十多年来,马来西亚的数据保护法一直是本区域最宽松的制度之一。这个时代结束了。2024 年个人数据保护(修订)法令(PDPA Amendment Act 2024)——其核心义务自 2025 年 6 月 1 日起生效——让马来西亚大幅靠拢欧盟 GDPR:强制委任数据保护官(DPO)、强制72 小时数据泄露通报、更重的罚则、全新的跨境传输制度,以及数据处理者的直接责任。对于在马来西亚运营的外资公司——跑着 HR 系统、电商、CRM 或客户数据库——这如今是一项现行合规义务,而非可有可无的形式。本文讲清改了什么、谁必须遵守、以及合规的具体步骤。
这部法律及其适用对象
2010 年个人数据保护法(PDPA)规范马来西亚商业交易中的个人数据处理,由数字部辖下的个人数据保护专员执行。它适用于任何在马来西亚处理个人数据的机构——无论公司总部在哪——因此外资持股的 Sdn. Bhd.、分行、乃至使用马来西亚境内设备处理数据的境外公司,都可能落入适用范围。
2024 年修订不是取代 PDPA,而是升级它。最重要的结构性变化是「长了牙的术语」:旧称「data user(数据使用者)」改为「data controller(数据控制者)」;而且关键在于,「data processor(数据处理者)」(替你处理数据的供应商与服务商)如今被置于直接的法律义务之下,尤其是安全原则。以往只有数据使用者担责;如今你外包的薪资处理商或云端供应商各自背负法定义务。

你仍立足其上的七项原则
在新义务之下,PDPA 仍建立在七项数据保护原则之上。任何合规方案都应对照这些:
- 一般原则——仅在取得同意或合法依据下处理个人数据。
- 告知与选择——告知数据主体你收集什么、为何收集及其权利(一份马来文与英文的隐私声明)。
- 披露——未经同意,不得为已告知目的以外的用途披露数据。
- 安全——以适当的技术与组织措施保护数据。
- 保留——不得保留数据超过必要期限。
- 数据完整——保持数据准确、完整、及时更新。
- 查阅——让数据主体能查阅并更正其数据。
2024 年修订到底改了什么
实务上最重要的有六项变化。逐一来看。
| 变化 | 对你公司的意义 |
|---|---|
| 强制委任 DPO | 符合条件的控制者与处理者必须委任数据保护官,并向专员登记其资料。 |
| 72 小时泄露通报 | 知悉数据泄露后 72 小时内通报专员;若可能造成重大损害,须通报受影响个人。 |
| 更高罚则 | 违反数据保护原则的最高罚款由 RM300,000 提高至 RM1,000,000;监禁由 2 年增至 3 年。 |
| 全新跨境传输规则 | 旧的「白名单」取消;数据出境现须有充分性/同等保护依据并做传输影响评估。 |
| 数据处理者直接担责 | 替你处理数据的供应商本身也须遵守安全原则。 |
| 生物识别数据 + 数据可携权 | 生物识别数据现属「敏感个人数据」;新增数据可携权。 |
强制数据保护官(DPO)
这是多数公司最低估的一项变化。依《数据保护官委任指南》(2025 年 2 月 25 日发布、2025 年 6 月 1 日生效),若你的机构作为数据控制者或处理者符合以下任一触发条件,就必须至少委任一名 DPO:
- 你处理超过 20,000 名数据主体的个人数据;或
- 你处理超过 10,000 名数据主体的敏感个人数据(包括财务信息);或
- 你的处理活动需要对个人数据进行定期且系统性的监控(例如行为追踪或大规模画像)。
DPO 不一定要新聘全职——该职可指派给合适的现有员工或外包——但此人须满足实打实的要求:
| DPO 要求 | 细节 |
|---|---|
| 居留 / 可联系 | 马来西亚居民(一个日历年内实际在马 ≥180 天),或能在马来西亚轻易联系到。 |
| 语言 | 须精通马来文与英文两种语言。 |
| 登记 | 委任后 21 天内,通过个人数据保护系统登记 DPO 并提交其业务联系资料。 |
| 可及性 | 须公开 DPO 的业务联系方式,让数据主体与专员能联系到。 |

72 小时泄露通报
马来西亚如今有了强制数据泄露通报制度,高度仿照 GDPR。当数据控制者知悉一起已造成或可能造成损害的个人数据泄露时:
- 在知悉泄露后72 小时内通过个人数据保护系统通报专员。若无法在 72 小时内通报,须说明延迟理由。
- 在泄露可能造成重大损害时(例如财务损失、身份盗用或敏感数据外泄),须及时通报受影响的数据主体(指南要求从速通报,一般在 7 天内)。
- 保留记录:泄露事件、你的评估及所采取的补救步骤。
实务含义是:你需要在泄露发生之前就备好一份事件响应计划。72 小时的倒计时无法临场发挥:谁评估泄露、谁决定是否通报、谁起草、如何联系到受影响个人——都要事先约定好。
跨境数据传输:白名单没了
以往,个人数据只能传输到官方「白名单」上的国家(而该名单其实从未真正定案)。2024 年修订取消了这套机制,代之以风险为本的框架,并由 2025 年发布的《跨境传输指南》支撑。在以下情形你可将个人数据传输出境:
- 目的地拥有与 PDPA 实质相似的法律,或能确保充分的保护水平;或
- 适用某项获准的例外(例如数据主体的同意、履行合约所必需等)。
在传输之前,控制者应做一份传输影响评估(TIA)——记录目的地的法律框架与已落实的保障。对于一家把马来西亚客户或员工数据例行回传中国服务器的中国总部集团来说,这是一项直接而重要的义务:传输并非自动违法,但必须经过评估、说明理由并留档。

罚则——以及为何执法如今可信
违反数据保护原则的最高罚款由 RM300,000 提高至 RM1,000,000,最高监禁由两年增至三年。未遵守强制泄露通报或 DPO 委任义务,另有其自身罚则,可处罚款、监禁或两者兼施。同样重要的是,此次修订标志着从一套基本停留在纸面的制度,转向专员有意认真执行的制度——背后有源源流入的通报数据与配备了资源的主管机关支撑。对一个试图在新市场建立信任的外资品牌而言,一起被曝光的泄露事件所带来的声誉代价,往往超过法定罚款本身。
一份实用合规清单
对在马来西亚运营的外资公司来说,走到一个站得住脚的合规状态,意味着依序完成:
- 梳理你的数据。你持有哪些个人数据(员工、客户、潜客)?存在哪里?谁在处理?把数据主体人数对照 DPO 门槛清点。
- 若跨过门槛,委任并登记 DPO——居民、双语、21 天内登记。
- 发布合规隐私声明,马来文与英文并列,涵盖告知、选择、用途与权利。
- 建立事件响应计划,让 72 小时倒计时切实可行。
- 审查供应商合约。确保数据处理条款把你的处理者约束于安全原则之下。
- 评估跨境流动。对任何离开马来西亚的数据(尤其回传海外母公司)做传输影响评估。
- 凡事留档。在新制度下,能拿出你的评估与决策记录,本身就是合规的一大半。
ONE KEY 能怎样帮你
PDPA 合规处在法律、HR 与 IT 的交叉点——而这恰是外资公司精简的本地团队最吃紧之处。我们帮你完成数据梳理、判断你是否跨过 DPO 与泄露通报门槛、物色或担任一名合规的马来西亚 DPO、起草双语隐私声明与供应商条款、并为你的跨境传输评估留档。如果你同时在搭建薪资与 HR,这与我们的雇主薪资指南相衔接——因为员工数据通常是新公司持有的第一批敏感数据。
要检视你的 PDPA 处境或安排 DPO,欢迎通过联系页面找我们,或了解我们的法律咨询与合约起草服务。
常见问题
马来西亚 PDPA 2024 修订何时生效?
2024 年个人数据保护(修订)法令于 2025 年分阶段生效。核心义务——强制委任数据保护官与强制 72 小时数据泄露通报——自 2025 年 6 月 1 日起生效,并有 2025 年 2 月 25 日发布的指南支撑。其他变化,包括把「data user」改为「data controller」、对数据处理者施加直接义务、以及全新的跨境传输框架,也都属于此次修订。
我的公司需要委任数据保护官吗?
若你的机构处理超过 20,000 名数据主体的个人数据、或超过 10,000 名数据主体的敏感个人数据(含财务信息)、或处理涉及定期且系统性的监控,就必须至少委任一名 DPO。DPO 须为马来西亚居民(或能在马轻易联系到)且精通马来文与英文,并须在委任后 21 天内登记其业务联系资料。仅委任一名海外集团隐私官并不满足马来西亚的要求。
修订后的 PDPA 罚则是什么?
违反七项数据保护原则的最高罚款由 RM300,000 提高至 RM1,000,000,最高监禁由两年增至三年。未遵守强制泄露通报或 DPO 委任义务,另有其自身罚则,可处罚款、监禁或两者兼施。除法定罚款外,一起被曝光的泄露事件对正在新市场建立信任的外资品牌还带来实实在在的声誉代价。
我还能把马来西亚个人数据传输到中国的服务器吗?
可以,但不再是自动允许。旧的「白名单」已取消。当目的地拥有实质相似的法律或能确保充分的保护水平、或适用某项获准例外(如同意)时,你可将个人数据传输出境。传输前,你应做并留档一份传输影响评估(TIA),评估目的地的法律框架与保障措施。对例行把数据传回国的中国总部集团来说,传输并非违法,但必须经过评估、说明理由并记录在案。
资料来源与参考
本文仅供一般参考,不构成法律、税务或移民建议。相关政策、门槛与官方费用由马来西亚主管机构制定,并可能随时调整。请就您的具体情况咨询我们的顾问。