Gabay sa Pagsunod sa Cookie Consent ng Malaysia PDPA 2024 Amendment para sa mga Publisher noong 2026
Ang Personal Data Protection Act 2010 ng Malaysia, nang magkabisa ito noong 2013, ay isa sa mga unang komprehensibong batas sa privacy sa Timog-silangang Asya. Sa unang dekada nito, ang pamantayan sa operasyon ay medyo magaan: ang Personal Data Protection Department (JPDP, ngayon ay PDP) ay nagpapatakbo ng aktibong rehimen ng pagpaparehistro para sa mga gumagamit ng datos sa pitong uri ng aktibidad, ngunit ang pagpapatupad laban sa mga pangkalahatang online operator ay katamtaman at ang pamantayan sa pahintulot ay malawakang binibigyang-kahulugan bilang permissive. Ang 2024 Amendment Act, na nakatanggap ng Royal Assent in October 2024 at pumasok sa bisa sa mga yugto sa buong 2025, ay malaki ang pagbabago sa postura na iyon. Ang pagbabago ay nagpakilala ng mga mandatory na Data Protection Officer para sa mga controller na higit sa mga threshold, mandatory na abiso sa paglabag sa loob ng 72 oras, ang karapatang ilipat ang data, isang pangalan na binago na regulator na may mas malinaw na awtoridad sa pagpapatupad, at muling pinatibay ang mga kinakailangan sa cross-border transfer na hindi malinaw na isinagawa sa ilalim ng orihinal na Batas. Para sa mga publisher at SaaS operator na nagsisilbi sa trapiko ng Malaysia — isang merkado na kinabibilangan ng isa sa mga pinaka-aktibong fintech at digital economy ecosystem sa ASEAN — ang binagong PDPA ay kumakatawan sa isang makabuluhang pagbabago sa operasyon. Ang gabay na ito ay dumadaan sa kung ano ang nagbago noong 2024, kung paano binibigyang-kahulugan ng PDP ang binagong pamantayan ng pahintulot para sa online tracking, at kung saan kailangang mag-focus ang praktikal na gawain sa pagsunod.
Ang PDPA noong 2026 — Post-Amendment na Balangkas
Ang binagong PDPA ay patuloy na nakaayos sa paligid ng pitong prinsipyo sa Section 5: Pangkalahatan, Abiso at Pagpipilian, Pagsisiwalat, Seguridad, Pagpapanatili, Integridad ng Data, at Access. Ang Prinsipyo ng Abiso at Pagpipilian sa Section 7 ang pinakamahalaga para sa cookie consent, na nangangailangan ng mga gumagamit ng data na magbigay ng nakasulat na abiso sa parehong English at Bahasa Malaysia at makakuha ng pahintulot (o umasa sa isang alternatibong batayan sa Section 6) bago ang pagpoproseso.
Tatlong istrukturang pagbabago mula sa 2024 amendment ang mahalaga sa operasyon para sa mga online publisher. Una, ang pangalan na binago na Personal Data Protection Department ay mayroon na ngayong malinaw na awtoridad na magpataw ng mga administratibong parusa na nakatali sa isang porsyento ng taunang kita, na pinapalitan ang mas lumang flat-fine na rehimen. Pangalawa, ang mandatory na pagdedisensyo ng DPO sa ilalim ng Section 12A ay naaangkop sa mga controller na higit sa mga tinukoy na threshold — karamihan sa mga ad-supported na publisher at SaaS operator ay lumalagpas sa mga threshold na ito. Pangatlo, ang bagong Section 12B ay nangangailangan ng abiso sa paglabag sa PDP sa loob ng 72 oras mula sa kaalaman, na may abiso sa mga apektadong data subject na kinakailangan kapag malamang ang malaking pinsala.
Paano Tinatrato ng Binagong PDPA ang mga Cookie at Online Tracking
Ang PDPA ay walang naglalaman ng cookie-specific na probisyon. Ang mga obligasyon sa pahintulot at impormasyon ay nagmumula sa Sections 5, 6, at 7 ng Batas at mula sa 2025 Public Consultation Paper ng PDP sa Online Tracking, na nagpahayag ng mga inaasahan ng regulator pagkatapos ng pagbabago para sa mga cookie banner at behavioral advertising. Apat na punto ang may pinakamalaking epekto sa operasyon.
Affirmative na pahintulot para sa hindi-mahalaga na tracking
Ang 2025 Public Consultation Paper ay tinanggihan ang implied na pahintulot, patuloy na paggamit, at mga pre-ticked na kahon bilang nabigo sa Prinsipyo ng Abiso at Pagpipilian kapag binibigyang-kahulugan sa online na konteksto. Ang isang malinaw na affirmative na aksyon ay kinakailangan para sa mga hindi-mahalaga na cookie, na iniaayos ang ugali ng Malaysia sa posisyon ng EDPB Cookie Banner Taskforce.
Kinakailangan ng dalawahang wika para sa abiso
Ang Section 7(3) ay nangangailangan na ang abiso sa privacy at mekanismo ng pahintulot ay magagamit sa parehong English at Bahasa Malaysia. Ito ay isang tampok ng orihinal na Batas na muling pinatibay ng pagbabago; ang PDP ay lalong malinaw na ang mga single-language na English banner ay hindi nagtatupad ng kinakailangan para sa mga audience na nagsisilbi sa mga residente ng Malaysia.
Granular na mga kontrol sa kategorya
Ang Consultation Paper ay inaasahan na ang mga banner ay nagpapahintulot sa gumagamit na tanggapin at tanggihan ang mga kategorya nang nagsasarili. Ang single-button accept-all nang walang granularity ay tinatrato bilang isang depekto sa ilalim ng proporsyonalidad na pagbabasa ng Section 5(c) (ang koleksyon ay hindi dapat maging "labis").
Cross-border transfer (Section 129)
Ang Section 129 ng orihinal na PDPA ay nangangailangan na ang mga cross-border transfer ay sa isang tatanggap sa isang "whitelisted" na bansa (isang listahan na dapat panatilihin ng Ministro ngunit hindi kailanman epektibong nailathala). Ang 2024 Amendment Act ay pinapalitan ito ng mas praktikal na balangkas: ang mga transfer ay maaaring magpatuloy sa mga hurisdiksyon na may maihahambing na proteksyon, o sa ilalim ng naaangkop na kontraktwal na mga pananggalang, o sa pamamagitan ng malinaw na pahintulot. Ang PDP ay naglabas ng mga modelo na kontraktwal na sugnay na katulad ng EU SCCs.
Ang Postura ng PDP sa Pagpapatupad noong 2026
Ang postura ng Personal Data Protection Department pagkatapos ng pagbabago ay naiiba sa pre-amendment na pamamaraan nito sa tatlong napapansing paraan.
Mga aktibong sektoral na sweep
Ang PDP ay inuna ang mga sektor ng fintech, e-commerce, at digital lending para sa mga proactive na sweep mula nang magkabisa ang pagbabago. Ang mga sweep na ito ay karaniwang nagsisimula sa isang audit sa pagpaparehistro at escalate sa isang mas malawak na inspeksyon kung ang pagpaparehistro ay hindi kasalukuyan.
Mga multa na may mas mataas na profile
Ang bagong administratibong rehimen ng parusa ay nagbunga ng mas malalaki at mas hayagang nakikitang multa kaysa sa mas lumang flat-fine na modelo. Ilang telecom at fintech operator ang nakatanggap ng eight-figure na ringgit na parusa noong 2025, na ginamit ng PDP upang ipahayag na ang pagbabago ay may tunay na ngipin.
Koordinasyon ng regulatoryo ng ASEAN
Ang PDP ay lumalahok sa ASEAN Data Management Framework workstream at nakikiugnayan sa PDPC ng Singapore, PDPC ng Thailand, at NPC ng Philippines. Ang mga cross-border na imbestigasyon na kinasasangkutan ng trapiko ng Malaysia at iba pang ASEAN ay lalong pinamamahalaan sa pamamagitan ng mga koordinadong pamamaraan.
Isang Praktikal na Checklist sa Pagsunod
Anim na konkretong tanong na dapat sagutin para sa anumang cookie banner na nagsisilbi sa trapiko ng Malaysia.
- Nakarehistro ba ang controller sa PDP? Kung ang pagpoproseso ay nasa loob ng isang saklaw na klase, kumpirmahin na ang pagpaparehistro ay kasalukuyan. Ang 2024 Amendment Act ay nagpalawak ng praktikal na saklaw ng pagpaparehistro.
- May itinalagang DPO ba? Ang Section 12A ay nangangailangan ng pagdedisensyo na higit sa mga threshold. Kumpirmahin na ang pagdedisensyo ay dokumentado at ang mga detalye ng pakikipag-ugnayan ng DPO ay nailathala sa abiso sa privacy.
- Dalawahang wika ba ang abiso? Ang parehong English at Bahasa Malaysia ay kinakailangan sa ilalim ng Section 7(3).
- May malinaw bang first-layer reject? Ang landas ng pagtanggi ay dapat nasa parehong ibabaw ng pagtanggap. Ang scroll-as-consent ay nabigo sa 2025 Public Consultation Paper.
- Dokumentado ba ang mga cross-border transfer? Tukuyin ang bawat destinasyon na hindi Malaysia at ang mekanismo ng Section 129 na nagpapahintulot sa transfer.
- Nakawire ba ang pagtugon sa paglabag? Kumpirmahin na ang mga insidente na may kaugnayan sa cookie ay nagti-trigger ng workflow ng abiso ng Section 12B na may 72-oras na orasan mula sa kaalaman.
Kung Saan Naaangkop ang Malaysia sa isang Multi-Jurisdiction na Stack
Ang Malaysia ay isa sa apat na pinaka-operasyonal na makabuluhang rehimen ng proteksyon ng data ng ASEAN kasama ang Singapore, Thailand, at Philippines. Ang 2024 Amendment Act ay nagsara ng karamihan sa agwat sa pagitan ng orihinal na PDPA at ng GDPR, na nangangahulugang ang isang CMP na arkitektura na itinayo sa mga pamantayang European ay ngayon ay humahawak ng bulk ng pagsunod ng Malaysia na may tatlong tiyak na dagdag: dalawahang wika (English + Bahasa Malaysia) na banner at abiso, pagpaparehistro ng PDP kung saan naaangkop ang mga threshold ng saklaw na klase, at ang workflow ng abiso sa paglabag ng Section 12B na may 72-oras na orasan. Para sa mga publisher na nagtatayo patungo sa mga operasyon ng pan-ASEAN, ang post-amendment na PDPA ay isang makabuluhang template — malamang na ang mga mas bagong batas ng rehiyon ay kukuha sa istruktura nito — at ang mga karagdagan sa operasyon ay mahahawakan sa ibabaw ng isang naka-deploy na European-grade na consent stack.