马来西亚的《个人数据保护法》(PDPA)于2010年颁布,并于2013年11月生效,使马来西亚成为东南亚国家联盟(ASEAN)中第一个颁布全面隐私立法的国家。
2024 年 7 月 31 日,《2024 年个人数据保护(修正案)法案》(PDP 法案)在马来西亚参议院获得通过。该法案预计将获得御准,并在数字部长通过宪报通知指定的日期生效。
《PDP 法案》对《PDPA》进行了重大修订,包括具体定义、数据控制者的新义务以及对不遵守规定的更严厉处罚。这些修订使《PDPA》与国际公认的标准保持一致,使马来西亚与新加坡、印度尼西亚、菲律宾、泰国和越南等亚太地区的其他国家并驾齐驱。
马来西亚数字部长哥宾星·迪奥表示,这些变化是由快速的技术进步推动的,这些技术进步使得社会必须依赖数字平台开展业务,同时人们也期望得到保护。他发表上述言论是为了回应最近有关滥用和泄露个人数据的投诉增加、个人数据泄露事件增加以及网络欺诈案件不断增加的情况。
下面我们概述了《PDP法案》带来的主要变化及其对企业的影响:
修正案 | 对企业的影响 |
---|---|
1. “数据控制者”取代“数据使用者” PDPA 下“数据用户”的当前定义是指“单独、联合或与其他人共同处理任何个人数据或控制或授权处理任何个人数据的人,但不包括数据处理者”。 PDP 法案试图用“数据控制者”取代“数据用户”一词,以与包括欧盟和泰国在内的其他司法管辖区的个人数据保护制度中更广泛采用的术语保持一致。 |
此项变化主要是表面性的,不会对数据用户/数据控制者在 PDPA 下的义务产生实质性影响。 然而,当《个人数据保护法案》生效时,提及法定术语“数据用户”的现有个人数据保护通知、政策或协议可能需要根据新的法律框架进行更新。 |
2. 数据处理者的直接责任
《个人数据保护法案》旨在为数据处理者引入遵守《个人数据保护法》的直接法律义务,具体要求他们采取切实措施保护个人数据免遭任何丢失、滥用、修改、未经授权或意外的访问或披露、更改或破坏。 |
当《PDP 法案》生效时,作为数据处理者的企业必须重新评估其运营和商业实践,以遵守《PDPA》下的新义务和要求。 |
3. 任命数据保护官 《PDP 法案》强制要求数据控制者和代表数据控制者处理数据的数据处理者任命一名或多名数据保护官 (DPO),以确保遵守 PDPA。数据控制者必须以专员确定的方式和形式将这些任命通知个人数据保护专员 (专员)。 |
PDP 法案并未对此要求给出太多具体细节,例如 DPO 所需的最低资格或专业知识。专员即将制定的《数据保护官指南》中可能会提供更多详细信息。 与此同时,企业应该考虑适合担任 DPO 职位的候选人,并在组织内正式确定该职位,明确职责和权限。 |
4. 加大违反个人信息保护原则的处罚力度 《个人资料保护法》第 5 条列出了七项个人数据保护原则,例如一般原则、通知和选择原则以及披露原则(统称为 PDP 原则)。《个人资料保护法》提议将违反 PDP 原则的处罚从目前的罚款最高 30 万令吉和/或监禁 2 年提高至罚款最高 100 万令吉和/或监禁 3 年。 |
除非有证据证明(例如,犯罪行为是在个人不知情的情况下实施的和/或个人已采取一切合理的预防措施和应尽的义务以避免犯罪),负责管理数据控制者的董事、首席执行官、首席运营官、经理或官员可能被视为违反了 PDP 原则,并与法人团体对该犯罪承担个别或连带责任(同样要承担 PDP 法案提出的处罚)。 因此,企业应为员工提供全面的培训,让他们了解数据保护的重要性和 PDP 原则的具体要求。企业还必须建立和维护严格的合规措施,包括定期审计和评估,以识别和纠正潜在的违规行为。 |
5. 强制数据泄露通知 《个人数据保护法案》规定,如果数据控制者认为发生了个人数据泄露,则必须尽快向专员提供数据泄露通知。此外,如果泄露“对数据主体造成或可能造成重大损害”,数据控制者还必须及时通知数据主体。不遵守规定对数据控制者而言属于违法行为,可处以最高 25 万令吉的罚款和/或最高 2 年的监禁。 PDP 法案将“个人数据泄露”定义为个人数据的任何泄露、丢失、滥用或未经授权的访问。但是,PDP 法案并未规定“重大损害”的定义。 |
PDP 法案并未明确规定该义务的具体要求,例如通知门槛和通知时限。即将出台的数据泄露通知指南可能会涉及更多细节。 当发布这些详细信息时,企业应该建立符合此类准则的数据泄露通知协议。 |
6. 数据主体的数据可携性权利 《PDP法案》引入了数据主体的数据可携权,允许数据主体要求数据控制者将其个人数据传输给其选择的另一个数据控制者,前提是传输在技术上可行且数据格式兼容。数据主体可以通过电子方式提供书面通知来行使此权利,而数据控制者必须在规定期限内完成个人数据传输。 |
企业应为数据可移植性权利的实施做好准备,包括制定和实施处理数据可移植性请求的流程(例如验证数据传输的可行性和兼容性),建立明确的协议以在规定的时间内接收、处理和履行数据可移植性请求,以及教育员工了解新的数据可移植性权利和管理此类请求的程序。 |
7. 取消跨境数据传输白名单制度
|
企业可能需要进行监管评估以确定接收国是否具有“足够”的数据保护水平。 |
8. 已故个人作为数据主体的排除 PDP 法案通过明确排除已故个人,完善了“数据主体”的现有定义。 |
企业应注意并更新内部政策和程序,以反映已故个人被排除在数据保护权利之外的情况。 |
9. 生物特征数据是敏感的个人数据 《PDP法案》试图扩大《PDPA》中“敏感个人数据”的定义,明确纳入“生物特征数据”,“生物特征数据”是指通过与个人的身体、生理或行为特征相关的技术处理(例如面部或指纹验证)而产生的任何个人数据。 |
处理生物特征数据的企业将需要修改其隐私政策,以遵守 PDPA 下适用于敏感个人数据的更严格的同意和安全要求。 |
结束语
PDPA 的修订代表了马来西亚在加强数据保护方面取得的重大进步,反映了全球隐私框架日趋成熟,数据保护法规也日趋严格。这为企业提供了加强数据保护实践并与全球标准接轨的机会。然而,数字部长还宣布,正在制定多项指导方针,以配合 PDP 法案引入的变更, 包括:
- 数据泄露通知指南
- 数据保护官指南
- 数据可移植性指南
- 跨境数据传输指南和机制
- 数据保护影响评估指南
- 设计隐私指南
- 分析和自动决策指南
因此,企业应密切关注该领域的发展,并准备更新其隐私政策以满足任何新的合规性要求。