本文来自微信公众号:志象网(ID:passagegroup),作者:谢小丹,头图来自:视觉中国


新冠袭击印尼几个月后,当地民间团体印尼消费者社区(KKI)忙着起诉Tokopedia。


Tokopedia曾陷入一起数据泄露事件,9100万个用户账户在暗网论坛上流传,整套账户的售价约为5000美元。每个账户包括一个用户ID、全名、电子邮件、电话号码和出生日期。账号密码也包含其中,幸运的是,密码信息是加密的。2020年5月,因这一事件,KKI将这家估值超过10亿美元的印尼互联网公司告上了法庭。


KKI提出,根据法规,数字平台必须在一定时间内以书面形式通知数据所有者,以防数据泄露。而Tokopedia直到数据在网上被出售后才做出反应,并没有采取这样措施。


这起诉讼却走进了死胡同。KKI主席David Tobing表示,这起案件于2020年10月被雅加达中部地区法院驳回,随后的上诉同样也被驳回。


然而数据泄露的情况已经越来越普遍,几乎印尼所有的主要互联网平台或多或少地存在类似的问题。



印尼并非唯一需要应对大量的数据泄漏和黑客事件的国家,但更大的问题在于缺乏问责制。在印尼和其他缺乏全面个人数据保护法规的新兴市场,公民往往没有正确的法律途径进行申诉,追究公司的责任,或者获得赔偿。


“印尼现有的数据保护法规不够强大,而且执行起来也很困难。”网络开发者和隐私倡导者Ismail Fahmi说。Fahmi是印尼互联网治理论坛(ID-IGF)的成员,该论坛是联合国互联网治理论坛的地方分会,是为促进全球互联网政策对话而成立的多方利益相关者组织。


Fahmi认为,现在需要的是一个新的数据隐私法规,阐明公民对其个人数据的权利、数据隐私和保护原则,并对那些未能遵守的人进行罚款和制裁。新加坡和马来西亚等邻国已经通过了这方面的法律。而欧盟的GDPR被认为是世界上最强大的隐私制度,也是像Fahmi这样的隐私倡导者所渴望的理想。


“就目前的情况来看,在印尼,应用程序开发人员感觉不到任何义务,”Fahmi说,“他们知道没人监督,如果发生数据泄露,也不会有任何后果。”


自2014年以来,ID-IGF和其他民间社会团体一直进行着旷日持久的战斗,推动隐私法规(RUU PDP)的进程。现在,随着新冠疫情的到来,问题渐渐到达了鼎沸之势。


随着健康紧急情况的出现,公共部门开始推出检测和追踪应用程序。进入商场或者乘坐火车等类似场合,政府强制要求使用这些应用程序。


英国VPN评论网站vpnMentor9月报道,印尼卫生部开发的早期检测和追踪应用程序eHac泄露了130万用户的数据。


从总体上看,eHac的数据集不算很大。


据vpnMentor报道,突出的问题在于,这些数据不需要黑入系统就能读取,数据被储存在了一个不安全的、未加密的数据库中。Fahmi认为,“开发者只是忽视了,没有保护数据。”


与此同时,卫生部已经推出了一个新的、更全面的检测和追踪应用程序PeduliLindungi,其中包含公民的疫苗接种证书,并随时追踪他们的行踪。


Fahmi认为,如果PeduliLindungi的开发与eHac一样,便极有可能存在数据管理不善的问题。


个人数据保护倡导联盟(KA-PDP)计划,起诉参与开发eHac的政府实体。这一联盟包括了东南亚数字权利捍卫者网络SAFEnet和政策研究与倡导研究所(ELSAM),他们希望在议会和公众中争取支持,并迅速实施个人数据保护条例。


这项工作既繁琐,同时还需要注意,即非政府组织不能将外国捐助者的资金用于对印尼政府提起诉讼。


但还是有进展的。数据保护法案终于在11月回到了议会的审议桌上,而且联盟的关键要求得到了部分支持:将由一个独立的数据机构监督。一旦该法案通过,在违反规定的情况下寻求法律救济应该会更加容易。


同时,还可能有助于PeduliLindungi进行更好的数据保护。这款应用程序已经拥有了数千万印尼用户。政府还要求如Gojek和Tokopedia等其他平台,与PeduliLindungi建立连接,可能会进一步扩大敏感数据的访问范围。


初尝果实


自2014年以来,RUU PDP在“提出-搁置-重提”中循环了很多次,以至于最初参与起草的人甚至不再参与这个过程。


Padjadjaran大学的法学教授Sinta Rosadi是早期参与者之一。当时,学术界受邀协助起草第一版。Sinta Rosadi记得,印尼使用的参考基准是经合组织的数据保护框架。经合组织,即经济合作与发展组织,拥有38个成员国,早在1980年就发布了数据保护准则。这一准则定义了收集个人数据需要得到数据主体同意等标准。2016年,欧盟实施了更严格、更详细的GDPR制度。随后,GDPR也成为印尼RUU PDP的指导原则。


在草案讨论期间,主管部门通信和信息技术部(ICT)更换三位部长。2009年至2014年期间,部长是Tifatul Sembiring,他的任期正好在该条例首次起草时结束。而2014年至2019年则是Rudiantara,以及此后的Johnny G. Plate。


Rosadi说,即使在该部内部,草案也从一个局转给另一个局。新冠疫情下数字经济加速发展,以及民间社会团体的压力,现在,草案已接近终点。


“草案中仍有许多地方需要注意。”Rosadi说,其中之一是如何描述法律的管辖权,或者说,如果总部在印尼以外的公司错误地处理了印尼公民的数据,会发生什么?据她介绍,关于管辖权的部分内容以GDPR为蓝本,但要想在印尼的环境中真正发挥作用,还缺乏足够的细节。


焦点是监督法律执行的机构架构。


现任政府希望,将其置于信息通信技术部之下,而不是作为独立机构,并希望由一位主席来主持该机构的工作。但隐私权利支持者无法接受,他们指出,这种设置存在诸多利益冲突。


ELSAM的负责人Wahyudi Djafar,也是KA-PDP联盟的负责人。Wahyudi Djafar说,他们要求该机构由一个委员会组成,而不能由一名主席来负责。


他以PeduliLindungi为例,“目前甚至不清楚PeduliLindungi的控制者是谁,是ICT部,还是卫生部”。Djafar说,关于控制权的信息是相互矛盾的。虽然信息和通信技术部据称是官方开发者,但作为用于控制疫情的应用程序,数据应由卫生部负责。


“那么,如果PeduliLindungi由信息和通信技术部控制,但我们的数据保护机构也在信息和通信技术部之下,那么这一机构怎么可能独立运作?” Djafar问道。


该联盟一直在游说议员,应建立一个独立机构。Djafar说,“我们对所有的派别进行游说,向他们发送政策简报、研究的结果,以及其他国家的经验,如欧洲模式,或者其他的,像巴西或阿根廷、韩国的模式。”


不过,这并非闻所未闻。在印尼,独立的数据管理机构有先例可循。


印尼有监管商业环境的竞争委员会。“我们要求他们研究这些模式,”Djafar说,“已经有一个招聘委员的程序,用来建立一个多成员的委员会。”


现任议长Puan Maharani一直为PDP大声疾呼,包括独立的监督机构。作为印尼前总统梅加瓦蒂的女儿,她的意见很有分量。Djafar希望,在11月恢复审议时,这一点最终被提出来讨论,而支持者将具备正确的论据,以推动其完成。


驾驭法律体系


Djafar说,一旦监管到位,将泄漏数据的机构告上法庭会更加有效。过去,类似KKI对Tokopedia的诉讼,基本上都是试探性的,是为了找出这类案件在法律体系中可能遇到的问题。


KKI要求对数据泄露造成的伤害给予1000亿印尼盾(700万美元)的补偿。KKI的Tobing表示,1000亿印尼盾只是估计的数字。他希望法官能对Tokopedia的罚款作出裁决。


但诉讼从未走到这一步。2020年10月,KKI的案件被雅加达中部地区法院的一个法官小组驳回,声称该法院无权审理此案,而该由国家行政法院(PTUN)管辖。Tobing认为,这一说法不可思议,因为PTUN主要审理国家官员或机构,而不是私人公司。但向高级法院提出的上诉也收到同样的结果。


律师事务所K&K Advocates的Danny Kobrata说,私营公司的数据泄露案件被印尼法院以程序问题为由驳回,这并非第一次。2019年,也有一起针对Facebook的类似案件,印尼的公民数据曾卷入剑桥分析公司丑闻。


“很遗憾,法院没能对这些案件发表意见。我们这些法律工作者很想知道法院对数据泄露的看法。谁应该承担责任?他们又将如何量化损失?Tokopedia和Facebook的案件本来有机会为未来的数据泄露案件树立里程碑,成为先例。不幸的是,这并没有发生。”Kobrata说。


SAFEnet的执行董事Damar Juniarto指出,印尼已经通过了大约30部法律来规范个人数据保护。问题是,这些法律往往是部门性的、分散的,这意味着,案件结局往往像KKI一样:由于管辖权不明确或其他手续问题而被驳回。


为在针对eHac的诉讼中取得更好的结果,Juniarto、Djafar和联盟的其他成员希望采取不同的方法,即通过公民诉讼。Djafar说,在理想情况下,该案可以用来为隐私法案提供最大的动力。


但这要花点时间。


障碍之一在于,社会团体的捐助者资金的来源。如果捐助者是其他政府,他们就不能将这些资金用于对印尼政府提起诉讼。


另一个问题则是共识。Djafar说,该联盟仍在讨论:何时以及如何就eHac的数据管理不当提起公民诉讼?幸运的是,目前没有附加的失效日期。最好的办法按部就班地进行,而不是冒着再次被驳回的风险。


另一个自称为Periksa Data的组织也对印尼国家健康保险公司BPJS Kesehatan提起了诉讼。今年5月,BPJS Kesehatan的2.79亿个数据集被盗,黑客们在暗网上出售这些数据。


该组织成员、反盗版和网络安全顾问Teguh Aprianto说,诉讼过程漫长且耗费精力,他的组织必须分析许多法规,“为什么我们持续做这件事情,因为它可以成为公众的一个研究案例,我们可以做一些事情,可以告诉公众不要随便投降。”


Djafar指出,如果全面的数据保护条例和数据主管部门已经到位,整个过程就会更容易。进行调解,会是独立的数据管理机构的义务之一。


旷日持久


当隐私权利倡导者在各条战线上努力争取时,政府则在推进PeduliLindungi。vpnMentor披露eHac的情况后,该应用程序终于退役,功能被嵌入到后续的应用程序中。



在Fahmi看来,PeduliLindungi不断收集过多的敏感数据,并且耗尽手机电池,这也是PeduliLindungi设置中最令人震惊的错误之一。


“该应用程序将用户数据发送到一个使用analytic.rocks域名的服务器。”Aprianto和他的安全研究员同事发现了另一个主要问题。他们经过进一步调查发现,analytic.rocks为印尼国有电信公司Telkom所有的一个分析性网络应用,用于容纳和分析来自Telkom各业务部门的数据。


PeduliLindungi的技术开发由Telkom负责,但主管部门是ICT部和卫生部。因此,为缓解新冠疫情而收集的数据将与为Telkom的商业利益服务的数据一起储存。Aprianto还指出,该应用的条款和协议中也没有披露这种数据转移或目的。


在针对PeduliLindungi的一长串不满中,Wahyudi又补充了一点,“新冠疫情后数据将如何处理,其中没有条款包含了这一点。”


“我们已经听说政府要把PeduliLindungi变成一个支付系统,要将其与其他应用程序连接起来,并与OVO和GoPay等支付系统进行合作。这是很有问题的。PeduliLindungi是为处理紧急的新冠疫情而开发的,必须对其设定使用期限,不能演变成一个支付系统。”他解释。


法律行动、游说、耐心的提供建议,参与其中的隐私倡导者开始精疲力尽。一些人,像是法律教授Sinta Rosadi,已经开始厌倦,不确定这种状况能否改善,或者她多年前帮助制定的数据保护法规能否看到曙光。


“希望最终会被通过!我已经等了很多年了。在政府和议会之间,仍然存在着分歧。我们已经与他们进行了多场网络研讨会。他们总说会拿出一些东西来,但直到现在......我不确定。”


即使法案最终通过,挑战仍存在于如何应用实施。


“我不太担心私营公司。我注意到他们已经开始学习数据保护原则,任命了数据隐私官员,做了准备。我担心的是政府官员,他们仍不知道必须做什么。即使在美国,在欧洲,这也是一个挑战。你能想象这是印尼的情况吗?”Rosadi说。


“归根结底,我们需要这个PDP法案,”Fahmi说,“我们需要有能力实施真正的罚款和制裁。只有这样,人们才会在发布软件之前三思,再三思,甚至十思,他们希望确保一切正常。”


本文来自微信公众号:志象网(ID:passagegroup),作者:谢小丹