控制者或个人数据处理者的身份；（2）确定处理其个人数据的合法依据；（3）确定请求和使用其个人数据的目的；（4）请求其个人数据的一方主体的责任[12]；
    
2. 更正权：个人数据主体有请求对自收集以来已过时、不完整或不准确的个人数据进行修改的权利[13]；
    
3. 访问权：个人数据主体有权访问和获取有关其个人数据的副本[14]。个人数据主体有权以电子系统常用的格式或可读取的格式获取其个人数据[15]；
    
4. 拒绝处理权：个人数据主体有权随时撤回其对个人数据处理的同意[16]；
    
5. 可携带权：个人数据主体有权以电子系统常用的格式或可读取的格式获取其个人数据。个人数据主体可以进一步使用并将这些数据发送给其他个人数据控制者。行使此权利的前提是，数据必须以安全的方式进行转移，且符合PDPL的其他相关规定。这些权利实际上赋予数据主体将其数据从一个系统迁移到另一个系统的能力，避免用户被迫仅使用单一系统或公司的服务[17]；
    
6. 停止处理权：个人数据主体有权请求相应主体停止处理其个人数据并删除或销毁与个人数据主体有关的数据[18]；
    
7. 拒绝自动化决策权：个人数据主体有权对仅基于自动处理（包括数据分析）作出的决策提出异议[19]。
    

个人数据主体权利不适用的例外情形包括：（1）国防和安全利益；（2）执法程序利益；（3）在国家管理范围内对金融服务部门、货币、支付系统以及金融系统稳定进行监督的利益；（4）国家管理的公共利益；（5）科学和统计研究利益[20]。

（五）数据控制者及数据处理者的义务

对应数据主体所享有的权利，PDPL对数据控制者与数据处理者规定了相应的义务，并进一步区分为“数据控制者与数据处理者共同负担的义务”“数据控制者的特殊义务”与“数据处理者的特殊义务”。

1. 数据控制者与数据处理者共同负担的义务

（1）数据核查义务：数据控制者与处理者应根据法律法规的规定，确保个人数据的准确性、完整性和一致性。为履行这一义务，个人数据控制者与处理者应进行数据核查[21]；

（2）处理活动记录义务：数据控制者与处理者应记录所有个人数据处理活动[22]；

（3）个人数据处理安全保障义务：数据控制者与数据处理者应：1）履行个人数据处理安全保障义务，制定和实施技术操作措施，确保个人数据免受数据处理活动的干扰；2）根据需保护的个人数据的性质与风险，确定个人数据的安全级别[23]；

（4）保密义务：数据控制者与数据处理者应履行对处理的个人数据的保密义务[24]；

（5）监督义务：数据控制者与数据处理者应监督在其控制下处理个人数据的各方主体[25]；

（6）确保授权处理义务：数据控制者与数据处理者应确保个人数据不会遭受未经个人数据主体授权的处理[26]；

（7）排除非法访问义务：数据控制者与数据处理者应通过安全系统或可靠、安全、负责任地使用电子系统防止个人数据被非法访问[27]；

（8）委任数据保护官（Data Protection Officer, DPO）义务：数据控制者与数据处理者在下列情形中，需指定一名官员或工作人员负责监管组织相关活动：1）出于公共目的处理个人数据；2）需要定期、系统地大规模监控个人数据的核心数据保护活动；3）特定性质的数据处理活动或与犯罪活动相关的个人数据[28]。

2. 数据控制者的特殊义务

除前述数据控制者与数据处理者共同负担的义务外，基于数据控制者对数据处理活动的决定性地位，PDPL为数据控制者规定了一定数量的专属义务，包括：

（1）证据出示义务：在处理个人数据时，数据控制者有义务出示个人数据主体同意的证据[29]；

（2）征得监护人同意义务：处理儿童个人数据时，数据控制者须征得儿童父母和/或监护人的同意[30]；

（3）有限、具体、合法和透明义务：数据控制者义务对个人数据进行有限、具体、合法和透明的处理[31]；

（4）按目的处理义务：数据控制者应根据处理个人数据的目的处理个人数据[32]；

（5）数据更新/更正与通知义务：数据控制者有义务在收到更新/更正个人数据的请求后72小时内更新/更正个人数据中的任何错误或不准确之处，并将相应结果通知个人数据主体[33]；

（6）提供访问即跟踪义务：数据控制者应根据个人数据的保留期限，向个人数据主体提供经处理的个人数据的访问权限以及个人数据处理的跟踪记录[34]；

（7）拒绝个人数据主体访问或更改数据请求的义务：数据控制者应在以下情形中拒绝个人数据主体访问或更改数据的请求：1）危及个人数据主体和/或其他人的安全、身体健康或精神健康；2）影响他人个人数据的披露；3）违背国防和国家安全利益[35]；

（8）个人数据保护影响评估义务：若个人数据对个人数据主体具有高潜在风险，数据控制者需开展个人数据保护影响评估。“高潜在风险的个人数据处理活动”包括：1）对个人数据主体有法律后果或重大影响的自动化决策；2）特定个人数据处理；3）大规模处理个人数据；4）为系统评估、评分或监督个人数据主体的活动而处理个人数据；5）必须拒绝向个人数据主体提供对个人数据的访问或更改权限：

① 用于数据匹配或数据合并的个人数据处理；

② 在个人数据处理过程中使用新技术；

③ 限制个人数据主体行使权利的个人数据处理[36]。

（9）停止处理义务：个人数据主体撤回同意的，数据控制者应在收到撤销同意的请求之日起72小时内停止处理个人数据[37]。个人数据主体要求推迟、限制处理个人数据的，数据控制者应在72小时内全部或部分推迟、限制处理个人数据，但法律法规规定不得延迟、限制处理、个人数据主体与数据控制者订立的协议不允许延迟和限制处理个人数据的除外[38]；

另外，控制者在下列情形中应停止处理个人数据：1）数据储存期限届满；2）处理个人数据的目的已经实现；3）个人数据当事人要求停止处理[39]；

（10）数据删除义务：数据控制者在下列情形中应删除处理的个人数据：1）个人数据不再用于实现处理个人数据的目的；2）个人数据主体已撤回对个人数据处理的同意；3）个人数据主体提出删除请求；4）个人数据以非法方式获得和/或处理[40]；

（11）数据销毁义务：数据控制者在下列情形中应销毁处理个人数据：1）个人数据储存期限届满，且根据档案保留计划被标明需要销毁；2）个人数据主体提出销毁请求；3）与法律程序的解决无关；4）个人数据以非法方式获得和/或处理[41]；

（12）数据删除/销毁通知义务：删除或销毁个人数据的，数据控制者应通知个人数据主体[42]；

（13）数据泄露报告义务：PDPL将个人数据泄露（Personal Data Breaches）规定为个人数据保护失效（Personal Data Protection Failure），并要求数据控制者在出现“个人数据保护失效”时，在72小时内书面通知向个人数据主体及个人数据保护机构（PDP Agency）[43]；

（14）数据转移通知义务：作为法律实体的数据控制者合并、分立、收购、解散之前和之后，均应向个人数据主体发出数据转移通知。法律实体解散的，应依法储存、转移、删除、销毁个人数据，并向个人数据主体发出通知[44]。

3. 数据处理者的特殊义务

基于“代表数据控制者处理个人数据”的定位，PDPL为数据处理者规定的义务多与个人数据控制者义务相同，个别专属于数据处理者的义务也多与数据控制者与处理者间的协议、约定、授权相关[45]。

（1）取得控制者同意义务：数据处理者在聘用其他数据处理者处理个人数据前，必须取得数据控制者的书面同意；

（2）处理目的限定义务：数据处理者不得超出数据控制者的指令与处理目的开展个人数据处理活动，超出部分的个人数据处理活动由数据处理者自身承担责任。

（四）数据跨境传输合规要求

1. 数据跨境传输特别要求

PDPL允许数据的跨境传输，但存在特别要求，具体包括：

（1）保护充分性要求：接收个人数据转移的数据控制者或处理者所在国的个人数据保护水平不低于PDPL所提供的保护水平；

（2）适当保障要求：在缺乏保护充分性的情况下，需提供适当的个人数据保护措施；

（3）事前同意要求：若既没有保护充分性也没有适当保障，须获得数据主体的（事前）同意。

值得注意的是， PDPL目前尚无对于数据本地化存储的要求（本地化存储要求被数据控制者确保数据在跨境传输过程中能够获得与PDPL同等水平保护的义务涵盖）[46]。

2. Draft GR对个人数据跨境传输的补充规定

Draft GR对个人数据跨境传输的规定作了较多补充，具体包括：

（1）同等数据保护水平要求：对于向印度尼西亚以外的地区传输数据的行为，Draft GR要求数据控制者必须确认接收国维持的数据保护标准不低于印度尼西亚法律实现的保护水平[47]；

（2）充分和有约束力的个人数据保护：“同等保护水平”标准未得到满足，数据控制者必须采取保护措施。这些措施可以包括国际协议、标准合同条款、有约束力的公司规则或其他获得个人数据保护机构批准的保护性工具[48]；

（3）个人数据主体的同意：在某些特殊情况下，数据主体的同意可以被用作个人数据向印度尼西亚之外地区传输的合法性基础，但仅限下列情形：1）非重复性转移；2）涉及个人数据主体数量有限；3）转移是为了满足某些规定，且不排除个人数据主体的利益或权利和自由；4）个人数据控制者已评估风险并采取适当的保护措施；5）个人数据控制者已向个人数据保护机构和个人数据主体通知该转移活动及其紧急、合法的利益。

（四）监管机构

1. 国家数据保护机构

目前，印度尼西亚根据PDPL的规定正在建立国家数据保护机构（Data Protection Agency, DPA）。建立后，该机构将主要负责以下工作：

（1）制定和规定个人数据保护政策和策略；

（2）对数据保护运作的监督；

（3）执行违反个人数据保护的行为；以及

（4）促进替代性争议解决。

2. 其他监管机构

在《个人数据保护法》为期两年的过渡期内，以及在DPA成立并运作之前，印度尼西亚共和国通讯与信息部（Ministry of Communication and Informatics, MOCI）将继续对通过电子系统处理的数据隐私事务拥有主要权力，包括：

（1）与电子系统运营商（Electronic System Operator, ESO）协调跨境数据传输；

（2）监督数据泄露通知；

（3）监督电子系统内个人数据保护的实施；以及

（4）对电子信息与交易（Electronic Information and Transactions, EIT）部门内违反个人数据保护的行为实施行政制裁。

对于金融服务或支付系统等特定行业，每个行业监督和监管机构都有权监管和监督与数据保护相关的事项。

（七）法律责任

违反个人数据保护相关法律法规、侵犯个人数据权益的处罚总体上可分为行政处罚与刑事处罚，行政处罚又基于处罚作出主体的不同分为DPA作出的处罚、MOCI作出的处罚和其他领域监管机构作出的处罚。

1. DPA作出的处罚

（1）行政处罚[49]

未能确保所处理个人数据的安全性和机密性将受到以下行政处罚：

① 书面警告；

② 暂时暂停个人数据处理活动；

③ 删除或销毁个人数据；和/或

④ 行政罚款（根据PDPL，最高罚款额为相关方年度收入或营业额的2%）。

（2）刑事处罚[50]

① 任何人故意且非法获取或收集不属于自己的个人数据，以使自己或他人受益，可能导致个人数据主体的损失，将面临最高五年的监禁和/或最高五亿印度尼西亚盾的罚款；

② 任何人故意且非法披露不属于自己的个人数据，可能面临最高四年的监禁和/或最高五亿印度尼西亚盾的罚款；

③ 任何人故意且非法使用不属于自己的个人数据，可能面临最高五年的监禁和/或最高五亿印度尼西亚盾的罚款；

④ 任何人故意创建虚假的个人数据或伪造个人数据，以使自己或他人受益，可能导致他人损失的，将面临最高六年的监禁和/或最高六亿印度尼西亚盾的罚款。

⑤ 如果公司的管理层、控制者、指挥官、受益所有人和/或公司实施了刑事行为，将对这些人或公司处以刑罚。但公司所面临的刑罚仅限于罚款，最高罚款可为个人所犯行为最高罚款的十倍。除了罚款外，公司还可能面临以下附加刑罚：

• 没收通过此类刑事行为获得的利润和/或资产；

• 暂停整个公司或部分业务；

• 永久禁止执行某些行为；

• 停止公司全部或部分营业场所及/或活动；

• 履行未履行的义务；

• 支付赔偿；

• 撤销营业执照；和/或

• 解散公司。

2. MOCI作出的处罚[51]

MOCI有权要求电子系统运营商（数据控制者/处理者）提供数据和信息，以保护个人数据。

对于不合规方，MOCI也可以实施行政制裁，具体形式包括：

（1）书面警告；

（2）暂时限制/暂停其商业活动；

（3）行政罚款（与相关行业的监管机构协调）。该规定未具体说明行政罚款的金额或实施程序；

（4）限制对电子系统和/或信息/数据的访问；

（5）将商业实体排除在某些注册名单之外；和/或

（6）在网站上进行公告。

3. 其他领域相关监管机构作出的处罚

根据《银行法》第47条第（2）款，任何银行或其附属机构的专员、董事或员工如果故意提供必须保密的信息，可能面临至少2年但不超过4年的监禁，并处以至少40亿印度尼西亚盾（约合267,000美元）但不超过80亿印度尼西亚盾（约合534,000美元）的罚款。

根据《资本市场法》，金融服务管理局有权对违反数据保护规定的行为施加以下行政制裁：书面提醒、罚款、业务限制、业务暂停、撤销营业执照、撤销批准、撤销注册等。