引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01、背景
2024年7月16日,马来西亚《个人数据保护法》(PDPA)修订法案D.R. 21/2024继2024年7月10日通过一读之后,在议会通过了二读。
02、主要条款
该法案的条款包括:
数据控制者和处理者必须任命一名数据保护官(DPO);
强制要求数据控制者向个人数据保护专员通报数据泄露情况;
将 “数据泄露 ”定义为任何侵犯个人数据、丢失个人数据、滥用个人数据或未经授权访问个人数据的行为;
对不遵守数据泄露通知的行为处以最高 250,000 马币(约合 53,130 美元)的罚款以及最长两年的监禁,或两者并罚;
在技术可行和数据格式兼容的前提下,数据主体有权行使数据携带权;
要求数据处理者遵守 PDPA 规定的安全原则;
违反 PDPA 规定的原则的最高处罚,从 30 万马来西亚令(约合 63,760 美元)和两年监禁提高到 100 万马来西亚令(约合 212,530 美元)和三年监禁;以及
更改有关数据跨境传输的规则,数据控制者可将任何个人数据传输到马来西亚以外的任何地方,条件是该地方有任何与 PDPA 基本相似的现行法律,或该地方在处理个人数据方面确保了足够的保护水平,至少相当于 PDPA 所提供的保护水平。
03、下一步工作
该法案将在获得皇室批准后成为法律,并在通信和多媒体部部长通过公报指定的日期生效。
04、企业应该怎么做?
马来西亚修订PDPA的意图最早可追溯至2020 年,随着马来西亚内阁的几次变动,该法案终于迎来了曙光。
除了术语更新(即从 “数据使用者 ”到 “数据控制者”)外,还有加重处罚、强制性数据泄露通知、任命数据保护官等新要求。此外该法案将取消部长发布数据跨境传输白名单,以及确定在哪些情况下出于公共利益的考虑有必要跨境传输个人数据这两项权力,并将为个人数据转移到马来西亚以外的地方引入一般法律依据,即在该地方有与 PDPA 基本相似的现行法律或该地方在处理个人数据方面有足够的保护水平的情况下允许这种传输。鉴于议会仍在讨论该法案,上述对PDPA的修改可能会进一步修订。
除了修订PDPA之外,马来西亚数字部长于 2024 年 1 月宣布,正在根据 PDPA 制定七项指导方针,以补充现有的个人数据保护法律,包括数据泄露通知指南、数据保护官指南、数据可携性指南和跨境数据传输指南等,这些指南将补充上文强调的立法变化,企业应密切关注这一领域的发展,并为可能承担的额外合规义务做好准备。
马来西亚PDPA即将迎来重大修订:数据保护官成标配,违规处罚更加严厉
作者:王捷律师团队来源:出海互联网法律观察

引言 鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向