马来西亚《个人数据保护法》（Personal Data Protection （Amendment） Act ，PDPA）修正法案于 2024 年 10 月 9 日获得批准，2024 年 10 月 17 日正式公布于联邦公报。其后，政府于 2024 年 12 月 24 日颁布分阶段实施条例，明确该修正案将分三批生效（2025 年 1 月 1 日、4 月 1 日及 6 月 1 日），最终条款于 2025 年 6 月 1 日全面施行。

为配合修正法案落地，马来西亚个人数据保护委员会（Personal Data Protection Commission，PDPC）于 2025 年 2 月 25 日发布两项核心指南：《数据保护官任命指南》（以下简称“《DPO 指南》”）、《数据泄露通知指南》。该两项指南针对修正法案新增义务（数据保护官制度与泄露通知机制）提供操作规范，并于 2025 年 6 月 1 日同步生效。

一、PDPA 修正法案主要变更及合规影响

1. 术语与定义调整：“数据用户（Data User）”一词改为“数据控制者（Data Controller）”，与 GDPR 等法规保持一致，但对义务无实质影响；敏感个人数据的定义扩大为包含生物识别数据（面部、指纹等）；新增 “个人数据泄露（Personal Data Breach）” 定义。
2. **数据处理者义务：**安全原则以往只约束数据控制者，新法要求数据处理者（即代表数据控制者处理数据的外部方）直接遵守安全原则，应当采取技术和组织措施保障个人数据安全。
3. **强制 DPO 任命：**所有数据控制者和处理者须至少任命 1 名数据保护官（Data Protection Officer ，DPO）。企业必须指定 DPO（可内部或外包）负责合规监督，并向监管机构报告 DPO 任命情况，在官网公开 DPO 联系邮箱。
4. **数据泄露通报义务：**发生个人数据泄露时，数据控制者须尽可能快通知个人数据保护专员，并在重大损害风险下及时通知受影响个人。其中“个人数据泄露”被定义为任何个人数据的泄露、丢失、滥用或未经授权访问。《数据泄露通知指南》进一步要求：在知悉泄露后 72 小时内向专员通报，若预计造成重大损害则在 7 天内通知数据主体；企业还须建立数据泄露记录，并至少保存两年。
5. **新增数据主体权利：**新增数据可携权，数据主体可通过电子方式以书面通知形式请求数据控制者将其个人数据转移给另一控制者，前提是技术可行且数据格式兼容。企业需准备常用且可机器读取的数据格式，安全且及时地执行转移，并记录请求和处理情况。
6. 放宽跨境数据传输限制： 关于跨境数据传输的目的地，删除需要是“部长指定接收国家”的要求（“部长”：马来西亚数据保护部部长（Department of Personal Data Protection，PDP），赋予数据控制者更大的自主权；取消要求数据传输目标地区“具有与本法案相同目的”的规定，保留了基本的数据保护要求，但更注重实质性保护而非形式要求。此项改变使马来西亚更开放地参与全球数据流动，企业合规成本降低。
7. **处罚力度提升：**数据安全保护原则的违规罚款上限由 30 万林吉特提高至 100 万林吉特，刑期最高 3 年；未按规定通报数据泄露者，将面临 25 万林吉特的罚款或不超过 2 年的监禁或两者并罚。处罚力度大幅增加，企业合规成本和风险明显提高。

二、《DPO 指南》生效

自 2025 年 6 月 1 日起，马来西亚个人数据保护部发布的关于数据保护官任命的指南（2025 年第 1 号）正式生效。该通告旨在落实经修订的《个人数据保护法》，要求处理大量个人数据的组织任命具备资格的数据保护官（DPO），主要内容如下：

1. 在以下任一情形下，组织必须任命 DPO（可从现有员工中选任，或通过签订服务合同外包给个人或机构）：

• 处理超过 20,000 名个人的个人数据；
• 为超过 10,000 名个人处理敏感数据（如财务信息）；
• 实施定期和系统性监控活动。

1. DPO 须符合以下条件：

• 拥有足够的资格、经验、技能与专业知识，能根据数据处理的性质、复杂程度、规模和数据敏感性履行职责；
• 长居马来西亚（每年在马来西亚境内实际居住不少于 180 天）；
• 能够熟练掌握马来语和英语。

1. DPO 的主要职责包括：

• 向数据用户或数据处理者及其员工提供关于根据《个人数据保护法》进行个人数据处理的通知与建议；
• 提供数据保护规则的实施支持；
• 监督组织对《个人数据保护法》的合规情况；
• 提供关于数据保护影响评估的建议与支持；
• 作为数据主体与专员之间的首要联络人，处理所有与《个人数据保护法》合规及数据主体权利有关的事宜；
• 确保数据控制者或数据处理者妥善管理数据泄露及安全事件等。

1. 数据控制者与数据处理者的责任：

• 数据控制者和处理者需确保数据保护官参与所有与个人数据保护相关的问题。
• 为数据保护官提供足够的自主权、必要资源及数据访问权限，以助其有效履行职责。
• 为数据保护官提供培训，使其能高效、有效地履行职责。
• 数据保护官需对履行职责的保密性负责，且应专业履行职责，不受约束，并直接向高级管理层报告工作。
• 不得因数据保护官依法履行职责而将其解职，个人数据保护合规性是数据控制者和处理者的责任。
• 数据保护官可履行其他正式职责和责任，但需确保不会导致利益冲突。
• 为数据保护官创建专门的官方商务电子邮件账户，且该账户需与个人的私人及官方商务电子邮件地址分开并独立。
• 若数据保护官终止服务或服务期满，需在合理时间内重新任命或更换人选，并尽快任命临时数据保护官监控相关通信。
• 数据控制者和数据处理者应在其官方网站、其他官方媒体、个人数据保护通知、安全政策和指南等全部或任何地方，发布数据保护官的商务联系方式。

1. 通知任命数据保护官：

• 通知专员：数据控制者需在任命数据保护官后的 21 天内，按专员规定的指南向专员提交数据保护官的商务联系方式并进行登记。
• 更新信息：若数据保护官更换，需在新数据保护官任命后的 14 天内更新登记信息。

三、《数据泄露通知指南》生效

自 2025 年 6 月 1 日起，马来西亚个人数据保护专员发布的关于个人数据泄露通知的指南（2025 年第 2 号）正式生效。根据该指南，数据控制者在怀疑发生数据泄露时，应尽快通知专员，并在事件发生后 72 小时内提交详细信息。若该数据泄露可能对数据主体造成重大损害，则数据控制者还必须在通知专员后的七日内以清晰易懂的方式通知受影响的个人。

1. 指南明确指出，构成“重大损害”的情形包括但不限于：

• 造成人身伤害；
• 产生经济损失；
• 损害信用记录；
• 存在被非法滥用或身份欺诈的风险；
• 涉及敏感个人数据；
• 或影响超过 1,000 名个人的数据泄露。

1. 通知内容必须包括：

• 泄露事件的具体情况；
• 被泄露数据的类型与数量；
• 事件发生的时间线；
• 可能造成的后果；
• 已采取的应对措施；
• 以及可供查询的联系方式。

数据控制者还必须保存详细的数据泄露记录，至少保留两年。专员有权开展调查以核实组织的合规情况。若不遵守上述规定，数据控制者可能面临最高 25 万令吉罚款、最长两年监禁，或两者并处的处罚。

四、Kammel 的应对

Kaamel 始终站在隐私保护的前沿，我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。创新的 Kaamel AI 检测引擎 依托主流法规和监管判例，可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求，减轻隐私风险与合规隐患，在国际化市场建立隐私信任。