随着2025年的到来,最受公司法律顾问和监管部门密切关注的法律之一,莫过于即将实施的《2024年个人数据保护(修订)法案》。该法案在2010年《个人数据保护法》的基础上进行了重要的法律和监管调整,势必对数据隐私保护领域带来深远影响。
《2024年个人数据保护(修订)法案》的分阶段实施
《2024年个人数据保护(修订)法案》将于2025年正式生效,但其实施并非一次性完成,而是分三个阶段推进:2025年1月1日、4月1日和6月1日。需要注意的是,这三个阶段的调整在严肃性和影响力上并不均等。第一阶段的调整相对温和,对企业影响较小,而第二和第三阶段将带来更为深刻的变化,要求企业在实施过程中投入更多精力和准备。
本文将对每个阶段的实施内容提供概览,并为企业准备这些变化提出关键建议。
第一阶段实施:2025年1月1日
从2025年1月1日起,《2024年个人数据保护(修订)法案》第7、11、13和14条将正式生效。
这一阶段的调整主要涉及语言和表述上的细微改动,包括将2010年法案第16(3)条中的“Pendaftar”替换为“Pesuruhjaya”;删除第67条中“经部长咨询后”的措辞;以及在第136(1)条中增加“通过电子方式”的条款。
这些改动属于行政更新和准备性措施,对企业的实际运营影响不大,可视为为后续阶段的重大调整打基础。
第二阶段实施:2025年4月1日
第二阶段的实施将对企业产生更为广泛的影响,涉及《2024年个人数据保护(修订)法案》的第2、3、4、5、8、10和12条。以下是五个值得关注的重点变化:
- “数据使用者”改为“数据控制者” 2010年法案中“数据使用者”(Data User)的概念,将改为“数据控制者”(Data Controller),与欧盟、英国和新加坡等地的术语更加一致。企业需及时更新其数据保护通知、合同及相关文件,以反映这一术语变化。
- 引入生物识别数据 生物识别数据被新增为“敏感个人数据”类型,涵盖通过技术处理的生理、行为特征数据。随着人工智能技术的发展以及生物识别数据的广泛应用,此举强调了对这类敏感信息保护的必要性。
- 扩展至数据处理者的法律义务 此前,法律义务主要集中于数据控制者,而数据处理者则未被直接要求负责。然而,修订法案规定,数据处理者也需提供充分的技术和组织安全保障,以保护个人数据免受丢失、滥用、未经授权的访问或破坏。
- 加重不合规的处罚 修订法案显著提高了对违规行为的处罚力度:罚款上限由30万令吉增加到100万令吉,监禁期从最高两年延长至三年,或两者并罚。这反映了加强法律执行力和问责机制的意图。
- 取消跨境数据传输的“白名单”制度 修订法案取消了此前的“白名单”制度,改为两种条件之一即可合法传输数据:(i)目标国家拥有与马来西亚相当的数据保护法律,或(ii)目标国家提供足够的数据保护水平。这一调整为数据跨境流动提供了更清晰的规则和灵活性。
第三阶段实施:2025年6月1日
第三阶段实施集中于《修订法案》第6和9条,其引入的三个新概念将对企业运营和监管流程产生深远影响:
- 指定数据保护官(DPO) 数据控制者需指定一名或多名数据保护官(DPO),负责确保遵守法律。如果数据处理由数据处理者代为进行,数据处理者也需指定一名DPO。目前,对DPO的最低资格要求、是否需为马来西亚居民、是否可外包或跨企业共享等问题仍有待进一步明确。
- 强制数据泄露通报 修订法案要求,一旦数据控制者认为发生了个人数据泄露,需立即向专员报告;若泄露可能对数据主体造成重大损害,还需通知受影响的个人。违规将面临最高25万令吉罚款或两年监禁,或两者并罚。
- 数据可携权 数据主体有权要求数据控制者将其个人数据传输至另一数据控制者。此举增强了个人对其数据的掌控权,也对企业的数据格式兼容性和传输流程提出了更高要求。
结论
在撰写本文时,距离《2024年个人数据保护(修订)法案》实施还有约六个月时间。企业应充分利用这段过渡期,审查并更新现有的隐私政策和手册,确保符合最新修订要求。对于尚未制定相关文件的企业,现在是启动合规准备的最佳时机,以确保全面遵守数据隐私法律的所有义务。
▌Ong Johnson ▌ Partner Head of Technology Practice Group
▌Lo Khai Yi ▌Partner Co-Head of Technology Practice Group
数据或是专属词语以原文作为标准。
