คู่มือการปฏิบัติตามกฎข้อบังคับการยินยอมคุกกี้สำหรับการแก้ไข Malaysia PDPA 2024 สำหรับผู้เผยแพร่ในปี 2569
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของ Malaysia พ.ศ. 2553 เมื่อมีผลบังคับใช้ในปี 2556 ถือเป็นหนึ่งในกฎหมายความเป็นส่วนตัวที่ครอบคลุมฉบับแรกๆ ในเอเชียตะวันออกเฉียงใต้ ในทศวรรษแรก มาตรฐานการดำเนินงานค่อนข้างผ่อนปรน: Personal Data Protection Department (JPDP ปัจจุบันคือ PDP) ดำเนินระบบการลงทะเบียนที่ใช้งานอยู่สำหรับผู้ใช้ข้อมูลในเจ็ดประเภทของกิจกรรมที่ครอบคลุม แต่การบังคับใช้กับผู้ดำเนินการออนไลน์ทั่วไปยังมีน้อย และมาตรฐานความยินยอมถูกตีความอย่างกว้างขวางว่าเป็นการอนุญาต พระราชบัญญัติแก้ไข 2024 ซึ่งได้รับ Royal Assent ใน October 2024 และมีผลบังคับใช้เป็นขั้นตอนตลอด 2025 เปลี่ยนแปลงท่าทีดังกล่าวอย่างมีนัยสำคัญ การแก้ไขดังกล่าวได้แนะนำเจ้าหน้าที่คุ้มครองข้อมูลภาคบังคับสำหรับผู้ควบคุมที่เกินเกณฑ์ การแจ้งเตือนการละเมิดภาคบังคับภายใน 72 ชั่วโมง สิทธิ์ในการพกพาข้อมูล ผู้กำกับดูแลที่เปลี่ยนชื่อใหม่พร้อมอำนาจบังคับใช้ที่แข็งแกร่งขึ้น และข้อกำหนดการถ่ายโอนข้ามพรมแดนที่ได้รับการยืนยันอีกครั้งซึ่งดำเนินการอย่างคลุมเครือภายใต้พระราชบัญญัติเดิม สำหรับผู้เผยแพร่และผู้ดำเนินการ SaaS ที่ให้บริการทราฟฟิกมาเลเซีย ซึ่งเป็นตลาดที่รวมหนึ่งในระบบนิเวศ fintech และเศรษฐกิจดิจิทัลที่มีความเคลื่อนไหวมากที่สุดใน ASEAN PDPA ที่แก้ไขแล้วถือเป็นการเปลี่ยนแปลงการดำเนินงานที่สำคัญ คู่มือนี้จะอธิบายสิ่งที่เปลี่ยนแปลงในปี 2567 วิธีที่ PDP ตีความมาตรฐานความยินยอมที่แก้ไขแล้วสำหรับการติดตามออนไลน์ และจุดที่งานปฏิบัติตามกฎหมายเชิงปฏิบัติต้องให้ความสำคัญ
PDPA ในปี 2569 — โครงร่างหลังการแก้ไข
PDPA ที่แก้ไขแล้วยังคงมีโครงสร้างรอบหลักการเจ็ดข้อใน Section 5 ได้แก่ ทั่วไป การแจ้งเตือนและการเลือก การเปิดเผย ความปลอดภัย การเก็บรักษา ความสมบูรณ์ของข้อมูล และการเข้าถึง หลักการการแจ้งเตือนและการเลือกใน Section 7 มีความสำคัญมากที่สุดสำหรับความยินยอมเกี่ยวกับคุกกี้ โดยกำหนดให้ผู้ใช้ข้อมูลต้องให้การแจ้งเตือนเป็นลายลักษณ์อักษรทั้งภาษาอังกฤษและ Bahasa Malaysia และต้องได้รับความยินยอม (หรืออาศัยเหตุทางเลือกใน Section 6) ก่อนการประมวลผล
การเปลี่ยนแปลงโครงสร้างสามประการจากการแก้ไขปี 2024 มีความสำคัญในการดำเนินงานสำหรับผู้เผยแพร่ออนไลน์ ประการแรก Personal Data Protection Department ที่เปลี่ยนชื่อใหม่มีอำนาจชัดเจนในการกำหนดโทษทางการบริหารที่เชื่อมโยงกับเปอร์เซ็นต์ของรายได้ต่อปี แทนที่ระบบค่าปรับแบบเหมาจ่ายเก่า ประการที่สอง การกำหนด DPO ภาคบังคับภายใต้ Section 12A ใช้กับผู้ควบคุมที่เกินเกณฑ์ที่กำหนด ผู้เผยแพร่ที่ได้รับการสนับสนุนจากโฆษณาและผู้ดำเนินการ SaaS ส่วนใหญ่เกินเกณฑ์เหล่านั้น ประการที่สาม Section 12B ใหม่กำหนดให้แจ้งการละเมิดต่อ PDP ภายใน 72 ชั่วโมงนับจากการรับรู้ โดยต้องแจ้งเจ้าของข้อมูลที่ได้รับผลกระทบเมื่อมีความเป็นไปได้ที่จะเกิดความเสียหายร้ายแรง
PDPA ที่แก้ไขแล้วจัดการกับคุกกี้และการติดตามออนไลน์อย่างไร
PDPA ไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ ข้อกำหนดด้านความยินยอมและข้อมูลมาจาก Sections 5, 6 และ 7 ของพระราชบัญญัติ และจาก 2025 Public Consultation Paper ของ PDP เกี่ยวกับการติดตามออนไลน์ ซึ่งระบุความคาดหวังของผู้กำกับดูแลหลังการแก้ไขสำหรับแบนเนอร์คุกกี้และการโฆษณาตามพฤติกรรม สี่ประเด็นมีผลกระทบในการดำเนินงานมากที่สุด
ความยินยอมเชิงบวกสำหรับการติดตามที่ไม่จำเป็น
2025 Consultation Paper ปฏิเสธความยินยอมโดยนัย การใช้งานต่อเนื่อง และช่องทำเครื่องหมายที่ทำเครื่องหมายไว้ล่วงหน้าว่าล้มเหลวต่อหลักการการแจ้งเตือนและการเลือกเมื่อตีความในบริบทออนไลน์ การกระทำเชิงบวกที่ชัดเจนเป็นสิ่งจำเป็นสำหรับคุกกี้ที่ไม่จำเป็น ซึ่งทำให้การปฏิบัติของมาเลเซียสอดคล้องกับจุดยืนของ EDPB Cookie Banner Taskforce
ข้อกำหนดการแจ้งเตือนสองภาษา
Section 7(3) กำหนดให้ประกาศความเป็นส่วนตัวและกลไกความยินยอมต้องมีให้บริการทั้งภาษาอังกฤษและ Bahasa Malaysia นี่เป็นคุณลักษณะของพระราชบัญญัติเดิมที่การแก้ไขยืนยันอีกครั้ง PDP ได้ระบุอย่างชัดเจนมากขึ้นว่าแบนเนอร์ภาษาอังกฤษภาษาเดียวไม่เป็นไปตามข้อกำหนดสำหรับผู้ชมที่ให้บริการผู้อยู่อาศัยในมาเลเซีย
การควบคุมหมวดหมู่แบบละเอียด
Consultation Paper คาดหวังให้แบนเนอร์อนุญาตให้ผู้ใช้ยอมรับและปฏิเสธหมวดหมู่อย่างอิสระ การยอมรับทั้งหมดด้วยปุ่มเดียวโดยไม่มีความละเอียดถือเป็นข้อบกพร่องภายใต้การตีความสัดส่วนของ Section 5(c) (การรวบรวมไม่ควร «มากเกินไป»)
การถ่ายโอนข้ามพรมแดน (Section 129)
Section 129 ของ PDPA เดิมกำหนดให้การถ่ายโอนข้ามพรมแดนต้องไปยังผู้รับในประเทศที่อยู่ใน «รายการที่อนุมัติ» (รายการที่รัฐมนตรีควรดูแลรักษาแต่ไม่เคยเผยแพร่อย่างมีประสิทธิผล) การแก้ไขปี 2024 แทนที่สิ่งนี้ด้วยกรอบงานที่ใช้งานได้มากขึ้น: การถ่ายโอนสามารถดำเนินการไปยังเขตอำนาจศาลที่มีการคุ้มครองที่เทียบเคียงได้ หรือภายใต้การรับรองตามสัญญาที่เหมาะสม หรือด้วยความยินยอมที่ชัดเจน PDP ได้ออกข้อตกลงตามสัญญาแบบที่คล้ายกับ EU SCCs
ท่าทีการบังคับใช้ของ PDP ในปี 2569
ท่าทีหลังการแก้ไขของ Personal Data Protection Department แตกต่างจากแนวทางก่อนการแก้ไขในสามวิธีที่สังเกตได้
การตรวจสอบภาคส่วนที่มีความเคลื่อนไหว
PDP ให้ความสำคัญกับภาคส่วน fintech อีคอมเมิร์ซ และการให้กู้ยืมดิจิทัลสำหรับการตรวจสอบเชิงรุกนับตั้งแต่การแก้ไขมีผลบังคับใช้ การตรวจสอบเหล่านี้มักเริ่มต้นด้วยการตรวจสอบการลงทะเบียนและขยายไปสู่การตรวจสอบที่กว้างขึ้นหากการลงทะเบียนไม่เป็นปัจจุบัน
ค่าปรับที่มีชื่อเสียงสูงกว่า
ระบอบโทษทางการบริหารใหม่ผลิตค่าปรับที่มากขึ้นและมองเห็นได้ต่อสาธารณะมากขึ้นกว่ารูปแบบค่าปรับแบบเหมาจ่ายเก่า ผู้ดำเนินการโทรคมนาคมและ fintech หลายรายได้รับค่าปรับ ringgit แปดหลักในปี 2025 ซึ่ง PDP ใช้เพื่อสื่อสารว่าการแก้ไขมีผลบังคับใช้อย่างแท้จริง
การประสานงานกฎระเบียบ ASEAN
PDP มีส่วนร่วมในกระบวนการทำงาน ASEAN Data Management Framework และประสานงานกับ PDPC ของสิงคโปร์ PDPC ของไทย และ NPC ของฟิลิปปินส์ การสืบสวนข้ามพรมแดนที่เกี่ยวข้องกับทราฟฟิกมาเลเซียและ ASEAN อื่นๆ ได้รับการจัดการผ่านขั้นตอนที่ประสานงานกันมากขึ้น
รายการตรวจสอบการปฏิบัติตามกฎหมายเชิงปฏิบัติ
คำถามที่เป็นรูปธรรมหกข้อเพื่อตอบสำหรับแบนเนอร์คุกกี้ที่ให้บริการทราฟฟิกมาเลเซีย
- ผู้ควบคุมลงทะเบียนกับ PDP แล้วหรือไม่? หากการประมวลผลอยู่ในประเภทที่ครอบคลุม ให้ยืนยันว่าการลงทะเบียนเป็นปัจจุบัน การแก้ไขปี 2024 ขยายขอบเขตการปฏิบัติของการลงทะเบียน
- มีการกำหนด DPO แล้วหรือไม่? Section 12A กำหนดให้มีการกำหนดเกินเกณฑ์ ยืนยันว่าการกำหนดได้รับการบันทึกและรายละเอียดการติดต่อของ DPO ได้รับการเผยแพร่ในประกาศความเป็นส่วนตัว
- การแจ้งเตือนเป็นสองภาษาหรือไม่? ภาษาอังกฤษและ Bahasa Malaysia ต้องการทั้งคู่ภายใต้ Section 7(3)
- มีการปฏิเสธชัดเจนในชั้นแรกหรือไม่? เส้นทางการปฏิเสธต้องอยู่บนพื้นผิวเดียวกันกับการยอมรับ การเลื่อนเป็นความยินยอมล้มเหลว 2025 Consultation Paper
- การถ่ายโอนข้ามพรมแดนได้รับการบันทึกหรือไม่? ระบุปลายทางที่ไม่ใช่มาเลเซียแต่ละแห่งและกลไก Section 129 ที่อนุมัติการถ่ายโอน
- การตอบสนองต่อการละเมิดได้รับการเชื่อมต่อหรือไม่? ยืนยันว่าเหตุการณ์ที่เกี่ยวข้องกับคุกกี้ทริกเกอร์กระบวนการแจ้งเตือน Section 12B ด้วยนาฬิกา 72 ชั่วโมงนับจากการรับรู้
Malaysia เหมาะอยู่ที่ไหนในสแตกหลายเขตอำนาจศาล
Malaysia เป็นหนึ่งในสี่ระบอบการคุ้มครองข้อมูล ASEAN ที่มีผลกระทบในการดำเนินงานมากที่สุดควบคู่กับสิงคโปร์ ไทย และฟิลิปปินส์ การแก้ไขปี 2024 ปิดช่องว่างส่วนใหญ่ระหว่าง PDPA เดิมและ GDPR ซึ่งหมายความว่าสถาปัตยกรรม CMP ที่สร้างขึ้นตามมาตรฐานยุโรปจัดการการปฏิบัติตามกฎหมายมาเลเซียส่วนใหญ่ด้วยการเพิ่มเติมเฉพาะสามประการ ได้แก่ แบนเนอร์และการแจ้งเตือนสองภาษา (ภาษาอังกฤษ + Bahasa Malaysia) การลงทะเบียน PDP ซึ่งใช้เกณฑ์ประเภทที่ครอบคลุม และกระบวนการแจ้งเตือนการละเมิด Section 12B พร้อมนาฬิกา 72 ชั่วโมง สำหรับผู้เผยแพร่ที่สร้างไปสู่การดำเนินงาน pan-ASEAN PDPA หลังการแก้ไขเป็นแบบอย่างที่มีความหมาย กฎหมายระดับภูมิภาคที่ใหม่กว่ามีแนวโน้มที่จะใช้โครงสร้างของมัน และการเพิ่มเติมในการดำเนินงานสามารถจัดการได้บนสแตกความยินยอมระดับยุโรปที่ได้ใช้งานแล้ว