马来西亚个人数据保护委员会发布有关数据保护影响评估、自动化决策与画像分析、以及数据保护设计的指南

知识亮点 11 May 2026

2026年4月30日,马来西亚个人数据保护委员会(“PDP委员会”)发布了以下指南,旨在加强数据保护实践:

  • 数据保护影响评估(“DPIA”);
  • 自动化决策与画像分析(“ADMP”);以及
  • 数据保护设计(“DPBD”)。

这些指南引入了与国际实践接轨的新要求,并针对马来西亚数据保护领域中新兴的问题,包括在数据处理中使用人工智能(“AI”)以及处理儿童个人数据作出了规定。

DPIA指南》

DPIA是对数据控制者计划开展的操作(涉及个人数据)可能对个人数据保护产生影响的评估。组织的高级管理层在评估后,必须确保在引入新的个人数据处理操作(例如聘用外部云服务提供商或推出新的移动应用程序)时进行DPIA。对计划处理活动的评估应由组织的数据保护官(“DPO”)进行,以确定该等活动是否达到触发DPIA的门槛,具体依据以下标准:

  • 个人数据处理预计涉及超过20,000名数据主体,或涉及超过10,000名数据主体的敏感个人数据(包括财务信息数据)(合称“数量门槛”);或
  • 个人数据处理可能对个人数据保护构成高风险(“质量门槛”)。

若处理活动未达到数量门槛,DPO应尽最大判断力确定组织的个人数据处理是否属于质量门槛。该评估包括考虑该处理是否:

  • 可能对数据主体产生重大影响,包括其法律、经济、社会或财务状况、权利、健康、声誉或服务获取;
  • 涉及对数据主体的系统性监控,例如通过使用面部识别技术提供个性化折扣,或收集地理位置数据以追踪消费模式;
  • 使用创新或新兴技术,如AI驱动功能;
  • 可能限制数据主体的权利,例如要求强制同意以获取服务,或设置行政障碍,使个人不愿行使其访问个人数据的权利;
  • 涉及儿童或弱势个体的个人数据;以及
  • 涉及自动化决策与画像分析,且对数据主体构成高风险。

DPIA可通过实施称为“DEICA”的五步流程进行,具体如下:

  • D:描述处理操作,包括个人数据的性质和范围,以及处理的背景和目的;
  • E:评估处理的必要性,包括其是否与实现预期结果相称;
  • I:通过考虑已识别危害的可能性和影响,识别对个人数据的风险(例如安全风险以及对数据主体权利的任何限制);
  • C:考虑通过应对已识别风险来保护个人数据的步骤;以及
  • A:评估处理的整体剩余风险水平。

若 DPIA显示整体剩余风险较高,组织的高级管理层应决定是否接受该风险并实施任何额外的缓解措施,并据此分配足够的资源。

《DPIA指南》(内含DPIA模板)请点击这里查阅。

ADMP指南》

《ADMP指南》将“自动化决策”定义为无需人工参与、通过自动化方式作出的任何决策;而“画像分析”是指为预测或生成有关个人特征(如其工作表现、财务状况、健康状况和偏好等)的信息而对个人数据进行的自动化处理,也可能涉及基于该个人数据对人群进行概括。

《ADMP指南》适用于结果满足以下条件的ADMP活动:

  • 影响数据主体的法律地位或法律权利,例如自动化系统终止合同或权利,或拒绝法律规定的社会福利;或
  • 对数据主体的状况、行为或选择产生重大影响,具有长期或永久性影响,或导致对数据主体的歧视。这可能包括,例如,损害个人获取基本服务、就业机会、信贷资格或声誉的结果。

若自动化决策与画像分析过程涉及敏感个人数据(例如与数据主体的身体或心理健康、政治观点、宗教信仰、实施或涉嫌实施犯罪有关的信息,或生物识别数据),进行ADMP活动的组织应获得数据主体的明确同意。在处理敏感个人数据时,还应实施强有力的安全措施,例如加密、匿名化或假名化此类数据,或在组织内部实施更严格的访问控制。

还应向数据主体提供包含以下信息的个人数据保护通知或隐私通知:

  • 数据主体的个人数据处理涉及ADMP过程;
  • 通过ADMP过程作出的决策类型;
  • 自动化决策的理由;
  • 自动化决策的可能后果;以及
  • 若组织使用AI处理个人数据,应说明AI的使用范围。

若组织将AI用于ADMP目的,还可以采纳以下最佳实践:

  • 明确使用AI的商业目的,并审查与ADMP过程相关的任何风险;
  • 确保AI的使用方式维护数据主体的尊严、产生准确的输出、考虑AI的局限性及任何可能的不利影响,并仅限于其预期目的;
  • 实施适当的安全措施,以减轻对AI系统或服务过度依赖的风险;
  • 对相关人员进行AI操作及局限性的培训;
  • 确保AI不作为制定与数据主体相关的政策或决策的唯一依据;以及
  • 指定相关人员审查自动化决策过程中AI的使用。此类人员应接受适当培训,并能够主动评估和解释AI输出。

《ADMP指南》请点击这里查阅。

DPBD指南》

《DPBD指南》列出了推荐的最佳实践、应用和示例,用于将适当的技术和组织措施整合到数据处理活动的全生命周期中,以确保遵守《2010年个人数据保护法》(“PDPA”)项下的个人数据保护原则。

《DPBD指南》既非规定性也非详尽无遗,遵守该指南属于自愿行为。尽管如此,该指南提供了PDPA、《2015年个人数据保护标准》以及PDP委员会发布的其他相关指南之间如何相互作用的实际说明。

DPBD框架基于以下四个关键支柱:

  • 前瞻性:数据控制者或数据处理者应预见并预防隐私风险的发生,并主动采取措施防止个人数据泄露。这包括:
  • 建立适当的治理机制,并确保有足够的资源来管理组织内部的个人数据风险;以及
  • 设计系统、程序、项目和流程,以便仅收集、使用和保留最低限度的个人数据,确保个人数据默认得到保护。
  • 端到端保护:数据控制者和数据处理者应在个人数据的整个生命周期(从设计和开发,到部署和停用)中保护个人数据。
  • 透明性:数据控制者和数据处理者应对个人数据的处理方式保持透明,并且必须能够证明其遵守了自身声明的数据保护实践。
  • 以用户为中心:系统、产品、服务和流程的设计应考虑到数据主体的利益和需求,使其对自己的个人数据如何使用拥有实际的控制权。

《DPBD指南》鼓励组织在处理个人数据时采取主动方法。这包括任何代表他人处理数据的个人,通过评估风险并根据数据的使用方式、数据处理活动的性质和背景以及处理目的来调整其数据保护措施。

《DPBD指南》请点击这里查阅。

查看更多观点

知识亮点 29 April 2026

新加坡退休年龄及重新受雇年龄将于2026年7月1日起分别提高至64岁及69岁

查看更多