随着年末临近,法律、合规和监管团队正加紧进行2025年的筹备工作、制定战略并规划预算。在马来西亚,2025年将迎来一系列重要的监管变化,新的合规要求不仅会对企业的外部运营产生影响,更重要的是,将重塑企业内部法律部门的运作模式。
在这些变化中涵括了两项关键进展 :
其一:根据《2024年网络安全法》的网络安全事件通知;
其二:根据《2024年个人数据保护(修订)法》的个人数据泄露通知。
以上两项法案已于今年正式发布并生效。对于企业内部的法律部门而言,理解网络安全事件通知与个人数据泄露通知之间的区别,将对确保合规性和应对未来的挑战起到至关重要的作用。然而,许多企业仍在摸索这两类通知的差异,这也引发了关于哪些企业会受到影响及如何有效应对这些变化的问题。
本文旨在厘清这两者之间的区别,并提供实用的见解,帮助法律顾问和法律团队整合合规框架,以更好地应对2025年的挑战。
我们将探讨六个关键方面,帮助企业更好地理解网络安全事件通知和个人数据泄露通知的细微差异,并量身定制应对这些差异的内部流程。
1. 网络安全事件通知和个人数据泄露通知是相同的吗?
表面看来,网络安全事件通知和个人数据泄露通知似乎可以互换使用,且常被统称为“数据泄露”。然而,它们分别受到不同法规的管辖,属于独立的合规义务,且在程序和实质性要求上各有不同。
• 网络安全事件通知:
此要求源自《2024年网络安全法》,该法案于2024年6月26日发布并生效,旨在特别应对国家关键信息基础设施(“NCII”)所面临的威胁与中断。
• 个人数据泄露通知:
此义务源自《2024年个人数据保护(修订)法》,该法案于2024年10月17日生效,主要涉及个人数据的泄露、丢失或不当处理。
对于企业法律顾问和法律团队而言,理解这些基本差异至关重要,且企业内部的应对策略需根据这些差异进行相应调整和优化。
2. 谁将受这些通知影响?
• 网络安全事件通知:
与一些人的假设不同,《2024年网络安全法》并未对所有企业施加全面的网络安全事件通知义务。实际上,网络安全事件通知义务仅适用于被指定为NCII实体的组织。
根据《2024年网络安全法》,NCII负责人有责任识别并指定那些运营或拥有NCII的企业为NCII实体。虽然截至目前尚未有企业被正式指定为NCII实体,但根据我们的了解,一些企业已收到非正式通知,告知其可能在未来被指定为NCII实体。企业必须保持警觉,一旦被指定为NCII实体,网络安全事件通知义务将随之触发。
• 个人数据泄露通知:
相比之下,《2024年个人数据保护(修订)法》适用范围更为广泛。该义务适用于所有“数据控制者”,这一新术语取代了之前的 “数据用户”概念。
数据控制者被定义为处理个人数据或对个人数据的处理拥有控制权或授权的个人或组织。由于这一定义较为广泛,许多企业可能会落入修订后的个人数据保护法(PDPA)的适用范围,并需要遵守个人数据泄露通知的相关要求。
3. 什么构成网络安全事件或个人数据泄露?
• 网络安全事件通知:
《2024年网络安全法》将网络安全事件定义为:
“在没有合法授权的情况下,通过计算机或计算机系统进行的行为或活动,危害或不利影响该计算机或计算机系统或其他计算机或计算机系统的网络安全。”
需要注意的关键术语是“危害”和“不利影响”。这些词汇有助于评估事件的重大性和严重性,从而判断其是否符合网络安全事件的法律定义。简而言之,行为或活动必须具有足够的严重性,能够危害或不利影响相关系统的网络安全,才能符合法律定义并触发通知义务。
尽管法律未对“危害”和“不利影响”作出具体的定义,但从严格的解释来看,相关活动必须达到一定的严重程度,才能符合网络安全事件的法律范围并触发通知义务。合理的解释可能是,如果未经授权访问信息技术环境的轻微尝试已在常规防火墙操作中被检测、阻止并标记,这类事件可能不需要触发通知义务。相反,任何威胁行为者成功绕过防火墙,尤其是当此行为对网络安全构成危害或产生不利影响时,都应触发通知义务,无论威胁是否被及时消除、是否进入了关键信息技术环境,或是否发生了中断。随着监管环境的不断变化,未来的法规或指导方针可能会提供更明确的标准,帮助界定事件的严重性或重大性,从而明确哪些情况应被视为可报告的网络安全事件。
• 个人数据泄露通知:
《2024年个人数据保护(修订)法》并未对“个人数据泄露”作出具体的定义。然而,我们可以借鉴其他法域的相关规定作为参考:
欧盟《通用数据保护条例》(GDPR):个人数据泄露被定义为“导致个人数据的意外或非法销毁、丧失、篡改、未经授权披露或访问的安全漏洞。”
新加坡《2012 个人数据保护法》: 数据泄露包括“未经授权的访问、收集、使用、披露、复制、修改或处置个人数据,或在个人数据设备丢失时的情况下,可能发生未经授权的访问、收集、使用、披露、复制、修改或处置个人数据的情形。”
尽管马来西亚尚未发布关于个人数据泄露范围的详细指导,但可以合理预期,其立法与这些国际标准将保持一致。相关监管机构预计将在未来发布进一步的指导,以明确个人数据泄露通知的适用范围。
4. 当通知义务被触发时,企业应采取哪些行动?
• 网络安全事件通知:
《2024年网络安全法》要求NCII实体在发生网络安全事件时迅速采取行动。整个过程可分为以下三个关键步骤:
步骤1:发现事件后立即通知
一旦NCII实体意识到网络安全事件已经发生或可能发生,授权人员必须立即通过电子方式通知相关监管机构。首个官方通知应通过电子邮件发送至cert@nc4.gov.my。
步骤2:在6小时内提交初步信息
在NCII实体意识到网络安全事件发生后的 6小时内,授权人员必须提交关于该网络安全事件的初步信息,包括网络安全事件的类型、描述,以及事件的严重性评估。
步骤3:在14天内提交补充信息
在初步6小时通知后的14天内,授权人员应尽最大可能提交进一步的补充信息,包括受网络安全事件影响的主机数量估算、网络安全威胁行为者的详细信息以及与网络安全事件相关的证据或痕迹。
• 个人数据泄露通知:
对于个人数据泄露,《2024年个人数据保护(修订)法》引入了两级通知流程:
一级:通知专员
如果数据控制者有理由相信个人数据泄露已发生,数据控制者应尽快通知专员。
二级:通知受影响的数据主体
如果个人数据泄露可能对数据主体造成或可能造成任何重大损害,数据控制者应通知数据主体该数据泄露事件。
尽管《2024年个人数据保护(修订)法》尚未为这些通知设定具体的时间框架,但我们预计未来会发布进一步的指导。如果马来西亚采取类似于新加坡《2012年个人数据保护法》的做法,组织可能需要在三个日历日内通知专员。
5. 事件是否需要同时遵守两项通知义务?
法律部门面临的一个关键问题是,单一事件是否可能同时触发网络安全事件和个人数据泄露的通知义务。答案是肯定的,这取决于事件入侵或泄露的程度。
如果发生黑客攻击或网络攻击,导致既构成网络安全事件又涉及个人数据泄露,那么被归类为NCII实体和数据控制者的组织将需要同时遵守这两项通知义务。鉴于应对此类事件的复杂性,企业必须制定清晰的实施路线图,并建立合规框架,明确各方角色、责任、政策和程序。通过结构化的应对方案,企业将确保在事件发生时能够迅速有效地作出响应。
6. 未遵守通知义务的处罚是什么?
未遵守这些通知义务的处罚是严厉的。
• 《2024年网络安全法》:
未遵守网络安全事件通知要求的NCII实体,可能面临最高50万马币的罚款、最高10年的监禁,或两者并罚。
• 《2024年个人数据保护(修订)法》:
未能通知专员或受影响数据主体的数据控制者,可能面临最高25万马币的罚款、最高2年的监禁,或两者并罚。
鉴于这些严厉的惩罚,企业必须高度重视这些义务,以避免潜在的财务和声誉风险。
结论与即将到来的事件:为2025年做好准备
随着企业为2025年做准备,了解并落实关于网络安全事件通知和个人数据泄露通知的合规措施将变得愈发重要。未能遵守规定可能导致严重的财务和法律后果,但通过制定结构化的计划,企业可以有效地应对这些新要求。
为此,我们很高兴地宣布,翰林律务所将于今年 11 月与S-RM 合作举办网络安全事件模拟峰会。本次活动将提供实践性的见解,帮助企业在《2024 年网络安全法》的法律框架下有效地管理和应对网络安全事件。
通过了解网络安全事件通知和个人数据泄露通知之间的细微差别,法律顾问和合规团队将能够更好地应对2025年的监管挑战。现在正是采取行动、调整策略并确保您的合规框架为即将到来的新监管环境做好准备。
如需量身定制的建议和帮助以应对这一全新的网络安全框架,我们的技术实践团队随时为您提供支持。请立即联系我们,确保您的企业完全符合新的法律框架,并有能力应对可能出现的任何网络安全挑战。
Ong Johnson黄永升
合伙律师 (交易与争议解决、科技、媒体与电信、知识产权、金融科技、隐私与网络安全)
Halim Hong & Quek 翰林律务所
电话:+603 2710 3818
电邮:johnson.ong@hhq.com.my
Lo Khai Yi罗恺育
合伙律师 (科技、技术、媒体与通信 、知识产权 、企业与并购 、项目与基础设施 、隐私与网络安全)
Halim Hong & Quek 翰林律务所
电话:+603 2710 3818
电邮:ky.lo@hhq.com.my