根据商务部发布的《2021年中国-东盟经贸合作简况》,东盟已连续两年成为中国第一大贸易伙伴。其中,马来西亚是中国在东盟的前三大贸易伙伴之一;与此同时,马来西亚还是东盟对华实际投资金额最多的国家之一。在全球经济数字化趋势下,世界各国对公民隐私及数据权益保护日益重视,数据保护相关立法也日趋完善与成熟。在东盟诸多国家之中,马来西亚是较早践行数据保护的国家,其早于 2010年即颁布了《个人数据保护法》,规范个人数据收集、使用以及披露等行为。下文将着重介绍马来西亚数据法律概况。
数据保护法律体系概况
马来西亚的主要数据保护法律为2010年《个人数据保护法》(Personal Data Protection Act 2010,以下简称“PDPA”),该法是一部规范个人数据处理行为的综合性立法。
除此之外,马来西亚数据保护法律体系还包括附属法例,如:2013年《个人数据保护条例》[(Personal Data Protection Regulations 2013],以下简称“2013年条例”);2013年《个人数据保护(数据使用者类别)令》[Personal Data Protection (Class of Data Users) Order 2013],以下简称 “数据使用者类别令”);2013年《个人数据保护(数据使用者注册)条例》[(Personal Data Protection (Registration of Data User) Regulations 2013],以下简称 “注册条例”);2013年《个人数据保护(费用)条例》[(Personal Data Protection (Fees) Regulations 2013],以下简称 “费用条例”);2016年《个人数据保护(数据使用者类别)(修订)令》[(Personal Data Protection (Class of Data Users) (Amendment) Order 2016],以下简称“数据使用者类别修订”);2016年《个人数据保护(复合犯罪)条例》[(Personal Data Protection (Compounding of Offences) Regulations 2016],以下简称“复合犯罪条例”)等。
需要说明的是,上文所涉的 “Data User”“数据使用者”近似于中国《个人信息保护法》中个人信息处理者的概念。
马来西亚的个人数据保护委员会(Personal Data Protection Commission,以下简称“PDPC”)也会发布数据保护标准、行为守则、公众咨询文件以及进行执法活动。
适用范围
适用范围 | 具体内容 | 注意事项 |
适用情形 | 1. 在马来西亚设立实体 在商业交易中处理、控制或授权处理个人数据。 2. 不在马来西亚设立实体 使用位于马来西亚的设备处理个人数据,而不是出于过境马来西亚的目的。该情形下该实体应指定一名在马来西亚的代表。 | PDPA规定了何为“在马来西亚设立”。 |
不适用情形 | 1. 联邦政府和州政府; 2. 在马来西亚境外处理的任何个人数据,除非该个人数据打算在马来西亚进一步处理; 3. 为个人事务、家庭或家庭事务(包括娱乐目的)而处理的个人数据; 4. 其他法定情形。 | PDPA规定了个人数据处理其他豁免情形。 |
处理合法性基础
可以对标《个人信息保护法》第13条理解马来西亚数据处理合法性基础。
中国 | 马来西亚 |
1. 取得个人的同意; 2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 3. 为履行法定职责或者法定义务所必需; 4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; 6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 7. 法律、行政法规规定的其他情形。 | 1. 取得个人的同意 2. 为履行以数据主体为一方的合同; 3. 应数据主体的要求,为订立合同而采取的步骤; 4. 遵守数据控制者的任何法律义务,但合约所施加的义务除外; 5. 为保护数据主体的切身利益; 6. 为司法行政; 7. 行使法律或根据法律赋予任何人的任何职能。 |
数据控制者义务
PDPA项下数据控制者的主要义务,具体如下:
序号 | 义务类型 | 义务内容 |
1 | 同意义务 | 数据控制者收集、使用或披露个人数据之前,必须获得个人的同意。 |
2 | 目的限制义务 | 数据控制者应在合法、与其行为直接相关的目的下处理个人数据。 |
3 | 通知义务 | 数据控制者应告知数据主体个人数据处理目的、权利等。 |
4 | 限制披露义务 | 未经数据主体同意,数据控制者不能披露个人数据,特殊情况除外。 |
5 | 保护义务 | 数据控制者应采取切实措施保护个人数据免遭任何丢失、误用、修改、未经授权或意外访问或披露、更改或破坏。 |
6 | 保留限制义务 | 个人数据的保存时间不得超过实现目的所需的时间,数据控制者应确保所有个人数据被予以销毁或永久删除。 |
7 | 准确性义务 | 数据控制者须采取合适措施确保个人数据准确、完整、不具有误导性及及时更新。 |
8 | 协助响应个人 行权要求义务 | 数据控制者应采取合理措施及时响应数据主体的 行权要求。 |
9 | 处理活动记录义务 | 数据控制者应记录数据处理行为。 |
10 | 注册义务 | PDPA以及相关附属法例(如数据使用者类别令以及数据使用者类别修订)规定了必须注册为数据控制者的类别。 |
11 | 数据转移限制义务 | 数据控制者不得将个人数据转移到马来西亚以外的地方,除非根据PDPC建议指定的地方,但存在例外情况。具体详见第六点。 |
12 | 数据泄漏报告义务 | 根据PDPC发布的公共咨询文件,正在考虑增加数据控制者数据泄露事件报告义务及数据保护官任命义务。 |
13 | 数据保护官任命义务 |
数据主体权利与保护
马来西亚数据保护法律体系下的数据主体权利,包括知情权、访问权、更正权、撤回同意权、反对权、反对为直接营销活动进行处理的权利等,具体详见下表:
数据主体权利 |
1. 知情权 数据控制者应告知数据主体个人数据处理目的、权利等。 2. 访问权 数据主体有权获取被处理的个人数据,且以可理解的形式获取个人数据副本。数据控制者应予以响应,但特殊情况除外。 3. 更正权 数据主体认为其个人数据不准确、不完整、具有误导性或不是最新的,可向数据控制者提出更正要求,数据控制者应予以响应,但特殊情况除外。 4. 撤回同意的权利 数据主体可以通知撤回其对处理个人数据的同意。 5. 反对权 数据主体可随时要求数据控制者在合理期限结束时,停止处理或不再开始处理个人数据,数据控制者应予以响应,但特殊情况除外。 6. 反对为直接营销活动进行处理的权利 数据主体可随时要求数据控制者在合理期限届满时停止或不再开始处理其个人数据以用于直接营销。 7. 数据可移植权 根据PDPC发布的公众咨询文件,PDPC正在考虑增加数据主体的数据可移植权。 |
行权响应 |
1. 形式: 数据主体应采取书面的形式。 2. 费用: 对于访问请求,数据主体应支付一定的的费用。 3. 响应时间: 数据控制者须在收到访问、更正、反对处理要求之日起21天内响应。 |
跨境传输
根据PDPA,数据控制者不得将数据主体的任何个人数据转移到马来西亚以外的地方,但在以下情况下可允许跨境传输:
法律要求 | 注意事项 |
1. 部长根据PDPC建议指定的地区; 2. 数据主体同意; 3. 为履行数据主体与数据控制者之间的合同是必要的; 4. 对于订立与履行数据控制者与第三方之间的合同是必要的: (1) 该合同应数据主体的要求而订立;或者 (2) 符合数据主体的利益。 5. 为了法律程序、为了获得法律意见或为了确立、行使或捍卫合法权利; 6. 数据控制者有合理理由相信: (1) 转移是为了避免或减轻对数据主体的不利行为; (2) 获得数据主体的书面同意是不切实际的; (3) 如果获得同意是切实可行的,则数据主体会给予同意。 7. 数据控制者已采取一切合理的预防措施并尽一切努力确保个人数据不会在其他地方以任何方式处理,如果该地方是马来西亚,则将违反PDPA; 8. 为了保护数据主体的切身利益; 9. 符合公共利益。 | 部长在以下情况下会指定马来西亚以外的地区: 1. 法律与PDPA实质上相似或与PDPA具有相同目的; 2. 数据保护水平至少等同于PDPA。 |
法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
- 处罚措施:
- 违反一般数据保护义务:可被处以不超过30万林吉特的罚款和/或最高二年的监禁,或两者兼施;
- 违反注册义务以及非法收集、披露以及出售个人数据行为:可被处以最高50万林吉特的罚款和/或最高三年的监禁,或两者兼施。
- 复合犯罪:
马来西亚复合犯罪条例规定某些罪行经公诉人同意可加重。
以上为我们对马来西亚数据合规的重点解读,希望能为出海该国企业提供参考,接下来我们将聚焦具有较为完善数据保护法律体系的国家——菲律宾。