笔者此前已在中国企业出海热点地区数据保护指南——英国篇、美国篇、越南篇和印度篇中详细介绍了英国、美国加州、越南和印度这四大出海热点法域的数据保护法律，并提出了相关的数据合规建议，为出海企业提供了针对性的合规指引。马来西亚作为东南亚的核心国家，凭借其稳定的政治环境、优越的地理位置、多元文化背景及完善的物流基础设施，成为中企出海东南亚的重要目的地之一。随着《区域全面经济伙伴关系协定》（RCEP）的生效及“一带一路”的深化合作，中马经贸往来更加紧密。近年来，马来西亚对数据保护的监管日趋严格，数据保护相关立法也日趋完善与成熟。2024年马来西亚修订《个人数据保护法》（以下称“PDPA”），将违反PDPA个人数据保护原则的最高处罚措施从“30万令吉或不超过两年的监禁或两者兼施”提升至“100万令吉或不超过三年的监禁或两者兼施”，同时新增任命数据保护官（下称“DPO”）、数据泄露强制通报义务，合规风险显著上升。中企在当地开展业务时，需遵守数据保护规则，避免因违规导致罚款、声誉损失及市场准入限制等风险。

一、综述

（一）立法总览

马来西亚是东南亚较早推进个人数据保护和隐私保护立法的国家。马来西亚的数据保护核心法律法规主要包括PDPA及其配套的附属法规。以下是马来西亚颁布的一系列与数据保护相关的重要立法：

（1）PDPA：由马来西亚议会于2010年首次颁布，2013年全面生效，是马来西亚数据保护的核心法律。该法案分为11个部分，包括法案的适用范围、数据使用者（Data User）七项基本数据处理原则、监管机制、数据主体（Data Subject）权利和处罚措施等内容。2024年7月，马来西亚议会通过PDPA修正案，修订要点主要包括：

（a）术语统一：将“数据使用者”（Data User）改为“数据控制者”（Data Controller），与欧盟GDPR术语统一；（除法规的名称外，下文均采用“数据控制者”进行表述）；

（b）新增敏感数据类型：新增生物识别数据纳入敏感个人数据，需严格保护；

（c）处罚升级：违反PDPA个人数据保护原则的最高罚金从30万令吉提升至100万令吉，监禁期限最长延长至3年；

（d）新增定义：新增“个人数据泄露（Personal Data Breach）”的定义，“个人数据泄露”是指任何个人数据外泄、个人数据丢失、被滥用或个人数据被未经授权访问；

（e）数据主体排除已故个人：明确数据主体不包括已故个人；

（f）强制任命DPO：数据控制者应任命一名或多名DPO，DPO应在遵守PDPA方面对数据控制者负责；

（g）数据泄露通知：若发生个人数据泄露事件，数据控制者发现泄露须立即通知个人数据保护专员[1]（The Personal Data Protection Commissioner,下称“专员”）。若泄露可能导致重大损害，必须告知数据主体。违者将面临最高25万令吉的罚款或2年监禁，或两者并罚；以及

（h）引入了数据可携带权：数据主体可以通过电子邮件的方式向数据控制者发出书面通知，要求控制者在技术可行且数据格式兼容的前提下将其数据直接传输至其他控制者。数据控制者需要在收到请求后的规定时间内完成数据传输。

（2）《个人数据保护法》的相关配套规定

（3）《1998年通信与多媒体法案》（Communications and Multimedia Act 1998，下称“CMA”）：该法案规范了通信与多媒体服务提供商的运营，规定相关服务提供商在从事特定许可活动时，例如搭建数据中心、拥有或提供网络设施、提供互联网接入等应用服务，需要取得许可证。

（4）《保险行业个人数据保护实践准则》（Code of Practice on Personal Data Protection for the Insurance and Takaful Industry in Malaysia）：本准则结合PDPA的七项个人数据保护原则，为相关保险公司和运营商提供处理个人数据（包括数据主体的敏感个人数据)的操作守则，以协助他们在从事保险业务和活动时满足PDPA的要求。该准则于2016年12月23日生效。

（5）《银行与金融行业个人数据保护行为准则》（Personal Data Protection Code Of Practice：For The Banking And Financial Sector，2017）：本行为守则专门针对在马来西亚获得许可、从事马来西亚银行业和金融业的个人或相关方（即根据2013年《金融服务法》、2013年《伊斯兰金融服务法》和2002年《发展金融机构法》获得许可的所有银行和金融机构），内容主要涵盖：制定对数据控制者处理个人数据行为最低标准；规定数据控制者应采取的措施和注意事项，以确保个人数据的处理不会侵犯数据主体的法律权利；建立行政制度框架，以监督和执行数据控制者对本守则的遵守情况。该准则于2017年1月19日生效。

（6）《网络安全法》（Cyber Security Act 2024）：该法案通过（a）设立国家网络安全委员会；（b）规定国家网络安全局首席执行官的职责和权力；（c）明确国家关键信息基础设施（National Critical Information Infrastructure,下称“NCII”）部门负责人和NCII实体的职能和职责；（d）建立针对NCII的网络安全威胁与事件管理机制；以及（e）监管网络安全服务提供商来加强国家网络安全。该法案于2024年6月26日颁布，并于2024年8月26日生效。

（7）《数据共享法案》（Data Sharing Act 2025）：该法案旨在通过设立国家数据共享委员会、规定公共部门机构控制数据的范围与其他公共部门机构的共享机制、明确国家数字部在数据共享及相关事务中的职能与权力，规范联邦政府及公共部门之间的数据共享活动。该法案于2025年2月20日颁布，已于2025年4月28日生效。

上述法律、法案、规定、守则共同构成了马来西亚的个人数据保护法律体系。本文将重点分析PDPA法案及其配套规定对中国企业合规的要求。

（二）监管机构

马来西亚的数据保护监管体系由个人数据保护部（The Personal Data Protection Department，下称“JPDP”）和专员主导。
JPDP是数字部（The Digital Ministry）下属的一个机构，在议会通过与2010年PDPA相关的法案后于2011年5月16日成立。该部门负责协助专员执行PDPA。

专员办公室于2013年11月15日成立，是一个永久存续的法人团体，拥有法人印章。专员负责监管数据控制者对商业交易中个人数据的处理，并保护个人利益免受任何个人数据滥用的侵害。同时，专员实施和执行个人数据保护法律，包括制定运营政策和程序。

二、PDPA的适用范围

（一）适用范围

马来西亚PDPA第2条规定，该法案适用于：

（1）任何处理数据的主体；

（2）任何在商业交易中控制或授权处理任何个人数据的主体。

（二）适用主体

（1）数据控制者（Data Controller）

根据PDPA，“数据控制者”包括以下两种情形：

（a）该主体在马来西亚设立公司，且个人数据是由该主体或该主体雇佣、聘用的任何其他主体进行处理，无论是否在该公司范围内；或

（b）该主体并未在马来西亚设立，但使用马来西亚的设备处理个人数据，且不是为了在马来西亚过境之目的。

（2）数据主体（Data Subject）

“数据主体”是指数据控制者处理的个人数据所属的个体。

（三）适用的数据类型

（1）个人数据
“个人数据”是指与商业交易有关的任何数据，这些数据包括：

（a）全部或部分通过自动运行的设备处理的；

（b）全部或部分有意图通过此类设备进行处理；或

（c）被记录为相关备案系统的一部分，或有意图成为相关备案系统的一部分。

同时，这些数据直接或间接与数据主体有关，数据主体可以通过这些信息或数据控制者持有的其他信息（包括任何敏感的个人数据及有关该等数据主体的意见的表达）被识别；但不包括信用报告机构根据《2010年信用报告机构法》开展的信用报告业务而处理的任何数据。

（2）敏感个人数据

“敏感个人数据”是指包含以下信息的任何个人数据：数据主体的身体或精神健康状况、其政治观点、宗教信仰或其他类似性质的信仰、其犯下或被指控犯下的任何罪行，或部长通过在《公报》上发布的命令确定的任何其他个人数据。

（四）适用的活动
一个组织仅在“处理”个人数据时需遵守PDPA。PDPA对“处理”一词的定义非常广泛。“处理”个人数据指对数据进行的任何操作，包括收集、记录、持有、存储、组织、更改、披露和销毁。仅读取或访问信息的行为也被视为“处理”。可能被视为“处理”的活动具体包括：
（1）通过表格、电话或网站收集数据；
（2）发布数据；
（3）出售数据；
（4）在行政管理中使用数据；
（5）为营销目的使用数据；
（6）记录数据；
（7）向其他组织披露或提供数据；
（8）销毁数据。

（五）豁免适用的情形
马来西亚PDPA第2条、第3条和第45条则明确规定了PDPA不适用的范围，包括：

（1）联邦政府和州政府；
（2）在马来西亚境外处理的个人数据，且该个人数据并不打算在马来西亚进一步处理；
（3）出于个人、家庭或家庭事务（包括娱乐目的），而处理的个人数据；
（4）信用报告机构根据2010年《信用报告机构法》开展的信用报告业务。

三、个人数据的处理规则

（一）个人数据保护原则
数据控制者处理个人数据应遵循以下个人数据保护原则：
（1）一般原则：处理个人数据需数据主体同意，除非因为履行合同、法定义务、保护生命利益等合法目的，数据处理目的必须合法、必要且收集的数据适度；
（2）通知与选择原则：数据收集时需书面告知数据主体处理目的、数据主体的权利及行使权利的路径、数据类别、第三方披露对象等；
（3）披露原则：未经同意不得向非指定第三方披露数据，除非法律要求、基于公共利益等特定条件；
（4）安全原则：数据控制者在处理个人数据时应采取技术和管理措施防止数据泄露、丢失或滥用，委托处理时应确保数据处理者具备安全保障能力；
（5）保留原则：个人数据保留时间不得超过实现该目的所需的时间，到期需销毁或永久删除；
（6）数据完整原则：数据控制者必须采取合理步骤确保数据准确、完整、不误导且及时更新；
（7）访问原则：数据主体有权访问和更正其不准确、不完整、具有误导性和未及时更新的个人数据。

（二）数据主体的权利
根据PDPA的规定，数据主体有以下权利：
（1）知情权：数据主体有权要求数据控制者告知其个人数据是否正在由数据控制者或其代表处理；
（2）访问权：数据主体在支付规定费用后，可向数据控制者书面提出访问请求，获得个人数据副本。数据控制者须在21日内响应，拒绝需书面说明理由；
（3）更正权：数据主体发现数据控制者持有的个人数据是不准确、不完整、具有误导性或未及时更新的，可以要求数据控制者更正；
（4）撤回同意权：数据主体可随时书面撤回其对涉及个人数据处理的同意处理，数据控制者须停止处理；
（5）反对权：数据主体可反对正在或可能对其造成损害或困扰的数据处理，或反对数据控制者在合理期限届满时继续将其个人数据用于直接营销；
（6）数据可携带权：数据主体可以通过电子邮件的方式向数据控制者发出书面通知，要求数据控制者直接将他的个人资料传输给其选择的另一个数据控制者，但需符合技术可行性和数据格式的兼容性。数据控制者需要在收到请求后的一段时间内完成数据传输。

（三）数据控制者的义务
PDPA主要规定了数据控制者的以下义务：
（1）遵循数据保护原则：数据控制者必须遵循PDPA规定的七项个人数据保护原则及对应的义务；
（2）注册义务：特定行业（如金融、保险、医疗等）的数据控制者必须向专员注册；
（3）响应数据主体请求：数据控制者需要响应数据主体行使权利的请求，遵守对应义务；
（4）记录保存义务：数据控制者必须保存已处理或正在处理的所有个人数据处理请求的记录，专员可决定记录应以何种方式和形式进行维护；
（5）遵循跨境转移要求：涉及到数据跨境转移时，数据控制者只能将个人数据转移到在个人数据处理方面拥有至少与PDPA同等水平充分保护的地区，同时还需获得数据主体的同意或者基于合法目的；
（6）数据泄漏报告义务：数据控制者有义务发现泄漏事件72小时内通知专员个人数据泄露事件。如果泄露对数据主体造成或可能造成重大损害，则必须通知数据主体；
（7）数据保护官任命义务：数据控制者必须任命一名或多名DPO，DPO须遵守PDPA向数据控制者负责。

（四）DPO的职责和义务
《DPO任命指南》规定了DPO的职责和义务，确保数据控制者遵守PDPA和相关法规，具体包括：
（1）就个人数据的处理提供信息和建议；
（2）为遵守PDPA及其他相关数据保护法规提供支持；
（3）为开展数据保护影响评估提供支持；
（4）监控个人数据保护合规情况；
（5）确保妥善管理数据泄露及安全事件；
（6）充当数据主体联系的协调者及联络点；以及，
（7）作为与专员的联络官及主要对接人。

（五）数据跨境传输的法律要求
PDPA在2024修订版中放宽了对数据跨境传输的某些限制，具体包括：
（1）关于跨境传输的目的地，删除原条款中部长指定要求，改为数据控制者自主决定是否传输；
（2）删除原条款中要求数据传输目的地“具有与本法案相同目的”的规定，保留了“注重目的地的数据保护水平”和“数据传输条件（如数据主体同意、履行合同等）”。
现行的PDPA允许数据控制者将个人数据传输到马来西亚境外，前提是该地在个人数据处理方面提供至少与PDPA同等水平的充分保护。除此之外，跨境传输数据主体的任何个人数据之前还需满足下列任一条件：
（1）数据主体同意；
（2）跨境传输对于数据主体与数据控制者之间的合同是必要的；
（3）跨境传输对于订立与履行数据控制者与第三方之间的合同是必要的，前提是：
（a）该合同应数据主体的要求而订立；或
（b）符合数据主体的利益。
（4）跨境传输是出于任何法律诉讼、获得法律建议，或者建立、行使或捍卫合法权利的目的；
（5）数据控制者有合理理由相信:
（a）跨境传输是为了避免或减轻对数据主体的不利行为；
（b）获得数据主体的书面同意是不切实际的；
（c）如果获得同意是切实可行的，则数据主体会给予同意。
（6）数据控制者已采取一切合理的预防措施，并进行了所有的尽职调查，以确保个人数据不会在其他地方以任何方式处理；
（7）为了保护数据主体的切身利益；或
（8）符合公共利益。

（六）特殊数据类型的处理原则
（1）敏感个人数据数据控制者不得处理数据主体的任何敏感个人数据，除非符合下列条件：
（a）数据主体已明确同意处理其个人数据；
（b）该处理行为是必要的，包括以下情形：
（i）为行使或履行法律赋予数据控制者与雇佣相关的任何权利或义务；
（ii）为保护数据主体或他人的重大利益，且在以下情形中：
（A）无法由数据主体或其代表作出同意；或（B）数据控制者无法合理预期获得数据主体的同意；
（iii）保护他人的重大利益，且在数据主体或其代表不合理拒绝同意的情形中；
（iv）出于医疗目的，并由以下人员实施：
（A）医疗专业人员；或
（B）在特定情形下负有保密义务（等同于医疗专业人员所承担义务）的人员；
（v）为法律程序之目的或与之相关；
（vi）为获取法律建议之目的；
（vii）为确立、行使或维护法定权利之目的；（viii）为司法行政之目的；
（ix）为履行成文法规定赋予任何人的职能；或（x）部长认为适当的任何其他目的。
（c）个人数据中的信息因数据主体故意采取的行动而公开。
（2）未成年人个人数据
根据PDPA第4条规定，对于未满18岁的未成年数据主体，数据控制者必须从其法定监护人或具有相应父母责任的人士获得必要的同意。

四、重点合规提示

（一）DPO强制任命
（1）任命DPO的要求
处理个人数据涉及以下标准的数据控制者和数据处理者必须任命一名或多名数据保护官：
（a）数据规模标准：处理超过20,000名数据主体的个人数据；
（b）敏感数据标准：处理超过10,000名数据主体的敏感个人数据或财务信息；
（c）监控活动标准：开展需要定期与系统化监控的活动。
被任命的DPO必须居住在马来西亚（在一个日历年内至少在马来西亚居住180天）并精通马来语和英语，便于联系。同时，数据控制者必须在DPO任命之日起21天内登记并通知专员。如果DPO辞职或被替换，数据控制者必须在任命新DPO之日起14天内更新相关注册信息。

（2）数据控制者和数据处理者的责任和义务
为确保DPO有效履行职责，《DPO任命指南》规定了数据控制者与处理者的义务：
（a）数据控制者或数据处理者必须确保为DPO提供足够的资源来履行其职能，给予其充分自主权，并便利其获取个人数据及处理操作；
（b）不应将DPO置于可能导致商业利益与遵守PDPA之间冲突的职位；
（c）DPO有直接向高级管理人员(或同等人员)报告的权限；
（d）确保DPO及时参与所有与保护个人数据有关的事务。这包括从数据处理的最早阶段开始，DPO参与所有与数据保护有关的事务；
（e）应向DPO提供专用的官方业务电子邮件账户，使其能够与专员和数据主体沟通。创建的专用官方电子邮件账户应与被任命为DPO的个人和官方业务工作电子邮件地址区分开来；
（f）为DPO提供有效履行职责的培训；
（g）除非DPO违反了法律或被发现有疏忽或不当行为，否则不得因其善意履行职责而将其解雇或对其进行处罚。

同时，数据控制者或数据处理者应通过以下任一或所有方法/渠道公布DPO的业务联系信息：
（a）数据控制者或数据处理者的官方网站及其他官方媒体；
（b）个人数据保护通知；以及
（c）安全政策和指导方针。
（3）任命DPO记录的管理

数据控制者或数据处理者应维护和保留已任命的DPO的记录。如果没有指定DPO，则数据控制者或数据处理者应保存可证明其不指定任何DPO的理由的文件记录。
数据控制者或数据处理者可制定数据保护准则，并在整个组织内传播这些准则。

（二）数据泄露事件的处理
（1）个人数据泄露的定义
个人数据泄露的广义定义是指任何导致个人数据丢失、滥用或未经授权访问的事件，无论是意外还是故意。《数据泄露通知保护指南》中给出的例子包括未经授权访问客户数据、意外误发电子邮件或导致数据被盗的网络攻击。不过，并非所有违规行为都需要通知。只有那些造成或可能造成重大伤害(如身体伤害、经济损失、身份欺诈或涉及敏感个人数据)的事件才必须报告。此外，影响1,000名以上数据主体的泄密事件被视为重大泄密事件，必须进行通报。
（2）通知专员
数据控制者必须在数据泄露后的72小时内通知专员，若未能在72小时内通知，必须说明延迟原因并提供支持证据。通知内容必须包括数据控制者知悉数据泄露的日期及时间、泄露数据的类别、识别数据泄露的方法、受影响人士的数目、受影响数据的大致数量、导致数据泄露的受影响个人数据系统，以及为减轻数据泄露而采取的措施。专员收到通知后，会向数据控制者发出确认通知。如果没有发出确认通知，专员将当作没有收到通知。
（3）通知受影响的数据主体
如果数据泄露对数据主体个人造成重大伤害，也必须在首次通知专员后七天内通知他们。
通知应简明扼要，告知个人泄密事件的影响、应采取的预防措施以及可提供的支持。如果直接通知不切实际，可采用公告等替代方法。

五、法律责任

根据现行的PDPA，数据控制者违反法定要求处理个人数据的，需承担以下法律责任：
（1）违反数据保护原则：若违反个人数据保护原则，将面临最高100万令吉的罚款，或最高三年的监禁，或两者并罚。
（2）非法收集、披露和销售个人数据：根据PDPA第130条，违法者将面临最高50万令吉的罚款，或最高三年的监禁，或两者并罚。
（3）如果数据控制者在与第三方的合同中明确规定在代表他们处理个人数据时有责任遵守PDPA，则第三方的任何违规行为都可能受到罚款/监禁或两者兼而有之。

六、结语
作为东南亚较早推进个人数据保护的国家，马来西亚已形成以PDPA为核心的法律监管体系，整体处于动态完善阶段。2024年通过PDPA修正案融入国际标准，并出具配套细则辅助修正案的逐步实施，强化了数据主体权利，新增了DPO的强制任命以及数据泄露事件的强制通报义务等要求，提升了对违规行为的处罚力度，监管环境日趋严格且复杂。这给中国企业进入马来西亚市场带来了更高的合规要求。

对于有计划在马来西亚设立实体或开展业务的中国企业而言，提前深入了解马来西亚的数据保护法规和政策至关重要。企业应重点关注跨境传输、敏感数据与动态监管要求，严格遵守马来西亚数据保护法规，建立完善的内部数据保护制度，明确数据处理流程和责任分工，以系统性合规管理降低运营风险，进而确保在马来西亚市场的稳健发展。

[1] “个人数据保护专员”由马来西亚数字部部长任命并在政府公报上公布，专员是一个法人团体（body corporate），具有永久存续权和法人印章，可以其法人名义起诉及被起诉。