馬來西亞PDPA指南：個人資料保護法下的隱私權

每次你在馬來西亞辦會員卡、在診所登記或申請健身房會員時，都在交出個人資料。你的姓名、IC號碼、電話號碼、地址，有時甚至收入水準都進入了企業資料庫。但你知道自己對這些資料有什麼權利嗎？

馬來西亞2010年《個人資料保護法》（PDPA）——於2013年生效——是規範組織如何收集、使用、儲存和共享個人資訊的主要法律。儘管已施行十多年，許多馬來西亞人仍不知道它提供的保護。

PDPA的適用範圍

PDPA適用於在商業交易中處理個人資料的任何個人或組織：

• 銀行和金融機構
• 電信公司（Celcom、Maxis、Digi、U Mobile）
• 電商平台（Shopee、Lazada）
• 醫療服務提供者（私立醫院、診所）
• 保險公司
• 零售商和會員計畫營運商
• 線上服務提供商

什麼是個人資料？

類別	範例
身分	姓名、IC號碼、護照號碼
聯絡方式	電話號碼、電子郵件、地址
財務	銀行帳戶、薪資、信用紀錄
健康	病歷、處方、血型
生物辨識	指紋、臉部辨識資料
數位	IP位址、瀏覽紀錄、位置資料

PDPA不適用的範圍

存在重要的空白：

• 聯邦和州政府
• 非商業活動（個人或家庭使用）
• 在馬來西亞境外處理的資料
• 依據《信用報告機構法2010》運營的信用報告機構

PDPA賦予你的七項權利

1. 存取權（第12條）

你有權要求存取組織持有的關於你的個人資料。組織必須在21天內回覆。

2. 更正權（第34條）

如果個人資料不準確、不完整或具有誤導性，你可以要求更正。組織必須在14天內完成更正。

3. 撤回同意權（第38條）

你可以隨時撤回對資料處理的同意。但撤回可能影響你所享受的服務。

4. 阻止直接行銷處理權（第43條）

你可以指示任何組織停止將你的資料用於直接行銷目的。

實用提示： 收到不需要的行銷訊息時，回覆「STOP」或直接聯繫組織，引用PDPA第43條。

5. 阻止可能造成損害的處理權（第42條）

如果資料處理正在或可能造成重大損害或痛苦，你可以要求停止。

6. 知情權（一般原則）

組織必須告知你收集什麼資料、為什麼收集、可能與誰共享、是必填還是自願。

7. 獲得賠償的權利

如果組織違反PDPA並造成損害，你可以透過法院尋求賠償。

七項資料保護原則

原則	含義
一般	需要同意；必須通知資料主體
通知與選擇	收集前必須提供清晰的隱私聲明
披露	不得超出聲明目的共享資料
安全	必須保護資料免受遺失、濫用和未授權存取
保留	不得超過必要時間保留資料
資料完整性	必須確保資料準確且最新
存取	必須允許資料主體存取和更正資料

如何投訴PDPA違規

1. 先向組織投訴。
2. 如未解決，向個人資料保護專員（PDPC）投訴：
   • 線上：www.pdp.gov.my
   • 電子郵件：aduan@pdp.gov.my
   • 電話：03-8000 8000
3. 提供證據： 擷圖、通訊副本以及資料被濫用的詳細資訊。

專員可以調查、發出執行通知、處以最高RM500,000的罰款或最高三年的監禁。

日常生活中常見的PDPA違規

退訂不了的行銷訊息

儘管要求刪除，仍持續收到促銷簡訊或電話——這違反了第43條。

過度分享的企業

房產仲介未經同意將你的電話號碼和IC資訊分享給多個第三方——違反了披露原則。

缺失的隱私聲明

診所收集你的IC號碼和醫療資訊卻不提供說明資料如何使用的隱私聲明——違反了通知與選擇原則。

保護你自己的資料

雖然PDPA提供了法律框架，個人警覺同樣重要：

• 同意前閱讀隱私聲明
• 當組織要求IC號碼或敏感資料時問「這有必要嗎？」
• 註冊服務時使用最少資訊
• 定期檢視手機應用程式的權限

數位化共享個人資料

當你需要為保險申請、房產交易或求職向可信方共享IC號碼、銀行帳戶資訊等個人資料時，避免透過LINE、WhatsApp訊息或電子郵件明文傳送。

LOCK.PUB讓你透過密碼保護的加密連結共享敏感個人資料，連結在設定時間後到期。這在共享MyKad照片或財務文件時特別有用，因為資訊不會永久儲存在任何人的聊天紀錄中。

展望：PDPA修正案

馬來西亞的PDPA正在進行重大審查。擬議的修正案包括：

• 強制資料外洩通知 — 要求組織在設定時間內通知受影響的個人
• 資料可攜性 — 允許在服務提供商之間轉移資料
• 任命資料保護官 — 大型組織必須設立
• 跨境傳輸限制 — 對離開馬來西亞的資料加強管控

知道你的權利

PDPA的存在是為了保護你，但只有你知道並行使自己的權利才能發揮作用。下次企業要求你的IC號碼時，問問他們為什麼需要以及如何保護它。你的個人資料有價值——請如此對待。

---

掌控你的隱私。使用密碼保護連結安全共享個人資料 ー LOCK.PUB