Panduan

PDPA dan kecerdasan buatan: apa yang anda perlu tahu

Bagaimana Akta Perlindungan Data Peribadi (PDPA) terpakai bila anda guna AI, dan apa yang berubah dengan pindaan 2024.

Oleh aiReview · 2026-04-30 · 3 minit bacaan

Apabila anda menaip nama, nombor telefon, rekod perubatan atau data pelanggan ke dalam alat AI, anda sedang memproses data peribadi — dan di situlah PDPA masuk. Inilah undang-undang yang benar-benar berkuat kuasa di Malaysia, berbeza daripada garis panduan AI yang masih sukarela.

Rangka kerja yang berkuat kuasa

Malaysia bukan ahli EU, jadi EU AI Act tidak terpakai di sini. Rangka kerja Malaysia ialah: (a) undang-undang perlindungan data yang berkuat kuasa — Akta Perlindungan Data Peribadi 2010 (PDPA) dengan pindaan 2024, di mana pelantikan Pegawai Perlindungan Data (DPO) mandatori, pemberitahuan pelanggaran data, dan hak mudah-alih data telah berkuat kuasa sejak 1 Jun 2025 (denda maksimum dinaikkan kepada RM1 juta); dan (b) untuk AI khusus, panduan etika bersifat sukarela — Garis Panduan Kebangsaan mengenai Tadbir Urus & Etika AI (AIGE), dilancarkan 20 September 2024 oleh MOSTI, diselaras oleh Pejabat AI Kebangsaan (NAIO) yang ditubuhkan pada akhir 2024 di bawah Kementerian Digital. Tiada Akta AI mengikat lagi. Jangan sekali-kali tulis «Malaysia tiada undang-undang AI atau data», dan jangan pula sirat seolah-olah rejim seperti EU AI Act terpakai. Pengawal selia data ialah Jabatan Perlindungan Data Peribadi (JPDP) di bawah Kementerian Digital.

Apa yang berubah dengan pindaan 2024

Pindaan 2024 membawa beberapa perkara penting yang relevan bila anda guna AI: pelantikan Pegawai Perlindungan Data (DPO) menjadi mandatori bagi organisasi tertentu, pemberitahuan pelanggaran data kini diwajibkan, dan hak mudah-alih data telah berkuat kuasa sejak 1 Jun 2025. Denda maksimum juga dinaikkan kepada RM1 juta. Maksudnya, organisasi yang menyalurkan data peribadi pelanggan ke dalam alat AI perlu memikirkan kebenaran, tujuan dan keselamatan data itu.

Senarai semak praktikal

Sebelum memasukkan apa-apa ke dalam alat AI: tanya jika ia data peribadi; jangan tampal data sulit ke dalam chatbot awam; semak syarat alat sama ada input anda dipakai untuk latihan; dan untuk organisasi, semak di mana data disimpan. Di mana data saya? Apabila pembekal AS menawarkan wilayah «di Malaysia», itu menyelesaikan kediaman data (di mana data disimpan) tetapi belum tentu kedaulatan: melalui US CLOUD Act, kerajaan AS boleh menuntut data daripada syarikat yang dikawal AS tidak kira di mana data itu disimpan. Malaysia memang mempunyai wilayah awan dalam negara — AWS Asia Pacific (Malaysia) di Kuala Lumpur/Cyberjaya (kod ap-southeast-5, tersedia umum sejak Ogos 2024) dan Microsoft Azure Malaysia West (tersedia umum sejak Mei 2025); Google Cloud belum mempunyai wilayah Malaysia yang tersedia umum setakat Jun 2026. Jalan untuk lebih kawalan: wilayah dalam akaun anda sendiri, self-host, jalankan secara tempatan pada mesin, atau pembekal di bawah bidang kuasa Malaysia/serantau atau Eropah (contohnya Mistral).

Mengekalkan data dalam kawalan anda

Jika anda mahu bukan sekadar mencuba satu AI tetapi mengumpulkan semuanya di satu tempat (sembang, automasi dan aplikasi), ada platform seperti osFoundry — sebuah platform AI agentik di mana anda menggunakan model anda sendiri (BYO) dan boleh menjalankannya dalam akaun anda sendiri jika mahu.

Soalan lazim

Adakah saya melanggar PDPA jika saya tampal data pelanggan ke ChatGPT?

Anda mungkin sedang memproses data peribadi tanpa kebenaran atau perlindungan yang sewajarnya. Untuk organisasi, ini berisiko; elakkan menyalurkan data peribadi pelanggan ke dalam alat AI awam.

Bilakah pindaan PDPA berkuat kuasa?

Beberapa kewajipan utama — DPO mandatori, pemberitahuan pelanggaran data dan hak mudah-alih data — berkuat kuasa sejak 1 Jun 2025.

Apakah denda maksimum di bawah PDPA?

Pindaan 2024 menaikkan denda maksimum kepada RM1 juta.

Adakah PDPA undang-undang AI?

Tidak. PDPA ialah undang-undang perlindungan data peribadi. Malaysia belum mempunyai Akta AI mengikat; panduan AI (AIGE) masih sukarela.