دليل الامتثال لموافقة ملفات تعريف الارتباط وفق تعديل قانون PDPA الماليزي لعام 2024 للناشرين في 2026

كان قانون حماية البيانات الشخصية الماليزي لعام 2010، حين دخل حيز التنفيذ عام 2013، من أوائل التشريعات الشاملة للخصوصية في جنوب شرق آسيا. طوال عقده الأول، كان المعيار التشغيلي خفيفاً نسبياً: إذ اعتمد Personal Data Protection Department (JPDP، ويُعرف الآن بـ PDP) نظاماً نشطاً لتسجيل مستخدمي البيانات في سبع فئات من الأنشطة المشمولة، غير أن التطبيق على المشغلين الإلكترونيين العامين كان معتدلاً وكان معيار الموافقة يُفسَّر على نطاق واسع تفسيراً مرناً. غيّر قانون التعديل لعام 2024، الذي حصل على Royal Assent في October 2024 ودخل حيز التنفيذ على مراحل طوال عام 2025، هذا الوضع جوهرياً. أدخل التعديل ضباطاً إلزاميين لحماية البيانات للمتحكمين الذين يتجاوزون الحدود المقررة، وإشعاراً إلزامياً بالاختراق في غضون 72 ساعة، وحق نقل البيانات، وجهة تنظيمية معادة التسمية بصلاحيات تطبيق أكثر حدة، وأعاد التأكيد على متطلبات نقل البيانات عبر الحدود التي كانت مطبقة بشكل غامض في ظل القانون الأصلي. يمثل PDPA المعدَّل للناشرين ومشغلي SaaS الذين يخدمون حركة المرور الماليزية — سوق يضم أحد أكثر الأنظمة البيئية نشاطاً في مجال التكنولوجيا المالية والاقتصاد الرقمي في ASEAN — تحولاً تشغيلياً ذا معنى. يستعرض هذا الدليل ما تغير في عام 2024، وكيف فسّر PDP معيار الموافقة المعدَّل للتتبع الإلكتروني، وأين يجب أن يتركز العمل التطبيقي الفعلي.

PDPA في 2026 — ملخص ما بعد التعديل

يستمر PDPA المعدَّل في هيكلته حول سبعة مبادئ في Section 5: العام، والإشعار والاختيار، والإفصاح، والأمن، والاحتفاظ، وسلامة البيانات، والوصول. يُعدّ مبدأ الإشعار والاختيار في Section 7 الأكثر أهمية لموافقة ملفات تعريف الارتباط، إذ يشترط على مستخدمي البيانات تقديم إشعار مكتوب باللغتين الإنجليزية وBahasa Malaysia والحصول على الموافقة (أو الاعتماد على أساس بديل في Section 6) قبل المعالجة.

ثلاثة تغييرات هيكلية من تعديل 2024 تهم الناشرين الإلكترونيين تشغيلياً. أولاً، يملك Personal Data Protection Department المعاد تسميته الآن صلاحية صريحة لفرض عقوبات إدارية مرتبطة بنسبة مئوية من الإيرادات السنوية، محلاً لنظام الغرامات الثابتة القديم. ثانياً، يسري تعيين DPO الإلزامي بموجب Section 12A على المتحكمين الذين يتجاوزون حدوداً محددة — إذ يتجاوز معظم الناشرين المدعومين بالإعلانات ومشغلي SaaS تلك الحدود. ثالثاً، تشترط Section 12B الجديدة إشعار PDP بالاختراق في غضون 72 ساعة من الإدراك، مع إشعار أصحاب البيانات المتضررين متى كان الضرر الجسيم محتملاً.

كيف يعالج PDPA المعدَّل ملفات تعريف الارتباط والتتبع الإلكتروني

لا يتضمن PDPA حكماً خاصاً بملفات تعريف الارتباط. تنبثق التزامات الموافقة والمعلومات من Sections 5 و6 و7 من القانون ومن ورقة المشاورة العامة الصادرة عن PDP عام 2025 Public Consultation Paper on Online Tracking، التي صاغت توقعات الجهة التنظيمية بعد التعديل فيما يخص لافتات ملفات تعريف الارتباط والإعلانات السلوكية. أربع نقاط ذات أثر تشغيلي بالغ.

الموافقة الصريحة على التتبع غير الأساسي

رفضت ورقة المشاورة لعام 2025 الموافقة الضمنية والاستمرار في الاستخدام والمربعات المحددة مسبقاً بوصفها مخالفة لمبدأ الإشعار والاختيار عند تفسيره في السياق الإلكتروني. يُشترط إجراء تأكيدي صريح لملفات تعريف الارتباط غير الأساسية، مما يُوائم الممارسة الماليزية مع موقف EDPB Cookie Banner Taskforce.

اشتراط الإشعار الثنائي اللغة

تشترط Section 7(3) أن تكون إشعارات الخصوصية وآلية الموافقة متاحة باللغتين الإنجليزية وBahasa Malaysia. كان هذا سمة من سمات القانون الأصلي التي أكد عليها التعديل؛ وبات PDP أكثر صراحة في أن اللافتات الإنجليزية أحادية اللغة لا تلبّي هذا الاشتراط للجماهير التي تخدم المقيمين الماليزيين.

ضوابط الفئات التفصيلية

تتوقع ورقة المشاورة أن تتيح اللافتات للمستخدم قبول ورفض الفئات باستقلالية. تُعدّ لافتة القبول الشامل بزر واحد دون تفصيل عيباً في ضوء قراءة التناسب من Section 5(c) (لا ينبغي أن يكون جمع البيانات «مفرطاً»).

النقل عبر الحدود (Section 129)

كانت Section 129 من PDPA الأصلي تشترط أن تكون عمليات النقل عبر الحدود إلى متلقٍّ في بلد «مدرج في القائمة البيضاء» (قائمة كان المسؤول ملزماً بإصدارها لكنه لم يفعل ذلك بفاعلية). يستبدل تعديل 2024 هذا بإطار أكثر قابلية للتطبيق: يمكن المضي في عمليات النقل إلى ولايات قضائية ذات حماية مماثلة، أو بموجب ضمانات تعاقدية مناسبة، أو بموافقة صريحة. وقد أصدر PDP بنوداً تعاقدية نموذجية مماثلة لـ EU SCCs.

نهج PDP التطبيقي في 2026

يختلف نهج Personal Data Protection Department بعد التعديل عن نهجه قبله في ثلاثة أوجه ملحوظة.

عمليات المسح القطاعي الفاعلة

أولى PDP أولوية لقطاعات التكنولوجيا المالية والتجارة الإلكترونية والإقراض الرقمي في عمليات المسح الاستباقية منذ دخول التعديل حيز التنفيذ. تبدأ هذه العمليات عادةً بتدقيق في التسجيل وتتصاعد إلى فحص أشمل إذا لم يكن التسجيل محدثاً.

غرامات أعلى جاهزية للأضواء

أسفر نظام العقوبات الإدارية الجديد عن غرامات أكبر وأوسع حضوراً علنياً مقارنة بنموذج الغرامات الثابتة القديم. تلقّت عدة شركات اتصالات وتكنولوجيا مالية غرامات بالأرقام ثمانية بالرينغت في 2025، استخدمها PDP لإيصال رسالة مفادها أن التعديل يمتلك أسناناً حقيقية.

التنسيق التنظيمي في ASEAN

يشارك PDP في منظومة عمل ASEAN Data Management Framework وينسق مع PDPC سنغافورة وPDPC تايلاند وNPC الفلبين. باتت التحقيقات العابرة للحدود التي تشمل حركة مرور ماليزية وحركة ASEAN الأخرى تُعالج بصورة متزايدة عبر إجراءات منسقة.

قائمة التحقق التطبيقية العملية

ستة أسئلة محددة للإجابة عنها لأي لافتة موافقة تخدم الحركة الماليزية.

مكانة ماليزيا في منظومة الولايات القضائية المتعددة

تُعدّ ماليزيا من أكثر أنظمة حماية البيانات في ASEAN أهمية تشغيلياً، إلى جانب سنغافورة وتايلاند والفلبين. أغلق تعديل 2024 معظم الفجوة بين PDPA الأصلي وGDPR، مما يعني أن بنية CMP المبنية وفق المعايير الأوروبية تعالج الجزء الأكبر من الامتثال الماليزي بثلاثة إضافات محددة: لافتة وإشعار ثنائي اللغة (إنجليزي + Bahasa Malaysia)، وتسجيل PDP حيث تنطبق حدود الفئة المشمولة، وسير عمل إشعار الاختراق بموجب Section 12B مع ساعة 72 ساعة. بالنسبة للناشرين الساعين نحو عمليات ASEAN الشاملة، يُمثّل PDPA المعدَّل قالباً ذا معنى — إذ يُرجَّح أن تستلهم القوانين الإقليمية الأحدث من هيكله — والإضافات التشغيلية قابلة للتحقيق على قمة منظومة موافقة أوروبية المستوى مُنشأة بالفعل.

← المدونة قراءة الكل →