政联公司及私人机构数据外泄 哥宾星:72小时内须通报

Published at Jul 02, 2026 11:32 am
在《2010年个人资料保护法令》下,政联公司及私人机构一旦发生数据泄露,须在72小时内通报;若对个人造成重大损害,则须在7天内通知,否则可面对高达25万令吉罚款或2年监禁,或两者兼施。

数码部长哥宾星说,政府高度重视数据泄露及人民身份资料遭滥用的问题,《2010年个人资料保护法令》监管涉及政联公司及从事商业活动私人机构在商业交易中的个人资料处理,但不适用于联邦政府及州政府机构。

在此法令下,政联公司及私人机构必须在知悉数据泄露事件后的72小时内通知个人资料保护专员通报,如果有关数据泄露可能对个人造成重大损害,资料控制者(data controller)也必须在7天内通知受影响人士,否则资料控制者可被判处最高罚款25万令吉或监禁最高2年;或两者兼施。

哥宾星是在国会书面答复加埔议员哈丽玛询问时,如是表示。

哈丽玛询问政府是否规定所有政府机构、政联公司及保存人民资料的企业,在发生数据泄露后,必须在72小时内通知受害者及定期公布网络安全稽查报告。

哥宾星说,政府已于2017年成立隶属首相署国家安全理事会的国家网络安全机构(NACSA),作为国家网络安全的主导机构。

他说,政府通过NACSA制定了《2024年网络安全法令》,并已于2024年8月26日正式生效监管负责国家关键及策略实体的主要法律工具。

他说,2024年网络安全法令适用于政府机构及被列为国家关键资讯基础设施(NCII)的政府关联公司或企业,这些实体必须在侦测到事故后,立即通过电子方式向国家网络协调与指挥中心(NC4)提交初步通报,随后必须于6小时内通过NC4系统提交更详细的初步资料,最后须于14天内提交完整技术报告。

他说,完整报告必须包括事故影响、相关数码证据及已采取的补救措施。

“至于涉及非NCII政府机构的数据泄露,NACSA已发布:《2022年第4号通令:公共领域网络安全事件管理及处理》明确规定公共部门处理网络安全事件的管理程序及应对机制。”

他也说,《2010年个人资料保护法令》令并没有规定必须向公众公布网络安全稽查报告。

而《2024年网络安全法令》规定,每一个NCII实体必须至少每两年进行一次网络安全稽查及至少每年进行一次风险评估,并由经NACSA首席执行员正式批准的认证网络安全稽查员员执行稽查。

他说,在稽查工作完成后,相关机构必须在30天内向NACSA提交审计报告,以便NACSA监督有关实体是否符合既定网络安全标准。

Author

联合日报newsroom


相关报道