˂  Back

《2025年数据共享法案》:10个关键要点

19 3 月 2025
Prepared by Halim Hong & Quek
Articles

在2025年,数据已然成为数字经济中最有价值的资产之一,推动着创新、商业智能和监管监督。正如我们所预期,随着《2024年个人数据保护(修正)法案》和《2024年网络安全法》的实施, 2025年将迎来数据监管和合规性发生重大变化的一年。今天,我们将重点关注另一项同样以数据为核心,但从不同角度切入的重要立法——《2025年数据共享法案》 (“该法案“)。

许多人或许对该法案尚不熟悉,因此,我们将在本文中通过10个关键要点,以简明易懂的方式解析该法案,帮助您清晰了解 该法案的立法目标、对企业可能带来的影响,以及其对现有法律框架的影响。

要点 1:《2025年数据共享法案》的核心内容

从广义来看,该法案旨在促进并规范公共部门机构之间的数据共享。该法案对联邦政府具有约束力,涵盖多个公共部门机构,包括武装部队、司法和法律服务、联邦公共服务、警察部队、教育服务等。

虽然该法案主要适用于公共部门机构,但私营企业仍可能受到间接影响。这是因为,公共部门机构共享的数据可能包含源自私营组织或与其相关的信息。因此,各企业必须了解其数据在这一新框架下可能受到的影响。

要点 2:《2025 年数据共享法案》的当前进展

该法案已于 2025 年 2 月 5 日获得御准,并于 2025 年 2 月 20 日在宪报上公布。该法案的生效日期将由部长通过宪报公告另行指定。

要点 3:《2025 年数据共享法案》中数据的含义

与《2010 年个人数据保护法》对“个人数据”的定义不同《数据保护法》重点关注与数据主体相关的信息,而该法案对“数据”的定义更为广泛。

根据该法案,“数据”被定义为“任何能够通过个人、计算机或其他方式进行传输、分析或处理的事实、统计数据、指令、概念或其他信息。

这一“数据”的广泛定义确保了几乎所有形式的信息,只要能够被传输、分析或处理,均属于该法案的适用范围。该定义的广泛性旨在实现全面覆盖,确保公共部门机构之间共享的各类数据均受到规范,以弥补潜在漏洞,确保不同类型信息的处理方式保持一致。

要点 4:公共部门机构的数据共享请求

该法案现允许公共部门机构向掌控所需数据的另一个公共部门机构提出数据请求。在提出此类请求时,请求的公共部门机构必须提供以下4项关键信息:

i. 所请求的数据;
ii. 请求数据的目的;
iii. 作为数据接收方和数据提供方的公共服务机构;及
iv. 所请求数据的处理方式。

对于数据请求的目的,该法案概述了可以共享数据的 5 种特定用途:

i. 提高公共部门机构在政策、项目管理、服务规划及交付方面的效率与效能;
ii. 降低或防止对个人生命、健康或安全的威胁,或对公共健康与安全的威胁;
iii. 应对突发公共紧急情况;
iv. 符合公共利益;或
v. 国家数据共享委员会可能确定的其他目的。

    要点 5:数据共享并非强制性

    当公共部门机构收到数据共享请求时,并无义务提供所请求的数据。相反,该机构需基于以下3项关键考量对请求进行评估:

    i. 请求数据的目的是否足以支持数据共享;
    ii. 数据共享是否违背公共利益;及
    iii. 请求数据的公共部门机构是否具备充分的安全和技术保障措施,以确保共享数据不会遭受未经授权的访问或使用。

      评估完成后,公共部门机构必须在收到请求后的 14 天内作出回应,说明数据是否可提供(附带或不附带条件),或是否拒绝该请求。

      要点 6:拒绝数据共享请求的理由

      若公共部门机构认定数据请求不应获批,该法案列出了多种拒绝理由。尽管该清单较为详尽,但我们将重点介绍拒绝数据共享请求的 3 个重要原因:

      i. 所请求的数据共享将侵犯律师-当事人特权或法律专业特权;
      ii. 所请求的数据涉及国家安全或国防事务;或
      iii. 公共部门机构有合理依据认为,共享所请求的数据可能危及一个或多个个人的健康、安全或福祉。

        要点 7:数据提供方和接收方的法律义务

        若数据共享获准,数据提供方和数据接收方均需遵守该法案规定的5项核心法律义务:

        确保共享数据的管理和维护符合适用于该数据的所有监管与法律要求;

        i. 采取必要措施保障数据的安全与隐私,包括防止数据丢失、滥用、未经授权或意外修改、访问、披露、篡改或破坏,并维护个人数据保护相关权利;
        ii. 记录与共享数据有关的所有细节;
        iii. 向总监报告任何未经授权的数据共享行为;及
        iv. 遵守委员会可能规定的其他要求。

          要点 8:第三方数据处理

          若数据接收方在该法案框架下委托第三方进行任何数据迁移、数据整合或数据分析等工作,则必须在数据处理前确保已获得数据提供方的同意。

          要点 9:未经授权使用或披露的严厉处罚

          数据接收方的任何官员或雇员均不得将共享数据用于共享数据目的以外的任何用途。若违反此规定,一经定罪,违法者可能面临最高100万令吉的罚款,或最长5年的监禁,或两者并施。

          要点 10:开放数据不受数据请求要求约束

          根据该法案数据请求处理的规定不适用于开放数据共享。开放数据是指公共部门机构免费提供的数据,无需依据法律提出请求,均可自由获取和共享。

          结论

          该法案恰逢其时,亦至关重要,马来西亚正加强监管体系,以确保数据治理更安全、有序且可问责。随着数据在决策与数字化转型中扮演愈发关键的角色,我国亦已做好充分准备,以应对这一全新的数字监管环境。

          如您的企业需进一步了解该法案的相关法律指导,或希望了解个人数据对企业的潜在影响,请随时联系技术业务组的合伙律师。该团队律师在协助客户解决法律事务方面经验丰富,尤其在《2010年个人数据保护法》的合规性领域,定能为您提供专业支持和解决方案。

          Ong Johnson黄永升
          合伙律师 (交易与争议解决、科技、媒体与电信、知识产权、金融科技、隐私与网络安全)
          Halim Hong & Quek 翰林律务所
          电话:+603 2710 3818
          电邮:johnson.ong@hhq.com.my

          Lo Khai Yi罗恺育

          合伙律师 (科技、技术、媒体与通信 、知识产权 、企业与并购 、项目与基础设施 、隐私与网络安全)
          Halim Hong & Quek 翰林律务所
          电话:+603 2710 3818
          电邮:ky.lo@hhq.com.my

          Our Services

          © 2000 – 2024 Halim Hong & Quek