正面写字:本文共1600多字,预计阅读时间2分钟!
随着经济全球化的加剧和中国与东南亚国家经济文化交流的不断深化,东南亚已成为中国企业开展海外业务的重要目标之一。 然而,由于东南亚不同国家之间的数字商务环境存在巨大差异,在该地区投资的公司往往面临数据合规挑战。 本文旨在为中国企业在马来西亚拓展海外业务提供跨境数据合规指南。
数据保护法律法规体系
马来西亚**非常重视数字经济、工业和网络安全问题。 2010年颁布的《个人数据保护法》**填补了马来西亚在个人信息保护方面的法律空白。 目前,马来西亚的数据保护法律体系主要由2010年颁布的《2010年个人数据保护法》(PDPA)及其相关配套法规以及特定领域的立法组成。
个人数据保护的主要特点**
识别“个人资料”的定义和准则:
根据PDPA第4条,个人数据被定义为与商业交易过程相关的所有信息,这些信息与数据主体直接或间接相关,可用于识别数据主体。 但是,欧盟的《通用数据保护条例》(GDPR)将“个人数据”定义为有关任何已识别或可识别的自然人的信息,其保护不仅限于来自商业交易的数据**。
在识别个人数据的标准方面,PDPA和欧盟GDPR是一致的,强调数据的“可识别”和“结构化”特征。 “可识别性”被认为是个人数据的一个关键属性,也是确定特定数据是否为个人数据的核心标准。 “结构化”性质要求个人数据必须通过自动化方式进行处理,或手动记录,但最终自动化并存储在归档系统等载体中。
被遗忘权(删除权)。
GDPR第17条首次明确规定了“被遗忘权(删除权)”。 根据该规定,数据主体有权要求数据控制者删除自己或第三方在互联网上发布的与其本人相关的、不合理的或可能对其社会评价产生负面影响的数据。 根据第17条第1款的规定,在六种情况下,数据主体有权要求数据控制者删除其个人信息,包括当个人数据控制者不再具有处理个人信息的任何法律依据或理由时,以及当数据主体撤回同意和授权时, 数据控制者有义务立即执行此请求。因此,删除数据不仅限于法定原因,也可能是由于数据主体撤回同意和授权。
相比之下,PDPA并没有赋予数据主体被遗忘的权利。 尽管该法第10条提到,当不再需要个人数据时,将不再保留个人数据,但这并不意味着个人有权被遗忘。 在PDPA中,数据删除必须基于法定理由,即不再需要保留数据,并且不能仅基于数据主体撤回同意或授权。
数据可移植性的权利
根据 GDPR 第 20 条,数据可移植性权利是指数据主体有权获取他或她提供给数据控制者的有关他或她的个人数据,并且此类数据应经过整理、常用和机器可读。 数据主体有权不受阻碍地将这些数据从一个数据控制者传输到另一个数据控制者。
与欧盟 GDPR 不同,PDPA 没有规定数据可移植性的权利。 虽然PDPA第30条规定,数据主体有权以文件的形式查看个人数据,并要求数据主体以可理解的形式将其个人信息的副本传输给他们,但它并未明确赋予数据主体将其个人数据转让给第三方的权利, 包括其他数据使用者。
数据保护官设置
根据欧盟GDPR,数据保护官必须对个人数据保护法律和实践有深入的了解,并可以直接向数据控制者或处理者的最高管理层报告。 此外,数据保护官必须在完全保密的情况下履行其职责,不得从事可能引起利益冲突的活动。 数据控制者或处理者必须向监管机构提供数据保护官的详细信息***,并应为数据保护官履行职责和保持其专业知识提供必要的资源。 相比之下,虽然PDPA要求设立数据保护官,但它并没有制定类似的规定。
强制登记资料使用者
为了有效规范和规范数据使用者的数据收集行为,PDPA对特定行业的数据使用者实施了强制注册制度。 这种登记制度的性质类似于我国企业的工商登记,相关监管部门只通过形式审查进行备案,而不进行实质审查。
马来西亚使用事后监督来规范数据使用者的行为,并强调信息披露的重要性。 2013年颁布的《保障个人资料(资料使用者)类别指令》及《保障个人资料(资料使用者登记)条例》就资料使用者的登记及管理订明具体条文。
感谢您的光临,期待您的关注,帮助您解决企业出海问题!