马来西亚在个人数据保护方面的综合性法律文件为《2010年个人数据保护法》(Personal Data Protection Act 2010,简称“PDPA”)。
目前,中国与马来西亚之间并无可自由传输个人数据的相关法规或协定,因此,中国总部应采取措施确保满足PDPA规定的豁免条件。
根据PDPA规定,个人数据是指与商业交易有关的任何信息,敏感数据是指数据主体的身心健康状况、政治观点、宗教信仰、犯罪信息等信息(数据使用者可处理与雇佣关系有关权利义务的敏感数据)。
一
跨境数据传输立法及监管动态
1. 立法
(1)法律法规
核心规范:《2010年个人数据保护法》(Personal Data Protection Act 2010,简称“PDPA”)
马来西亚关于数据跨境传输的相关法律规定主要体现在PDPA这部综合性立法中,适用于处理、控制或授权处理与商业交易有关的任何个人数据的任何人。
PDPA规定,原则上,数据使用者不得将数据主体的任何个人数据传输到马来西亚以外的地方,但符合约定的例外情形除外(详见下文第(三)条第2款)。
除这部规范以外,马来西亚后续又制定了几部相关条例草案,完善数据保护法律制度。
(2)多边协定
《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,简称“RCEP”)
马来西亚签署了RCEP并于2022年3月18日在马来西亚正式生效。其中包含针对数据治理和数据跨境传输规则等的相关安排。
2. 监管动态
马来西亚负责PDPA实施和执行的机构如下:
①监管机构
个人数据保护部(The Department of Personal Data Protection),负责发布数据保护法规、标准和相关文件。
②执行机构
个人数据保护委员会(Personal Data Protection Commissioner),履行PDPA授予的职能和权力。
马来西亚目前没有针对数据跨境传输的隐私影响评估以及数据传输协议等的实践要求或指南,且不强制要求数据使用者通知或报告任何数据泄露事件。
二
跨境数据传输具体合规要求
1. 注册登记要求
马来西亚规定的需注册的数据使用者类别中,未见餐饮类行业须注册登记的要求。
2. “可跨境传输”的数据范围(豁免条件)
PDPA第129条第(3)款列出的下列数据可以跨境传输:
(1)数据主体已同意该传输;
(2)该传输是为履行数据主体和数据使用者之间的合同所必需;
(3)该传输是为数据使用者与第三方之间订立或履行合同所必需,该合同:
(i)应数据主体的要求签订的;或
(ii)符合数据主体的利益。
(4)该传输是为任何法律程序,获得法律咨询或确立、行使或捍卫合法权利的目的;
(5)数据使用者有合理的理由相信在任何情况下:
(i)该传输是为避免或减轻对数据主体的不利行为;
(ii)获得数据主体对该传输的书面同意无法实现;和
(iii)在能够征求数据主体同意的情况下,数据主体会针对该传输给予同意。
(6)数据使用者已采取一切合理的预防措施并尽最大努力,以确保个人数据的处理方式假设发生在马来西亚时不会违反PDPA;
(7)该传输是为保护数据主体的重大利益所必需;或
(8)根据通讯和多媒体部部长确定的情形,该传输是为公共利益所必需。
违反本条规定的,可处不超过三十万令吉的罚款或不超过两年的监禁,或两者兼施。
3. 数据处理协议标准文本
马来西亚没有专门针对跨境数据传输的本国数据处理协议标准文本,签署标准协议文本不是马来西亚的豁免条件之一,但从合规角度考虑,建议企业签署数据传输协议。
马来西亚作为东盟成员国,东盟制定的MCCs可以作为参考,在拟定数据传输协议时,需确保符合马来西亚关于个人数据的保护原则。
三
合规建议
1.信息分类
企业在数据跨境传输前,应先将场景中提到个人信息进行分类,制作数据清单,更为审慎地处理敏感数据,根据必要性原则和最小限度原则把控跨境传输中的风险。
2.获得数据主体的同意
实务中,通过隐私协议等形式获得个人同意是最普遍的合规路径之一。企业可在隐私协议中明确告知数据主体其个人数据的收集、处理、传输的目的和方式、以及境外数据接收方等信息,并取得必要的同意。同时,在技术层面,还需确保数据主体能够行使其合法的权利,如访问、更正和删除其个人数据,并设置有效的流程来响应数据主体的请求。
需注意的是,在敏感数据等特殊数据类型的处理和跨境传输中,对个人同意的认定存在较高的主观性。实践中,“隐私协议”形式取得同意的有效性容易受到挑战,因此,在个人同意”之外,建议企业同时采取其他措施做到多重保障。
3.可参考MCCs拟定数据传输协议
企业作为数据控制者和数据传输方时,建议同时与数据接收方签署书面数据传输协议,明确划分双方的数据处理范围及数据保护责任。东盟颁布的《东盟数字数据治理框架》所提供的MCCs为跨境数据传输提供了具有法律保障的标准化合同条款,促进了数据的跨境传输和各国之间业务的开展。企业可参考使用标准合同条款(MCCs),确保数据保护条款完整,协议中的责任义务明确。
4.关注马来西亚的法律动态
2024年7月,马来西亚批准了《个人数据保护法》的重大修改,但修正案的生效日期尚未公布。PDPA的主要修改包括:数据泄露强制性通知、任命数据保护官(DPO)的强制性义务、提高处罚力度(最高1,000,000令吉的罚款和/或最高3年的监禁)等。
连锁品牌方若需更加详尽的信息
请与中申律师联系
