PDPA dan AI di Malaysia: Panduan Pematuhan untuk Perniagaan Yang Menggunakan AI dan LLM

Pertumbuhan pesat AI generatif dan large language models telah mencipta cabaran pematuhan baharu bagi syarikat Malaysia yang tertakluk kepada Akta Perlindungan Data Peribadi 2010 (PDPA). Banyak organisasi mendapati bahawa amalan AI yang dianggap selamat dalam pendekatan analitik tradisional kini berkemungkinan melanggar prinsip PDPA apabila diaplikasikan kepada LLM, RAG systems, atau agentic AI. Artikel ini memberikan rangka kerja pematuhan praktikal — bukan nasihat undang-undang, tetapi panduan operasi yang boleh digunakan oleh pasukan compliance, DPO dan jurutera AI.

Sebelum kami teruskan, satu penegasan penting: kandungan di sini bersifat panduan umum sahaja. PDPA adalah undang-undang dengan tafsiran teknikal yang berkembang, dan amalan terbaik berubah selari dengan komunikasi JPDP serta panduan industri. Untuk situasi spesifik — terutamanya yang melibatkan data sensitif, operasi merentas sempadan, atau use case AI berisiko tinggi — konsultasikan dengan peguam atau Data Protection Officer (DPO) yang berkelayakan.

Tujuh Prinsip PDPA dan Aplikasinya kepada AI

PDPA Malaysia berasaskan tujuh prinsip yang mengatur pemprosesan data peribadi. Setiap prinsip mempunyai implikasi khusus apabila diterjemahkan kepada konteks AI dan LLM. Memahami terjemahan ini adalah asas pematuhan praktikal.

• /Prinsip Umum — pemprosesan memerlukan persetujuan, melainkan pengecualian undang-undang. Untuk AI, ini bermakna training model dengan data peribadi memerlukan asas undang-undang yang jelas, bukan sekadar "kami sudah ada data".
• /Prinsip Notis dan Pilihan — subjek data berhak tahu tentang pemprosesan. Untuk LLM yang membuat keputusan berkesan pelanggan, notis privasi perlu menyebut penggunaan AI secara eksplisit.
• /Prinsip Pendedahan — data tidak boleh didedahkan tanpa kebenaran. Untuk RAG systems, ini bermakna mengawal dengan ketat data apa yang diambil dan ke mana ia dihantar (terutamanya kepada API LLM pihak ketiga).
• /Prinsip Keselamatan — langkah teknikal dan organisasi diperlukan. Untuk AI, termasuk enkripsi, kawalan akses, model security, dan perlindungan terhadap prompt injection.
• /Prinsip Pengekalan — data tidak boleh disimpan lebih lama daripada perlu. Untuk model AI yang dilatih dengan data peribadi, ini termasuk persoalan: bolehkah data "dipadamkan" daripada parameter model?
• /Prinsip Integriti Data — data perlu tepat dan dikemas kini. Untuk AI, model yang membuat keputusan berdasarkan data lapuk berkemungkinan melanggar prinsip ini.
• /Prinsip Akses — subjek data berhak mengakses data mereka. Untuk LLM, persoalan bagaimana hak akses ini boleh dilaksanakan adalah cabaran teknikal yang signifikan.

Isu Khusus AI Generatif dan LLM

AI generatif memperkenalkan beberapa isu pematuhan yang tidak wujud dalam analitik tradisional. Memahami isu-isu ini boleh dianggap sebagai langkah pertama dalam menstruktur amalan governance.

Data dalam prompt dan context window

Apabila kakitangan menggunakan LLM (sama ada API komersial atau dihos dalaman), data yang dimasukkan ke dalam prompt adalah pemprosesan data peribadi jika prompt mengandungi maklumat pelanggan, pekerja, atau individu lain. Banyak organisasi tidak menyedari bahawa penggunaan ad-hoc LLM oleh kakitangan boleh dianggap sebagai pendedahan tanpa kebenaran, terutamanya jika API hosting berada di luar Malaysia tanpa pengaturan pemindahan data yang sah.

Training data dan hak untuk dilupakan

Apabila model dilatih dengan data peribadi, parameter model "menyerap" maklumat tersebut dalam cara yang sukar untuk dipadamkan secara terpilih. Ini mencipta ketegangan dengan prinsip pengekalan dan hak akses. Pendekatan amalan terbaik termasuk: menggunakan teknik privacy-preserving seperti differential privacy, menumpukan pada synthetic data untuk training, atau menggunakan retrieval-augmented generation (RAG) di mana data peribadi disimpan dalam database yang boleh diurus dan dipadam, bukan dilatihkan ke dalam parameter model.

Keputusan automasi dan hak penjelasan

Keputusan yang dibuat sepenuhnya oleh AI yang memberi kesan signifikan kepada individu — kelulusan kredit, saringan pekerjaan, harga insurans — secara umumnya memerlukan tahap penjelasan dan kemampuan untuk dicabar. Walaupun PDPA Malaysia tidak mempunyai peruntukan eksplisit "right to explanation" seperti GDPR EU, prinsip umum keadilan dan kebolehaksesan menyokong amalan ini. Untuk konteks lebih mendalam mengenai governance, rujuk perkhidmatan Responsible AI kami.

Bias dan diskriminasi

Model AI yang menghasilkan output dengan bias sistematik terhadap kumpulan tertentu — sama ada melalui ras, agama, jantina, atau ciri terlindung lain — boleh mendedahkan organisasi kepada risiko di bawah pelbagai rangka kerja undang-undang, termasuk PDPA dalam beberapa interpretasi. Audit bias secara berkala adalah amalan governance yang penting, bukan kemewahan.

Pemindahan Data Merentas Sempadan

PDPA mengandungi peruntukan tentang pemindahan data peribadi ke luar Malaysia. Banyak LLM komersial — OpenAI, Anthropic, Google — menyimpan data dan memproses inference di luar Malaysia. Bagi organisasi yang menggunakan API ini dengan data pelanggan Malaysia, terdapat beberapa pendekatan yang boleh dianggap untuk meminimumkan risiko pematuhan:

• /Menggunakan persetujuan eksplisit subjek data untuk pemindahan ke jurisdiksi tertentu, dengan klausa yang jelas dalam notis privasi.
• /Mengaplikasikan teknik anonymization atau pseudonymization sebelum data dihantar kepada API luar negara.
• /Menggunakan deployment regional jika tersedia — beberapa pembekal kini menawarkan zon serantau termasuk Singapura atau Indonesia.
• /Mempertimbangkan model yang dihos secara dalaman (on-premise atau private cloud) untuk data sensitif.
• /Mendokumentasikan Data Transfer Impact Assessment yang menjustifikasikan keperluan pemindahan dan langkah-langkah perlindungan yang diambil.
• /Menyemak kontrak dengan pembekal API untuk memastikan kewajipan pemprosesan data ditangani secara formal.

Vendor Risk dan Pemprosesan Data Pihak Ketiga

Apabila organisasi menggunakan platform AI pihak ketiga, pembekal tersebut menjadi data processor secara berkesan. PDPA mengkehendaki kontrak yang jelas dengan data processor, termasuk obligasi keselamatan, sekatan pendedahan, dan komitmen untuk membantu dalam permohonan hak subjek data. Banyak kontrak SaaS LLM standard tidak menampung semua kewajipan ini secara mencukupi — semakan kontrak khusus oleh DPO atau peguam disyorkan.

"Pematuhan PDPA dalam dunia AI bukan tentang menghalang inovasi. Ia tentang membina inovasi yang boleh dipertahankan apabila ditanya. Soalan akan datang — sama ada daripada regulator, pelanggan, atau lembaga."

— Pengamatan amalan compliance AI di Malaysia

Rangka Governance AI Praktikal

Rangka governance AI yang berkesan biasanya mengandungi beberapa komponen yang saling melengkapi. Walaupun bentuk rasmi berbeza mengikut organisasi, prinsip teras tetap konsisten.

• /AI inventory — pendaftaran formal semua sistem AI yang beroperasi, termasuk tujuan, sumber data, model approach, dan pemilik bisnes.
• /Risk classification — taksonomi risiko untuk membezakan use case berisiko rendah (chatbot dalaman) daripada tinggi (sistem keputusan automasi yang mempengaruhi pelanggan).
• /Data lineage documentation — dokumentasi sumber data, transformasi, dan aliran kepada model — penting untuk hak akses dan audit.
• /Model evaluation framework — protokol audit untuk fairness, accuracy, robustness, dan privacy — dijalankan secara berkala.
• /Incident response — pelan tindak balas untuk kejadian seperti hallucinasi yang menyebabkan kerugian, kebocoran data melalui LLM, atau output diskriminatif.
• /Training dan awareness — program pendidikan kakitangan tentang amalan AI yang selamat, termasuk apa yang boleh dan tidak boleh dimasukkan dalam prompt.
• /Audit log dan accountability — rekod tentang siapa membuat keputusan model apa, bila, dan dengan justifikasi apa.

Peranan DPO dalam Konteks AI

Data Protection Officer (DPO) yang berkesan dalam organisasi yang menggunakan AI memerlukan kombinasi kefahaman undang-undang dan teknikal. Banyak DPO tradisional fokus pada compliance PDPA klasik (manage consent, notis privasi, breach response) tetapi mungkin kurang persediaan untuk persoalan AI. Pelaburan dalam pembangunan DPO — atau menjalin kerjasama erat dengan pasukan teknikal dan perunding AI — adalah amalan yang semakin kerap dipraktikkan oleh organisasi matang.

Hubungan PDPA dengan Garis Panduan AI Sektor

Selain PDPA, beberapa sektor mempunyai garis panduan tambahan yang berkaitan dengan AI. Bank Negara mengeluarkan panduan tentang penggunaan AI dalam perkhidmatan kewangan. Suruhanjaya Komunikasi dan Multimedia (MCMC) mempunyai pertimbangan untuk telco dan platform digital. MOH mengarah penggunaan AI dalam kesihatan. Garis panduan-garis panduan ini biasanya menambah lapisan kepada PDPA, bukan menggantikannya. Untuk konteks sektor lebih khusus, rujuk artikel kami mengenai AI untuk bank dan insurans Malaysia.

Senarai Semak Pematuhan Pantas

• /Adakah notis privasi anda menyebut penggunaan AI dan LLM secara eksplisit?
• /Adakah kakitangan dilatih tentang data apa yang tidak boleh dimasukkan dalam prompt LLM?
• /Adakah kontrak dengan pembekal AI menampung kewajipan PDPA processor?
• /Adakah pemindahan data merentas sempadan didokumentasikan dengan justifikasi?
• /Adakah model AI berisiko tinggi diaudit untuk bias secara berkala?
• /Adakah ada inventori formal sistem AI dalam organisasi?
• /Adakah ada DPO atau setara yang memahami isu khusus AI?
• /Adakah ada pelan incident response yang menampung senario AI seperti kebocoran melalui prompt?
• /Adakah hak akses dan pembetulan subjek data boleh dilaksanakan untuk data dalam sistem AI?

Langkah Seterusnya

Pematuhan PDPA dalam konteks AI bukan latihan satu kali — ia adalah keupayaan operasi yang perlu dibangunkan dan dikekalkan. Pasukan TechShift menyokong organisasi dalam reka bentuk rangka governance AI yang praktikal dan boleh dijalankan, melalui perkhidmatan Responsible AI kami. Untuk perbincangan tertutup mengenai konteks PDPA spesifik organisasi anda, hubungi kami melalui borang hubungan. Untuk konteks dasar yang lebih luas, rujuk artikel NAIO Malaysia dan Strategi AI Nasional.

Soalan Lazim

Adakah artikel ini nasihat undang-undang?

Tidak. Kandungan di sini bersifat panduan umum dan tidak menggantikan nasihat profesional. Untuk situasi spesifik, konsultasikan dengan peguam atau DPO berkelayakan. Kami berkemungkinan keliru dalam tafsiran teknikal — sentiasa rujuk teks undang-undang PDPA dan komunikasi rasmi JPDP untuk autoriti muktamad.

Adakah penggunaan ChatGPT atau Claude oleh kakitangan melanggar PDPA?

Bergantung kepada apa yang dimasukkan dalam prompt. Jika prompt mengandungi data peribadi yang tidak dianonymise dan pemindahan kepada API luar negara berlaku tanpa asas undang-undang, ia berkemungkinan melanggar prinsip PDPA. Polisi penggunaan dalaman yang jelas adalah perlu.

Apakah penalti maksimum di bawah PDPA?

PDPA mempunyai penalti yang termasuk denda dan hukuman penjara untuk pelanggaran tertentu. Skala penalti khusus berubah dengan pindaan dan tafsiran. Rujuk teks akta terkini dan panduan JPDP untuk angka muktamad.

Adakah PDPA sama dengan GDPR EU?

Terdapat persamaan prinsip tetapi perbezaan ketara dalam aplikasi. GDPR mempunyai peruntukan eksplisit tentang automated decision-making dan hak penjelasan; PDPA secara umumnya tidak. Untuk organisasi yang beroperasi di kedua-dua jurisdiksi, perlu pematuhan kepada yang lebih ketat.

Bila perlu mengupah DPO khusus?

Tiada peraturan PDPA yang mewajibkan DPO untuk semua organisasi (tidak seperti GDPR), tetapi amalan terbaik mengesyorkan peranan ini untuk organisasi yang memproses data peribadi dalam volume besar atau dengan sensitiviti tinggi — terutamanya yang menggunakan AI dalam keputusan yang mempengaruhi pelanggan.