马来西亚《2025年网络安全法》及其附属法规的要点解析

知识亮点 28 January 2026

自2026年1月1日起，马来西亚《2025年网络安全法》（“ONSA”）正式生效，同时生效的还有以下四套附属法规：

• 《2025年网络安全（费用）条例》；
• 《2025年网络安全（承诺书格式）条例》；
• 《2025年网络安全（时限）条例》；以及
• 《2025年网络安全（网络安全上诉审裁处）条例》。

上述法规合称“《条例》”。

马来西亚通信与多媒体委员会（“MCMC”）还发布了一份媒体声明和一份常见问题解答文件（“FAQ”），用以解释ONSA的立法目的和适用范围等事项。

背景

ONSA的出台旨在打击有害网络内容并加强马来西亚的网络安全，特别是鉴于近期网络欺凌案件增多以及未经个人同意使用人工智能（AI）传播虚假信息和深度伪造内容的问题日益严重。ONSA是对《1998年通信与多媒体法》（“CMA”）为社交媒体和网络信息服务提供商设定的监管框架的补充。

简要回顾：

• 此前，自2025年1月1日起已针对社交媒体和网络信息服务引入了更广泛的监管框架，要求在马来西亚拥有至少800万用户的平台向MCMC申请获得应用服务提供商类别许可证；以及
• 随后，通信部长援引CMA新增的第46A条中的视为注册条款，规定所有在马来西亚拥有至少800万用户的网络信息服务和社交媒体提供商，自2026年1月1日起均被视为已注册为应用服务提供商类别许可证持有者。所有应用服务提供商类别许可证持有者均须遵守CMA规定的相关义务。

ONSA概述

应用服务提供商（“ASP”）与内容应用服务提供商（“CASP”）的义务

随着ONSA及其《条例》的生效，持牌ASP（包括根据CMA第46A条被视为已注册的提供商）以及持牌CASP（合称“服务提供商”）必须遵守ONSA规定的以下义务，以降低用户接触有害内容的风险：

• 采取措施以降低接触有害内容的风险；
• 向用户发布指南；
• 使用户能够管理其网络安全；
• 提供有害内容举报机制；
• 提供用户协助机制；
• 保护儿童用户的网络安全；
• 建立机制阻断高优先级有害内容；以及
• 制定网络安全计划。

上述义务合称为“法定义务”。关于法定义务的概述，可参阅我们的文章“Online Safety Bill 2024: Enhancing online safety in Malaysia”。

FAQ指出，ONSA仅适用于服务提供商，而不适用于其运营的在线平台的个人用户。

若未能遵守任何一项法定义务，可能导致服务提供商面临最高一千万马来西亚林吉特的罚款。

网络服务提供商（“NSP”）的义务

与服务提供商相比，持牌NSP的义务仅在以下情况出现时才产生：

• 用户向MCMC举报有害内容；
• 该有害内容托管在ASP或CASP服务范围之外；以及
• MCMC向NSP发出书面指令，要求其在其网络服务内限制相关材料。

在此情况下，NSP必须：

• 在书面指令规定的期限内予以遵守，使所有用户永久无法访问该内容；以及
• 将所采取的任何行动书面通知MCMC，以便MCMC能通知用户。

有害内容与高优先级有害内容的举报

ONSA还对“有害内容”和“高优先级有害内容”进行了区分。对于后者，服务提供商在处理用户报告时需遵循更短的响应时间。

《条例》概述

《2025年网络安全（承诺书格式）条例》

该条例规定了根据ONSA第36(1)条，服务提供商在收到不合规通知之前，可向MCMC提交的承诺书格式。该承诺书需详述为确保遵守ONSA下的法定义务而拟采取的行动。

《2025年网络安全（时限）条例》

该条例规定了ONSA下的具体时限，主要用于规范ONSA第四部分下的有害内容举报与处理。一些关键时限如下：

• 用户举报确认：收到用户关于任何有害内容的举报后，服务提供商必须在1小时内确认收悉，并在确认收悉后的12小时内完成对举报的初步评估，并通知用户该举报的处理状态；
• 高优先级有害内容：对于高优先级有害内容（即涉及儿童性虐待材料和金融欺诈的内容），服务提供商必须立即使所有用户在24小时内无法访问该内容。若经进一步评估确认属于高优先级有害内容，服务提供商必须在作出该认定后的1小时内使内容永久无法访问；否则，应在作出认定后的1小时内恢复内容；
• 有害内容：对于非高优先级有害内容，若报告未被驳回，提供商必须在举报后的4小时内使所有用户在24小时内无法访问该内容。若经进一步评估确认为有害内容，服务提供商必须在作出该认定后的12小时内使内容永久无法访问；否则，应在作出认定后的4小时内恢复内容；
• 受侵害用户的查询：任何受侵害用户可在收到服务提供商处理行动或驳回举报通知后的15天内，就该行动或驳回决定提出查询；以及
• 对查询的回应：收到受侵害用户的查询后，服务提供商可复核其决定，并必须在5天内（针对高优先级有害内容）或7天内（针对非高优先级有害内容）将其决定通知受侵害用户。

未遵守上述规定时限可能导致监管行动以及最高一百万林吉特的罚款。

《2025年网络安全（网络安全上诉审裁处）条例》

该条例规定了，除其他事项外，任何因MCMC发出的书面指令、决定、指示或裁决而受侵害的个人向网络安全上诉审裁处提起上诉的程序和方式，以及听证会的进行方式。

《2025年网络安全（费用）条例》

该条例规定了就查阅和获取MCMC记录其对服务提供商及NSP关于遵守ONSA事宜的指令登记册，应向MCMC支付的费用。

结论与未来动向

服务提供商应通过实施提升马来西亚网络安全所需的措施和机制，确保全面遵守ONSA。

此外，我们对马来西亚网络安全监管格局的未来发展展望如下：

• 更多附属法规：MCMC可能在接下来的几个月内发布更多附属法规，以填补ONSA中仍“尚未规定”的空白；
• 年龄验证机制：即将出台的法规之一预计将规定强制性的年龄验证机制，以确保用户超过特定年龄限制。MCMC仍在评估具体的技术解决方案；
• 降低视为注册的用户门槛：根据CMA第46A条，网络信息服务和社交媒体提供商被视为注册为ASP的用户门槛，可能会从目前的“在马来西亚拥有至少800万用户”降低至更低的数字。这一潜在变化可能会将X（前身为Twitter）等平台纳入社交媒体许可监管体系。