Hướng dẫn tuân thủ đồng ý cookie theo sửa đổi Malaysia PDPA 2024 dành cho nhà xuất bản năm 2026

Đạo luật Bảo vệ Dữ liệu Cá nhân năm 2010 của Malaysia, khi có hiệu lực vào năm 2013, là một trong những luật bảo mật toàn diện đầu tiên ở Đông Nam Á. Trong thập kỷ đầu tiên, tiêu chuẩn vận hành tương đối nhẹ: Personal Data Protection Department (JPDP, nay là PDP) vận hành chế độ đăng ký tích cực cho người dùng dữ liệu trong bảy lớp hoạt động được bao trùm, nhưng việc thực thi đối với các nhà điều hành trực tuyến chung còn khiêm tốn và tiêu chuẩn đồng ý được giải thích rộng rãi là dễ dãi. Đạo luật sửa đổi 2024, được Royal Assent vào October 2024 và có hiệu lực theo từng giai đoạn trong suốt năm 2025, đã thay đổi đáng kể thái độ đó. Sửa đổi đã giới thiệu các Cán bộ Bảo vệ Dữ liệu bắt buộc cho các bên kiểm soát vượt ngưỡng, thông báo vi phạm bắt buộc trong vòng 72 giờ, quyền di chuyển dữ liệu, cơ quan quản lý được đổi tên với thẩm quyền thực thi mạnh hơn và các yêu cầu chuyển giao xuyên biên giới được tái khẳng định đã được thực hiện một cách mơ hồ theo Đạo luật gốc. Đối với các nhà xuất bản và nhà điều hành SaaS phục vụ lưu lượng truy cập Malaysia — một thị trường bao gồm một trong những hệ sinh thái fintech và kinh tế số năng động nhất trong ASEAN — PDPA được sửa đổi thể hiện một sự thay đổi vận hành có ý nghĩa. Hướng dẫn này đi qua những gì đã thay đổi vào năm 2024, cách PDP giải thích tiêu chuẩn đồng ý được sửa đổi cho theo dõi trực tuyến và nơi công việc tuân thủ thực tế cần tập trung.

PDPA vào năm 2026 — Tổng quan sau sửa đổi

PDPA được sửa đổi tiếp tục được cấu trúc xung quanh bảy nguyên tắc trong Section 5: Chung, Thông báo và Lựa chọn, Tiết lộ, Bảo mật, Lưu giữ, Tính toàn vẹn dữ liệu và Truy cập. Nguyên tắc Thông báo và Lựa chọn trong Section 7 là quan trọng nhất đối với đồng ý cookie, yêu cầu người dùng dữ liệu cung cấp thông báo bằng văn bản bằng cả tiếng Anh và Bahasa Malaysia và phải có sự đồng ý (hoặc dựa vào căn cứ thay thế trong Section 6) trước khi xử lý.

Ba thay đổi cấu trúc từ sửa đổi năm 2024 quan trọng về mặt vận hành đối với nhà xuất bản trực tuyến. Thứ nhất, Personal Data Protection Department được đổi tên hiện có thẩm quyền rõ ràng để áp đặt các hình phạt hành chính gắn với tỷ lệ phần trăm doanh thu hàng năm, thay thế chế độ phạt cố định cũ hơn. Thứ hai, chỉ định DPO bắt buộc theo Section 12A áp dụng cho các bên kiểm soát vượt ngưỡng xác định — hầu hết các nhà xuất bản được hỗ trợ quảng cáo và nhà điều hành SaaS đều vượt qua các ngưỡng đó. Thứ ba, Section 12B mới yêu cầu thông báo vi phạm cho PDP trong vòng 72 giờ kể từ khi nhận thức được, với thông báo cho các chủ thể dữ liệu bị ảnh hưởng khi có khả năng gây thiệt hại đáng kể.

Cách PDPA được sửa đổi xử lý Cookie và theo dõi trực tuyến

PDPA không có quy định đặc thù về cookie. Các nghĩa vụ đồng ý và thông tin xuất phát từ các Sections 5, 6 và 7 của Đạo luật và từ 2025 Public Consultation Paper của PDP về Theo dõi Trực tuyến, đã nêu rõ kỳ vọng của cơ quan quản lý sau sửa đổi đối với các banner cookie và quảng cáo hành vi. Bốn điểm có tác động vận hành lớn nhất.

Đồng ý xác nhận cho theo dõi không thiết yếu

2025 Consultation Paper đã bác bỏ đồng ý ngầm định, tiếp tục sử dụng và các hộp được đánh dấu sẵn vì không đáp ứng Nguyên tắc Thông báo và Lựa chọn khi được diễn giải trong bối cảnh trực tuyến. Một hành động xác nhận rõ ràng là bắt buộc đối với cookie không thiết yếu, phù hợp với thực tiễn Malaysia theo lập trường của EDPB Cookie Banner Taskforce.

Yêu cầu thông báo song ngữ

Section 7(3) yêu cầu thông báo quyền riêng tư và cơ chế đồng ý phải có sẵn bằng cả tiếng Anh và Bahasa Malaysia. Đây là tính năng của Đạo luật gốc mà sửa đổi đã tái khẳng định; PDP ngày càng rõ ràng rằng các banner chỉ tiếng Anh không đáp ứng yêu cầu đối với khán giả phục vụ cư dân Malaysia.

Kiểm soát danh mục chi tiết

Consultation Paper kỳ vọng các banner cho phép người dùng chấp nhận và từ chối các danh mục một cách độc lập. Chấp nhận tất cả bằng một nút không có chi tiết hóa được coi là khiếm khuyết theo cách đọc tính cân xứng của Section 5(c) (việc thu thập không nên «quá mức»).

Chuyển giao xuyên biên giới (Section 129)

Section 129 của PDPA gốc yêu cầu chuyển giao xuyên biên giới phải đến người nhận ở quốc gia trong «danh sách trắng» (danh sách mà Bộ trưởng phải duy trì nhưng chưa bao giờ xuất bản hiệu quả). Sửa đổi năm 2024 thay thế điều này bằng một khung hoạt động hơn: các chuyển giao có thể tiến hành đến các khu vực pháp lý có bảo vệ tương đương, hoặc theo các biện pháp bảo vệ hợp đồng thích hợp, hoặc với sự đồng ý rõ ràng. PDP đã ban hành các điều khoản hợp đồng mẫu tương tự EU SCCs.

Thái độ thực thi của PDP vào năm 2026

Thái độ sau sửa đổi của Personal Data Protection Department khác với cách tiếp cận trước sửa đổi theo ba cách có thể quan sát được.

Kiểm tra lĩnh vực chủ động

PDP đã ưu tiên các lĩnh vực fintech, thương mại điện tử và cho vay kỹ thuật số để kiểm tra chủ động kể từ khi sửa đổi có hiệu lực. Các cuộc kiểm tra này thường bắt đầu bằng kiểm toán đăng ký và leo thang thành một cuộc kiểm tra rộng hơn nếu đăng ký không được cập nhật.

Phạt tiền với hồ sơ cao hơn

Chế độ phạt hành chính mới đã tạo ra các khoản phạt lớn hơn và hiển thị công khai hơn so với mô hình phạt cố định cũ hơn. Một số nhà điều hành viễn thông và fintech đã nhận các khoản phạt ringgit tám chữ số vào năm 2025, mà PDP đã sử dụng để thông báo rằng sửa đổi có răng thực sự.

Điều phối quản lý ASEAN

PDP tham gia vào luồng công việc ASEAN Data Management Framework và phối hợp với PDPC của Singapore, PDPC của Thái Lan và NPC của Philippines. Các cuộc điều tra xuyên biên giới liên quan đến lưu lượng truy cập Malaysia và ASEAN khác ngày càng được xử lý thông qua các thủ tục phối hợp.

Danh sách kiểm tra tuân thủ thực tế

Sáu câu hỏi cụ thể cần trả lời cho bất kỳ banner cookie nào phục vụ lưu lượng truy cập Malaysia.

Malaysia phù hợp ở đâu trong ngăn xếp đa pháp lý

Malaysia là một trong bốn chế độ bảo vệ dữ liệu ASEAN có ý nghĩa vận hành nhất cùng với Singapore, Thái Lan và Philippines. Sửa đổi năm 2024 đã thu hẹp phần lớn khoảng cách giữa PDPA gốc và GDPR, có nghĩa là kiến trúc CMP được xây dựng theo tiêu chuẩn châu Âu hiện xử lý phần lớn tuân thủ Malaysia với ba bổ sung cụ thể: banner và thông báo song ngữ (tiếng Anh + Bahasa Malaysia), đăng ký PDP khi áp dụng ngưỡng lớp được bao trùm và quy trình thông báo vi phạm Section 12B với đồng hồ 72 giờ. Đối với các nhà xuất bản xây dựng hướng tới hoạt động toàn ASEAN, PDPA sau sửa đổi là một mẫu có ý nghĩa — các luật khu vực mới hơn có thể sẽ dựa trên cấu trúc của nó — và các bổ sung vận hành có thể xử lý được trên đầu ngăn xếp đồng ý cấp độ châu Âu đã được triển khai.

← Blog Đọc tất cả →