马来西亚PDPA指南：个人数据保护法下的隐私权

每次你在马来西亚办会员卡、在诊所登记或申请健身房会员时，都在交出个人数据。你的姓名、IC号码、电话号码、地址，有时甚至收入水平都进入了企业数据库。但你知道自己对这些数据有什么权利吗？

马来西亚2010年《个人数据保护法》（PDPA）——于2013年生效——是规范组织如何收集、使用、存储和共享个人信息的主要法律。尽管已施行十多年，许多马来西亚人仍不知道它提供的保护。

PDPA的适用范围

PDPA适用于在商业交易中处理个人数据的任何个人或组织：

• 银行和金融机构
• 电信公司（Celcom、Maxis、Digi、U Mobile）
• 电商平台（Shopee、Lazada）
• 医疗服务提供者（私立医院、诊所）
• 保险公司
• 零售商和会员计划运营商
• 在线服务提供商

什么是个人数据？

类别	示例
身份	姓名、IC号码、护照号码
联系方式	电话号码、邮箱、地址
财务	银行账户、工资、信用记录
健康	病历、处方、血型
生物特征	指纹、面部识别数据
数字	IP地址、浏览记录、位置数据

PDPA不适用的范围

存在重要的空白：

• 联邦和州政府
• 非商业活动（个人或家庭使用）
• 在马来西亚境外处理的数据
• 依据《信用报告机构法2010》运营的信用报告机构

PDPA赋予你的七项权利

1. 访问权（第12条）

你有权要求访问组织持有的关于你的个人数据。组织必须在21天内回复。

2. 更正权（第34条）

如果个人数据不准确、不完整或具有误导性，你可以要求更正。组织必须在14天内完成更正。

3. 撤回同意权（第38条）

你可以随时撤回对数据处理的同意。但撤回可能影响你所享受的服务。

4. 阻止直接营销处理权（第43条）

你可以指示任何组织停止将你的数据用于直接营销目的。

实用提示： 收到不需要的营销消息时，回复"STOP"或直接联系组织，引用PDPA第43条。

5. 阻止可能造成损害的处理权（第42条）

如果数据处理正在或可能造成重大损害或痛苦，你可以要求停止。

6. 知情权（一般原则）

组织必须告知你收集什么数据、为什么收集、可能与谁共享、是必填还是自愿。

7. 获得赔偿的权利

如果组织违反PDPA并造成损害，你可以通过法院寻求赔偿。

七项数据保护原则

原则	含义
一般	需要同意；必须通知数据主体
通知与选择	收集前必须提供清晰的隐私声明
披露	不得超出声明目的共享数据
安全	必须保护数据免受丢失、滥用和未授权访问
保留	不得超过必要时间保留数据
数据完整性	必须确保数据准确且最新
访问	必须允许数据主体访问和更正数据

如何投诉PDPA违规

1. 先向组织投诉。
2. 如未解决，向个人数据保护专员（PDPC）投诉：
   • 在线：www.pdp.gov.my
   • 邮箱：aduan@pdp.gov.my
   • 电话：03-8000 8000
3. 提供证据： 截图、通信副本以及数据被滥用的详细信息。

专员可以调查、发出执行通知、处以最高RM500,000的罚款或最高三年的监禁。

日常生活中常见的PDPA违规

退订不了的营销消息

尽管要求删除，仍持续收到促销短信或电话——这违反了第43条。

过度分享的企业

房产中介未经同意将你的电话号码和IC信息分享给多个第三方——违反了披露原则。

缺失的隐私声明

诊所收集你的IC号码和医疗信息却不提供说明数据如何使用的隐私声明——违反了通知与选择原则。

保护你自己的数据

虽然PDPA提供了法律框架，个人警惕同样重要：

• 同意前阅读隐私声明
• 当组织要求IC号码或敏感数据时问"这有必要吗？"
• 注册服务时使用最少信息
• 定期审查手机应用的权限

数字化共享个人数据

当你需要为保险申请、房产交易或求职向可信方共享IC号码、银行账户信息等个人数据时，避免通过微信、WhatsApp消息或邮件明文发送。

LOCK.PUB让你通过密码保护的加密链接共享敏感个人数据，链接在设定时间后过期。这在共享MyKad照片或财务文件时特别有用，因为信息不会永久存储在任何人的聊天记录中。

展望：PDPA修正案

马来西亚的PDPA正在进行重大审查。拟议的修正案包括：

• 强制数据泄露通知 — 要求组织在设定时间内通知受影响的个人
• 数据可携性 — 允许在服务提供商之间转移数据
• 任命数据保护官 — 大型组织必须设立
• 跨境传输限制 — 对离开马来西亚的数据加强管控

知道你的权利

PDPA的存在是为了保护你，但只有你知道并行使自己的权利才能发挥作用。下次企业要求你的IC号码时，问问他们为什么需要以及如何保护它。你的个人数据有价值——请如此对待。

---

掌控你的隐私。使用密码保护链接安全共享个人数据 ー LOCK.PUB