2026 में प्रकाशकों के लिए मलेशिया PDPA 2024 संशोधन कुकी सहमति अनुपालन गाइड
मलेशिया का व्यक्तिगत डेटा संरक्षण अधिनियम 2010, जब 2013 में लागू हुआ, तो दक्षिण-पूर्व एशिया में सबसे पहले व्यापक गोपनीयता क़ानूनों में से एक था। अपने पहले दशक में, परिचालन मानक अपेक्षाकृत हल्का था: Personal Data Protection Department (JPDP, अब PDP) सात आच्छादित गतिविधि वर्गों में डेटा उपयोगकर्ताओं के लिए एक सक्रिय पंजीकरण व्यवस्था चलाता था, लेकिन सामान्य ऑनलाइन ऑपरेटरों के खिलाफ प्रवर्तन मामूली था और सहमति मानक को व्यापक रूप से अनुमेय रूप में व्याख्यायित किया गया था। 2024 Amendment Act, जिसे Royal Assent in October 2024 मिला और 2025 के दौरान चरणों में लागू हुआ, ने उस रुख को काफी हद तक बदल दिया। संशोधन ने सीमा से ऊपर के नियंत्रकों के लिए अनिवार्य डेटा संरक्षण अधिकारी, 72 घंटों के भीतर अनिवार्य उल्लंघन अधिसूचना, डेटा पोर्टेबिलिटी का अधिकार, तेज़ प्रवर्तन प्राधिकरण के साथ एक नया नामित नियामक पेश किया, और सीमा-पार स्थानांतरण आवश्यकताओं की पुनः पुष्टि की जो मूल अधिनियम के तहत अस्पष्ट रूप से लागू की गई थीं। मलेशियाई ट्रैफ़िक सेवा देने वाले प्रकाशकों और SaaS ऑपरेटरों के लिए — एक बाज़ार जिसमें ASEAN के सबसे सक्रिय फिनटेक और डिजिटल अर्थव्यवस्था पारिस्थितिकी तंत्रों में से एक शामिल है — संशोधित PDPA एक सार्थक परिचालन बदलाव का प्रतिनिधित्व करता है। यह गाइड बताती है कि 2024 में क्या बदला, PDP ने ऑनलाइन ट्रैकिंग के लिए संशोधित सहमति मानक की कैसे व्याख्या की है, और व्यावहारिक अनुपालन कार्य कहाँ केंद्रित होना चाहिए।
2026 में PDPA — संशोधन के बाद का रूपरेखा
संशोधित PDPA Section 5 में सात सिद्धांतों के आसपास संरचित रहता है: सामान्य, सूचना और विकल्प, प्रकटीकरण, सुरक्षा, प्रतिधारण, डेटा अखंडता और पहुँच। Section 7 में सूचना और विकल्प सिद्धांत कुकी सहमति के लिए सबसे महत्वपूर्ण है, जिसके लिए डेटा उपयोगकर्ताओं को अंग्रेज़ी और Bahasa Malaysia दोनों में लिखित सूचना प्रदान करने और प्रसंस्करण से पहले सहमति प्राप्त करने (या Section 6 में एक वैकल्पिक आधार पर निर्भर करने) की आवश्यकता है।
2024 संशोधन के तीन संरचनात्मक बदलाव ऑनलाइन प्रकाशकों के लिए परिचालन रूप से महत्वपूर्ण हैं। पहला, नए नाम वाले Personal Data Protection Department के पास अब वार्षिक राजस्व के प्रतिशत से जुड़े प्रशासनिक दंड लगाने का स्पष्ट अधिकार है, जो पुराने फ्लैट-फाइन व्यवस्था की जगह लेता है। दूसरा, Section 12A के तहत अनिवार्य DPO पदनाम परिभाषित सीमाओं से ऊपर के नियंत्रकों पर लागू होता है — अधिकांश विज्ञापन-समर्थित प्रकाशक और SaaS ऑपरेटर उन सीमाओं को पार करते हैं। तीसरा, नया Section 12B जागरूकता के 72 घंटों के भीतर PDP को उल्लंघन अधिसूचना की आवश्यकता है, प्रभावित डेटा विषयों को अधिसूचना की आवश्यकता तब होती है जब महत्वपूर्ण नुकसान की संभावना हो।
संशोधित PDPA कुकीज़ और ऑनलाइन ट्रैकिंग के साथ कैसे व्यवहार करता है
PDPA में कुकी-विशिष्ट प्रावधान नहीं है। सहमति और सूचना दायित्व अधिनियम के Sections 5, 6 और 7 से और ऑनलाइन ट्रैकिंग पर PDP के 2025 Public Consultation Paper से उत्पन्न होते हैं, जिसने कुकी बैनर और व्यवहार संबंधी विज्ञापन के लिए संशोधन के बाद के नियामक की अपेक्षाओं को स्पष्ट किया। चार बिंदुओं का सबसे अधिक परिचालन प्रभाव है।
गैर-आवश्यक ट्रैकिंग के लिए पुष्टिकारक सहमति
2025 Public Consultation Paper ने निहित सहमति, निरंतर उपयोग और पूर्व-चिह्नित बॉक्स को ऑनलाइन संदर्भ में व्याख्यायित किए जाने पर सूचना और विकल्प सिद्धांत की विफलता के रूप में अस्वीकार कर दिया। गैर-आवश्यक कुकीज़ के लिए एक स्पष्ट पुष्टिकारक क्रिया आवश्यक है, जो मलेशियाई अभ्यास को EDPB कुकी बैनर टास्कफोर्स की स्थिति के साथ संरेखित करता है।
द्विभाषी सूचना आवश्यकता
Section 7(3) के लिए गोपनीयता सूचना और सहमति तंत्र अंग्रेज़ी और Bahasa Malaysia दोनों में उपलब्ध होना आवश्यक है। यह मूल अधिनियम की एक विशेषता थी जिसे संशोधन ने पुनः पुष्टि की; PDP अधिक से अधिक स्पष्ट रहा है कि एकल-भाषा अंग्रेज़ी बैनर मलेशियाई निवासियों की सेवा करने वाले दर्शकों के लिए आवश्यकता को पूरा नहीं करते।
विस्तृत श्रेणी नियंत्रण
परामर्श पत्र उम्मीद करता है कि बैनर उपयोगकर्ता को श्रेणियों को स्वतंत्र रूप से स्वीकार और अस्वीकार करने की अनुमति दें। बिना विस्तार के एकल-बटन सभी-स्वीकार करें Section 5(c) की आनुपातिकता व्याख्या के तहत दोष के रूप में माना जाता है (संग्रह "अत्यधिक" नहीं होना चाहिए)।
सीमा-पार स्थानांतरण (Section 129)
मूल PDPA के Section 129 के लिए आवश्यक था कि सीमा-पार स्थानांतरण "श्वेतसूचीबद्ध" देश में प्राप्तकर्ता को हो (एक सूची जिसे मंत्री को बनाए रखना था लेकिन कभी प्रभावी ढंग से प्रकाशित नहीं किया)। 2024 Amendment Act इसे एक अधिक व्यावहारिक ढांचे से प्रतिस्थापित करता है: स्थानांतरण तुलनीय सुरक्षा वाले न्यायक्षेत्रों में, या उचित संविदात्मक सुरक्षा उपायों के तहत, या स्पष्ट सहमति के साथ आगे बढ़ सकते हैं। PDP ने EU SCCs के समान नमूना संविदात्मक खंड जारी किए हैं।
2026 में PDP की प्रवर्तन स्थिति
Personal Data Protection Department की संशोधन के बाद की स्थिति तीन अवलोकनीय तरीकों से संशोधन-पूर्व दृष्टिकोण से भिन्न है।
सक्रिय क्षेत्रीय स्वीप
PDP ने संशोधन के प्रभावी होने के बाद से फिनटेक, ई-कॉमर्स और डिजिटल लेंडिंग सेक्टर को सक्रिय स्वीप के लिए प्राथमिकता दी है। ये स्वीप आमतौर पर पंजीकरण ऑडिट से शुरू होते हैं और यदि पंजीकरण वर्तमान नहीं है तो व्यापक निरीक्षण में बदल जाते हैं।
उच्च-प्रोफाइल जुर्माने
नए प्रशासनिक दंड व्यवस्था ने पुराने फ्लैट-फाइन मॉडल की तुलना में बड़े और अधिक सार्वजनिक रूप से दिखाई देने वाले जुर्माने उत्पन्न किए हैं। 2025 में कई टेलीकॉम और फिनटेक ऑपरेटरों को आठ अंकों के रिंगित दंड मिले, जिसका उपयोग PDP ने यह संप्रेषित करने के लिए किया कि संशोधन के वास्तविक दांत हैं।
ASEAN नियामक समन्वय
PDP ASEAN डेटा प्रबंधन ढांचे के कार्यप्रवाह में भाग लेता है और सिंगापुर के PDPC, थाईलैंड के PDPC और फिलीपींस के NPC के साथ समन्वय करता है। मलेशियाई और अन्य ASEAN ट्रैफ़िक से जुड़ी सीमा-पार जांचें तेजी से समन्वित प्रक्रियाओं के माध्यम से संभाली जा रही हैं।
व्यावहारिक अनुपालन जांच सूची
मलेशियाई ट्रैफ़िक की सेवा करने वाले किसी भी कुकी बैनर के लिए उत्तर देने के लिए छह ठोस प्रश्न।
- क्या नियंत्रक PDP-पंजीकृत है? यदि प्रसंस्करण किसी आच्छादित वर्ग में आता है, तो पुष्टि करें कि पंजीकरण वर्तमान है। 2024 Amendment Act ने पंजीकरण के व्यावहारिक दायरे का विस्तार किया।
- क्या DPO नामित है? Section 12A के लिए सीमाओं से ऊपर पदनाम की आवश्यकता है। पुष्टि करें कि पदनाम दस्तावेज़ीकृत है और DPO के संपर्क विवरण गोपनीयता सूचना में प्रकाशित हैं।
- क्या सूचना द्विभाषी है? Section 7(3) के तहत अंग्रेज़ी और Bahasa Malaysia दोनों आवश्यक हैं।
- क्या प्रथम-परत अस्वीकृति स्पष्ट है? अस्वीकृति पथ को स्वीकृति के समान सतह पर होना चाहिए। स्क्रॉल-एज़-कंसेंट 2025 Public Consultation Paper में विफल रहता है।
- क्या सीमा-पार स्थानांतरण दस्तावेज़ीकृत हैं? प्रत्येक गैर-मलेशियाई गंतव्य और Section 129 तंत्र की पहचान करें जो स्थानांतरण को अधिकृत करता है।
- क्या उल्लंघन प्रतिक्रिया तार से जुड़ी है? पुष्टि करें कि कुकी-संबंधित घटनाएं जागरूकता से 72 घंटे की घड़ी के साथ Section 12B अधिसूचना कार्यप्रवाह को सक्रिय करती हैं।
मलेशिया बहु-न्यायक्षेत्र स्टैक में कहाँ फिट होता है
मलेशिया सिंगापुर, थाईलैंड और फिलीपींस के साथ चार सबसे परिचालन रूप से महत्वपूर्ण ASEAN डेटा संरक्षण व्यवस्थाओं में से एक है। 2024 Amendment Act ने मूल PDPA और GDPR के बीच अधिकांश अंतर को बंद कर दिया, जिसका अर्थ है कि यूरोपीय मानकों के लिए निर्मित CMP आर्किटेक्चर अब तीन विशिष्ट जोड़ों के साथ मलेशियाई अनुपालन के बड़े हिस्से को संभालता है: द्विभाषी (अंग्रेज़ी + Bahasa Malaysia) बैनर और सूचना, PDP पंजीकरण जहाँ आच्छादित-वर्ग सीमाएं लागू होती हैं, और Section 12B उल्लंघन अधिसूचना कार्यप्रवाह इसकी 72 घंटे की घड़ी के साथ। पैन-ASEAN परिचालन की दिशा में निर्माण करने वाले प्रकाशकों के लिए, संशोधन के बाद का PDPA एक सार्थक टेम्पलेट है — नए क्षेत्रीय कानून इसकी संरचना पर आधारित होने की संभावना है — और परिचालन जोड़ पहले से ही तैनात यूरोपीय-ग्रेड सहमति स्टैक के शीर्ष पर प्रबंधनीय हैं।