Руководство по соблюдению согласия на cookie по поправке к PDPA Малайзии 2024 года для издателей в 2026 году

Закон Малайзии о защите персональных данных 2010 года был, когда вступил в силу в 2013 году, одним из ранних всеобъемлющих законов о конфиденциальности в Юго-Восточной Азии. В течение первого десятилетия операционный стандарт был относительно лёгким: Департамент защиты персональных данных (JPDP, ныне PDP) вёл активный режим регистрации для пользователей данных в семи охватываемых классах деятельности, но правоприменение в отношении общих онлайн-операторов было умеренным, а стандарт согласия широко интерпретировался как разрешительный. Закон о поправке 2024 года, который получил королевское одобрение в октябре 2024 года и поэтапно вступил в силу в течение 2025 года, существенно изменил эту позицию. Поправка ввела обязательных сотрудников по защите данных для контролёров выше порогов, обязательное уведомление о нарушениях в течение 72 часов, право на переносимость данных, переименованного регулятора с более чётким правоприменительным полномочием и подтвердила требования трансграничной передачи, которые были неоднозначно реализованы по оригинальному Закону. Для издателей и операторов SaaS, обслуживающих малайзийский трафик — рынок, который включает одну из наиболее активных финтех- и цифровых экономических экосистем в АСЕАН — изменённый PDPA представляет значительный операционный сдвиг. Это руководство разбирает, что изменилось в 2024 году, как PDP интерпретировал изменённый стандарт согласия для онлайн-отслеживания и на чём должна сосредоточиться практическая работа по соблюдению.

PDPA в 2026 году — пост-поправочный контур

Изменённый PDPA продолжает быть структурированным вокруг семи принципов в разделе 5: Общий, Уведомление и Выбор, Раскрытие, Безопасность, Хранение, Целостность данных и Доступ. Принцип Уведомления и Выбора в разделе 7 наиболее значим для согласия на cookie, требуя от пользователей данных предоставлять письменное уведомление на английском и малайском языках и получать согласие (или полагаться на альтернативное основание в разделе 6) до обработки.

Три структурных изменения из поправки 2024 года имеют операционное значение для онлайн-издателей. Во-первых, переименованный Департамент защиты персональных данных теперь имеет явное полномочие налагать административные штрафы, привязанные к проценту годового дохода, заменяя старый режим фиксированных штрафов. Во-вторых, обязательное назначение DPO по разделу 12A применяется к контролёрам выше определённых порогов — большинство издателей с рекламной поддержкой и операторов SaaS пересекают эти пороги. В-третьих, новый раздел 12B требует уведомления о нарушении PDP в течение 72 часов с момента осведомлённости, с уведомлением затронутых субъектов данных, когда вероятен значительный ущерб.

Как изменённый PDPA обращается с cookie и онлайн-отслеживанием

PDPA не содержит специфичного для cookie положения. Обязательства по согласию и информированию вытекают из разделов 5, 6 и 7 Закона и из Консультационного документа PDP 2025 года об онлайн-отслеживании, который сформулировал пост-поправочные ожидания регулятора в отношении баннеров cookie и поведенческой рекламы. Четыре пункта имеют наибольшее операционное влияние.

Утвердительное согласие для несущественного отслеживания

Консультационный документ 2025 года отверг подразумеваемое согласие, продолжение использования и заранее отмеченные флажки как не соответствующие Принципу Уведомления и Выбора при интерпретации в онлайн-контексте. Явное утвердительное действие требуется для несущественных cookie, приводя малайзийскую практику в соответствие с позицией Целевой группы EDPB по баннерам cookie.

Требование двуязычного уведомления

Раздел 7(3) требует, чтобы уведомление о конфиденциальности и механизм согласия были доступны на английском и малайском языках. Это была особенность оригинального Закона, которую поправка подтвердила; PDP всё более явно указывал, что одноязычные английские баннеры не удовлетворяют требованию для аудиторий, обслуживающих малайзийских резидентов.

Гранулярный контроль категорий

Консультационный документ ожидает, что баннеры позволят пользователю принимать и отклонять категории независимо. Однокнопочное принятие всего без гранулярности рассматривается как дефект по толкованию пропорциональности раздела 5(c) (сбор не должен быть «чрезмерным»).

Трансграничная передача (раздел 129)

Раздел 129 оригинального PDPA требовал, чтобы трансграничные передачи были получателю в «занесённой в белый список» стране (список, который министр должен был вести, но никогда эффективно не публиковал). Поправка 2024 года заменяет это более рабочей средой: передачи могут осуществляться в юрисдикции с сопоставимой защитой, или при надлежащих договорных гарантиях, или с явным согласием. PDP выпустил модельные договорные положения, аналогичные SCC ЕС.

Правоприменительная позиция PDP в 2026 году

Пост-поправочная позиция Департамента защиты персональных данных отличается от его до-поправочного подхода тремя наблюдаемыми способами.

Активные секторальные проверки

PDP приоритизировал секторы финтеха, электронной коммерции и цифрового кредитования для проактивных проверок с момента вступления поправки в силу. Эти проверки обычно начинаются с регистрационного аудита и перерастают в более широкую инспекцию, если регистрация неактуальна.

Более громкие штрафы

Новый режим административных штрафов произвёл более крупные и публично заметные штрафы, чем старая модель фиксированных штрафов. Несколько телеком- и финтех-операторов получили восьмизначные штрафы в ринггитах в 2025 году, что PDP использовал, чтобы донести, что поправка имеет реальные зубы.

Регуляторная координация АСЕАН

PDP участвует в рабочем потоке Рамок управления данными АСЕАН и координируется с PDPC Сингапура, PDPC Таиланда и NPC Филиппин. Трансграничные расследования, затрагивающие малайзийский и другой трафик АСЕАН, всё чаще обрабатываются через скоординированные процедуры.

Практический чек-лист соблюдения

Шесть конкретных вопросов, на которые нужно ответить для любого баннера cookie, обслуживающего малайзийский трафик.

Где Малайзия вписывается в многоюрисдикционный стек

Малайзия — один из четырёх наиболее операционно значимых режимов защиты данных АСЕАН наряду с Сингапуром, Таиландом и Филиппинами. Поправка 2024 года закрыла большую часть разрыва между оригинальным PDPA и GDPR, что означает, что архитектура CMP, построенная по европейским стандартам, теперь обрабатывает основную массу малайзийского соответствия с тремя конкретными дополнениями: двуязычный (английский + малайский) баннер и уведомление, регистрация PDP, где применяются пороги охватываемого класса, и рабочий процесс уведомления о нарушениях раздела 12B с его 72-часовым отсчётом. Для издателей, строящих к пан-АСЕАН-операциям, пост-поправочный PDPA — значимый шаблон — новые региональные законы, вероятно, будут опираться на его структуру — а операционные дополнения выполнимы поверх уже развёрнутого стека согласия европейского уровня.

← Блог Читать все →