对于计划或已进入马来西亚市场的企业而言,理解并遵守当地数据保护法律不仅是合规的基本要求,更是规避重大法律风险、保障商业可持续运营的关键前提。2010年颁布的《个人数据保护法》(Personal Data Protection Act 2010,简称 PDPA)构成了马来西亚数据治理的核心框架,并于2024年10月完成重大修订(Act A1727),正式引入数据可携权、强化数据处理者责任、统一术语体系并完善跨境传输规则。本文结合最新立法动态与实务要求,从企业实操角度系统梳理马来西亚数据保护法的关键要点。
一、PDPA 的适用范围与域外效力
PDPA 的适用对象不仅限于马来西亚本地企业。根据第2(2)条,只要企业在商业交易中处理马来西亚境内自然人的个人数据,且满足以下任一条件,即受该法约束:一是在马来西亚设有机构(包括注册公司、分支机构或固定营业场所);二是虽无实体存在,但使用位于马来西亚境内的设备处理个人数据(仅为数据过境除外)。这意味着,一家中国跨境电商若通过马来西亚本地服务器收集用户信息,也可能落入PDPA管辖范围。值得注意的是,2024年修法已明确将“数据主体”限定为在世自然人,排除对已故人士个人信息的适用。
二、七项数据保护原则与双方法律责任
PDPA 规定了数据控制者必须遵守的七项核心原则:处理个人数据须获得同意,处理敏感数据(如种族、宗教、健康、犯罪记录、生物识别数据及财务信息等)则需取得明确同意;企业必须以清晰方式告知数据用途并提供拒绝选项;不得擅自向第三方披露数据;须采取技术和组织措施保障数据安全;数据保存期限不得超过实现目的所必需的时间;确保数据准确、完整并及时更新;同时保障数据主体查询、获取和更正其信息的权利。
2024年修法的重大突破在于,首次将数据处理者(如云服务商、IT外包商)纳入直接责任主体。过去仅由数据控制者承担合规义务,如今数据处理者若因安全措施不足导致泄露,也将面临最高100万林吉特罚款或3年监禁的刑事责任。企业应通过数据处理协议(DPA)明确双方权责,并确保处理方具备同等安全能力。
三、数据保护官(DPO)成为法定义务
2024年修法首次在PDPA正文第12a条确立任命数据保护官(DPO)的法定义务,要求所有数据控制者必须任命一名或多名DPO,而数据处理者在代表控制者处理数据时亦须履行同等义务,且相关任命须向个人数据保护专员(PDPC)报备。PDPC于2025年2月发布的《DPO任命指南》进一步明确了适用门槛:包括处理超过20,000名数据主体的个人数据、处理涉及财务信息等敏感个人数据且覆盖超过10,000人,或对个人数据开展定期且系统性监控(如AI画像、用户行为追踪)的情形。DPO不仅需对企业的PDPA合规承担直接问责责任,还需主导开展数据保护影响评估(DPIA)、推动内部合规体系建设,并作为组织与监管机构之间的关键联络人。
四、数据泄露通知与应急响应机制
马来西亚现已建立强制性数据泄露通知制度。2024年修法新增“个人数据泄露”法定定义,指任何个人数据的泄露、丢失、滥用或未经授权的访问。一旦企业有理由相信发生此类事件,且可能造成身份盗用、财务损失、敏感信息外泄或影响超过1,000人等“重大损害”,必须在知悉后72小时内向PDPC报告,并在7日内通知受影响的数据主体。未履行该义务最高可处25万林吉特罚款或2年监禁。企业应提前建立涵盖识别、评估、上报与沟通的应急响应机制,以应对突发风险。
五、数据主体权利扩展:正式引入数据可携权
2024年修法新增第43A条,正式确立数据可携权(Right to Data Portability)。数据主体有权要求企业将其个人数据(如账户信息、交易记录、偏好设置等)以结构化、通用、机器可读的格式,直接传输给其指定的其他服务提供商。企业不得无理拒绝,除非存在技术不可行或格式不兼容等正当理由。这一权利旨在打破数据孤岛,促进数字服务市场的公平竞争与用户自主选择。
六、跨境数据传输:从“白名单”转向个案评估
马来西亚已取消原先由政府预设的“充分保护国家白名单”机制,转而采用个案评估模式。企业可将个人数据传输至境外,前提是接收国法律与PDPA“实质相似”或提供“至少等同的保护水平”;若无法满足该条件,则可依赖法定豁免情形,例如获得数据主体的明确同意、为履行合同所必需、用于法律程序或为保护数据主体重大利益所必要。鉴于中国、印度等司法管辖区尚未被官方认定为具备充分保护水平,建议企业通过用户单独同意或签署具有法律约束力的合同条款等方式构建合法传输基础。
七、营销合规与B2B/B2C区分
PDPA 对直接营销作出特别限制,但仅适用于面向自然人(B2C)的场景。数据主体可随时书面反对接收推广信息,企业收到反对后必须立即停止处理,否则可能被PDPC责令整改甚至处罚。而面向企业邮箱发送的B2B推广(如向采购经理发送产品目录)因不涉及“个人数据”,不受PDPA约束。此外,尽管PDPA未对Cookie或追踪技术作出专门规定,但建议企业在隐私政策中明示使用目的并提供退出选项,以体现透明度并降低合规风险。
八、违法后果与未来监管趋势
PDPA 的法律责任极为严厉。除违反基本原则可处最高100万林吉特罚款外,未注册即处理数据(适用于通信、金融、医疗、教育等13类强制注册行业)、非法跨境传输、拒不执行执法通知等行为,均可能招致数十万林吉特罚款及最高3年监禁。PDPC亦有权发布具有强制执行力的整改指令,拒不履行将构成独立犯罪。
在全球数据监管趋严的背景下,马来西亚PDPA已从“软性合规”迈向“硬性执法”。2024年修法标志着其与国际主流标准进一步接轨,尤其在数据处理者责任、数据可携权与DPO制度等方面迈出关键一步。对于出海企业而言,唯有主动构建全链条数据合规体系,方能在东南亚市场行稳致远。
免责声明:法律及程序可能发生变更。本文仅提供一般性信息,不构成法律建议。若您在海外遭遇法律纠纷,请立即联系我们咨询专业涉外律师。
