Studi perbandingan ini menyelidiki pengaturan perlindungan data di Malaysia, Filipina, Thailand, dan Indonesia, dengan tujuan menjelaskan faktor-faktor utama yang mendorong perbedaan dalam isi undang-undang dan efektivitas implementasinya. Penelitian ini berakar pada konteks ketergantungan ASEAN pada ekosistem digital, yang telah mengungkap kerentanan signifikan yang menuntut kerangka hukum yang kuat. Dengan menggunakan studi kasus perbandingan eksploratif kualitatif, analisis ini disusun berdasarkan empat komponen kritis Tezera dan menggunakan Teori Kerentanan, Penangkalan, Transfer Kebijakan, Difusi Inovasi, dan Konvergensi Kebijakan.

Temuan penelitian mengungkapkan bahwa Motivasi Legislatif, dianalisis melalui Teori Kerentanan, mendikte model Transfer Kebijakan yang diadopsi: jenis kerentanan nasional (krisis ekonomi, historis, atau yang terekspos) menentukan pilihan cetak biru hukum asing (undang-undang yang lebih lama vs. model GDPR UE). Namun, faktor paling signifikan yang menjelaskan perbedaan hasil adalah Kesiapan Kelembagaan. Sementara Filipina (NPC) dan Thailand (PDPC) membentuk regulator yang secara struktural independen, regulator Malaysia (JPDP) tidak independen. Yang paling kritis, Indonesia tidak memiliki regulator yang diamanatkan. Penelitian ini menyimpulkan bahwa efektivitas hukum, yang dinilai dari kekuatan pencegahnya, ditentukan oleh kemampuan kelembagaan, bukan hanya teks hukum. Studi ini berkontribusi pada literatur dengan menunjukkan bahwa pilihan kebijakan pemerintah adalah strategi mitigasi yang diperhitungkan terhadap kerentanan nasional tertentu, yang menekankan bahwa divergensi fungsional tetap ada meskipun ada konvergensi kebijakan tekstual di kawasan ASEAN.

This comparative study investigates the data protection arrangements in Malaysia, the Philippines, Thailand, and Indonesia, seeking to explain the primary factors that drive the differences in their legislative content and implementation effectiveness. The research is rooted in the context of ASEAN’s reliance on digital ecosystems, which has exposed significant vulnerabilities demanding robust legal frameworks. Employing a qualitative exploratory comparative case study, the analysis is structured around Tezera’s four critical components and utilizes Vulnerability, Deterrence, Policy Transfer, Diffusion of Innovation, and Policy Convergence Theories.

Findings reveal that Legislative Motivation, analyzed through Vulnerability Theory , dictates the Policy Transfer model adopted : the type of national vulnerability (economic, historical, or exposed crisis) determines the choice of foreign legal blueprint (older laws vs. the EU GDPR model). However, the most significant factor explaining the divergence in outcomes is institutional readiness. While the Philippines (NPC) and Thailand (PDPC) established structurally independent regulators , Malaysia's regulator (JPDP) is not independent. Most critically, Indonesia’s mandated enforcement body is non-existent. The research concludes that the effectiveness of the law, assessed by its deterrent strength, is determined by institutional capability, not just the legal text. This study contributes to the literature by demonstrating that a government's policy choice is a calculated mitigation strategy against a specific national vulnerability, emphasizing that functional divergence persists despite textual policy convergence in the ASEAN region.

Kata Kunci : Data Protection Arrangement, ASEAN, Contextualization, Comparative Analysis