马来西亚生成式人工智能合规核心问题解析

马来西亚还没有专门针对人工智能治理的立法，目前马来西亚的主要数 据保护法律为2010年《个人数据保护法》。

1. 基础模型和AI产品关系及定性

截至目前，马来西亚还没有专门针对人工智能治理的立法，以区分基础 模型和AI产品进行区别监管。在现阶段，在AI产品合规性方面，建议遵 循大模型合规的一般原则，包括透明度、可解释性、数据质量等问题， 同时，注意遵守马来西亚的数据管理相关规定。

2. 大模型预训练使用公开数据合规

马来西亚还没有专门针对人工智能治理的立法，未对算法预训练数据做 出单独的规定。但马来西亚针对个人信息制定了《个人数据保护法》， 《个人数据保护法》适用于任何处理或控制处理马来西亚个人数据的 人。因此，在马来西亚使用个人信息进行AI算法训练时，必须确保遵守 《个人数据保护法》及其附属法规的要求，确保数据处理的合法性、正 当性和透明度。 此外，使用个人信息进行算法训练的企业还需注意数据保护的各个方 面，包括数据安全、数据主体权利，以及合规性审查等。具体要求包括 但不限于必须获得数据主体的有效同意才能将个人信息用于算法训练， 同意必须是自愿的、明确的并且可以通过书面形式记录下来。数据主体 应被告知其个人信息将如何被使用，并有权随时撤回同意。企业需要定 期审查AI算法中的数据处理流程以确保持续符合《个人数据保护法》的 要求。

同时，除了使用个人信息投入AI模型预训练外，马来西亚当地也有不少公开的开源数据集，可供企业投入算法训练的使用，如Magic Data的马 来语对话音频数据集，Magic Data在开源社区上传了马来语对话音频数 据集，采集了近700位马来西亚人的自由对话。这个数据集包含5个小时 的马来语对话音频，可用于训练对话式AI系统。如果企业在训练大模型 时使用了公开的开源数据集，需参照新加坡的合规意见关注开源数据集 的许可范围以及是否有特殊的要求。

3. 数据本地化和跨境数据

1）数据本地化要求 《个人数据保护法》第129条规定，原则上数据使用者不得将数据主体 的任何个人数据转移到马来西亚以外的地方，但下列情况除外： 部长根据个人数据保护专员建议指定的地区 。该地区有与《个人数据保 护法》实质性相似或目的相同的法律，或者个人数据保护水平至少与马 来西亚相当。由此可见，未来马来西亚的数据跨境传输条件可能会进一 步放宽。但就目前而言，如果要实施数据跨境流动目前只能依据《个人 数据保护法》第129条的豁免条款（建议通过在隐私政策中向用户披露 个人数据出境的情况并取得用户同意，即通过数据主体同意获得豁 免）。

2）数据跨境要求 A.原则上禁止数据出境，但有例外 根据《个人数据保护法》第 129(1) 条，禁止数据使用者将数据主体的个 人数据转移到马来西亚以外的地方，除非根据个人数据保护专员的建 议，在通信和多媒体部长（“部长”)的授权下在公报中指定并列出目的 地国家/地区。 目前，尚未正式指定任何国家/地区。尽管禁止将个人数据转移出境，但 《个人数据保护法》 规定了一些禁止的例外情况，例如，在获得数据主 体同意的情况下进行此类转移以及转移是为了履行当事人之间的合同。 当对数据传输的豁免是否适用有疑问时，谨慎的做法是就此类离开马来 西亚的传输需要获得数据主体的同意。 对于外包服务而言，数据使用者不得与第三方分享资料，除非已取得个 人同意。 在决定是否适合将数据传输到另一个国家时，部长必须考虑到该国的法在决定是否适合将数据传输到另一个国家时，部长必须考虑到该国的法 律是否与《个人数据保护法》是实质上相似或服务于相同的目的，以及 第三国是否有足够的保护水平，或至少相当于《个人数据保护法》中规 定的水平。 此外，根据《个人数据保护法》第 8 条，数据传输触发了披露原则，因 此，要求数据使用者在进行跨境数据传输时通知数据主体。

B.例外规定 如前所述，《个人数据保护法》为允许数据传输到马来西亚境外提供了 例外规定，根据法案第 129(3) 条，在以下情况下允许数据传输至境外： 1. 数据主体已同意转让； 2. 为履行数据主体与数据使用者之间的合同而进行的传输是必要的； 3. 数据使用者与第三方之间应数据主体要求或符合数据主体利益的合同 的订立或履行所必需的传输； 4. 传输是为了任何法律程序的目的或为了获得法律建议或建立、行使或 捍卫合法权利； 5. 数据使用者有合理理由相信，在所有情况下： • 数据的传输都是为了避免或减轻对数据主体不利的行动； • 获得数据主体的书面同意是不切实际的； • 如果获得此类同意是切实可行的，则数据主体会表示同意； 6. 数据使用者已采取一切合理的预防措施并尽一切努力确保个人信息不 会以任何方式（如果该地方是马来西亚）处理，以免违反本法的规定； 7. 传输是为了保护数据主体的切身利益所必需的； 8. 在部长确定的情况下，为了公共利益，传输是必要的。

4. 开发者安全责任

马来西亚还没有专门针对人工智能治理的立法，目前马来西亚的主要数 据保护法律为2010年《个人数据保护法》。根据《个人数据保护法》， 开发者作为数据控制者时应当采取切实措施以保护个人数据免遭任何丢 失、误用、修改、未经授权或意外访问或披露、更改或破坏。 而马来西亚科技创新部发布《2021-2025年国家人工智能路线图》，阐 明国家促进AI发展的六项战略以及负责任AI的七项原则。

5. 内容安全

1）相关法律法规及监管 马来西亚政府高度重视生成式人工智能产品的内容安全问题，并通过一 系列法律法规来确保内容的安全性和合规性。目前，虽然马来西亚尚未 出台专门针对人工智能治理的立法，但已有的数据保护法律和其他相关 政策为人工智能的内容安全提供了基础框架。 《2021-2025年国家人工智能路线图》明确了负责任AI的七项原则，其 中包括透明性、公平性、可靠性和控制、隐私和安全等，这些都是内容 安全的重要组成部分。路线图强调了人工智能系统必须遵守数据收集、 使用和存储的隐私法律，以确保个人数据得到妥善保护。这有助于确保 生成式人工智能产品在内容生成过程中遵守隐私保护的要求。科技创新 部 (MOSTI) 正在制定的人工智能法案预计将解决与人工智能相关的透明 度和问责制等问题，进一步加强对内容安全的监管。2018年通过的《反假新闻法令》规定，制造、发布或传播虚假新闻是违 法行为。生成式人工智能产品在内容生成和传播过程中，应避免制造和 传播虚假信息，以免触犯该法。 马来西亚政府在制定相关法律法规时，强调了透明度和责任制，要求生 成式人工智能产品开发者和运营者必须公开其系统的运作和数据处理机 制，并对其生成的内容负责。包括： 2）告知义务 人工智能系统在与用户互动时，必须明确告知用户他们正在与人工智能 系统互动，确保用户知情权。 当使用人工智能系统生成或修改图像、声音或视频时，可能导致误认为 是真实或原物的，开发者有义务向公众披露这些内容是人工合成或被修 改过的。

3）内容责任 生成式人工智能产品开发者需对其生成和传播的内容负责，确保内容不 包含虚假信息、不侵犯他人隐私、不具煽动性或威胁性。 在出现内容安全问题时，开发者应立即采取措施，包括暂停服务、召回 相关产品，并通知相关监管机构。