根据商务部发布的《2021年中国-东盟经贸合作简况》,东盟已连续两年成为中国第一大贸易伙伴。其中,马来西亚是中国在东盟的前三大贸易伙伴之一;与此同时,马来西亚还是东盟对华实际投资金额最多的国家之一。在全球经济数字化趋势下,世界各国对公民隐私及数据权益保护日益重视,数据保护相关立法也日趋完善与成熟。在东盟诸多国家之中,马来西亚是较早践行数据保护的国家,其早于2010年即颁布了《个人数据保护法》,规范个人数据收集、使用以及披露等行为。
本文将着重介绍马来西亚个人数据保护法律概况。
一、数据保护法律体系概况
马来西亚的主要数据保护法律为2010年《个人数据保护法》(Personal Data Protection Act 2010,以下简称“PDPA”),该法是一部规范个人数据处理行为的综合性立法。除此之外,马来西亚数据保护法律体系还包括附属法例,如:2013年《个人数据保护条例》[(Personal Data Protection Regulations 2013],以下简称“2013年条例”);2013年《个人数据保护(数据使用者类别)令》[Personal Data Protection (Class of Data Users) Order 2013],以下简称 “数据使用者类别令”);2013年《个人数据保护(数据使用者注册)条例》[(Personal Data Protection (Registration of Data User) Regulations 2013],以下简称 “注册条例”);2013年《个人数据保护(费用)条例》[(Personal Data Protection (Fees) Regulations 2013],以下简称 “费用条例”);2016年《个人数据保护(数据使用者类别)(修订)令》[(Personal Data Protection (Class of Data Users) (Amendment) Order 2016],以下简称“数据使用者类别修订”);2016年《个人数据保护(复合犯罪)条例》[(Personal Data Protection (Compounding of Offences) Regulations 2016],以下简称“复合犯罪条例”)等。需要说明的是,上文所涉的 “Data User”、“数据使用者”近似于中国《个人信息保护法》中个人信息处理者的概念。
马来西亚的个人数据保护委员会(Personal Data Protection Commission,以下简称“PDPC”)也会发布数据保护标准、行为守则、公众咨询文件以及进行执法活动。
二、适用范围
三、处理合法性基础
可以对标《个人信息保护法》第13条理解马来西亚数据处理合法性基础。
四、数据控制者义务
PDPA项下数据控制者的主要义务,具体如下:
五、数据主体权利和保护
马来西亚数据保护法律体系下的数据主体权利,包括知情权、访问权、更正权、撤回同意权、反对权、反对为直接营销活动进行处理的权利等,具体详见下表:
六、跨境传输
根据PDPA,数据控制者不得将数据主体的任何个人数据转移到马来西亚以外的地方,但在以下情况下可允许跨境传输:
七、法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
1、处罚措施:
(1)违反一般数据保护义务:可被处以不超过30万林吉特的罚款和/或最高二年的监禁,或两者兼施;
(2)违反注册义务以及非法收集、披露以及出售个人数据行为:可被处以最高50万林吉特的罚款和/或最高三年的监禁,或两者兼施。
2、复合犯罪:
马来西亚复合犯罪条例规定某些罪行经公诉人同意可加重。
以上为我们对马来西亚数据合规的重点解读,希望能为出海马来西亚的企业提供参考。
接下来我们将聚焦具有较为完善数据保护法律体系的国家——菲律宾,敬请关注兰迪出海。
文 | 兰迪数据合规团队(丁学明、陈梦园、熊雅洁律师)