PDPA Malaysia dan AI: Akta Perlindungan Data Peribadi dalam Era AI

by
⚠️ Pendedahan Afiliasi: Artikel ini mungkin mengandungi pautan afiliasi. Kami mungkin mendapat komisyen kecil jika anda membeli melalui pautan kami, tanpa kos tambahan kepada anda. Ini membantu kami terus menyediakan kandungan percuma berkualiti.

Akta Perlindungan Data Peribadi 2010 (PDPA), atau lebih dikenali sebagai Akta 709, adalah undang-undang utama Malaysia yang mengawal pengumpulan, pemprosesan, dan penggunaan data peribadi dalam sektor komersial. Diluluskan pada tahun 2010 dan dikuatkuasakan sepenuhnya pada 2013, PDPA menjadi tulang belakang perlindungan privasi digital Malaysia — termasuk dalam konteks penggunaan kecerdasan buatan (AI) yang semakin meluas.

n

n

Pendedahan: Artikel ini mengandungi pautan affiliate. Jika anda mendaftar melalui pautan kami, kami mungkin menerima komisyen kecil — tanpa sebarang kos tambahan kepada anda. Ini membantu kami terus menghasilkan panduan percuma dalam Bahasa Melayu.

n

nnn

Namun, PDPA digubal dalam era sebelum AI generatif, model bahasa besar, dan sistem keputusan automatik menjadi arus perdana. Bagaimana undang-undang yang berusia lebih satu dekad ini berfungsi dalam era AI? Apakah hak anda sebagai rakyat Malaysia? Dan apakah implikasi pindaan PDPA 2024 yang sedang dibincangkan?

nn

Artikel ini memberi panduan komprehensif mengenai PDPA Malaysia dalam konteks AI.

nnnn

Asas PDPA 2010 (Akta 709): Tujuh Prinsip Perlindungan Data

nn

PDPA 2010 dirangka berdasarkan tujuh prinsip teras perlindungan data yang menjadi garis panduan bagi semua organisasi yang memproses data peribadi rakyat Malaysia dalam konteks komersial. Memahami prinsip-prinsip ini adalah asas kepada memahami hak-hak anda dalam era AI.

nn

Tujuh prinsip PDPA tersebut ialah:

nn

    n

  • Prinsip Am (General Principle): Data peribadi hanya boleh diproses dengan persetujuan subjek data dan untuk tujuan yang sah

    • n

  • Prinsip Pemberitahuan dan Pilihan (Notice and Choice Principle): Individu mesti dimaklumkan tentang pemprosesan data mereka dan diberikan pilihan

    • n

  • Prinsip Pendedahan (Disclosure Principle): Data peribadi tidak boleh didedahkan tanpa persetujuan atau autoriti undang-undang

    • n

  • Prinsip Keselamatan (Security Principle): Langkah-langkah keselamatan yang praktikal mesti diambil untuk melindungi data peribadi

    • n

  • Prinsip Integriti Data (Data Integrity Principle): Data peribadi mesti tepat, lengkap, dan terkini

    • n

  • Prinsip Akses (Access Principle): Individu berhak mengakses data peribadi mereka sendiri dan membetulkannya

    • n

  • Prinsip Pemindahan Data (Data Transfer Principle): Data tidak boleh dipindahkan ke luar Malaysia melainkan ke negara yang mempunyai tahap perlindungan yang mencukupi

    • n

nn

Prinsip-prinsip ini memberikan rangka kerja asas yang boleh digunakan untuk menilai sama ada penggunaan AI oleh sesebuah organisasi mematuhi keperluan perlindungan data atau tidak.

nnnn

Jabatan Perlindungan Data Peribadi: Pengawal Selia PDPA Malaysia

nn

Jabatan Perlindungan Data Peribadi (JPDP) adalah badan kerajaan yang bertanggungjawab mengawal selia pematuhan PDPA di Malaysia. Di bawah Kementerian Digital, JPDP mempunyai bidang kuasa untuk menyiasat aduan, menjalankan pemeriksaan, dan mengenakan penalti ke atas organisasi yang melanggar PDPA.

nn

Fungsi utama JPDP termasuklah:

nn

    n

  • Mendaftar pemproses data komersial yang wajib berdaftar di bawah PDPA

    • n

  • Menerima dan menyiasat aduan daripada individu yang hak privasi mereka dilanggar

    • n

  • Menjalankan audit dan pemeriksaan ke atas organisasi yang memproses data peribadi

    • n

  • Mengeluarkan garis panduan dan pekeliling tentang pematuhan PDPA

    • n

  • Mengenakan denda dan tindakan penguatkuasaan terhadap pelanggar PDPA

    • n

nn

Jika anda percaya hak privasi anda telah dilanggar di bawah PDPA, anda boleh membuat aduan kepada JPDP melalui laman sesawang pdp.gov.my atau dengan melawat pejabat mereka.

nn

Data Latihan AI dan PDPA: Adakah Syarikat AI Melanggar Undang-undang?

nn

Salah satu persoalan paling penting dalam era AI ialah sama ada penggunaan data peribadi rakyat Malaysia untuk melatih model AI mematuhi PDPA atau tidak. Ini adalah isu undang-undang yang masih belum sepenuhnya diselesaikan di Malaysia.

nn

Apabila sebuah syarikat menggunakan data peribadi — macam nama, gambar, suara, atau teks yang boleh dikenal pasti secara peribadi — untuk melatih sistem AI, beberapa prinsip PDPA yang relevan terpakai:

nnnn

    n

  • Prinsip Am memerlukan persetujuan untuk pemprosesan data. Adakah individu memberikan persetujuan khusus untuk data mereka digunakan melatih AI? Kebanyakan terma perkhidmatan yang umum mungkin tidak mencukupi.

    • n

  • Prinsip Pemberitahuan memerlukan individu dimaklumkan tentang cara data mereka digunakan. Berapa ramai pengguna tahu data mereka digunakan untuk latihan AI?

    • n

  • Prinsip Integriti Data memerlukan data yang tepat dan digunakan untuk tujuan yang ia dikumpulkan.

    • n

nn

Di peringkat global, regulasi penggunaan data untuk latihan AI masih berkembang. Itali pernah menyekat ChatGPT sementara waktu atas kebimbangan GDPR. Di UK, perbincangan tentang "opt-in" versus "opt-out" untuk latihan AI sedang giat berlangsung. Malaysia perlu mengambil pendirian yang jelas dalam isu ini, terutamanya memandangkan model-model AI global digunakan secara meluas oleh rakyat Malaysia.

nn

Hak Anda dalam Keputusan Automatik AI di bawah Undang-undang Malaysia

nn

Apabila bank menggunakan AI untuk memutuskan sama ada meluluskan pinjaman anda, apabila majikan menggunakan AI untuk menyaring resume, atau apabila syarikat insurans menggunakan AI untuk menentukan premium — ini semua adalah contoh keputusan automatik yang boleh memberi impak besar kepada kehidupan anda.

nn

Dalam konteks undang-undang Malaysia, hak anda berkaitan keputusan automatik AI masih terhad berbanding perlindungan di bawah GDPR Eropah. Walau bagaimanapun, beberapa perlindungan asas wujud:

nn

    n

  • Di bawah Prinsip Am PDPA, pemprosesan data yang membawa akibat undang-undang atau kesan signifikan lain kepada individu memerlukan persetujuan yang jelas

    • n

  • Kod Amalan Bank Negara Malaysia memerlukan institusi kewangan untuk memberikan penjelasan kepada pemohon yang ditolak, termasuk apabila keputusan dibuat menggunakan AI

    • n

  • Undang-undang kontrak umum boleh memberikan remedi jika keputusan automatik yang tidak adil melanggar hak kontraktual

    • n

nn

Walau bagaimanapun, Malaysia masih memerlukan peruntukan undang-undang yang lebih khusus tentang hak terhadap keputusan automatik AI untuk memenuhi piawaian antarabangsa.

nn

Hak Akses, Betul, dan Padam Data di bawah PDPA

nn

PDPA memberikan anda beberapa hak penting berkaitan data peribadi anda yang dipegang oleh organisasi, yang boleh dilaksanakan dalam konteks AI:

nn

Hak Akses Data (Seksyen 30 PDPA): Anda berhak membuat permohonan bertulis kepada mana-mana organisasi untuk mengetahui sama ada mereka memegang data peribadi anda dan mendapatkan salinannya. Ini termasuk data yang mungkin digunakan dalam sistem AI mereka. Organisasi perlu membalas dalam tempoh 21 hari.

nn

Hak Membetulkan Data (Seksyen 34 PDPA): Jika data peribadi anda yang dipegang oleh sesebuah organisasi adalah tidak tepat, tidak lengkap, mengelirukan, atau ketinggalan zaman, anda berhak meminta ia diperbetulkan. Ini amat penting dalam konteks AI kerana data yang tidak tepat boleh menyebabkan keputusan automatik yang salah terhadap anda.

nn

Hak Menghentikan Pemprosesan (Seksyen 42 PDPA): Dalam keadaan tertentu, anda boleh meminta organisasi menghentikan pemprosesan data peribadi anda, terutamanya jika pemprosesan tersebut menyebabkan kemudaratan atau tekanan kepada anda.

nn

Cara untuk melaksanakan hak-hak ini:

nn

    n

  • Hantar surat atau emel rasmi kepada Pegawai Perlindungan Data (DPO) organisasi berkenaan

    • n

  • Nyatakan hak khusus yang anda ingin laksanakan dan berikan maklumat yang mencukupi untuk mengenal pasti data anda

    • n

  • Jika permohonan ditolak atau diabaikan, buat aduan kepada JPDP

    • n

nn

Penalti PDPA: Akibat Melanggar Undang-undang Perlindungan Data

nn

PDPA 2010 memperuntukkan penalti yang boleh dikenakan ke atas individu dan organisasi yang melanggar undang-undang perlindungan data. Memahami penalti ini penting untuk menilai keberkesanan PDPA sebagai deterren terhadap pelanggaran privasi yang berkaitan AI.

nn

Penalti utama di bawah PDPA termasuklah:

nn

    n

  • Kesalahan memproses data peribadi tanpa pematuhan prinsip PDPA: denda tidak melebihi RM300,000 atau penjara tidak melebihi 2 tahun, atau kedua-duanya

    • n

  • Kesalahan mendedahkan data peribadi tanpa persetujuan: denda tidak melebihi RM200,000 atau penjara tidak melebihi 2 tahun, atau kedua-duanya

    • n

  • Kesalahan memindahkan data ke luar Malaysia tanpa pematuhan: denda tidak melebihi RM300,000 atau penjara tidak melebihi 2 tahun, atau kedua-duanya

    • n

nn

Berbanding dengan GDPR Eropah yang boleh mengenakan denda sehingga €20 juta atau 4% daripada perolehan tahunan global (yang boleh mencecah berbilion euro untuk syarikat-syarikat besar), penalti PDPA Malaysia dianggap relatif rendah. Ini adalah salah satu kebimbangan yang cuba ditangani oleh pindaan PDPA yang sedang diusahakan.

nn

Pindaan PDPA 2024: Implikasi untuk AI di Malaysia

nn

Setelah lebih satu dekad, kerajaan Malaysia telah memulakan proses mengkaji semula dan meminda PDPA untuk memastikan ia kekal relevan dalam era digital dan AI yang semakin maju. Pindaan-pindaan yang dicadangkan untuk PDPA mempunyai implikasi penting untuk penggunaan AI di Malaysia.

nn

Antara pembaharuan utama yang dijangka termasuklah:

nn

    n

  • Penguatan hak individu: Memperkenalkan hak yang lebih jelas untuk pemadaman data dan portabiliti data, yang akan memberi individu lebih kawalan ke atas data yang digunakan untuk latihan AI

    • n

  • Keperluan pemberitahuan pelanggaran: Mewajibkan pemberitahuan pelanggaran data dalam tempoh masa yang ditetapkan, menggantikan keperluan yang kabur dalam PDPA sedia ada

    • n

  • Pengenalan Pegawai Perlindungan Data (DPO): Syarikat tertentu mungkin diwajibkan melantik DPO yang bertanggungjawab memastikan pematuhan PDPA, termasuk dalam konteks penggunaan AI

    • n

  • Peningkatan penalti: Meningkatkan denda untuk mencerminkan keseriusan pelanggaran data dalam era di mana data bernilai tinggi

    • n

  • Peruntukan AI khusus: Kemungkinan memperkenalkan peruntukan khusus yang menangani isu-isu unik yang timbul daripada penggunaan AI, termasuk keputusan automatik dan latihan AI

    • n

nn

Pindaan-pindaan ini, apabila dilaksanakan, dijangka akan membawa perlindungan privasi Malaysia lebih selaras dengan piawaian antarabangsa dan menangani cabaran-cabaran spesifik yang dibawa oleh teknologi AI.

nn

Keperluan Pematuhan PDPA untuk Perniagaan yang Menggunakan AI di Malaysia

nn

Jika perniagaan anda menggunakan AI yang melibatkan data peribadi rakyat Malaysia, anda perlu memastikan pematuhan dengan PDPA. Berikut adalah panduan ringkas keperluan pematuhan:

nn

    n

  • Daftar dengan JPDP: Kebanyakan perniagaan yang memproses data peribadi wajib mendaftar dengan JPDP

    • n

  • Dapatkan persetujuan yang sah: Pastikan persetujuan untuk pemprosesan data, termasuk penggunaan AI, adalah jelas dan dimaklumkan

    • n

  • Hadkan pengumpulan data: Hanya kumpulkan data yang diperlukan untuk tujuan yang dinyatakan (prinsip minimisasi data)

    • n

  • Laksanakan langkah keselamatan: Pastikan data yang digunakan oleh sistem AI dilindungi dengan langkah keselamatan yang mencukupi

    • n

  • Sediakan mekanisme untuk melaksanakan hak: Buat proses yang mudah untuk individu mengakses, membetulkan, atau meminta penghapusan data mereka

    • n

  • Lakukan Penilaian Impak Privasi: Sebelum melaksanakan sistem AI baharu, lakukan penilaian risiko privasi yang menyeluruh

    • n

nn

Untuk memahami lebih lanjut tentang konteks etika yang lebih luas, baca artikel kami tentang etika AI Malaysia dan cara melindungi privasi data anda dalam era AI.

nn

Masa Depan Regulasi AI di Malaysia

nn

Malaysia sedang berada di persimpangan jalan dalam membentuk kerangka regulasi AI yang komprehensif. Selain pindaan PDPA, kerajaan Malaysia melalui Kementerian Digital dan agensi-agensi berkaitan sedang mengkaji kemungkinan memperkenalkan undang-undang atau garis panduan khusus AI.

nn

Pendekatan yang mungkin diambil Malaysia termasuklah:

nn

    n

  • Model regulasi berasaskan risiko macam AI Act Eropah, di mana aplikasi AI berisiko tinggi tertakluk kepada keperluan yang lebih ketat

    • n

  • Garis panduan sukarela bagi sektor-sektor tertentu yang menyokong pematuhan PDPA dalam konteks AI

    • n

  • Kerjasama ASEAN dalam membangunkan piawaian serantau untuk regulasi AI yang selaras

    • n

nn

Yang jelas ialah status quo — menggunakan PDPA 2010 yang digubal sebelum era AI untuk mengawal teknologi yang berkembang pesat — tidak lagi mencukupi. Malaysia memerlukan kerangka regulasi AI yang moden, fleksibel, dan berorientasikan masa depan untuk melindungi hak rakyat sambil membolehkan inovasi yang bertanggungjawab.

nn

Sebagai rakyat Malaysia, anda mempunyai peranan dalam memastikan regulasi yang tepat dibentuk. Libatkan diri dalam konsultasi awam, dukung organisasi masyarakat sivil yang memperjuangkan hak privasi digital, dan pastikan suara anda didengari dalam membentuk masa depan AI Malaysia.

nn

n

🔤 Rekomendasi: Grammarly

n

Sebelum hantar apa-apa tulisan dalam Bahasa Inggeris — semak dulu dengan Grammarly. Pelan percuma dah cukup untuk kegunaan harian. Premium (RM35/bulan) tambah cadangan gaya penulisan + penjana ayat AI.

n

→ Cuba Grammarly Percuma

n

n

n

Artikel Berkaitan

n

n

Rujukan

n

n

Artikel Berkaitan

n

Facebook X / Twitter