一、越南个人数据保护法规体系现状
2025年6月,越南正式通过《个人数据保护法》(PDPL),该法标志着越南正式建立起覆盖全国范围的、统一的个人数据保护法律框架。该法律将于2026年1月1日起施行,是当前越南最严格、全面的隐私法规,届时将取代2023年发布的《第13/2023/NĐ‑CP号法令》(PDPD)。越南个人数据保护法规目前处于“多轨制”格局,由PDPL作为基本法,辅以《网络安全法》《2024年数据法》及特定部门规章交叉适用。特别值得注意的是,《网络安全法》仍然对跨境传输、数据本地化及网络主体责任具有约束效力,而《数据法》则确立了“数据所有权”与“国家数据资源”等制度,为个人数据之外的数据治理构建补充框架。
PDPL 延续 PDPD 的框架,同时:
- 明确处罚:对于购买或出售个人数据的行为,最高可处以违法所得10倍的罚款。此外,对于违反跨境数据传输规定的行为,最高可处以上一财年收入5%的罚款。其他违法行为最高可处以30亿越南盾(约合115,030美元)的罚款,对于个人的处罚为组织罚款金额的一半。
- 引入“正当权利利益”作为合法处理依据,但总体偏向狭义解读,不如 GDPR 中 “legitimate interest” 的概念宽泛。
- 对个体工商户和微型企业适用豁免。
二、主要条款详解
1. 适用范围与定义
PDPL的适用对象十分广泛,不仅涵盖设立在越南境内的组织、机关和个人,还适用于“在越南境外但以任何方式处理越南公民或持越南长期居留证者的个人数据”的外国实体。这意味着即便企业未在越南设立分支,只要处理对象为越南籍人士或居住者,也将被纳入该法管辖。法律将个人数据划分为“基本数据”和“敏感数据”两类,由政府制定“基本个人数据”与“敏感个人数据”清单。敏感数据包括健康信息、生物识别信息、儿童数据、地理位置、政治与宗教倾向、金融账户等,并针对敏感类别设定了更高的处理门槛和合规要求。
2. 合法处理与同意机制(第9条)
在合法处理基础方面,PDPL虽然延续了“取得数据主体同意”的制度,但亦允许在“履行合同”“遵守法律义务”“保护数据主体生命健康”“履行国家任务”以及“正当权利利益”等特定情况下,在未取得同意时处理数据。
其中,“正当权利利益”条款类似GDPR第6条第1款(f)项的“合法利益”依据,但越南当局对其采取狭义解释,仅在明确无法取得同意、对数据主体影响较轻的场景中允许适用,并要求数据控制者承担更高的证明责任。
关于数据主体同意的具体形式,PDPL要求应明确、具体、以书面或电子方式取得,并就每一特定处理目的分别征得同意。默示、不作为、默认勾选或未阅读通知不构成有效同意。
3. 影响评估制度(第 21‑22 条)
PDPL对数据控制者引入了两项关键的评估机制,即数据处理影响评估(DPIA)与传输影响评估(TIA)。处理影响评估适用于任何收集、存储、分析、传输、披露或删除数据的行为,需在首次处理数据后的60日内提交主管机关,并每六个月更新一次或在处理活动重大变化时即时更新。跨境传输评估则适用于将个人数据传出越南境外的行为,除非满足特定豁免情形,例如员工数据在云服务中存储、数据主体主动将其数据跨境传输等。TIA报告需包括接收方身份、接收国法律保障、传输数据类型、加密措施、存储时限、投诉机制等内容。具体内容如下:
- Art. 21:DPIA
- 数据控制者、数据控制与处理者应当在首次处理个人数据之日起60日内编制处理影响评估文件,保存并向个人数据保护主管机关提交1份正本,但本条第6款规定的情形除外。
- 处理影响评估在机关、组织、企业的整个活动期间仅需进行一次,并依照本法第22条规定更新。
- 数据处理者应当代表数据控制者编制和保存处理影响评估文件,但本条第6款规定的情形除外。
- 个人数据保护主管机关发现评估文件不完整或不符合规定的,有权要求数据控制者、数据控制与处理者、数据处理者完善文件。
- 数据控制者、数据控制与处理者、数据处理者在已提交的评估文件内容发生变更时,应当更新和补充文件。
- 有权国家机关无需遵守本条规定的处理影响评估要求。
- 政府对评估文件的内容、条件、程序和手续予以细化。
- Art. 22:TIA
- 处理影响评估和跨境传输影响评估文件应当在内容发生变更时每6个月定期更新,或在本条第2款规定的情形下立即更新。
- 需立即更新的情形包括:
a) 机关、组织依照法律规定进行重组、终止活动、解散或破产;
b) 提供个人数据保护服务的组织、个人信息发生变更;
c) 新增或停止评估文件中登记的与个人数据相关的业务、职业或服务。
3. 更新文件应当通过国家个人数据保护信息平台或向个人数据保护主管机关提交。
4. 政府规定内容变更时的文件更新情形,并对本条第3款予以细化。
4. 数据主体权利与报告义务(第4、23 条)
在数据主体权利方面,PDPL赋予数据主体访问、更正、删除、撤回同意、限制处理、转移、反对处理、投诉以及请求赔偿等九项核心权利。数据控制者必须建立内部机制以接收并及时响应数据主体请求,并在发生数据泄露时,应当在发现后最迟72小时内报告个人数据保护主管机关。数据控制者还需保留数据处理日志、记录跨境活动、建立数据生命周期管理政策等。
5. 特定环境与行业规则(第24–31 条)
对于特定行业及数据类型,PDPL设置了专门条款加以调整。例如在处理儿童数据时,7岁以下儿童数据须取得其法定监护人同意,而7岁以上儿童则须同时取得监护人与本人双重同意。健康数据、金融信息、广告推送与社交平台等领域均须取得书面明确授权,且必须提供便捷的退订与不跟踪选项。社交媒体平台需公布数据处理政策,并接受用户对其个资处理行为的投诉。
6. 制裁机制与过渡安排(第8、39 条)
- 罚款机制:对买卖个人数据的行政处罚中,最高罚款为违法所得的10倍;若无违法所得或按违法所得计算的罚款低于本款规定的最高罚款的,适用本款规定的最高罚款。对违规跨境传输个人数据的组织,行政处罚中的最高罚款为其前一年度营业额的5%;若无前一年度营业额或按营业额计算的罚款低于本款规定的最高罚款的,适用本款规定的最高罚款。个人数据保护领域其他违法行为的行政处罚中,最高罚款为30亿越南盾。个人实施相同违法行为的,最高罚款为对组织罚款的二分之一。
- 过渡期政策:小微企业和初创企业可选择在本法生效后5年内暂不执行第21条、第22条和第33条第2款规定,但从事个人数据处理服务、直接处理敏感个人数据或处理大量数据主体数据的企业除外。
三、出海企业合规建议
对出海企业而言,PDPL具有广泛适用性与较高强制力。企业应首先判断自身是否因处理越南数据主体信息而受到PDPL约束,其次对所处理数据进行分类,识别是否涉及敏感或特殊数据。应建立合规的用户同意机制,确保每项目的独立授权,并通过隐私政策告知处理方式、数据使用目的、共享对象、处理期限与投诉渠道等关键信息。此外,企业需尽早建立DPIA与TIA内部流程,确保在处理或跨境传输启动后的60日内完成报告并根据业务变更定期更新。
数据本地化问题也是出海企业需关注的重点。如属《网络安全法》适用行业(如电商、社交平台、OTT服务、游戏、支付等),需在越南设立代表机构并配合数据在地存储。即使当前满足TIA豁免条件(如雇员数据通过云服务传输),企业亦应保留判断依据与评估文档备查。
在数据安全方面,出海企业需制定全面的技术与组织防护机制,对敏感与关键数据实施加密、访问权限控制、物理隔离、审计记录与异常识别预警机制。同时,应预设数据泄露响应机制,在发生违规处理、外泄或用户投诉时,能迅速响应并履行72小时上报与用户通知义务。
合同管理方面,企业与服务商、广告商、云服务提供商等外部处理者之间应签署书面协议,明确数据处理权限、处理目的、责任划分、再处理限制、销毁机制与数据转移控制条款,以规避转委托风险并确保PDPL合规。
