近些年来，马来西亚政府积极出台多项政策鼓励本国汽车产业转型升级。在此机遇下，中国车企凭借电动汽车创新加速开拓马来西亚市场。但与此同时，中国车企也面临着马来西亚数据隐私保护立法所提出的合规挑战。

本文将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手对马来西亚数据隐私保护立法进行解读，期待为中国车企出海提供参考。

一、马来西亚数据隐私保护法律监管体系

马来西亚的一般数据保护法律主要是马来西亚《2010年个人数据保护法》（以下简称“PDPA”），该法于2010年6月2日通过，并于2013年11月15日正式生效。后该法经《2024年个人数据保护法（修正）》（简称“2024修正案”）修订，修订案于2024年10月17日在宪报上公布成为法律，修正案第7、11、13、14条（未对数据处理者、控制者引入新义务）于2025年1月1日生效，修正案第6、9条（任命数据保护官、数据泄露通知和数据可携权）将于2025年6月1日生效，其余修订将于2025年4月1日生效。

为细化PDPA实施规则，马来西亚先后发布《2013年个人数据保护条例》（以下简称“PDPR”）《个人数据保护（费用）条例》《2013年个人数据保护（数据使用者注册）条例》《2013年个人数据保护（数据使用者类别）指令》《2016 年个人数据保护（数据控制者类别）（修订）令》《2015年个人数据保护标准》（以下简称“PDPS”）《个人数据保护通用行为守则》（以下简称“GCOP”）《数据泄露通知指南》《数据保护官指南》《个人数据保护指引-DPO任命》《个人数据保护指引-数据泄露通知》《个人数据保护指引-个人数据跨境传输》等文件。[1]

目前未见马来西亚针对汽车领域数据隐私保护的专门立法。

马来西亚数据保护的主要监管机构是个人数据保护部（JPDP），另数字部长会任命个人数据保护专员负责执行PDPA。PDPA规定违反PDPA的行为者可能会面临最高100万令吉的罚款、监禁三年或两者并罚[2]。

二、马来西亚数据隐私保护一般规则

（一）适用范围

根据PDPA第2条，PDPA适用于在商业交易中处理或控制个人数据处理的主体，如果：

• 该主体在马来西亚境内有业务经营场所，并且个人数据是由主体本身或主体雇佣、聘用的其他主体进行处理的；或

• 该主体在马来西亚境内无业务经营场所，但使用位于马来西亚的设备处理个人数据，并且处理目的并非仅为从马来西亚过境。

此外，PDPA第3条及第45条还明确列举了不适用的场景，包括：

• 联邦政府和州政府；

• 在马来西亚境外处理的个人数据，且该个人数据不打算在马来西亚进一步处理；

• 仅为个人、家庭或家庭事务（包括娱乐目的）而处理的个人数据；

• 未在马来西亚境内设立的主体仅出于在马来西亚过境的目的而进行的个人数据处理活动。

（二）个人数据/敏感个人数据的定义

马来西亚PDPA对个人数据的定义与欧盟GDPR相似。根据PDPA第4条，个人数据是指任何与商业交易相关的信息（不包含已故个人），这些信息：

• 正在被完全或部分通过为该目的给出指令的自动运作的设备处理；

• 记录时有意让其完全或部分通过这类设备处理；或者

• 作为相关文件系统的一部分被记录，或有意让其成为相关文件系统的一部分。

这些信息直接或间接关联到一个数据主体，该数据主体可以从这些信息或这些信息以及数据控制者拥有的其他信息中被识别，包括任何敏感个人数据和对数据主体的意见表达；但不包括任何为了信用报告机构根据《2010年信用报告机构法》开展信用报告业务而处理的信息。

敏感个人数据是指包含数据主体的以下信息的个人数据：

• 身体或精神健康状况；

• 政治观点；

• 宗教信仰或其他类似性质的信仰；

• 犯下的或被指控犯下的任何罪行；

• 生物识别数据（任何因与个人的身体、生理或行为特征相关的技术处理而产生的个人数据）；

• 以及部长可能通过在公报上发布的命令确定的任何其他个人数据。

（三）义务主体

2010年PDPA规定的义务主体包括数据使用者（data user）和数据处理者（data processor），而后在2024年修正案中以数据控制者取代数据使用者。

数据控制者是指单独或与他人共同或依据共同安排处理个人数据，或控制或授权处理个人数据的主体，但不包括数据处理者。

数据处理者是指除数据控制者雇员之外，仅代表数据控制者处理个人数据，并且不为自己的任何目的处理个人数据的主体。

（四）数据控制者注册义务

符合《2013 年个人数据保护（数据控制者类别）令》或《2016 年个人数据保护（数据控制者类别）（修订）令》规定的数据控制者[3]需要通过个人数据保护系统（SPDP）（访问网址：https://daftar.pdp.gov.my/p_login）进行注册。注册证书有效期为一年，到期需更新，数据控制者还必须在主要营业地点的显眼位置展示其注册证书，并在每个分支机构（如适用）展示该证书副本。

（五）数据处理的合法性基础

PDPA原则上要求处理非敏感个人数据必须获得数据主体的同意，但也规定了其他合法性基础，包括：

• 为订立、履行数据主体作为一方当事人的合同所必需；

• 遵守数据控制者法律义务；

• 保护数据主体重大利益；

• 司法管理；

• 行使法律职能。

PDPA规定处理敏感个人数据的合法性基础包括

• 数据主体明确同意；

• 行使和履行数据控制者与就业相关的法定权利或义务；

• 在数据主体或其代表无法给予同意，或不能合理期望数据控制者获得数据主体同意的情况下，为保护数据主体或他人的重大利益；

• 在数据主体或其代表不合理拒绝同意情况下，为保护他人的重大利益；

• 医护人员或类似负有保密义务的人员为医疗目的；

• 法律程序或与之相关目的；

• 法律咨询；确立、行使、捍卫法律权利；

• 司法管理；行使法律职能；

• 部长认为合适的其他目的；

• 个人数据被数据主体有意公开。

根据GCOP第3.3条，获取同意的形式包括：

• 表示同意的签名或可点击选框；

• 通过行为或履行表示同意，如数据主体不反对该处理，数据主体自愿披露其数据，数据主体继续使用数据控制者的服务；

• 口头同意：可通过数据方式记录（如录音等）或向数据主体发送书面通信（如邮件、表格等）确认已获得同意。

另外，PDPR第3条规定如基于同意处理个人数据的，数据控制者应当适当保存同意记录。获取同意的请求应在呈现形式上与其他事项相区分。如数据主体未满18岁，应获得父母、监护人或其他负有父母责任的人的同意。

（六）隐私政策要求

1、内容要求

根据PDPA第7条、GCOP第4条、《隐私政策编制指南》《隐私政策快速指南》，隐私政策（PDP通知）应当至少包含如下内容：

（1）个人数据的描述：列明涉及的个人数据详情（涵盖联系人追踪、使用cookie、信标等）；说明个人数据类型，明确是否涉及敏感个人数据；若处理儿童（18岁以下）的个人数据，应特别说明。

（2）处理的必要性：

• 处理个人数据的目的（避免填写一长串个人数据的未来用途）；

• 说明是否有监管要求收集特定个人数据；说明个人数据存储的时间；

• 说明个人数据的处置时间；

• 列出为确保个人数据安全所采取的实际措施。

（3）个人数据的来源：说明所有相关的内部和外部来源，包括手动或数字申请/注册表。

（4）数据主体的权利：

说明提供个人数据的选择是否强制，如果数据主体提供个人数据是强制性的要求，数据主体不提供个人数据会导致的后果；

• 如何访问已提供的个人数据；

• 如何更正或更新个人数据；

• 如何限制对个人数据的处理，撤回处理同意的方法；

• 以及限制可能从中识别出的其他人的个人数据的处理；

• 联系数据控制者的方式，需包含负责人的姓名、职称、联系电话和电子邮箱。（注：2024年修正案新增可携权，可考虑在隐私政策中增加可携权内容）

（5）个人数据的披露：说明将个人数据分享给的第三方及其目的；确保披露过程安全的措施。

（6）联系信息：包括负责人的职称、电话号码、传真号码（如有）、电子邮箱等相关信息。

（7）重要日期：标注隐私政策生效日期和修订日期。

关于隐私政策的模板，可参见GCOP附录1。

2、形式要求

隐私政策还需满足如下形式要求，包括：

（1）应当通过书面形式告知数据主体。

（2）隐私政策应使用马来语和英语，提供清晰且易于访问的方式，必要时使用马来语和英语以便数据主体行使选择权。如果需要，还可以准备其他语言的版本。

（3）隐私政策应当简单易懂、结构清晰，避免使用长句和难以理解的技术用语，避免使用非常小的字体。

（4）隐私政策可以通过以下方式向数据主体传达：

• 将隐私政策的纸质副本邮寄至数据主体的最后已知地址；

• 在数据控制者的网站上发布；通过短消息服务（SMS）向数据主体发送隐私政策的链接或电话；

• 通过电子邮件发送隐私政策的链接或电话；

• 通过电子信息渠道发送隐私政策的链接或电话；

• 在定期与数据主体的沟通中插入隐私政策的链接或电话；

• 在业务场所的显著位置展示隐私政策摘要版，并在显著位置提供完整版隐私政策；

• 在自助服务机屏幕上显示隐私政策的链接或电话，并注明在哪些分支机构可获得该隐私政策；

• 在申请/注册表中插入说明提及隐私政策的链接或电话；

• 打印隐私政策的副本，并在数据控制者的营业场所提供给数据主体；

• 其他能有效传达的方法。

（5）定期审查更新隐私政策，记录修订内容并通知数据主体。

3、时间要求

数据控制者应在可行情况下“尽快”提供隐私政策：

（1）当数据控制者首次要求数据主体提供其个人数据时；

（2）当数据控制者首次收集数据主体的个人数据时

（3）在数据控制者将个人数据用于收集目的以外的其他目的之前；

（4）或在数据控制者向第三方披露个人数据之前。

4、保存要求

数据控制者需保留向数据主体提供隐私政策的记录以证明已向数据主体传达相关内容。

（七）数据存储

PDPA第10条规定个人数据存储时间不应超过实现处理目的所需的时间。数据控制者应当确保个人数据在不再需要用于处理目的时被销毁或永久删除。另外，根据PDPS第6条，数据控制者在落实数据存储要求时，需考虑如下方法，包括：

• 在销毁数据之前，确保所有与个人数据处理和存储相关立法所规定的存储期限均已满足；

• 除非其他法律条款另有要求，个人数据的存储时间不应超过必要时长；

• 定期妥善记录个人数据的处置情况，并在专员要求时提交该记录；

• 在不超过14天的期限内处理商业交易中使用的个人数据收集表格，除非该表格对商业交易具有法律价值；

• 审查并处理数据库中所有不需要的个人数据；

• 为非活跃数据制定 24 个月期限的个人数据处置时间表，并妥善保存该时间表；

• 未经组织高层管理的书面批准，不得使用可移动媒体设备存储个人数据。

（八）数据合作

1、委托处理

根据PDPA第9条、PDPS第4条、GCOP第5条，数据控制者为业务目的向数据处理者披露数据的，应要求数据处理者提供保证，包括仅在数据控制者委任目的范围内且根据其指示处理个人数据，遵守个人数据隐私、保密或安全相关法律、法规、行业标准。数据控制者应当与数据处理者签订合同以操作和开展个人数据处理活动。为符合安全原则，数据控制者需要确保数据处理者为所进行的数据处理提供技术和组织安全措施的充分保障，以及采取合理措施确保遵守这些措施。

根据《数据泄露通知指南》，数据控制者应通过合同或其他合理方式，规定数据处理者有义务通知控制者个人数据安全事件并在数据控制者履行义务时提供所有合理、必要的协助。

2、对外提供

根据PDPA第7、8、39条和GCOP第5条，数据控制者有义务在隐私政策中说明将个人数据提供给的第三方及其目的，个人数据披露仅限于根据通知和选择原则（隐私政策）获得原始同意目的和直接相关目的。如披露个人数据用于除收集时拟披露目的及直接相关目的之外的目的或向隐私政策规定的接收方之外的其他方披露，应获得数据主体的同意或满足例外条件（包括披露对预防、侦查犯罪或调查目的是必要的，或依据法律或法院命令要求或授权披露，或数据控制者合理认为自己在法律上有权向他人披露个人数据，或控制者合理认为如数据主体知晓其个人数据披露及披露情形会同意披露）。

此外，PDPR第5条、PDPA第101条规定数据控制者必须建立对外提供清单，并应专员要求需随时出示该清单。

（九）数据本地化

PDPA并未规定数据本地化/数据驻留要求，但PDPA以禁止跨境传输个人数据为原则，以特定条件下允许跨境为例外。

（十）数据跨境

根据PDPA第129条、2024年修正案及《个人数据保护指引-个人数据跨境传输》[4]，数据控制者满足以下条件，可以将数据主体的个人数据转移至马来西亚境外：

1. 该国现行有与PDPA实质相似的法律；该机构确保对个人数据处理提供足够的保护，其保护水平至少相当于PDPA提供的保护水平。（非“白名单”制度，2024修正案版本已删除白名单制度，企业需自行评估（TIA）接收方所在国家和地区是否具有足够的数据保护水平）

2. 除前述规定外，数据控制者可在以下情况下将个人数据转移至马来西亚境外：

（1）数据主体已同意转移；

（2）转移对于数据主体和数据控制者之间合同的履行是必要的；

（3）转移对于数据控制者与第三方之间合同的订立或履行是必要的，如果该合同是应数据主体的请求而订立的或该合同是为了数据主体的利益；

（4）转移是为了法律程序，或为了获取法律咨询，或为了确立、行使或捍卫法律权利；

（5）数据控制者有合理的理由相信，转移是为了避免或减轻对数据主体的不利活动，且实际上无法获得数据主体的书面同意，如果可以获取同意，数据主体会给予同意；

（6）数据控制者已经采取了一切合理预防措施，并尽一切应尽的勤勉义务，以确保个人数据在该地的处理方式哪怕放在马来西亚也不会违反本法的要求，例如具有约束力的公司规则（BCR）、合同条款（目前得到认可的合同条款包括东盟MCC、欧盟SCC及其他专员确定的合同条款）、认证（目前得到认可的认证包括Europrivacy认证、法律服务运营隐私认证计划、APEC CBPR和APEC PRP）；

（7）转移是为保护数据主体的重大利益所必需。

如果数据控制者进行或计划将个人数据转移出马来西亚，则数据控制者必须通过个人数据保护通知或其他书面通知方式告知数据主体转移情况。

数据控制者跨境传输个人数据时应对个人数据的安全负责并保证跨境传输方式的安全性。数据控制者与第三方/数据处理者签订的合同应包含管理个人数据处理的条款，其中含个人数据安全方面规定。数据控制者应确保数据处理者遵守马来西亚数据保护立法规定。

数据控制者应保存个人数据跨境传输记录，其中包含接收方的详细信息（至少包括接收方名称、公司注册号（如有）、接收方DPO或其他相关人员的联系方式），个人数据被传输至的国家，传输的个人数据类型，传输目的，数据控制者认为必要的其他信息。

此外，数据控制者必须保存并维护能充分证明每次个人数据跨境传输均符合PDPA第129条规定，此类记录示例包括：

条件记录该国现行有与PDPA实质相似的法律；该机构确保对个人数据处理提供足够的保护，其保护水平至少相当于PDPA提供的保护水平- 转移影响评估（TIA）记录- TIA评估结果数据主体已同意转移- 个人数据保护通知- 数据主体同意记录转移对于数据主体和数据控制者之间合同的履行是必要的- 合同副本- 证明处理活动为履行合同所必要的证据数据控制者已经采取了一切合理预防措施，并尽一切应尽的勤勉义务，以确保个人数据在该地的处理方式哪怕放在马来西亚也不会违反本法的要求- BCR副本- 认证副本- 控制者与接收方签署的合同副本

（十一）数据主体权利

根据PDPA第4部分及2024年修正案，数据主体享有查阅复制权、更正权、可携权（2025年6月1日生效）、撤回同意的权利、防止可能造成损害或困扰的处理的权利、阻止直接营销目的处理的权利。

其中，防止可能造成损害或困扰的处理的权利是指除例外情形外，如果处理个人数据或为特定目的或方式处理个人数据，正在或可能对数据主体或其他人造成重大损害或重大困扰，且这种损害或困扰是不应该发生的，则数据主体可随时通过书面通知要求数据控制者在合理期限内停止或不开始为特定目的处理个人数据或以特定方式处理个人数据。

就数据主体权利响应时间，PDPA要求数据控制者在收到数据主体权利请求的21天内完成响应。

（十二）数据保护官（DPO）【2025年6月1日生效】

根据2024年修正案及《数据保护官指南》《个人数据保护指引-DPO任命》，满足如下条件的数据控制者和数据处理者都应任命一名或多名DPO：

• 涉及超过 20,000 名数据主体的个人数据；

• 涉及超过 10,000 名数据主体的敏感个人数据，包括财务信息；

• 需要定期和系统监测的活动；

• 其他紧急需求情况。

考虑到组织职能、结构和规模，同一人可被多名数据控制者和数据处理者任命为DPO，DPO可兼职或全职。DPO必须在马来西亚有住所（一年内在马来西亚实际居住至少180天）或便于联系，且精通马来语和英语。数据控制者和处理者应确定适当的资格标准、经验、技能和专业知识要求以便任命的DPO能恰当履行职责。所需的技能和专业知识包括了解马来西亚数据保护立法、理解业务运营和个人数据处理操作、理解信息技术和数据安全、具备较高的个人素质、有能力在组织内促进形成数据保护文化。DPO可由内部员工担任，也可外包（基于个人与机构签订的服务合同）。如通过合同任命，建议任命至少2年以确保稳定性。合同中需清晰简洁描述DPO的职责和义务。控制者或处理者还应确保在合同中要求外包组织在其内部指定一个人作为主要联络及负责人。

DPO需要在考虑个人数据处理操作风险并兼顾处理的性质、范围、背景、目的等履行如下职责，包括提供个人数据处理建议、提供数据保护法规应用支持服务、制定政策及监督遵守情况、应专员要求为数据保护影响评估提供支持和建议并进行监督、作为专员和数据主体的主要联络人、处理数据泄露和安全事件。

数据控制者和数据处理者应确保DPO及时、恰当参与所有个人数据保护相关事务，并支持DPO有效履行职责（包括授权、提供资源、为其访问个人数据和处理操作提供便利），为DPO提供培训。DPO应履行保密义务，具有独立性，不受不当指令约束，在履行职责时直接向控制者或处理者的高级管理层（或同层级）汇报。控制者和处理者不得因DPO履职行为将其解雇。DPO可履行其他职责和义务，但应确保不会导致利益冲突。控制者和处理者应为DPO创建专门的正式工作电子邮箱（需独立于其个人私人邮箱）以确保个人数据保护事务得到专业处理。如DPO离职或任期届满，控制者和处理者应在合理时间内重新任命并尽快任命一名临时的DPO，以便通过DPO专门的正式工作电子邮箱监控通信情况。

数据控制者应按照专员规定指导方针，向专员通知DPO任命情况并提供DPO业务联系信息（包括姓名、职位/头衔、工作电话号码、工作地址、工作电子邮箱地址或工作传真号码及其他类似非私人信息），数据控制者应在DPO任命之日起21天内通过个人数据保护系统（SPDP，https://daftar.pdp.gov.my/）完成注册，如现有DPO离职或任期届满，控制者应当在DPO离职或任期届满之日起14日内更新DPO注册信息。

数据控制者和处理者应在以下全部或部分渠道公布DPO业务联系信息，包括官网或其他官媒、隐私政策、安全政策及指南。

数据控制者和处理者还应保存DPO任命记录。

（十三）安全要求

根据PDPA第9条，数据控制者、处理者必须采取切实可行的措施保护个人数据，以免丢失、滥用、修改、未经授权或意外访问或披露、更改或破坏，其中需要考虑个人数据的性质以及发生安全事件可能造成的损害，个人数据存储的地点，存储个人数据的任何设备所包含的安全措施，为确保访问个人数据的人员的可靠性、完整性和能力等而采取的措施，为确保个人数据安全传输所采取的措施。

除前述要求外，PDPS还详细规定了以电子方式处理个人数据和以非电子方式处理数据的安全要求。[5]

（十四）数据安全事件处置【2025年6月1日生效】

根据2024年修正案及《数据泄露通知指南》《个人数据保护指引-数据泄露通知》，当数据控制者有理由认为发生了个人数据泄露事件，且该事件导致或可能导致“重大伤害”时（包括可能导致身体伤害、经济损失、对信用记录产生负面影响，或财产损坏或丢失；可能被用于非法目的；包含敏感个人信息；包含个人数据和其他数据，这些信息结合起来可能导致身份欺诈；规模重大：受影响数据主体数量超过1000人），应当在可行情况下尽快按照专员规定的方式和形式通知专员。在泄露发生后72小时内，数据控制者应向专员提供以下信息：

• 已发生的个人数据泄露详情，包括：数据控制者发现个人数据泄露的日期和时间；个人数据的类型和个人数据泄露的性质；确定个人数据泄露的方法以及被认为是个人数据泄露原因的因素；受影响的数据主体数量；估计受影响的数据记录数量；受影响的导致此次泄露发生的个人数据系统；

• 个人数据泄露可能产生的后果；

• 导致个人数据失控的事件时间线；

• 数据控制者已采取或拟采取的应对泄露的措施，包括已采取或计划采取的减轻个人数据泄露可能造成的不良影响的措施；

• 已采取或拟采取的应对受影响数据主体的措施；

• DPO的详细信息或其他相关联系信息，以便获取有关个人数据泄露的更多信息。

通知方式包括以下三种：

• 填写JPDP官网提供的通知表，网址为www.pdp.gov.my；

• 填写《个人数据保护指引-数据泄露通知》附录B中的通知表，并将其发送至dbnpdp@pdp.gov.my；

• 填写《个人数据保护指引-数据泄露通知》附录B中的通知表，并将纸质副本提交给专员。

收到通知后，专员会向控制者发送确认通知，如无此确认通知，视为专员未收到通知。个人数据泄露事件涉及多个数据控制者，则每个控制者都应向专员提交单独的数据泄露通知。

如数据控制者未在72小时内向专员通知个人数据泄露事件，数据控制者应说明延迟原因，并附上支持性证据。如果特定情况下，数据控制者无法同时提供前述通知信息，则应尽快分阶段向专员提供前述通知信息，最迟不得超过通知之日起30天。此外，数据控制者应整理有关个人数据泄露通知的纸质和电子记录。该记录应至少保存自泄露发生之日起2年。应专员要求，数据控制者应向其提供记录或任何通知文件。

若个人数据泄露事件导致或可能对数据主体造成重大伤害（除规模重大外，与向专员通知的条件一致），数据控制者应将个人数据泄露通知每个数据主体。在数据控制者向专员发出泄露通知后7天内，数据控制者应向受影响的数据主体提供如下信息：

• 已发生的个人数据泄露相关信息；

• 个人数据泄露可能产生的后果详情；

• 数据控制者已采取或拟采取的应对个人数据泄露的措施，包括为减轻个人数据泄露可能造成的不良影响而采取的适当措施；

• 受影响的数据主体可以采取的消除或减轻个人数据泄露可能造成的不良影响的措施；

• DPO的详细信息或其他相关联系信息，以便获取有关个人数据泄露的更多信息。

数据控制者应采取切实可行方式，以区别于其他信息的方式，使用易于理解的语言，通知每位受影响的数据主体，使他们能够采取必要的预防措施或其他措施。如果已进行的通知不可行或需要付出不合理的努力，数据控制者可采取替代通知方式（如公开通知或类似方法）以便有效通知数据主体。

除专员通知、数据主体通知外，数据控制者应采取合理措施，调查个人数据泄露的原因，并立即实施应对措施以降低个人数据泄露的风险。根据调查结果，控制者应评估导致个人数据泄露的漏洞，并采取适当的纠正和预防措施，以防止此类泄露事件再次发生。

为管理个人数据泄露事件，数据控制者应当提供适当的数据泄露管理和响应计划，其中涵盖识别和报告个人数据泄露的程序，利益相关方的角色和责任，遏制和减轻违规影响的措施，确定是否有必要通知专员或数据主体的措施，通知专员或数据主体的沟通计划，事件后调查。此外，数据控制者还应定期进行培训。

数据控制者可自行决定记录个人数据泄露的方式和格式，但记录方式应清晰简洁，并保存个人数据泄露事件相关记录并自向专员通知个人数据泄露之日起至少保存2年。如未向专员或数据主体通知，则应自数据控制者意识到个人数据泄露之日起保存。记录应包含如下内容：个人数据泄露事件详情，该个人数据泄露可能产生的后果详情，导致个人数据泄露的事件时间线描述，为处理该个人数据泄露而采取的遏制和恢复措施，向专员/数据主体通知的详细情况以及未进行报告的理由。应专员要求，数据控制者应提供前述记录。

违反通知专员义务，构成犯罪，经定罪可能面临最高25万马币的罚款、或者最长两年的监禁，或两者并罚。

除前述通知义务外，数据控制者还需遵守其他适用的通知义务，包括数据泄露涉及犯罪活动，需向马来西亚皇家警察报告；涉及行业数据泄露，向行业监管机构报告；关键信息基础设施实体需向国家网络安全机构负责人或者国家关键信息基础设施行业主管报告等。

（十五）数据处理记录

根据PDPA第44条和第101条、PDPR第3节，数据控制者应保存和维护任何已由其处理或者正在由其处理的个人数据相关的申请、通知、请求或任何其他信息的记录（包括同意记录、隐私政策记录、对外提供记录、安全政策、存储记录、遵守完整性标准的记录、DPO任命记录、个人数据泄露通知记录、个人数据跨境传输记录等），记录保存方式和形式由专员确定，应专员要求提供相应记录。

三、汽车领域高频场景数据隐私合规要点

（一）汽车营销场景

1、隐私政策：

根据PDPA第7、43条及GCOP第10.6条，直接营销是指通过任何方式向特定个人传达任何广告或营销材料。车企通过使用特定数据主体的个人数据来向该数据主体发送广告或营销材料，应通过其隐私政策通知数据主体，或者在隐私政策中未提及此类营销情况时，需在开展直接营销活动之前获得数据主体的同意。只有在满足以下条件：

（1）已获得数据主体同意；

（2）为销售产品/提供服务收集个人数据；

（3）已告知数据主体直接营销机构的身份及收集和披露的目的；

（4）提供给数据主体的产品/服务与数据控制者通常提供的产品/服务类似；或

（5）数据控制者承诺在收集个人数据时，为数据主体提供退出选项。

2、数据主体权利：

根据PDPA第43条及GCOP第10.6条，数据主体可随时书面通知数据控制者，要求数据控制者在合理期限结束时停止或不开始为直接营销目的而处理其个人数据。如接到客户此类请求，车企应尽快响应处理。如果数据主体提出书面请求，要求接收某些直接营销材料而不接收其他材料，若数据控制者系统无法区分不同类型的直接营销材料，数据控制者可选择不向该主体提供所有直接营销材料。

（二）汽车金融场景

1、通知及合法性基础：

如涉及向银行、融资租赁公司等金融机构提供客户数据的，根据PDPA第7条，车企应当在隐私政策中说明将个人数据提供给的第三方及其目的，及确保披露过程安全的措施。如果将客户数据用于收集时拟披露目的或直接相关目的之外的其他目的或提供给隐私政策中披露的接收方以外的第三方，车企应获得客户同意或满足对外提供的例外条件。

2、建立对外提供清单：

根据PDPR第5条、PDPA第101条，涉及向第三方披露客户数据的，需要建立对外提供清单，并应专员要求随时出示该清单。

3、银行与金融行业特殊规定：

马来西亚有发布《银行与金融行业个人数据保护行为准则》[6]，如车企在马来西亚经营汽车金融业务，根据《2013年金融服务法》和《2013年伊斯兰金融服务法》等获得相应许可，需通过SPDP进行注册，并需遵守《银行与金融行业个人数据保护行为准则》有关要求。

（三）车联网场景

遵循数据保护一般规则：

车联网场景下，车企仍应遵守数据保护一般规则（参见第二部分）。

（四）充电场景

充电系统要求：

根据马来西亚《电动车辆充电系统（EVCS）指南》，车辆充电系统应满足安装、操作、维护、电能质量干扰、许可等方面要求。其中，为满足操作要求，应定期报告充电设施和设备的当前状况及情况（使用中、故障等）并可定期监测使用模式和耗电量。为满足维护要求，电气设施的所有者或运营者需要准备好如下材料，包括

• 安装资产清单及其位置；

• 基于风险评估制定的维护活动计划（应包含检查/测试计划，维护计划，对接近使用寿命终点的部件的更换计划）；

• 已进行的维护活动记录（电气安装的设计、施工、运行、检查、测试和维护的所有记录均应保存、定期更新，并且应可供相关授权人员查阅）；

• 各种电气情况下的进入要求；

• 隔离和挂牌/上锁程序；

• 工作许可证 （PTW）及审批流程；

• 在决定对带电装置进行作业前应遵守的安全规则；

• 应急计划（如火灾、爆炸、电击）；在受限空间作业时应采取的特殊预防措施。

（五）自动驾驶场景

遵循数据保护一般规则：

截至目前，马来西亚尚未正式出台有关自动驾驶的专门立法框架，但已启动相关立法准备工作。现阶段，车企在研发设计自动驾驶系统时，应遵守数据保护一般规则（参见第二部分）。

（六）售后维修及保险

1、遵循数据保护一般规则：

售后维修及保险场景下，车企仍应遵守数据保护一般规则（参见第二部分）。

2、遵守保险行业特殊规定：

马来西亚有发布《保险行业个人数据保护实践准则》[7]，如车企在马来西亚经营汽车保险业务，根据《2013年金融服务法》和《2013年伊斯兰金融服务法》获得相应许可，需通过SPDP进行注册，并需遵守《保险行业个人数据保护实践准则》有关要求。

（七）OTA汽车远程升级

遵循R156相关要求：

马来西亚是联合国《1958年协定书》的缔约方。根据联合国有关R156的适用国家及生效时间文件（16.156) United Nations Regulation No. 156. UN Regulation on uniform provisions concerning the approval of vehicles with regards to software update and software updates management system）[8]，R156在2021年即对马来西亚生效。[9]因此，车企在马来西亚同样应当遵循R156中关于OTA的相关要求。

（八）通信与多媒体持证人

1、许可证：

车企在出海马来西亚时，还需特别关注《1998年通信与多媒体法案》《2024年通讯及多媒体（许可）（修订）（第2号）规例》及《2024年通讯及多媒体（许可）（豁免）（修订）命令》[10]，其中规定从事特定许可活动，需要取得相应许可证。如果车企在当地自行搭建数据中心，数据中心涉及网关、交换、宽带、接入应用等服务的，需申请网络服务提供商许可证（NSP）。如拥有或提供网络设施（如固定链路、电缆、无线电通信、与其他网络设施链接的发射机、链路等），需申请网络设施提供商许可证（NFP）。如提供互联网接入、云服务等应用服务，需申请应用服务提供商许可证（ASP）。[11]在马来西亚拥有800万以上用户的社交媒体服务和互联网短信服务提供商，应取得应用服务提供商许可证。[12]

2、数据控制者注册：

如果车企构成《1998年通信和多媒体法案》项下的持证人，属于需注册的控制者类别，应落实注册义务。

3、遵守通信和多媒体行业特殊规定：

如果车企构成《1998年通信和多媒体法案》项下的持证人，还需额外遵守《通信行业个人信息保护行为准则》[13]的要求。

注释：

[1]参见：https://www.pdp.gov.my/ppdpv1/akta/tataamalan-umum-perlindungan-data-peribadi/

[2]参见：https://www.privacyworld.blog/2024/08/malaysia-pushes-out-groundbreaking-amendment-to-personal-data-protection-act-impact-on-businesses/

[3]具体涵盖的数据控制者类别包括：1.通信（根据1998年通信与多媒体法案的持证人；根据2012年邮政服务法案的持证人）；2.银行和金融机构（根据2013年金融服务法案的持牌银行和持牌投资银行；根据2013年伊斯兰金融服务法案的持牌伊斯兰银行和持牌国际伊斯兰银行；根据2002年开发金融机构法案的开发金融机构）；3.保险（根据2013年金融服务法案的持牌保险公司；根据2013年伊斯兰金融服务法案的持牌伊斯兰保险经营者；根据2013年伊斯兰金融服务法案的持牌国际伊斯兰保险经营者）；4.健康（根据1998年私人医疗保健机构与服务法案的持证人；根据1998年私人医疗保健机构与服务法案持有私人诊所或私人牙科诊所注册证书的机构；根据1951年药剂师注册法案注册的公司法人）；5.旅游和酒店业（根据1992年旅游业法案经营或运营旅游培训机构、持牌旅行社、持牌旅游代理或持牌导游的持牌人员；根据1992年旅游业法案经营或运营注册旅游住宿场所的人员）；6.运输（某些指定的运输服务提供商）；7.教育（根据1996年私立高等教育机构法案注册的私立高等教育机构；根据1996年教育法案注册的私立学校或私立教育机构）；8.直销（根据1993年直销与反金字塔计划法案的持证人）；9.服务（根据1965年公司法注册的公司或根据1961年合伙企业法结成合伙关系从事以下业务的人员：法律、审计、会计、工程、建筑；根据1965年公司法注册的公司或根据1961年合伙企业法结成合伙关系，从事1961年控制供应法案所定义的零售和批发交易的人员；根据1965年公司法注册的公司或根据1961年合伙企业法结成合伙关系，根据1981年私人就业机构法案经营私人就业机构业务的人员）；10.房地产（根据1966年房屋发展（控制与执照）法案的持牌房屋开发商；根据1978年房屋发展（控制与执照）法令（沙巴）的持牌房屋开发商；根据1993年房屋开发商（控制与执照）条例（砂拉越）的持牌房屋开发商）；11.公用事业（某些指定的公用事业服务提供商）；12.当铺（根据1972年当铺法案的持证人）；13.放债人（根据1951年放债人法案的持证人）。

[4]参见：https://www.pdp.gov.my/ppdpv1/buku-garis-panduan-pemindahan-data-peribadi-rentas-sempadan-cbpdt/

[5]参见：https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-standard-2015/

[6]参见：https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-code-of-practice-for-banking-sector-and-financial-institutions/

[7]参见：https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-practices-for-the-insurance-and-takaful-industry-in-malaysia/

[8]参见：https://treaties.un.org/doc/Publication/MTDSG/Volume%20I/Chapter%20XI/XI-B-16-156.en.pdf

[9]参见：https://unece.org/zh-hans/info/publications/pub/21957

[10]参见：https://insightplus.bakermckenzie.com/bm/technology-media-telecommunications_1/malaysia-licensing-of-social-media-and-internet-messaging-service-providers-from-1-january-2025-onwards

[11]参见：https://mp.weixin.qq.com/s?__biz=MjM5ODI5MzI0NA==&mid=2651625919&idx=2&sn=87a7884374ad5b9ac5f2d4bc8ff63900&chksm=bcd80dba9e54d1f017ffdb678dd616f965fea823c119d24fd291a1298825b10098a3657a8584#rd

[12]参见：注释9。

[13]参见：https://www.pdp.gov.my/ppdpv1/en/akta/personal-data-protection-code-of-practice-for-the-communications-sector/

（原标题：汽车出海法律观察系列（五）｜汽车出海数据合规（马来西亚篇））

来源：北京市竞天公诚律师事务所

作者：

• 袁立志，竞天公诚律师事务所合伙人、注册信息隐私专业人员（CIPP/E）、注册信息隐私管理人员（CIPM）、注册信息安全专业人员（CISP）；业务领域：网络与数据法、前沿科技法律服务，为众多知名的互联网、大数据、人工智能、自动驾驶、航空等；联系方式：电话：010-58091211、021-2613 6222；邮箱：yuan.lizhi@jingtian.com

• 蒋月珍，竞天公诚律师事务所律师；联系方式：电话：021-26135911，邮箱：jiang.yuezhen@jingtian.com

特别声明：竞天公诚律师事务所严格遵守对客户的信息保密义务，本篇所涉客户及项目内容均取自公开信息或征得客户同意。本篇观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的法律意见。如您有任何法律问题或需要法律意见,请与本所联系。