中国企业出海东南亚：马来西亚数据保护合规指南（2024年修订版）

详解马来西亚《个人数据保护法》最新修订要点及中企合规应对

此前，笔者已就中国企业出海热点地区——英国、美国加州及印度的数据保护法律进行系统解读，并提出合规建议，为中企全球化布局提供法律支持[k]。

马来西亚作为东南亚核心国家，凭借稳定政局、优越地理位置、多元文化背景和完善的物流基础设施，已成为中企拓展东南亚市场的重要目的地[k]。随着《区域全面经济伙伴关系协定》（RCEP）生效及“一带一路”合作深化，中马经贸联系日益紧密[k]。近年来，马来西亚持续强化数据保护监管，法律体系不断完善。2024年修订后的《个人数据保护法》（PDPA）大幅提升违法处罚力度，新增数据保护官（DPO）任命义务与数据泄露强制通报要求，企业合规风险显著上升[k]。中企在马开展业务须高度重视数据合规，防范罚款、声誉受损及市场准入受限等风险[k]。

一、立法概况与监管体系

（一）立法总览

马来西亚是东南亚较早建立个人数据保护制度的国家，其数据保护法律体系以PDPA为核心，辅以行业准则与专项立法[k]。

1. 《个人数据保护法》（PDPA）
PDPA于2010年颁布，2013年全面实施，是马来西亚数据保护的基本法律框架。2024年7月通过的修正案主要修订内容包括：[k]

• 术语与国际接轨：将“数据使用者”（Data User）统一为“数据控制者”（Data Controller），与欧盟GDPR保持一致；
• 扩展敏感数据范围：明确将生物识别数据纳入敏感个人数据，需采取更严格保护措施；
• 大幅提高处罚标准：违反数据保护原则的最高罚金由30万令吉提升至100万令吉，监禁期限由两年延长至三年；
• 明确定义“个人数据泄露”：包括数据外泄、丢失、滥用或未经授权访问等情形；
• 明确数据主体不包括已故个人；
• 强制设立DPO：要求数据控制者必须任命一名或多名数据保护官，负责PDPA合规事务；
• 引入数据泄露通报义务：发生数据泄露须立即通知个人数据保护专员，若可能导致重大损害，还需通知受影响的数据主体，违者最高可处25万令吉罚款或两年监禁；
• 新增数据可携带权：数据主体可书面请求将其个人数据在技术可行条件下传输至其他数据控制者[k]。

2. 配套法规与行业准则
包括《保险行业个人数据保护实践准则》（2016年生效）与《银行与金融行业个人数据保护行为准则》（2017年生效），分别针对保险和金融行业细化PDPA执行标准[k]。

3. 其他相关立法

• 《1998年通信与多媒体法案》（CMA）：规范通信与多媒体服务提供商的运营许可制度；
• 《网络安全法》（2024年）：设立国家网络安全委员会，强化国家关键信息基础设施（NCII）的安全管理，2024年8月26日生效；
• 《数据共享法案》（2025年）：规范联邦政府及公共部门间的数据共享机制，2025年4月28日生效[k]。

上述法律法规共同构建了马来西亚多层次的数据保护法律体系，本文聚焦PDPA对中企的合规要求[k]。

（二）监管机构

马来西亚数据保护由个人数据保护部（JPDP）与个人数据保护专员办公室共同负责[k]。

JPDP隶属于数字部，成立于2011年，协助专员执行PDPA[k]。专员办公室于2013年设立，作为独立法人机构，负责监管商业交易中的个人数据处理行为，防止数据滥用，并负责法律实施、政策制定与执法[k]。

二、PDPA适用范围

（一）适用范围

PDPA适用于任何在商业交易中控制或授权处理个人数据的主体[k]。

（二）适用主体

• 数据控制者：在马来西亚设立的企业，或虽未设实体但使用马来西亚设备处理个人数据（非过境目的）的境外主体；
• 数据主体：个人数据所指向的可识别自然人[k]。

（三）适用数据类型

• 个人数据：与商业交易相关，通过自动化设备处理或拟纳入备案系统的数据，可直接或间接识别特定个人，但不包括信用报告机构依法处理的信用数据；
• 敏感个人数据：包括健康状况、政治观点、宗教信仰、犯罪记录等，受更严格保护[k]。

（四）适用活动

“处理”涵盖对个人数据的任何操作，包括收集、记录、存储、修改、披露、使用、删除等，访问行为亦属处理范畴[k]。典型活动包括：通过表单或网站收集数据、数据发布、数据销售、行政使用、营销使用、向第三方披露及销毁等[k]。

（五）豁免情形

PDPA不适用于以下情况：
- 联邦及州政府机构；
- 在马来西亚境外处理且不拟在境内进一步处理的数据；
- 用于个人、家庭或家庭事务的数据处理；
- 信用报告机构依据《2010年信用报告机构法》开展的业务[k]。

三、个人数据处理合规要求

（一）个人数据保护七项原则

数据控制者必须遵守以下核心原则：[k]

1. 一般原则：处理个人数据须有合法目的，遵循必要性与适度性，原则上需获得数据主体同意；
2. 通知与选择原则：收集数据时须书面告知处理目的、权利行使方式、数据类别及第三方披露情况；
3. 披露原则：未经同意不得向非指定第三方披露，除非法律要求或基于公共利益；
4. 安全原则：须采取技术与管理措施防止数据泄露、丢失或滥用，委托处理时需确保受托方具备安全保障能力；
5. 保留原则：数据保留期限不得超过实现目的所需时间，到期应销毁或匿名化；
6. 数据完整原则：确保数据准确、完整、不误导并及时更新；
7. 访问原则：数据主体有权访问并更正其不准确、不完整或过时的个人数据[k]。

（二）数据主体权利

根据PDPA，数据主体享有以下权利：[k]

• 知情权：可要求确认其个人数据是否正在被处理；
• 访问权：支付规定费用后，可书面申请获取个人数据副本，数据控制者须在21日内回应，拒绝须说明理由；
• 更正权：对不准确、不完整、误导性或未及时更新的数据，有权要求更正[k]。

马来西亚PDPA合规指南：数据主体权利与企业义务详解

聚焦2024修订要点，解析DPO任命、数据跨境传输与泄露应对机制

（四）数据主体权利

撤回同意权：数据主体可随时书面撤回对个人数据处理的同意，数据控制者须立即停止相关处理活动[k]。

反对权：数据主体有权反对可能对其造成损害或困扰的数据处理行为，或在合理期限届满后反对数据用于直接营销[k]。

数据可携带权：数据主体可通过电子邮件通知数据控制者，要求将其个人数据直接传输至指定的另一控制者，前提是技术可行且格式兼容，控制者应在规定时限内完成传输[k]。

（三）数据控制者义务

遵循数据保护原则：必须遵守PDPA规定的七项个人数据保护原则[k]。

注册义务：金融、保险、医疗等特定行业的数据控制者须向个人数据保护专员注册[k]。

响应请求：应依法响应数据主体行使权利的请求[k]。

记录保存：须保存所有个人数据处理活动的完整记录，供专员核查[k]。

跨境转移合规：仅可向提供与PDPA同等保护水平的地区传输数据，并需满足数据主体同意或合同必要性等法定条件[k]。

数据泄露报告：发现泄露后72小时内须通知专员；若可能造成重大损害，还需通知受影响的数据主体[k]。

任命DPO：符合条件的数据控制者必须任命一名或多名数据保护官（DPO），并确保其具备履职能力[k]。

（四）DPO职责与义务

DPO需在组织内部发挥关键作用，具体职责包括：[k]

• 提供个人数据处理相关的合规建议；
• 支持组织遵守PDPA及其他数据保护法规；
• 协助开展数据保护影响评估；
• 监督数据处理活动的合规性；
• 协调数据泄露事件的应对与管理；
• 作为数据主体与组织之间的联络点；
• 担任与个人数据保护专员的官方对接人[k]。

（五）数据跨境传输法律要求

2024年PDPA修订后，放宽了跨境数据传输的部分限制：[k]

• 取消部长指定目的地的要求，由数据控制者自主判断；
• 删除“目的相同”要求，保留对目的地数据保护水平的关注；

跨境传输须满足以下条件之一：[k]

1. 获得数据主体同意；
2. 为履行与数据主体之间的合同所必需；
3. 为履行与第三方合同所必需，且该合同应数据主体要求订立或符合其利益；
4. 出于法律诉讼、获取法律建议或维护合法权利之目的；
5. 为避免或减轻对数据主体的损害，且获得同意不切实际但合理推定其会同意；
6. 已采取合理预防措施防止数据被不当处理；
7. 为保护数据主体切身利益；
8. 符合公共利益[k]。

（六）特殊数据类型处理原则

敏感个人数据：原则上禁止处理，除非满足以下任一条件：[k]

• 数据主体明确同意；
• 为履行雇佣相关权利或义务所必需；
• 为保护数据主体或他人重大利益，且无法或难以获得同意；
• 用于医疗目的，由医疗专业人员或负有同等保密义务者实施；
• 为法律程序、司法行政、法定权利行使或履行法定职能之目的；
• 信息已由数据主体主动公开[k]。

未成年人数据：处理未满18岁数据主体的个人数据，须获得其法定监护人或具父母责任者的同意[k]。

四、重点合规提示

DPO强制任命要求：符合以下任一标准的数据控制者或处理者须任命DPO：[k]

• 处理超过2万名数据主体的个人数据；
• 处理超过1万名数据主体的敏感个人数据或财务信息；
• 开展需定期系统化监控的活动[k]。

DPO须在马来西亚居住每年不少于180天，并精通马来语与英语。任命后21日内须向专员登记，变更后14日内须更新信息[k]。

数据控制者须为DPO提供充分资源、独立性及访问权限，不得因其履职行为进行解雇或处罚，并应通过官网、隐私政策等渠道公布DPO联系方式[k]。

数据泄露应对机制

个人数据泄露指导致数据丢失、滥用或未授权访问的事件。仅造成或可能造成重大伤害（如经济损失、身份欺诈）的事件须报告。影响超1000名数据主体的视为重大泄露，必须通报[k]。

数据控制者须在泄露发生后72小时内通知专员，逾期需说明理由并提供证据。通知内容应包括事件时间、数据类型、受影响人数及已采取的补救措施[k]。

若泄露可能对数据主体造成重大伤害，须在通知专员后7日内通知受影响个人，通知应简明清晰，说明影响及应对建议。如直接通知不现实，可采用公告方式[k]。

五、法律责任

违反PDPA将承担以下法律责任：[k]

• 违反数据保护原则：最高处以100万令吉罚款，或三年监禁，或两者并罚；
• 非法收集、披露或销售个人数据：依PDPA第130条，最高处罚50万令吉罚款或三年监禁，或两者并罚；
• 若合同约定第三方须遵守PDPA，其违规行为亦可能导致委托方受罚[k]。

六、结语

马来西亚以PDPA为核心构建了日趋完善的个人数据保护体系。2024年修正确立了DPO强制任命、强化数据泄露通报义务，并提升处罚力度，监管环境日益严格[k]。

对中国企业而言，进入马来西亚市场需高度重视数据合规，尤其应关注跨境传输、敏感数据处理及动态监管要求。建议建立健全内部数据保护制度，明确处理流程与责任分工，实施系统性合规管理，以降低法律风险，保障业务稳健发展[k]。

注释：[1]“个人数据保护专员”由马来西亚数字部部长任命并在政府公报公布，为具有法人资格的机构，可独立起诉与应诉。

作者：

郭玉兰，大成律师事务所（上海）合伙人；业务领域：跨境投资与贸易、合规与风险控制、知识产权与科技创新、劳动与人力资源

特别声明：以上文章仅代表作者个人观点，不构成大成律师事务所的法律意见或建议。

中国企业出海热点地区数据保护指南——马来西亚篇

更多资讯

1、法律查明 | 国务院、国家发展改革委、财政部、商务部、海关总署发布最新政策！

2、美国反倾销应对新挑战：归零规则的全面升级

3、中资企业如何应对欧盟针对俄罗斯的制裁措施

4、特朗普政府最新对等关税将于8月7日生效，并暂停所有国家/地区小额豁免待遇

5、大而美法案落地：重塑中企新能源出海布局（上）