<![CDATA[Phishing is a digital crime that targets victims’ sensitive information or data via email, social media posts, or text messages. This research on phishing focuses on the criminal law policies regulated in Indonesia and Malaysia as a preventive effort against phishing. In order to examine these issues, this study employs a normative research method with a statute-based approach, a conceptual approach, and a comparative approach. The legal comparison is conducted on personal data protection regulations applicable in Indonesia and Malaysia, namely Indonesia’s Law No. 27 of 2022 on Personal Data Protection (UU PDP) and Malaysia’s Personal Data Protection Act (PDPA) 2010 (Act 709) as amended by the Personal Data Protection (Amendment) Act 2024 (Act A1727). The objectives of this study are to analyze the criminal policies of Indonesia and Malaysia in addressing phishing crimes and to identify gaps in existing regulations. The findings indicate that criminal sanctions under personal data protection law in Indonesia are more severe than in Malaysia. Violations of the Indonesian PDP Law carry a maximum prison sentence of 4 to 6 years and a fine between IDR 4,000,000,000 and IDR 6,000,000,000. In contrast, Malaysia stipulates lighter criminal sanctions, with a maximum prison term of 1 to 3 years, and the 2024 amendments to the PDPA (Act A1727) impose a maximum fine of RM 1 million. Moving forward, policy responses to address phishing crimes must emphasize three key aspects: first, institutional strengthening of the body responsible for enforcing personal data protection in Indonesia; second, enhanced international cooperation in law enforcement; and third, the establishment of victim protection mechanisms through compensation frameworks. Abstrak: Phishing adalah kejahatan digital yang menargetkan informasi atau data sensitif korban melalui email, unggahan media sosial, atau pesan teks. Penelitian tentang phising ini difokuskan pada kebijakan hukum pidana yang diatur di Indonesia dan Malaysia sebagai upaya pencegahan phising. Dalam rangka mengkaji mengenai hal tersebut penelitian ini menggunakan metode penelitian normatif dengan pendekatan perundang- undangan (statute approach), pendekatan konsep (conseptual approach), dan pendekatan perbandingan. Perbandingan hukum dilakukan pada regulasi perlindungan data pribadi yang berlaku di Indonesia dan Malaysia yaitu dalam UU Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dan Personal Data Protection Act (PDPA) 2010 (Act 709) serta Akta A1727 Akta Perlindungan Data Peribadi (Pindaan) 2024. Tujuan dari penelitan ini untuk menganalisis kebijakan kriminal Indonesia dan Malaysia dalam menanggulangi tindak pidana phising. Selain itu, untuk mengidentifikasi kesenjangan dalam regulasi yang ada. Hasil penelitian menemukan sanksi pidana dalam undang-undang perlindungan pribadi di Indonesia lebih tinggi daripada di Malaysia. Sanksi pidana terhadap pelanggaran UU PDP adalah penjara maksimum 4 s.d.6 tahun dan denda maksimum antara Rp4.000.000.000,-s.d. Rp6.000.000.000,-. Malaysia mengatur sanksi pidana yang lebih rendah yaitu maksimum 1 s.d. 3 tahun, sedangkan berdasarkan Amandemen Personal Data Protection Act (PDPA) 2010 (Act 709) tahun 2024 yang tercantum Akta A1727 Akta Perlindungan Data Peribadi (Pindaan) 2024 pidana denda menjadi RM 1 Juta. Kebijakan dalam penanggulangan tindak pidana phishing pada masa yang akan datang perlu menekankan pada tiga aspek yaitu, kelembagaan yang bertanggung jawab dalam pelaksanaan perlindungan data pribadi di Indonesia, kerjasama Internasional dalam penegakkan hukum, dan mekanisme perlindungan korban melalui ganti rugi. Kata kunci: Phising; Perlindungan Data Pribadi; Kebijakan Pidana]]>
