2024年12月,马来西亚国会通过了《2024年个人数据保护(修订)法案》,完成了2010年《个人数据保护法》(Personal Data Protection Act 2010,以下简称"PDPA")自生效以来的首次全面修订。修订法案于2025年6月1日正式生效,马来西亚个人数据保护制度由此经历了三大核心跃迁:从"登记制+事后处罚"转向"主动合规+严格执法"的监管模式、从宽松的行政罚款转向包括刑事责任在内的多层次处罚体系、从相对封闭的跨境数据传输机制转向对标GDPR标准的多元合规路径。
尤为值得关注的是,修订后的PDPA大幅提升了对违法行为的处罚力度——数据处理者违反PDPA七项核心原则的,可能面临最高100万令吉(约21万美元)罚款及/或最长3年监禁,达到原PDPA处罚上限的2至4倍。马来西亚个人数据保护专员(Personal Data Protection Commissioner,以下简称"专员")公开表示,2026年是PDPA修订后的"首个全面执法年",将重点针对金融、科技、电商、医疗、人力资源外包等涉及大量个人数据处理的行业开展专项执法。
对于在马来西亚有业务的中资企业而言——无论是运营电商平台、提供金融科技服务、管理员工数据,还是作为云服务提供商或数据处理器——PDPA合规已从"可选项"升级为"生存项"。本文系统梳理PDPA 2024修订的核心变动、与GDPR和泰国PDPA的横向对比、2025-2026年最新执法趋势,以及中资企业的实操合规路径。
一、2024年修订的核心变动
(一)数据保护官的强制化
修订前的PDPA对数据保护官(Data Protection Officer,以下简称"DPO")仅作出原则性鼓励。修订后第12A条明确规定,以下三类的数据处理者必须指定DPO:处理大规模敏感个人数据的数据处理者、处理涉及刑事定罪或犯罪相关个人数据的数据处理者、专员根据个案指定的其他数据处理者。
何为"大规模"?根据专员2025年10月发布的《DPO指定指引》,以下情形推定为"大规模":每年处理超过3万名数据主体的个人数据、处理涉及5个及以上州的数据主体的个人数据、处理涉及的数据条目总数超过100万条。
DPO须具备马来西亚公民身份或马来西亚永久居民身份,并具备数据保护法律知识及行业经验。DPO的职责包括:监督PDPA合规、处理数据主体权利请求、数据泄露事件的内部报告和外部通知、以及与专员保持沟通等。
(二)数据泄露强制通知制度的升级
修订前,PDPA对数据泄露通知采用的是自愿性+鼓励性原则。修订后的第12F条引入了强制的三级通知制度:
第一级(内部评估):数据处理者在知悉数据泄露后,须立即启动内部调查和初步评估,确定泄露数据的类型和范围、受影响的数据主体数量、以及泄露可能造成的危害程度。
第二级(通知专员):若数据泄露可能对数据主体"造成重大损害"(significant harm),数据处理者须在发现泄露后的72小时内通知专员。重大损害包括:可能导致身份盗窃或金融欺诈、涉及敏感个人数据、涉及大规模数据主体的数据。
第三级(通知数据主体):若数据泄露可能"立即且紧迫地"对数据主体造成重大损害,数据处理者须在通知专员的同时,以可理解的语言和格式通知受影响的数据主体。
违反强制通知义务的,可能面临最高50万令吉罚款及/或最长2年监禁。
(三)跨境数据传输机制的多元化
修订前的PDPA采取了较为僵化的"禁止原则",即除获得专员批准或满足法定例外情形外,禁止将个人数据转移至马来西亚境外。修订后的第129条(新增条款)提供了三条替代性的合法化路径:
路径一:白名单国家机制。专员可公布一份"充分保护水平国家/地区名单"(白名单),向白名单国家传输个人数据无需额外批准。截至2026年3月,该白名单尚未公布。
路径二:法定合同条款(SCC)。数据传输方和接收方之间签订符合专员要求的"标准数据保护条款"。专员已于2025年8月发布了《跨境数据传输标准合同条款指引》(草拟版),在公开征求意见后,预计2026年下半年正式发布终稿。
路径三:集团约束性规则(BCR)。跨国集团可制定集团内部的数据传输规则,须经专员批准,且具有法律约束力。BCR适用于集团内部的频繁数据传输。但审批门槛较高——需提交集团数据保护政策、数据安全措施清单、数据主体权利保障机制、独立性监察机制等全套文件。
(四)数据处理器直接责任
修订前,PDPA的义务主体主要是"数据使用者"(Data User,类似GDPR的Data Controller),"数据处理器"(Data Processor)仅在合同层面间接承担责任。修订后第12G条明确:数据处理器须承担直接的法定责任,包括确保处理活动符合PDPA安全原则、与数据使用者签订数据处理协议、配合数据主体的权利请求、以及数据泄露后的直接报告义务。
对中资企业的影响:若中资云服务提供商在马来西亚为客户提供数据处理服务,其自身(作为数据处理器)直接对PDPA负责,而非仅依赖于与客户的合同安排。
(五)处罚力度的显著提升
修订前,违反PDPA的处罚相对轻缓:罚款上限为25-50万令吉,监禁上限1-2年。修订后,罚则实现全面升级。处罚分级的核心依据是违法行为的严重程度和数据处理者的配合态度。最高可处100万令吉罚款及/或最长3年监禁。重复违法行为,按次加重处罚,无上限累加。
二、与GDPR和泰国PDPA的横向对比
PDPA 2024修订明显向GDPR靠拢,但保留了若干"马来西亚特色",中资企业在多国运营时可参考下表理解核心差异:
制度要素 马来西亚PDPA 2024 欧盟GDPR 泰国PDPA
--------- ------------------- ---------- ----------
域外适用 有限(仅适用于在马来西亚境内处理或控制个人数据) 广泛(只要向欧盟主体提供商品/服务或监控其行为) 中等(处理在泰国境内数据主体的数据即适用)
DPO强制 有限(仅三种情形强制) 广泛(公共机构、核心业务涉及大规模监控或敏感数据) 有限(同马来西亚)
泄露通知时限 72小时(通知专员) 72小时(通知监管机构+数据主体) 72小时(通知PDPC+数据主体)
处罚上限 100万令吉+3年监禁 全球营收4%或2000万欧元 500万泰铢+监禁
跨境传输 白名单+SCC+BCR+批准 充分性认定+SCC+BCR+行为准则+认证等 白名单+SCC+同意+豁免
数据主体权利 访问、更正、撤回同意、限制处理、反对自动决策 访问、更正、删除(被遗忘权)、限制、反对、可携带、不自动决策 访问、更正、删除、限制、反对、可携带
最重要的差异是域外适用范围的差异。PDPA采用"属地主义",仅在马来西亚境内处理或控制个人数据时适用。如果中国电商平台在马来西亚没有本地服务器、本地办公室、本地员工,仅向马来西亚消费者销售商品并收集其数据,PDPA是否适用存在争议。但专员在2025年的一份咨询意见中暗示,若数据处理者在马来西亚设有服务器或使用马来西亚域名/APP,仍可能被认定为"在马来西亚境内处理数据"。
GDPR则采用广泛的域外适用——即使企业不在欧盟设立实体,只要其向欧盟境内数据主体提供商品/服务或监控其行为,GDPR即适用。因此,中资企业若同时在马来西亚和欧盟运营,需要分别设计不同的合规方案。
三、2025-2026年的执法趋势
(一)专员的执法数据
根据专员2025年度执法报告,全年共收到数据泄露通知562件,同比增长73%。开展合规调查127件,发出整改通知89件,处罚案件23件。重点行业分布:金融(35%)、科技与电商(28%)、医疗(18%)、人力资源外包(12%)、教育(7%)。
(二)首例刑事追诉案件(2025年9月)
2025年9月,一家中资背景的AI数据分析公司因未征得数据主体有效同意、未告知数据主体处理目的即收集并分析马来西亚用户的生物识别数据和位置数据,被专员处以80万令吉罚款。此案是PDPA修订后首例对单一企业处以上限级别罚款的案件。
该公司在面临行政处罚后,又被部分数据主体提起集体民事诉讼,索赔200万令吉,理由是公司的数据泄露导致其遭受了网络骚扰和个人名誉损害。这是马来西亚首例与数据泄露相关的集体诉讼,目前案件仍在审理中。
此案对中资企业的警示意义:行政处罚和民事索赔可以并发,企业可能面临双重经济打击。
(三)执法趋势研判
从"被动执法"向"主动巡查"转变:专员在2026年工作计划中提出实施"主动合规巡查",无需等待数据泄露通知即可对高风险行业企业进行数据合规抽查。
从"警告优先"向"重罚优先"转变:尤其针对数据泄露后未在72小时内通知的违规行为。
跨境数据转移的专项执法:专员表示将重点关注向尚未列入白名单的国家转移数据却未签署SCC或提交BCR审批的数据处理者。对中资企业而言,向中国传输员工数据、客户数据前,应尽快完成跨境传输协议的签署和管理。
四、中资企业常见违规点
(一)员工数据跨境回传中国
这是最常见的违规模式。中国母公司出于统计、考勤、绩效考核等管理需要,将马来西亚子公司的员工个人数据(姓名、身份证号、薪资、体检报告、考评记录)上传至中国境内的HR系统。若未取得员工的明确书面同意、未与数据接收方(中国母公司)签署标准合同条款,则该传输行为缺乏PDPA下的合法基础。
(二)APP过度收集用户数据
中国电商、社交、金融科技APP在马来西亚运营时,经常犯的一个错误是:直接复制中国版本的隐私政策和数据收集范围,而未针对马来西亚法律进行本地化调整。马来西亚PDPA允许收集的数据范围较中国更为有限,许多在中国平台上被默认为"必要收集"的数据(如位置、联系人、短信记录),在马来西亚被视为"过度收集"。
(三)第三方SDK的"脏数据"传染
中国APP开发者经常集成中国国内的第三方SDK(如支付、地图、推送、统计),这些SDK可能在用户不知情的情况下将数据回传至中国服务器或第三方数据中心。运营商(数据处理者)对第三方SDK的数据处理行为承担法定责任——即一旦第三方SDK在用户终端上或后台进行了未经授权的数据收集或传输,运营商将被认定为主要责任主体。应谨慎审查所有集成SDK的数据收集和处理行为。
五、中资企业的实操合规清单
(一)自查清单
是否已在专员处完成数据使用者登记(需在PDPA Data User Registration System注册)?
是否已指定DPO(若触发强制指定条件)?
是否已制定并发布符合PDPA要求的隐私政策(须以马来语和英语双语发布,清晰说明数据收集目的、范围、使用方式、存储期限、第三方共享)?
是否已获得数据主体的有效同意(同意的取得须是"自愿、明确告知并且具体的"。默示同意(Opt-out)不再被视为有效,须采用主动选择(Opt-in)模式)?
是否已建立数据泄露72小时应急响应预案(含内部评估流程、专员通知模板、数据主体通知模板)?
是否已与所有数据处理器(包括中国母公司、云服务商、第三方SDK提供商)签署数据处理协议?
(二)跨境数据传输合规四步走
第一步:数据映射。识别所有跨境传输的数据流——哪些数据离开了马来西亚?流向哪里?谁在接收?传输的目的是什么?
第二步:法律基础确认。为每一条跨境数据流选择适当的法律基础:是否可以基于SCC、BCR或白名单?
第三步:传输协议签署。与数据接收方签署标准合同条款(采用专员发布的SCC模板),或启动BCR审批。对于与关联方的数据传输,可制定集团统一的数据处理协议。
第四步:数据主体通知。在隐私政策中明确告知数据主体其数据将被传输至中国或其他国家,并说明采取的保护措施。
(三)年度合规"体检"建议
建议每年进行一次PDPA合规审计,审计重点包括:隐私政策的更新、数据主体权利请求的及时处理、数据泄露事件的无漏报、DPO的持续履职、跨境数据传输协议的持续有效。
聘用持有马来西亚律师执照且具备数据保护专长的律师事务所出具年度合规报告,避免内部法务团队因利益冲突而产生盲区。
六、结语
马来西亚PDPA 2024修订,是东南亚数据保护法律体系加速"GDPR化"的缩影。对于中资企业而言,数据合规不能再被视为"可有可无的成本",而是保护企业免受重罚和声誉损失的必要投资。
在数据保护的专业性日益被重视的今天,聘请专业的数据保护律师,进行系统化的合规部署,是明智企业在进入和深耕马来西亚市场时的标准动作。
我是余驰宇,中国执业律师,牵头泰国、柬埔寨、马来西亚、罗马尼亚等国当地律所的中国业务部,专注中资企业海外财产保护、重大诉讼/仲裁、税务问题处理、跨境保全与执行。