印度尼西亚于 2022 年 10 月 17 日颁布了《个人数据保护法》（印度尼西亚共和国 2022 年第 27 号法）（PDP 法）。《个人数据保护法》适用于 (i) 居住在印度尼西亚的人员；和 (ii) 居住在印度尼西亚境外，但其行为在印度尼西亚或对国外的印度尼西亚数据主体有法律后果的人员。

《个人数据保护法》区分了数据控制者和数据处理者，他们适用不同的数据处理职责。数据控制者是确定个人数据处理的目标并对其进行控制的人员。数据处理者是按照数据控制者的指示处理数据的人员。概括来讲，数据控制者的一些重要职责包括：

• 根据指定的处理法律依据处理个人数据，包括数据主体的同意、合同必要性和合法利益
• 实施适当的安全措施，防止个人数据遭受未经授权的披露
• 响应数据主体的权利，包括访问和纠正其个人数据的权利，以及要求删除其个人数据的权利
• 仅在满足传输条件的情况下，将个人数据传输到印度尼西亚境外
  

对于数据处理者，《个人数据保护法》要求他们只能根据数据控制者的指示处理个人数据。《个人数据保护法》不包括任何数据本地化要求。

现有的个人数据保护法规，包括 2008 年关于电子信息和交易的第 11 号法、2019 年关于电子系统和交易运行的第 71 号政府条例（GR 71）（修正了 2012 年关于电子系统和交易运行的第 82 号政府条例）以及 2016 年关于电子系统中个人数据保护的通讯及资讯管理部第 20 号条例（第 20 号部颁条例），在不与《个人数据保护法》冲突的范围内继续有效。

AWS 对您的隐私和数据安全保持警惕。AWS 的安全性始于我们的核心基础设施。我们的基础设施针对云定制，旨在满足全球最严格的安全要求，处于全天候监控之下，从而确保客户数据的机密性、完整性和可用性。世界级安全专家不但监控此基础设施，还构建并维护我们丰富多样的创新安全服务，这些服务可以帮助您简化满足自己的安全和法规要求。作为 AWS 客户，无论您的规模或位置如何，都能继承我们经验的所有优势，这些优势已经过最严格的第三方保证框架的测试。

根据全球公认的安全保障框架和认证，包括 ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 22301、PCI DSS 第 1 级和 SOC 1、2 和 3，AWS 实施并维护适用于 AWS Cloud 基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证，旨在防止未经授权访问或泄露客户内容。

例如，ISO 27018 是首个专注于云中个人数据保护的国际行为准则。它基于 ISO 信息安全标准 27002，并针对 ISO 27002 控制体系提供了实施指南，该体系适用于由公有云服务提供商处理的个人可识别信息 (PII)。这向客户表明，AWS 具有适当的控制体系来专门处理其内容的隐私保护。

这些全面的 AWS 技术和组织措施与常规法规目标一致，都是为了保护个人数据。使用 AWS 服务的客户可以保持对其内容的控制，并负责根据其特定需求实施额外的安全措施，包括内容分类、加密、访问管理和安全凭证。

由于 AWS 不了解或不知道客户上传到其网络上的内容，包括数据是否被视为受《个人数据保护法》保护，客户最终要对自己遵守《个人数据保护法》和相关法规的情况负责。本页内容补充了现有的数据隐私资源，有助于您在使用 AWS 服务存储和处理个人数据时，确保您的要求符合 AWS 责任共担模式。