《跨境数据传输个人数据保护指南》发布

序言

我们之前的法律动态分析了根据《2024年个人数据保护（修订）法》（以下简称“《修订法》”）对《2010年个人数据保护法》（“以下简称《个人数据保护法》”）作出的最新修订（点击此处查阅），并介绍了《关于数据保护官任命的个人数据保护指南》（以下简称“《数据保护官员指南》”）和《强制性数据泄露通知》（以下简称“《数据泄露通知指南》”）（点击此处查阅）。目前，个人数据保护专员（简称“专员”）刚刚发布了《跨境数据传输的个人数据保护指南》（以下简称“《跨境数据传输指南》”）。

有关背景：数字部部长（以下简称“部长”）于2024年初宣布，专员将在2024年至2025年期间制定并发布一系列个人数据保护指南，以补充《个人数据保护法》的最新修订。有关指南计划分两期发布，具体如下：

第一期指南

1. 《数据保护官指南》；
2. 《数据泄露通知指南》；
3. 《数据可携性指南》；
4. 《跨境数据传输指南》；

第二期指南

5. 《数据保护影响评估指南》；
6. 《设计隐私指南》；及
7. 《分析和自动决策指南》。

《数据保护官指南》和《数据泄露通知指南》已于2025年2月25日发布。《跨境数据传输指南》是专员根据《修订法》发布的第三份指南。

继2025年4月29日发布《跨境数据传输指南》之后，第一批指南中的最后一份指南，即《数据可携性指南》，预计将于今年第二季度发布。

《跨境数据传输指南》关键要求概述

本法律动态旨在简要概述《跨境数据传输指南》下的关键条款。

有关背景：《个人数据保护法》第129条规定了将个人数据传输到马来西亚境外的条件。根据《修订法》引入的修订，《跨境数据传输指南》现为数据控制者提供有关如何遵守《个人数据保护法》第129(2)和(3)条规定的各项条件的额外指导。

《跨境数据传输指南》规定的各项条件的关键要求如下：

1. 与《个人数据保护法》实质相似的法律（第129(2)条）：如果数据控制者已进行传输影响评估（以下简称“传输影响评估”）、审查接收国的相关个人数据保护法律，则在满足以下条件的情况下，数据控制者可被认为符合该条件：
   • 必须考虑《跨境数据传输指南》中列出的因素，例如该法律是否赋予数据主体类似的权利；
   • 传输影响评估结果的有效期不超过三年；及
   • 相关个人数据保护法律的任何变更或修订都必须进行审查，以确定该法律在变更或修订后是否仍然与《个人数据保护法》实质相似。

2. 具有足够保护水平的地点（第129(2)(b)条）：如果数据控制者已进行数据保护影响评估、审查接收国的相关个人数据保护法，则在满足以下条件的情况下，数据控制者可被认为符合该条件：
   • 必须考虑《跨境数据传输指南》中列出的因素，例如接收国是否已制定符合安全原则和专员发布的个人数据保护标准的安全措施和政策；
   • 数据保护影响评估结果的有效期不超过三年；及
   • 在数据保护影响评估有效期内，与个人数据安全相关的系统或政策的任何重大变更或修订都必须进行审查，以确定变更或修订后，个人数据是否仍享有与《个人数据保护法》下规定的同等充分的保障措施。

3. 同意（第129(3)(a)条）：数据控制者在以下情况下可被认为符合该条件：
   • 向数据主体提供其个人数据保护通知，其中包含接收数据控制者或数据处理者所属第三方的类别以及传输目的的详细信息；及
   • 所获得的同意能够根据《2013年个人数据保护条例》的要求进行记录或维护。

4. 为履行数据主体与数据控制者之间的合同所必需的传输（第129(3)(b)条）：数据控制者在以下情况下可被认为符合该条件：
   • 传输对于数据控制者履行其在合同中的义务是必要的^[1]；及
   • 义务必须是为了合同的核心目的。

5. 为签订或履行数据控制者与第三方之间的合同所必需的传输（第129(3)(c)条）：数据控制者在以下情况下可被认为符合该条件：
   • 合同是应数据主体的要求，或是为了数据主体的利益而订立的；
   • 如果合同是应数据主体的要求而订立的，则该要求以书面形式提出，或已记录并保存，以便可以证明数据主体已提出此类要求；
   • 如果合同是为了数据主体的利益而订立的，则该利益必须明确、实质性、直接且针对数据主体；及
   • 传输对于合同的订立或履行是必要的。

6. 为法律程序目的而传输（第129(3)(d)条）：如果传输是为了进行任何法律程序、获得法律建议或确立、行使或维护合法权利而进行，数据控制者可被认为符合该条件。

7. 数据控制者的合理理由（第129(3)(e)条）：如果数据控制者有合理理由相信以下情况，则可被认为符合该条件：
   • 数据传输是为了避免或减轻对数据主体的不利行动而进行；
   • 无法获得数据主体对此类传输的书面同意；及
   • 如果能够获得此类同意，数据主体应该已经同意。

8. 要求对个人数据的跨境传输采取一切合理预防措施并履行一切应尽职责（第129(3)(f)条）：采用以下机制的数据控制者可被认为符合该条件：

• • 具有约束力的公司规则：通常由跨国集团或其他企业集团实施的个人数据保护政策，用于规范集团内部的个人数据传输；

• • 标准合同条款：合同中的一组条款对双方具有法律约束力，以确保采取充分且适当的保障措施，以确保个人数据的安全；及

• • 认证：个人数据保护认证，证明数据控制者已制定符合特定数据保护法的充分政策和流程，或能够提供足够的保护水平来保护个人数据。

9. 为保护数据主体切身利益而进行的必要传输（第129(3)(g)条）：数据控制者在以下情况下可被认为符合该条件：
   • 传输是必要的；
   • 传输的目的是为了保护数据主体切身利益；及
   • 如不进行数据传输，数据主体面临的风险大于任何个人数据保护方面的顾虑。

10. 其他注意事项：除上述条件外，《跨境数据传输指南》还规定，数据控制者必须保存并维护任何将个人数据传输到马来西亚境外的记录。该记录必须包含以下信息：
    • 接收数据控制者或处理者的详细信息；
    • 个人数据传输的目的地国家/地区；
    • 传输的个人数据类型；
    • 传输的目的或相关目的；及
    • 传输所需满足的条件以及条件得以满足的证明；及
    • 其他被认为必要的信息。

关键合规要求：强烈建议所有将个人数据传输到马来西亚境外的数据控制者核查《跨境数据传输指南》及其自身流程，以确定其是否符合将个人数据传输到马来西亚境外所需满足的条件的要求。

此外，如果数据控制者有意依赖《个人数据保护法》第129(2)条引入的新条件或第129(3)(f)条规定的新机制，我们强烈建议此类数据控制者核查《跨境数据传输指南》，以确定其是否能够进行所需的传输影响评估、遵守规定的流程并履行新机制规定的义务。

由于新的记录保存要求，数据控制者应审查其当前的流程和政策，以确保其能够保存和维护《跨境数据传输指南》所要求的必要记录。

结语

《跨境数据传输指南》就遵守将个人数据传输到马来西亚境外的各项条件的要求提供了进一步的指导和澄清。建议所有将个人数据传输到马来西亚境外的数据控制者核查《跨境数据传输指南》（特别是数据控制者目前所依赖的相关条件），以确保其完全遵守《个人数据保护法》第129条的规定。

此外，随着进一步的个人数据保护指南、修订后的《个人数据保护标准》（取代《2015年个人数据保护标准》）以及现有个人数据保护法规的潜在修订即将发布，我们建议所有数据控制者及时了解最新情况，并在这些法规发布时做好准备。

我们相信以上内容对《跨境数据传输指南》中的关键要求提供了有用的介绍。如果您需要与上述内容或与任何个人数据保护相关事宜有关的任何帮助或说明，请随时与我们联系。

__________________________________

^[1] 根据《跨境数据传输指南》，如果一项数据传输(i)不属于惯例，也不属于经常性行为；(ii)系为实现特定目的而非一般目的而进行；且(iii)该特定目的不能通过任何可行的替代性办法来实现，则该项传输是必要的。