马来西亚PDPA 2024年修订案Cookie同意合规指南——2026年出版商操作手册
马来西亚《2010年个人数据保护法令》于2013年正式实施,是东南亚最早制定的综合性隐私法规之一。在生效后的头十年里,该法令的执行标准相对宽松:个人数据保护局(JPDP,现更名为PDP)对七类受覆盖活动的数据使用者实施注册制度,但对一般互联网运营商的执法较为有限,同意标准也被普遍宽泛理解。2024年修订案于October 2024获得Royal Assent,并于2025年分阶段施行,从根本上改变了这一局面。修订案引入了强制性数据保护官制度、72小时强制数据泄露通报、数据可携带权,以及职权更清晰的重组监管机构,并重新明确了原法令中执行不一的跨境传输要求。对于面向马来西亚流量提供服务的出版商和SaaS运营商来说——马来西亚是ASEAN中金融科技与数字经济生态系统最为活跃的市场之一——修订后的PDPA带来了实质性的运营调整需求。本指南将系统梳理2024年的修订内容、PDP对在线追踪同意标准的具体解释,以及实际合规工作的核心要点。
2026年PDPA现状——修订案框架概览
修订后的PDPA仍以Section 5规定的七项原则为核心框架:一般原则、告知与选择、披露、安全、保留、数据完整性及查询权。其中,Section 7的告知与选择原则对Cookie同意影响最为深远,要求数据使用者以英文和Bahasa Malaysia双语书面形式向用户进行告知,并在处理前取得同意(或依据Section 6规定的替代合法依据)。
2024年修订案带来的三项结构性变化对在线出版商具有直接影响。第一,更名后的个人数据保护局获得了明确的行政处罚权,可按年营业额比例处以罚款,替代了原有的固定罚款机制。第二,Section 12A要求超出特定规模门槛的数据控制者强制指定DPO——大多数广告驱动的出版商和SaaS运营商均超出该门槛。第三,Section 12B要求数据控制者在知悉数据泄露后72小时内向PDP报告,若可能造成重大损害,还须通知受影响的数据主体。
修订后的PDPA如何规范Cookie及在线追踪
PDPA本身未设Cookie专项条款,相关的同意与告知义务来源于法令的Section 5、Section 6与Section 7,以及PDP于2025年就在线追踪问题发布的2025 Public Consultation Paper,该文件明确了监管机构在修订后对Cookie横幅与行为广告的执行预期。以下四个方面对运营影响最为突出。
非必要追踪须获明示同意
2025 Public Consultation Paper明确否定将默示同意、持续使用行为及预勾选框视为在线场景下满足告知与选择原则的有效方式。非必要Cookie必须通过用户明确的主动操作取得同意,与EDPB Cookie横幅工作组的立场保持一致。
双语告知要求
Section 7(3)要求隐私告知及同意机制须同时以英文和Bahasa Malaysia提供。这是原法令即有的规定,修订案予以重申;PDP日益明确表示,仅提供英文横幅的单语设计无法满足面向马来西亚居民的服务要求。
分类别的精细化控制
咨询文件要求横幅允许用户对各类别追踪独立接受或拒绝。依据Section 5(c)比例原则的解读(数据收集不得过度),不设分类选项的单一全部接受按钮被认定为不合规。
跨境传输(Section 129)
原PDPA Section 129要求跨境传输须以白名单国家为目的地(该名单理应由部长维护,但实际从未正式发布)。2024 Amendment Act以更具操作性的框架取而代之:向具有同等保护水平的司法管辖区传输、采用适当合同保障措施,或取得明确同意,均可进行跨境传输。PDP已发布类似EU SCCs的示范合同条款。
2026年PDP的执法态势
Personal Data Protection Department在修订案实施后,执法态势相比修订前在三个方面出现明显变化。
主动专项行业排查
自修订案生效以来,PDP已将金融科技、电商及数字借贷行业列为主动专项排查的重点领域。此类排查通常以注册核查为起点,若发现注册不合规,则升级为全面执法检查。
高额罚款案例显著增多
新的行政处罚机制已产生远高于旧有固定罚款的处罚案例,且具有更强的社会示范效应。2025年多家电信及金融科技运营商收到八位数令吉罚款,PDP借此向市场清晰传达2024 Amendment Act的实质约束力。
ASEAN区域监管协同
PDP积极参与ASEAN数据管理框架工作流,并与新加坡PDPC、泰国PDPC及菲律宾NPC开展协调合作。涉及Malaysia及其他ASEAN流量的跨境调查正日益通过协同程序加以处理。
实用合规核查清单
以下六项核心问题,适用于任何服务马来西亚流量的Cookie横幅合规评估。
- 数据控制者是否已完成PDP注册?若处理活动属于受覆盖类别,须确认注册处于有效状态。2024年修订案实际扩大了注册义务的适用范围。
- 是否已正式指定DPO?Section 12A要求超出门槛的控制者强制指定DPO,须确保指定有书面记录,且DPO联系信息已在隐私告知中公示。
- 告知文件是否为双语?Section 7(3)明确要求须同时提供英文和Bahasa Malaysia版本。
- 首层界面是否设有明确的拒绝入口?拒绝路径须与接受选项并列于同一界面层级,以滚动行为视为同意的设计不符合2025 Public Consultation Paper的要求。
- 跨境传输是否已建立完整记录?须识别每个非Malaysia数据接收目的地,并明确适用的Section 129授权依据。
- 违规应急响应流程是否已就位?须确认Cookie相关安全事件能够触发Section 12B通报流程,自知悉之日起72小时内完成通报。
Malaysia在多司法管辖合规框架中的位置
Malaysia与新加坡、泰国及菲律宾并列为ASEAN四个最具代表性的数据保护司法管辖区。2024年修订案已基本弥合原PDPA与GDPR之间的差距,这意味着按照EU标准构建的CMP架构,只需叠加三项专项补充即可满足Malaysia的大部分合规要求:双语(英文 + Bahasa Malaysia)横幅与隐私告知、适用覆盖类别门槛时的PDP注册,以及具有72小时响应时效的Section 12B违规通报流程。对于谋求泛ASEAN业务布局的出版商而言,修订后的PDPA是一个重要的制度参照——区域新兴法规很可能参照其架构设计——在已部署欧洲级同意合规体系的基础上,这三项专项补充在操作层面具备充分的可落地性。