法律专家：须承担泄露责任 个资保护法 应约束政府

他补充，这项法律将强制某些关键国家资讯基础措施，如政府、技术、银行、卫生和交通部门遵守最低的信息技术安全标准。

“这项网络安全法将要求指定的关键国家资讯基础措施单位，向适当的监管机构报告数据泄露事件。”

“还需要一个强制性的数据泄露报告制度，涵盖收集个人数据的所有各方，包括政府。”

促加快修改人资保护法

迪巴表示，虽然个人数据保护委员会建议仅针对商业组织引入此修正案，但该修正案以及其他在2020年初拟议个人资料保护法令修正案尚未在国会获得通过。

“我敦促政府加快修改个人资料保护法令的进程，因为马来西亚发生的数据泄露事件，正以令人担忧的情况增加。”

迪巴坦言，从立法的角度来看，我国在个人资料保护方面还有很多工作要做。

“如果法律没有到位，政府等相关方不受法律约束，改革就不会快速发生。”

姚杰翰：应立法让受害者索赔

另一方面，执业律师姚杰翰（音译）则表示，同样需要被注意的情况还有违反个人资料保护法的行为将面临怎样的惩罚。

“无论是联邦政府、州政府还是个人，数据泄露的受害者都必须依靠过失侵权才能从违法方获得任何形式的赔偿。”

“与确立违反个人资料保护法令条款相比，确立侵权行为过失的要求，通常更为繁琐，因为需要考虑更多的法律因素。”

“因此，为更好地保护人民，所需要的修正案不仅只是删除个人资料保护法第3（1）条那么简单。”

姚杰翰建议，为了让受托处理大量个人数据的政府和个人承担更高的责任标准，立法者应考虑允许受害者仅因违法方违反个人资料保护法令而向违法方追偿损失。

他说，这一立场与适用于欧盟和欧洲经济区所有成员的欧盟一般数据保护条例（GDPR） 一致。

欧盟一般数据保护条例（GDPR）第82条赋予个人向数据控制者索赔的权利，数据控制者包括公共当局、机构或其他处理个人数据的机构。

姚杰翰表示，包括损失金钱等物质损失，或遭受情绪困扰等非物质损失都能进行索赔。

“美国也采取了类似的立场，根据1974年《美国隐私法》，联邦机构无权因违反美国隐私法而享有豁免权。”