东南亚国家数据合规要点——马来西亚

马来西亚政府高度重视数字经济产业及网络安全问题。2010 年《个人数据保护法》的出台填补了马来西亚在个人信息保护方面的立法空白。目前，马来西亚的数据保护法律法规体系主要包括 2010 年《个人数据保护法》（Personal Data Protection Act 2010,“PDPA”）及其相关配套规定，以及专门领域立法。

● “个人数据”的定义和认定标准：

根据 PDPA 第四条的规定，个人数据是指与商业交易过程有关的任何信息。这些信息直接或间接与数据主体相关，可以用以识别数据主体的身份。然而，欧盟《通用数据保护条例》（General Data Protection Regulation,“GDPR”）将“个人数据”界定为任何已识别或可识别的自然人的相关信息，其保护的数据的来源并不仅限于商业交易。

在个人数据的认定标准方面，PDPA 和欧盟 GDPR 具有一致性，均强调数据的“可识别性”和“结构化”特征。“可识别性”是个人数据的关键属性，也是判断特定数据是否属于个人数据的核心标准。“结构化”的特性要求个人数据必须经过了自动化手段的处理，或者虽然手动记录但最终实施了自动化处理，并保存在档案系统等载体之中。

● 被遗忘权（删除权）

GDPR 第 17 条首次明确规定了“被遗忘权（删除权）”。数据主体对于自己或第三方发布在网络上的，与自身有关的、不合理的或继续存在会对其社会评价产生负面影响的数据，有权要求数据控制者予以删除。根据第 17 条第 1 款的规定，在个人信息控制者不再具有处理个人信息的任何法律依据或理由，以及数据主体撤回同意和授权等六种情形下，信息主体有权要求信息控制者删除其个人信息，信息控制者有义务及时删除。因此，删除数据并不必然基于法定原因，也可以是基于数据主体撤回同意和授权。

相较于GDPR，PDPA 并未赋予数据主体被遗忘权。尽管该法第 10 条提及当个人数据的保留不具有必要性时就不再予以保留，但这并不意味着个人享有被遗忘权。删除数据必须基于法定理由，即保留不再具有必要性，而非基于数据主体的撤回同意或授权的意思表示。

● 数据可携带权

GDPR 第 20 条规定，数据可携带权是指数据主体有权获得提供给数据控制者的相关个人数据，且其获得的个人数据应当是经过整理的、普遍使用的和机器可读的。数据主体有权无障碍地将此类数据从其提供给的数据控制者处传输给另一个控制者。

与欧盟 GDPR 不同，PDPA 并未规定数据可携带权。虽然 PDPA 第 30 条规定数据主体有权以文件形式查看个人数据，也有权要求数据使用者以可理解的形式向其传送个人信息的副本，但并未明确赋予数据主体将其个人数据转移给包括其他数据使用者在内的第三方的权利。

● 数据保护官的设置

根据欧盟 GDPR 的有关规定，数据保护官必须精通个人数据保护法律与实践知识，其可以直接向数据控制者或处理者的最高管理层报告。此外，数据保护官必须在完全保密的情况下执行任务，并不得参与任何可能引发利益冲突的任务。数据控制者或处理者必须向监管机构提供数据保护官的详细联系方式，并应当为数据保护官履行职责以及维持其专
业性知识提供必要资源。与之相比，PDPA 虽然也要求设立数据保护官，但未设置上述规则。

● 数据使用者强制注册登记

为了有效监管和规范数据使用者的数据采集行为，PDPA 对特定行业的数据使用者设置了强制注册登记制。这种登记的性质类似于我国的企业工商登记，相关监管机构只是通过形式审查的方式备案，而非进行实质上的审核。

马来西亚注重采用事后监督的方式规制数据使用者的行为，强调信息披露的重要性。2013 年《个人数据保护（数据使用者）类别指令》和 2013 年《个人数据保护（数据使用者注册）条例》是数据使用者登记管理的细则规定。