【全文】
【代序】
当前数字经济蓬勃发展,特别在全球化浪潮下,世界各国都面对着一系列全新的治理挑战。无可否认,海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件,时至今日,数据要素对于经济和社会发展变革有巨大驱动作用,数据作为基础性战略资源的论断已然成为国际社会的普遍共识,全球范围内的数据跨境流转利用成为各方高度关注的命题。
近年来,数据跨境流动的安全问题日益凸显。不可否认,数据治理问题本身具有非常复杂、宽广的视域,而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。就此应当指出的是,一方面,围绕各类数据的利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。
主要的域外国家和发达地区高度关注在数字贸易领域建立国际规则的问题,对此已在其推动的多个经贸谈判中有所涉及,这也成为各个国家有关数据安全制度政策域外延伸的重要组成部分,构成企业跨国运营过程中需要持续跟进的核心因素。团队汇聚资深的理论和实务专家完成《数据跨境治理国别规则》研究报告,发布相关成果并会形成系列更新,以飨读者!
——吴沈括,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任。
【研究报告】数据跨境治理国别规则(7):马来西亚
数据跨境治理国别规则(7):马来西亚
1.马来西亚数据治理的规范框架
1.1个人数据治理基本框架
(1)《2010年个人数据保护法》
(2)《2013年个人数据保护条例》
1.2多边协定及安排
(1)《区域全面经济伙伴关系协定》
2.马来西亚数据跨境的政策法规
2.1个人数据领域
(1)《2010年个人数据保护法》
(2)《2017年个人数据保护(向马来西亚以外的地区传输个人数据)令》草案
2.2多边协定及安排
(1)《区域全面经济伙伴关系协定》
3.马来西亚数据跨境的合规要求
3.1个人数据跨境传输
3.2其他:RCEP
4.马来西亚数据跨境的监管动态
4.1
1.马来西亚数据治理的规范框架
1.1个人数据治理基本框架
(1)《2010年个人数据保护法》(Personal Data Protection Act 2010)(以下简称“PDPA”)
PDPA于2013年11月15日生效,该法是一部规范个人数据处理行为的综合性立法,主要规范个人数据的收集、处理以及披露等行为。该法通过个人数据保护七项原则(包括一般原则、通知和选择原则、披露原则、安全原则、保留原则、数据完整性原则、访问原则)的规定要求数据使用者遵守特定义务,并赋予数据主体与其个人数据相关的某些权利来保障个人数据。
(2)《2013年个人数据保护条例》(Personal Data Protection Regulations 2013)(以下简称“PDPR”)
为促进PDPA的实施,马来西亚制定并通过了与PDPA配套的一系列附属条例,如PDPR、《2013年个人数据保护(数据使用者类别)令》《2013年个人数据保护(数据使用者注册)条例》《2013年个人数据保护(费用)条例》和《2016年个人数据保护(复合犯罪)条例》等,PDPR为PDPA中的数据主体同意的定义提供了指引,规定了隐私政策必须包含的内容、数据使用者应制定和实施安全政策以及个人数据保护专员可向数据使用者通知对其使用的个人数据系统进行检查等内容。上述条例与PDPA共同组成马来西亚个人数据保护的框架。
1.2多边协定及安排
马来西亚签署了《区域全面经济伙伴关系协定》,其中包含针对数据治理和数据跨境传输规则等的相关安排。
5.马来西亚数据跨境的政策法规
5.1个人数据跨境的政策法规
(1)《2010年个人数据保护法》
根据PDPA第129条,原则上,数据使用者不得将数据主体的任何个人数据传输到马来西亚以外的地方,但符合约定的例外情形除外,例如获得数据主体的同意,履行合同所必须等。
(2)《2017年个人数据保护(向马来西亚以外的地区传输个人数据)令》草案(the draft on the Personal Data Protection (Transfer of Personal Data to Places Outside Malaysia) Order 2017)(以下简称“数据传输草案”)
2017年,个人数据保护专员发布了数据传输草案,根据其中拟议的白名单,数据使用者将无需依赖数据主体的同意或PDPA规定的例外情况,即可将个人数据传输到白名单所列的司法辖区。但是马来西亚通讯和多媒体部部长尚未通过该数据传输草案。
5.2多边协定及安排:《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership)(以下简称“RCEP”)
马来西亚为RCEP缔约国,RCEP于2022年3月18日在马来西亚正式生效。RCEP主要规定经济领域内的数据跨境相关问题,规则主要集中于第八章“服务贸易”中的附件一“金融服务”和附件二“电信服务”以及第十二章“电子商务”中。
(1)第八章的附件一中,RCEP为保障数字金融服务贸易的正常进行,要求缔约方不能阻止金融服务提供者进行其金融服务活动必需的相关信息传输,这种数据的流动也不仅限于电子形式,这为金融信息的跨境传输提供了兜底保障。
(2)第八章的附件二“电信服务”制定了公平使用电信相关基础设施的电信服务规则,总体来看条款主要围绕电信基础设施非歧视、电信市场公平竞争和电信网络互联互通展开。
(3)第十二章“电子商务”中,RCEP规定了跨境传输数据的规则,并限制成员国政府对数字贸易施加各种限制,包括数据本地化(存储)要求等。RCEP还对贸易相关文件材料数字化、使用电子签名、电子认证、垃圾邮件等领域进行了规范,旨在促进跨境贸易的同时,保护区域内消费者个人信息安全。
6.马来西亚数据跨境的合规要求
6.1个人数据跨境传输
根据PDPA第129条,原则上,数据使用者不得将数据主体的任何个人数据传输到马来西亚以外的地方,但PDPA第129(3)条也规定了以下除外情况:
(1)数据主体已同意该传输;
(2)该传输是为履行数据主体和数据使用者之间的合同所必需;
(3)该传输是为数据使用者与第三方之间订立或履行合同所必需,该合同:
(i)应数据主体的要求签订的;或
(ii)符合数据主体的利益。
(4)该传输是为任何法律程序,获得法律咨询或确立、行使或捍卫合法权利的目的;
(5)数据使用者有合理的理由相信在任何情况下:
(i)该传输是为避免或减轻对数据主体的不利行为;
(ii)获得数据主体对该传输的书面同意无法实现;和
(iii)在能够征求数据主体同意的情况下,数据主体会针对该传输给予同意。
(6)数据使用者已采取一切合理的预防措施并尽最大努力,以确保个人数据的处理方式假设发生在马来西亚时不会违反PDPA;
(7)该传输是为保护数据主体的重大利益所必需;或
(8)根据通讯和多媒体部部长确定的情形,该传输是为公共利益所必需。
6.2其他:RCEP
RCEP主要对各缔约国的数据保护法律框架提出要求,鼓励缔约国通过RCEP积极开展数据跨境合作,并加强负责应对计算机安全事件的各自主管部门的能力。
7.马来西亚数据跨境的监管动态
马来西亚目前没有针对数据跨境传输的隐私影响评估以及数据传输协议等的实践要求或指南。个人数据保护专员在关于审查PDPA的公开征求意见稿No.01/2020中明确向马来西亚境外传输个人数据的规定和条件对于促进电子商务交易和自由贸易协定至关重要,且数据使用者需要与其境外分支机构传输数据,因此考虑制订关于数据跨境传输的实施指南。
根据上述公开征求意见稿,考虑到PDPA第129条的“白名单制度”似乎遏制并阻碍了数据使用者将个人数据转移到马来西亚以外的地方,个人数据保护专员考虑重新调整该条款并取消对白名单的发布。
