引言
继《出海必备——东南亚数据合规监管要点(泰国、印尼篇)》和《出海必备——东南亚数据合规监管要点(新加坡、越南篇)》之后,本次我们将目光投向马来西亚。
马来西亚政府近期宣布了一项宏伟计划:打造东南亚地区规模最大的集成电路设计园区,并配套推出包括税收优惠、补贴以及签证费用豁免在内的一系列激励措施,以吸引全球科技领军企业和投资者的关注[1]。这一举措不仅彰显了马来西亚立志成为东南亚数字经济枢纽的决心,同时也为国际企业带来了新的合作机遇和广阔的市场前景。
在全球数字化转型的澎湃浪潮中,马来西亚积极推动数字经济发展,高度重视数据治理。对于有意开拓该国市场的中国企业而言,紧跟马来西亚数据监管的最新发展动态显得至关重要。近期,《个人数据保护法》修正案的颁布,预示着马来西亚的数据保护体系即将迎来一场重大的变革。本文将对马来西亚最新的数据治理监管要求进行梳理,旨在为出海企业提供参考。
法律法规体系概述
马来西亚的数据保护相关法律法规体系主要包括2010年《个人数据保护法》(PDPA)及其配套的附属法规。
至今已通过的附属法规包括:
《2013年个人数据保护条例》
《2013年个人数据保护(数据用户类别)令》
《2013年个人数据保护(数据用户注册)条例》
《2013年个人数据保护(费用)条例》
《2016年个人数据保护(违规行为合并处理)条例》
《2016年个人数据保护(数据用户类别)(修订)令》以及《2021年个人数据保护(上诉法庭)条例》
其他附属法规则与个人数据保护专员的任命相关。此外,针对特定行业(如通信、银行与金融、保险、酒店、交通、直销、专业服务和公用事业部门等),马来西亚政府设立了数据用户论坛(Data User Forums),为各自行业制定专门的数据管理和隐私保护的指导和规范,每个数据用户论坛均由专员指导。
此外,个人数据保护专员于2015年发布了《个人数据保护标准》,该标准于2015年12月23日生效,包括安全标准、保留标准和数据完整性标准,适用于以电子和非电子方式处理的个人数据。这些标准被视为“最低要求”,适用于所有数据用户,即任何在商业交易中对个人数据进行处理、控制或允许处理的人。2024年1月,马来西亚数字部长宣布,专员将以进一步制定七项准则以辅助PDPA的实施。这些新指南将涉及数据泄露通报、数据保护官的任命、数据可携带性、跨境数据传输规则与机制、数据保护影响评估程序、隐私保护的设计理念,以及数据分析和自动化决策的相关指导[2]。
2024年7月16日,马来西亚众议院通过了《个人数据保护法修正案》[3](DR 21/2024,以下简称为修正案)。该法案在获得参议院及皇室的批准后,将正式成为法律,届时将于通信和多媒体部长通过公报宣布的指定日期生效。
个人数据与敏感个人数据的范围
个人数据
马来西亚的《个人数据保护法》(PDPA)将个人数据定义为满足以下三个条件的信息:
首先,须与商业交易相关,这里的“商业交易”涵盖了供应或交换商品或服务、代理、投资、融资、银行业务和保险等具有商业性质的任何事项;
其次,这些信息必须通过自动操作的设备进行处理,或者有意图通过这样的设备处理,无论是完全处理还是部分处理。此外,这些信息可以是作为相关归档系统的一部分被记录,或者有意图成为该系统的一部分;
最后,信息必须直接或间接关联到一个数据主体,该主体可以通过这些信息或数据用户持有的其他信息被识别。
简而言之,马来西亚的《个人数据保护法》(PDPA)旨在保护个人在商业交易中产生的各类信息,这些信息包括但不限于姓名、地址、电话号码、电子邮件地址、银行账户信息和个人照片。该法律确保这些敏感信息在收集、处理和存储的过程中得到妥善保护。尽管目前对于雇佣关系是否构成商业交易,以及相关的雇佣信息是否完全纳入PDPA的保护范畴还存在一定的不确定性,但不可否认的是,PDPA的广泛定义为个人信息提供了一个全面的保护框架。
敏感个人数据
目前,PDPA规定的敏感个人信息包括任何涉及数据主体身心健康或状况、政治观点、宗教信仰或其他类似信仰、犯罪或涉嫌犯罪行为的信息,以及部长可能通过在公报上发布的命令所确定的其他任何个人信息。企业处理敏感个人数据需要获得数据主体的明确同意。
值得注意的是,本次修正案试图扩大“敏感个人数据”的定义,以涵盖生物识别数据,其定义为“与个人的身体、生理或行为特征有关的技术处理所产生的任何个人数据”。《个人数据保护法修正案》还计划将已故个人的个人数据排除在PDPA的适用范围之外,该做法将与GDPR保持一致。
处理个人数据需要遵守哪些法定要求?
企业在处理个人数据时,必须依法遵守下述七项个人数据保护原则:
通用原则
个人数据的处理必须基于合法目的,并且与企业的业务活动紧密相关。所处理的数据量应当是必需的,并且要适度,避免过度收集。根据《2013年个人数据保护条例》,数据使用者有责任记录并妥善保存数据主体的同意证明,并承担证明已获得有效同意的法律责任。在获取数据主体同意的过程中,同意的要求应明确区分于其他事项,确保其清晰可见,易于理解。对于未满18岁的未成年数据主体,企业必须从其法定监护人或具有相应父母责任的人士获得必要的同意。
通知和选择原则
企业有义务以书面形式,使用马来语和英语,向数据主体提供全面通知,内容涵盖以下关键信息:正在处理的个人数据详情、收集及进一步处理数据的目的、据数据使用者所知的个人数据来源、数据主体行使访问和更正个人数据权利的途径、企业的联系信息以便咨询或提出投诉、数据可能被披露给的第三方类别、数据主体可选择的限制数据处理的方式和途径,以及数据提供是出于自愿还是强制,以及不提供数据可能带来的后果。这些通知应在“切实可行”的前提下,尽可能迅速地提供给数据主体,确保他们对自己的数据有充分的了解和控制权。
披露原则
企业在处理个人数据时,应确保个人数据不会被透露给未事先告知数据主体的第三方,也不会用于未披露的目的之外的任何用途。尽管如此,数据披露在特定法定条件下是被允许的,这些条件包括数据主体的明确同意、预防或侦查犯罪、响应法律或法院的强制性要求,以及企业基于合理信念认为披露是合法且必要的情形。
安全原则
企业必须采取指定措施保护个人数据免受丢失、滥用、修改、未经授权或意外访问、披露、更改或销毁。如果数据处理是由数据处理器代表企业进行的,企业必须确保数据处理器提供足够的技术和组织安全措施保障,并采取合理步骤确保遵守这些措施。
保留原则
个人数据不得保留超过实现其处理目的所必需的时间,企业必须销毁或永久删除不再需要的个人数据。
数据完整性原则
企业必须采取合理步骤确保个人数据的准确性、完整性,并防止其产生误导,并根据收集和处理个人数据的目的(包括任何直接相关的目的)进行更新。
访问原则
数据主体依法享有查询其个人数据的权利。企业在接到此类访问请求后,有义务在21天内予以响应并满足请求。依据2013年《个人数据保护(费用)条例》,数据控制者可以对此类访问请求收取一定费用,但费用必须在规定的最高限额之内。然而,这项权利并非无限制,存在一些例外情形,特别是当履行请求会导致不合理的高额成本时,可能会被限制或拒绝。
企业在数据泄露发生后,具有哪些法定义务?
“数据泄露”的定义是任何个人数据泄露、个人数据丢失、个人数据滥用或未经授权访问个人数据。
本次修正案规定,数据控制者如合理相信个人资料已遭泄露,须在切实可行的范围内尽快通知个人数据隐私专员。数据泄露通知须以专员所决定的方式及形式发出。如果数据泄露对数据主体造成或可能造成重大损害,也必须立即通知数据主体,不得造成不必要的延误。
对于不履行数据泄露通知义务的行为,将处以最高250,000马来西亚林吉特(约合53,130美元)的罚款、最高两年的监禁,或两者并罚。
目前,修正案尚未对通知门槛、时间要求或通知形式等细节做出详细规定,有待政府后续发布进一步的指导细则。
企业是否需要任命数据保护官(DPO)?
现行PDPA并不强制要求企业任命DPO。然而,本次修正案计划将任命DPO设置为强制性义务,要求数据控制者及处理者必须任命至少一名DPO并将任命信息汇报给数据保护专员。修正案尚未对DPO的任命提出具体要求,其具体资格标准、是否必须位于马来西亚境内等细节,有待后续政府发布进一步指导文件。
马来西亚对个人数据传输的限制有哪些?
根据现行PDPA,个人数据的跨国传输是被禁止的,除非该传输是向部长在官方公报中指定并记录的国家进行。目前,尚无国家被正式指定。
尽管有禁止个人数据跨国传输的规定,PDPA也列出了一些例外情况,例如当数据主体已经同意此类传输,或者当传输对于履行双方之间的合同是必要的。如果对数据传输的豁免是否适用存在疑问,谨慎的做法是获取数据主体对于马来西亚以外传输的同意。
然而,《个人数据保护法修正案》对此限制做出了重大改动,该修正案取消了上述“白名单”制度,允许数据控制者将任何个人数据传输到马来西亚境外任何拥有类似数据保护法或确保与《个人数据保护法》同等保护水平的司法管辖区。
如果企业违反了PDPA,将会面临哪些处罚?
依据现行法律,可能涉及的处罚如下:
针对违反数据保护原则:若违反七项数据保护原则中的任何一项,将面临最高30万马来西亚元(约合63,550美元)的罚款,或最高两年的监禁,或两者并罚。
针对非法收集、披露和销售个人数据:对于非法收集、披露和销售个人数据的行为,将处以最高500,000马来西亚元(约合105,930美元)的罚款,或最高三年的监禁,或两者并罚。
企业违规的连带责任:若企业被发现犯有违规行为,该企业的负责人也将被视为个人犯有违规行为。然而,如果企业负责人能够证明违规行为是在他们不知情或未经他们同意的情况下发生的,并且他们已经采取了所有合理的预防措施、尽到了应有的勤勉义务以防止违规行为的发生,那么他们可能不会被认定为犯有违规行为。
此外,不遵守PDPA的规定也可能构成刑事犯罪。
值得注意的是,修正案计划将上述PDPA原则的最高处罚从30万马来西亚林吉特和两年监禁提高到100万马来西亚林吉特(约212,530美元)和三年监禁。
法规及修正案原文
《个人数据保护法案》:https://www.pdp.gov.my/jpdpv2/laws-of-malaysia-pdpa/personal-data-protection-act-2010-malay-version/?lang=en
《个人数据保护标准》:https://www.pdp.gov.my/jpdpv2/assets/2019/09/LatestStandard.pdf
《个人数据保护法修正案》:https://www.parlimen.gov.my/files/billindex/pdf/2024/DR/DR%2021%20BM.pdf
马来西亚个人数据保护委员会官网对《个人数据保护法案》中的相关定义做出了专门解释,详见:https://www.pdp.gov.my/jpdpv2/laws-of-malaysia-pdpa/interpretation/?lang=en
其他马来西亚数据保护相关法律法规原文可参见:https://www.pdp.gov.my/jpdpv2/?lang=en
本文介绍了马来西亚在个人数据保护方面的监管要点及立法动态。下一篇文章,我们将为大家讲解印度的个人数据保护要求。
注释:
[1]参见:
https://www.scmp.com/news/asia/southeast-asia/article/3259912/malaysia-offer-incentives-attract-global-tech-firms-it-eyes-regional-digital-hub-status
[2]参见:
https://www.malaymail.com/news/malaysia/2024/01/16/gobind-seven-guidelines-to-be-developed-under-personal-data-protection-act-2010/112720
[3]参见:马来西亚国会官网
https://www.parlimen.gov.my/bills-dewan-rakyat.html?uweb=dr
出海必备——马来西亚数据治理监管要点
作者:张昌倩 林盈洁来源:广悦律师事务所

引言 继《出海必备——东南亚数据合规监管要点(泰国、印尼篇)》和《出海必备——东南亚数据合规监管要点(新加坡、越南篇)》之后,本次我们将目光投向马来西亚。