马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

近日，马来西亚个人数据保护公署专员（Personal Data Protection Commissioner）根据马来西亚个人数据保护法（the Personal Data Protection Act 2010）的subsection 129（1），拟做出“个人数据保护（关于传输个人数据至马来西亚境外）命令2017”【Personal Data Protection (Transfer Of Personal Data To Places Outside Malaysia) Order 2017】。

在该命令中，马来西亚个人数据保护公署专员拟将包括中国在内的23个国家和地区（具体名单后附），认定为准许接收跨境个人数据的目的地。目前，该命令出于公开征求意见的阶段，截止日期为5月4日。

马来西亚个人数据保护法是怎么说的

按照马来西亚个人数据保护法subsection 129（1）：

“数据使用者【注：等同于欧盟的data controller】不得将个人数据传输至马来西亚境外，除非是由个人数据保护公署专员推荐，且经主管个人数据保护的部长同意的地区”。

(1) A data user shall not transfer any personal data of a data subject to a place outside Malaysia unless to such place as specified by the Minister, upon the recommendation of the Commissioner, by notification published in the Gazette.

subsection 129（2）规定：“在认定地方的“白名单”时，主管个人数据保护的部长应当遵循以下标准：”

(a) there is in that place in force any law which is substantially similar to this Act, or that serves the same purposes as this Act; or 该地区存在与马来西亚个人数据保护法实质上相似，或起到同样目的的法律；或

(b) that place ensures an adequate level of protection in relation to the processing of personal data which is at least equivalent to the level of protection afforded by this Act. 该地区对个人数据提供的个人数据保护水平不低于马来西亚个人数据保护法所提供的保护水平。

个人数据保护公署专员是怎么想的

而在“个人数据保护（关于传输个人数据至马来西亚境外）命令2017”中，马来西亚个人数据保护公署专员披露了其作出关于地区的推荐决定时，主要考虑的三项标准：

Among the criteria considered by the Personal Data Protection Commissioner (the Commissioner) in preparing a list of those places are:

i. Places that have comprehensive data protection law(can be from a single comprehensive personal data protection legislation or otherwise a combination of several laws and regulations in that place); 该地区具备综合性的个人数据保护法律（综合性法律可以是单行法，或几部法律法规的集合）；

ii. Places that have no comprehensive data protection law but are subjected to binding commitments(multilateral/bilateral agreements and others); 该地区不具备综合性的个人数据保护法律，但遵循具有强制约束力的承诺（例如多边、双边协议等）；

iii. Places that have no data protection law but have a code of practice or national co-regulatory mechanisms 该地区不具备综合性的个人数据保护法律，但实施了相关的行为准则或全国性的共同规制机制。

拟列入白名单的地区

这23个国家和地区如下：

(a) European Economic Area (EEA) member countries
(b) United Kingdom
(c) The United States of America
(d) Canada
(e) Switzerland
(f) New Zealand
(g) Argentina
(h) Uruguay
(i) Andorra
(j) Faeroe Islands
(k) Guernsey
(l) Israel
(m) Isle of Man
(n) Jersey
(o) Australia
(p) Japan
(q) Korea
(r) China

(s) Hong Kong
(t) Taiwan
(u) Singapore
(v) The Philippines
(w) Dubai International Financial Centre (DIFC)

最终中国能否成为马来西亚个人数据跨境流动“白名单”地区，让我们拭目以待。