2026년 퍼블리셔를 위한 말레이시아 PDPA 2024년 개정 쿠키 동의 컴플라이언스 가이드
말레이시아의 2010년 개인정보보호법은 2013년 시행 당시 동남아시아에서 최초의 포괄적 개인정보보호 법령 중 하나였습니다. 첫 10년 동안 운영 기준은 비교적 가벼웠습니다. Personal Data Protection Department(JPDP, 현재 PDP)는 7개 적용 활동 분류에서 데이터 이용자를 위한 적극적인 등록 체계를 운영했지만, 일반 온라인 사업자에 대한 집행은 미미했으며 동의 기준은 허용적인 것으로 폭넓게 해석되었습니다. Royal Assent를 October 2024에 받고 2025년을 거쳐 단계적으로 시행된 2024 Amendment Act는 이러한 입장을 실질적으로 변화시켰습니다. 개정안은 일정 기준 이상의 처리자에 대한 의무적 데이터보호책임자(DPO) 지정, 72시간 이내 의무적 위반 통지, 데이터 이동권, 집행 권한이 강화된 개칭된 감독기관을 도입했으며, 기존 법령 하에서 모호하게 시행되던 국경 간 이전 요건을 재확인했습니다. 말레이시아 트래픽을 서비스하는 퍼블리셔와 SaaS 운영자에게 — ASEAN에서 가장 활발한 핀테크 및 디지털 경제 생태계 중 하나를 보유한 시장 — 개정된 PDPA는 실질적인 운영상의 전환점을 의미합니다. 이 가이드는 2024년에 무엇이 변했는지, PDP가 온라인 추적에 대한 개정된 동의 기준을 어떻게 해석하는지, 그리고 실무적 컴플라이언스 작업에서 어디에 집중해야 하는지를 설명합니다.
2026년의 PDPA — 개정 이후 개요
개정된 PDPA는 계속해서 Section 5의 7가지 원칙을 중심으로 구성됩니다. 일반, 고지 및 선택, 공개, 보안, 보유, 데이터 무결성, 접근입니다. Section 7의 고지 및 선택 원칙은 쿠키 동의에서 가장 중요하며, 데이터 이용자가 처리 전에 영어와 Bahasa Malaysia 두 언어로 서면 고지를 제공하고 동의를 얻도록(또는 Section 6의 대체 근거에 의존하도록) 요구합니다.
2024 개정의 세 가지 구조적 변화는 온라인 퍼블리셔에게 운영상 중요합니다. 첫째, 개칭된 Personal Data Protection Department는 이제 연간 매출의 일정 비율에 연동된 행정 제재를 부과할 명시적 권한을 갖게 되어 기존의 고정 벌금 체계를 대체합니다. 둘째, Section 12A에 따른 의무적 DPO 지정은 정해진 기준 이상의 처리자에게 적용됩니다. 광고 수입에 의존하는 대부분의 퍼블리셔와 SaaS 운영자는 이 기준을 초과합니다. 셋째, 새로운 Section 12B는 인지 후 72시간 이내에 PDP에 위반을 통지하도록 의무화하며, 중대한 피해가 발생할 가능성이 있는 경우 영향받은 정보 주체에 대한 통지도 필요합니다.
개정된 PDPA의 쿠키 및 온라인 추적 처리 방식
PDPA에는 쿠키 특정 조항이 없습니다. 동의 및 정보 제공 의무는 법률의 Section 5, 6, 7과 PDP의 2025 Public Consultation Paper on Online Tracking에서 비롯되며, 이 문서는 쿠키 배너와 행동 광고에 대한 규제기관의 개정 이후 기대를 명확히 했습니다. 네 가지 점이 가장 큰 운영상의 영향을 미칩니다.
비필수 추적에 대한 명시적 동의
2025 Public Consultation Paper는 온라인 맥락에서 해석했을 때 고지 및 선택 원칙을 충족하지 못하는 것으로 보아 묵시적 동의, 계속 사용, 사전 체크된 박스를 거부했습니다. 비필수 쿠키에는 명시적인 확인 행위가 필요하며, 이는 말레이시아의 관행을 EDPB Cookie Banner Taskforce 입장과 일치시킵니다.
이중 언어 고지 요건
Section 7(3)은 개인정보 고지와 동의 메커니즘이 영어와 Bahasa Malaysia 모두로 제공되도록 요구합니다. 이는 개정으로 재확인된 기존 법의 특징이며, PDP는 말레이시아 거주자를 서비스하는 대상의 경우 영어만의 배너가 요건을 충족하지 못한다고 점점 명확히 하고 있습니다.
세분화된 카테고리 제어
자문서는 배너가 이용자에게 카테고리를 독립적으로 수락하고 거부할 수 있도록 허용할 것을 기대합니다. 세분화 없는 단일 버튼 전체 수락은 Section 5(c)의 비례성 해석(수집이 과도해서는 안 됨)에 따른 결함으로 처리됩니다.
국경 간 이전(Section 129)
기존 PDPA의 Section 129는 국경 간 이전을 화이트리스트 국가의 수신자에게만 허용했습니다(장관이 유지해야 했으나 실질적으로 공개된 적 없는 목록). 2024 개정은 이를 더 실용적인 체계로 대체합니다. 이전은 동등한 보호를 가진 관할권이나 적절한 계약적 보호 조치 하에, 또는 명시적 동의로 진행될 수 있습니다. PDP는 EU SCCs와 유사한 표준 계약 조항을 공표했습니다.
2026년 PDP의 집행 태도
Personal Data Protection Department의 개정 이후 태도는 개정 이전 접근 방식과 세 가지 관찰 가능한 방식에서 다릅니다.
적극적인 분야별 점검
PDP는 개정 시행 이후 핀테크, 전자상거래, 디지털 대출 분야를 선제적 점검의 우선 대상으로 삼았습니다. 이 점검들은 일반적으로 등록 감사로 시작하여 등록이 최신 상태가 아닌 경우 더 광범위한 검사로 확대됩니다.
고액 제재금
새로운 행정 제재 체계는 기존 고정 벌금 모델보다 더 크고 공개적으로 더 주목받는 벌금을 산출했습니다. 여러 통신 및 핀테크 운영자가 2025년에 8자리 링깃 벌금을 받았으며, PDP는 이를 개정이 실질적인 구속력을 갖는다고 전달하는 데 활용했습니다.
ASEAN 규제기관 간 협력
PDP는 ASEAN Data Management Framework 작업 흐름에 참여하며 싱가포르 PDPC, 태국 PDPC, 필리핀 NPC와 협력합니다. 말레이시아 및 기타 ASEAN 트래픽을 포함한 국경 간 조사는 점점 더 협력 절차를 통해 처리됩니다.
실무 컴플라이언스 체크리스트
말레이시아 트래픽을 서비스하는 쿠키 배너에 대해 답해야 할 여섯 가지 구체적 질문입니다.
- 처리자가 PDP에 등록되어 있는가? 처리가 적용 대상 분류에 해당하면 등록이 최신 상태인지 확인하세요. 2024 Amendment Act는 등록의 실질적 적용 범위를 확대했습니다.
- DPO가 지정되어 있는가? Section 12A는 기준 이상에서 지정을 의무화합니다. 지정이 문서화되어 있고 DPO의 연락처 정보가 개인정보 고지에 공개되어 있는지 확인하세요.
- 고지가 이중 언어로 제공되는가? Section 7(3)에 따라 영어와 Bahasa Malaysia 모두 필요합니다.
- 첫 번째 레이어에 명시적 거부가 있는가? 거부 경로는 수락과 동일한 화면에 있어야 합니다. 스크롤-동의 방식은 2025 Public Consultation Paper 기준을 충족하지 못합니다.
- 국경 간 이전이 문서화되어 있는가? 말레이시아 외 각 목적지와 이전을 승인하는 Section 129 메커니즘을 파악하세요.
- 사고 대응이 연결되어 있는가? 쿠키 관련 사건이 인지 후 72시간 타이머로 Section 12B 통지 워크플로를 트리거하는지 확인하세요.
다중 관할권 컴플라이언스 체계에서 말레이시아의 위치
말레이시아는 싱가포르, 태국, 필리핀과 함께 운영상 가장 중요한 4개 ASEAN 데이터보호 체계 중 하나입니다. 2024 개정은 기존 PDPA와 GDPR 사이의 차이를 대부분 해소했으며, 이는 유럽 기준으로 구축된 CMP 아키텍처가 이제 세 가지 특정 추가 사항과 함께 말레이시아 컴플라이언스의 대부분을 처리할 수 있음을 의미합니다. 즉, 이중 언어(영어와 Bahasa Malaysia) 배너 및 고지, 적용 대상 기준이 해당되는 PDP 등록, 그리고 72시간 타이머가 포함된 Section 12B 위반 통지 워크플로입니다. 범ASEAN 운영을 구축하는 퍼블리셔에게 개정 이후 PDPA는 중요한 템플릿입니다. 새로운 지역 법률들은 그 구조를 참고할 가능성이 높으며, 운영상의 추가 사항들은 이미 배포된 유럽 수준의 동의 체계 위에서 관리 가능합니다.