个人数据保护委员会发布有关数据保护官相关的补充指南

知识亮点 6 November 2025

2025年8月1日，马来西亚个人数据保护委员会（“委员会”）根据《2010年个人数据保护法》（“PDPA”），发布了三份有关数据保护官（“DPO”）的补充指南，就DPO及DPO培训服务提供商的职责作出了明确说明。

本文将概述上述补充指南的内容。

《DPO能力指南》

《DPO能力指南》明确了DPO应具备的特质。根据委员会于2025年2月25日发布的《数据保护官任命指南》（“《DPO 任命指南》”），获任命的DPO必须具备足够水平的技能与专业知识。尽管该指南未规定DPO的最低职业资格要求，但《DPO能力指南》强调了DPO有效履行职责所需具备的核心知识、技能与能力，具体需在以下核心领域具备相应能力：

• 咨询与支持
• 风险管理与评估
• 合规监督与监控
• 审计与报告
• 沟通与利益相关方协作
• 监管与数据主体管理

（以上统称 “核心能力领域”）

两级能力体系

所有DPO在履行职责时，均需在每个核心能力领域展现相应能力（“基础级”），可通过自身专业知识、内部DPO团队支持，或就特定核心能力领域聘请第三方专家等方式实现。

在某些情况下，考虑到组织内个人数据处理活动的规模、复杂性及风险暴露程度，DPO需具备更高水平的能力，以领导战略性、全组织范围的个人数据保护举措（“高级”）。高级DPO需具备基础级要求的核心技能，同时拥有更高的独立性与更深厚的专业知识。

《DPO培训服务提供商管理指南》

《DPO培训服务提供商管理指南》规定了委员会对培训服务提供商（“培训提供商”）向获任命DPO所提供的培训项目在质量、结构及相关性方面的要求。

培训服务必须由委员会认可的培训提供商提供。获认可的培训提供商应具备相应资质、基础设施及教学能力，所提供的DPO培训项目需涵盖以下领域：

• PDPA及其他适用的个人数据保护要求，包括任何相关的个人数据保护实践；
• DPO必须了解的组织运营及个人数据处理活动；
• 与个人数据保护相关的信息技术及数据安全原则；
• 培养DPO的诚信意识、对公司治理的良好理解，以及对高职业标准与道德标准的遵守；
• DPO在组织内部推广个人数据保护文化的能力；
• DPO对组织、数据主体及委员会应承担的职责，包括协助开展数据保护影响评估与转移影响评估；以及
• DPO履行职责所需的独立性及充足资源获取渠道。

为获得《DPO培训服务提供商管理指南》规定的认可资格，委员会将参考以下内容对培训提供商进行评估：

• 培训师在个人数据保护领域的资格与经验；
• 培训提供商的培训交付能力与基础设施；
• 用于评估学员理解程度的方法；以及
• 培训课程设置。

除向委员会申请正式认可外，还鼓励培训提供商确保其培训项目及配套材料符合《DPO 培训服务提供商管理指南》规定的标准。

DPO职业发展路径与培训路线图

DPO职业发展路径与培训路线图（“路线图”）设定了结构化框架，为获委任DPO的职业发展提供指导，确保培训、认证及评估符合PDPA项下的质量、能力标准及监管要求。

路线图规定，高级与基础级培训均应围绕《DPO能力指南》中的核心能力领域开展，确保DPO具备履行监管与组织职能所需的知识与技能。

核心能力领域的培训可由获认可的培训提供商提供，同时需建立相应的评估机制，确保DPO达到《DOP能力指南》规定的目标能力水平。

委员会还可推行职业认证路径，该路径包含两项认证 ——“基础级注册DPO” 与“高级注册DPO”，认证形式可分为短期结业证书或长期职业证书。如需要，委员会可考虑将国际认可的职业认证纳入“高级注册DPO”的认可范畴。