本文来自微信公众号：志象网（ID：passagegroup），作者：谢小丹，头图来自：视觉中国

新冠袭击印尼几个月后，当地民间团体印尼消费者社区（KKI）忙着起诉Tokopedia。

Tokopedia曾陷入一起数据泄露事件，9100万个用户账户在暗网论坛上流传，整套账户的售价约为5000美元。每个账户包括一个用户ID、全名、电子邮件、电话号码和出生日期。账号密码也包含其中，幸运的是，密码信息是加密的。2020年5月，因这一事件，KKI将这家估值超过10亿美元的印尼互联网公司告上了法庭。

KKI提出，根据法规，数字平台必须在一定时间内以书面形式通知数据所有者，以防数据泄露。而Tokopedia直到数据在网上被出售后才做出反应，并没有采取这样措施。

这起诉讼却走进了死胡同。KKI主席David Tobing表示，这起案件于2020年10月被雅加达中部地区法院驳回，随后的上诉同样也被驳回。

然而数据泄露的情况已经越来越普遍，几乎印尼所有的主要互联网平台或多或少地存在类似的问题。

印尼并非唯一需要应对大量的数据泄漏和黑客事件的国家，但更大的问题在于缺乏问责制。在印尼和其他缺乏全面个人数据保护法规的新兴市场，公民往往没有正确的法律途径进行申诉，追究公司的责任，或者获得赔偿。

“印尼现有的数据保护法规不够强大，而且执行起来也很困难。”网络开发者和隐私倡导者Ismail Fahmi说。Fahmi是印尼互联网治理论坛（ID-IGF）的成员，该论坛是联合国互联网治理论坛的地方分会，是为促进全球互联网政策对话而成立的多方利益相关者组织。

Fahmi认为，现在需要的是一个新的数据隐私法规，阐明公民对其个人数据的权利、数据隐私和保护原则，并对那些未能遵守的人进行罚款和制裁。新加坡和马来西亚等邻国已经通过了这方面的法律。而欧盟的GDPR被认为是世界上最强大的隐私制度，也是像Fahmi这样的隐私倡导者所渴望的理想。

“就目前的情况来看，在印尼，应用程序开发人员感觉不到任何义务，”Fahmi说，“他们知道没人监督，如果发生数据泄露，也不会有任何后果。”

自2014年以来，ID-IGF和其他民间社会团体一直进行着旷日持久的战斗，推动隐私法规（RUU PDP）的进程。现在，随着新冠疫情的到来，问题渐渐到达了鼎沸之势。

随着健康紧急情况的出现，公共部门开始推出检测和追踪应用程序。进入商场或者乘坐火车等类似场合，政府强制要求使用这些应用程序。

英国VPN评论网站vpnMentor9月报道，印尼卫生部开发的早期检测和追踪应用程序eHac泄露了130万用户的数据。

从总体上看，eHac的数据集不算很大。

据vpnMentor报道，突出的问题在于，这些数据不需要黑入系统就能读取，数据被储存在了一个不安全的、未加密的数据库中。Fahmi认为，“开发者只是忽视了，没有保护数据。”

与此同时，卫生部已经推出了一个新的、更全面的检测和追踪应用程序PeduliLindungi，其中包含公民的疫苗接种证书，并随时追踪他们的行踪。

Fahmi认为，如果PeduliLindungi的开发与eHac一样，便极有可能存在数据管理不善的问题。

个人数据保护倡导联盟（KA-PDP）计划，起诉参与开发eHac的政府实体。这一联盟包括了东南亚数字权利捍卫者网络SAFEnet和政策研究与倡导研究所（ELSAM），他们希望在议会和公众中争取支持，并迅速实施个人数据保护条例。

这项工作既繁琐，同时还需要注意，即非政府组织不能将外国捐助者的资金用于对印尼政府提起诉讼。

但还是有进展的。数据保护法案终于在11月回到了议会的审议桌上，而且联盟的关键要求得到了部分支持：将由一个独立的数据机构监督。一旦该法案通过，在违反规定的情况下寻求法律救济应该会更加容易。

同时，还可能有助于PeduliLindungi进行更好的数据保护。这款应用程序已经拥有了数千万印尼用户。政府还要求如Gojek和Tokopedia等其他平台，与PeduliLindungi建立连接，可能会进一步扩大敏感数据的访问范围。

初尝果实

自2014年以来，RUU PDP在“提出-搁置-重提”中循环了很多次，以至于最初参与起草的人甚至不再参与这个过程。

Padjadjaran大学的法学教授Sinta Rosadi是早期参与者之一。当时，学术界受邀协助起草第一版。Sinta Rosadi记得，印尼使用的参考基准是经合组织的数据保护框架。经合组织，即经济合作与发展组织，拥有38个成员国，早在1980年就发布了数据保护准则。这一准则定义了收集个人数据需要得到数据主体同意等标准。2016年，欧盟实施了更严格、更详细的GDPR制度。随后，GDPR也成为印尼RUU PDP的指导原则。

在草案讨论期间，主管部门通信和信息技术部（ICT）更换三位部长。2009年至2014年期间，部长是Tifatul Sembiring，他的任期正好在该条例首次起草时结束。而2014年至2019年则是Rudiantara，以及此后的Johnny G. Plate。

Rosadi说，即使在该部内部，草案也从一个局转给另一个局。新冠疫情下数字经济加速发展，以及民间社会团体的压力，现在，草案已接近终点。

“草案中仍有许多地方需要注意。”Rosadi说，其中之一是如何描述法律的管辖权，或者说，如果总部在印尼以外的公司错误地处理了印尼公民的数据，会发生什么？据她介绍，关于管辖权的部分内容以GDPR为蓝本，但要想在印尼的环境中真正发挥作用，还缺乏足够的细节。

但焦点是监督法律执行的机构架构。

现任政府希望，将其置于信息通信技术部之下，而不是作为独立机构，并希望由一位主席来主持该机构的工作。但隐私权利支持者无法接受，他们指出，这种设置存在诸多利益冲突。

ELSAM的负责人Wahyudi Djafar，也是KA-PDP联盟的负责人。Wahyudi Djafar说，他们要求该机构由一个委员会组成，而不能由一名主席来负责。

他以PeduliLindungi为例，“目前甚至不清楚PeduliLindungi的控制者是谁，是ICT部，还是卫生部”。Djafar说，关于控制权的信息是相互矛盾的。虽然信息和通信技术部据称是官方开发者，但作为用于控制疫情的应用程序，数据应由卫生部负责。

“那么，如果PeduliLindungi由信息和通信技术部控制，但我们的数据保护机构也在信息和通信技术部之下，那么这一机构怎么可能独立运作？” Djafar问道。

该联盟一直在游说议员，应建立一个独立机构。Djafar说，“我们对所有的派别进行游说，向他们发送政策简报、研究的结果，以及其他国家的经验，如欧洲模式，或者其他的，像巴西或阿根廷、韩国的模式。”

不过，这并非闻所未闻。在印尼，独立的数据管理机构有先例可循。

印尼有监管商业环境的竞争委员会。“我们要求他们研究这些模式，”Djafar说，“已经有一个招聘委员的程序，用来建立一个多成员的委员会。”

现任议长Puan Maharani一直为PDP大声疾呼，包括独立的监督机构。作为印尼前总统梅加瓦蒂的女儿，她的意见很有分量。Djafar希望，在11月恢复审议时，这一点最终被提出来讨论，而支持者将具备正确的论据，以推动其完成。

驾驭法律体系

Djafar说，一旦监管到位，将泄漏数据的机构告上法庭会更加有效。过去，类似KKI对Tokopedia的诉讼，基本上都是试探性的，是为了找出这类案件在法律体系中可能遇到的问题。

KKI要求对数据泄露造成的伤害给予1000亿印尼盾（700万美元）的补偿。KKI的Tobing表示，1000亿印尼盾只是估计的数字。他希望法官能对Tokopedia的罚款作出裁决。

但诉讼从未走到这一步。2020年10月，KKI的案件被雅加达中部地区法院的一个法官小组驳回，声称该法院无权审理此案，而该由国家行政法院（PTUN）管辖。Tobing认为，这一说法不可思议，因为PTUN主要审理国家官员或机构，而不是私人公司。但向高级法院提出的上诉也收到同样的结果。

律师事务所K&K Advocates的Danny Kobrata说，私营公司的数据泄露案件被印尼法院以程序问题为由驳回，这并非第一次。2019年，也有一起针对Facebook的类似案件，印尼的公民数据曾卷入剑桥分析公司丑闻。

“很遗憾，法院没能对这些案件发表意见。我们这些法律工作者很想知道法院对数据泄露的看法。谁应该承担责任？他们又将如何量化损失？Tokopedia和Facebook的案件本来有机会为未来的数据泄露案件树立里程碑，成为先例。不幸的是，这并没有发生。”Kobrata说。

SAFEnet的执行董事Damar Juniarto指出，印尼已经通过了大约30部法律来规范个人数据保护。问题是，这些法律往往是部门性的、分散的，这意味着，案件结局往往像KKI一样：由于管辖权不明确或其他手续问题而被驳回。

为在针对eHac的诉讼中取得更好的结果，Juniarto、Djafar和联盟的其他成员希望采取不同的方法，即通过公民诉讼。Djafar说，在理想情况下，该案可以用来为隐私法案提供最大的动力。

但这要花点时间。

障碍之一在于，社会团体的捐助者资金的来源。如果捐助者是其他政府，他们就不能将这些资金用于对印尼政府提起诉讼。

另一个问题则是共识。Djafar说，该联盟仍在讨论：何时以及如何就eHac的数据管理不当提起公民诉讼？幸运的是，目前没有附加的失效日期。最好的办法按部就班地进行，而不是冒着再次被驳回的风险。

另一个自称为Periksa Data的组织也对印尼国家健康保险公司BPJS Kesehatan提起了诉讼。今年5月，BPJS Kesehatan的2.79亿个数据集被盗，黑客们在暗网上出售这些数据。

该组织成员、反盗版和网络安全顾问Teguh Aprianto说，诉讼过程漫长且耗费精力，他的组织必须分析许多法规，“为什么我们持续做这件事情，因为它可以成为公众的一个研究案例，我们可以做一些事情，可以告诉公众不要随便投降。”

Djafar指出，如果全面的数据保护条例和数据主管部门已经到位，整个过程就会更容易。进行调解，会是独立的数据管理机构的义务之一。

旷日持久

当隐私权利倡导者在各条战线上努力争取时，政府则在推进PeduliLindungi。vpnMentor披露eHac的情况后，该应用程序终于退役，功能被嵌入到后续的应用程序中。

在Fahmi看来，PeduliLindungi不断收集过多的敏感数据，并且耗尽手机电池，这也是PeduliLindungi设置中最令人震惊的错误之一。

“该应用程序将用户数据发送到一个使用analytic.rocks域名的服务器。”Aprianto和他的安全研究员同事发现了另一个主要问题。他们经过进一步调查发现，analytic.rocks为印尼国有电信公司Telkom所有的一个分析性网络应用，用于容纳和分析来自Telkom各业务部门的数据。

PeduliLindungi的技术开发由Telkom负责，但主管部门是ICT部和卫生部。因此，为缓解新冠疫情而收集的数据将与为Telkom的商业利益服务的数据一起储存。Aprianto还指出，该应用的条款和协议中也没有披露这种数据转移或目的。

在针对PeduliLindungi的一长串不满中，Wahyudi又补充了一点，“新冠疫情后数据将如何处理，其中没有条款包含了这一点。”

“我们已经听说政府要把PeduliLindungi变成一个支付系统，要将其与其他应用程序连接起来，并与OVO和GoPay等支付系统进行合作。这是很有问题的。PeduliLindungi是为处理紧急的新冠疫情而开发的，必须对其设定使用期限，不能演变成一个支付系统。”他解释。

法律行动、游说、耐心的提供建议，参与其中的隐私倡导者开始精疲力尽。一些人，像是法律教授Sinta Rosadi，已经开始厌倦，不确定这种状况能否改善，或者她多年前帮助制定的数据保护法规能否看到曙光。

“希望最终会被通过！我已经等了很多年了。在政府和议会之间，仍然存在着分歧。我们已经与他们进行了多场网络研讨会。他们总说会拿出一些东西来，但直到现在......我不确定。”

即使法案最终通过，挑战仍存在于如何应用实施。

“我不太担心私营公司。我注意到他们已经开始学习数据保护原则，任命了数据隐私官员，做了准备。我担心的是政府官员，他们仍不知道必须做什么。即使在美国，在欧洲，这也是一个挑战。你能想象这是印尼的情况吗？”Rosadi说。

“归根结底，我们需要这个PDP法案，”Fahmi说，“我们需要有能力实施真正的罚款和制裁。只有这样，人们才会在发布软件之前三思，再三思，甚至十思，他们希望确保一切正常。”

本文来自微信公众号：志象网（ID：passagegroup），作者：谢小丹