在数字化与全球化融合发展的当下,企业出海越南布局业务时,个人数据处理与跨境流动已成为合规运营的关键环节。越南针对个人数据特别是敏感数据建立了较为完善且日趋严格的监管体系。
本文结合近期正式发布的《个人数据保护法》(PDPL)以及现行的《个人数据保护法令》(PDPD)、《网络安全法》及其配套法规,梳理越南个人数据合规的主要框架,帮助企业识别风险并制定应对策略。
一、立法与执法体系
1. 立法框架
· 核心法律:越南国会于2025年6月通过了《个人数据保护法》(Law No. 91/2025/QH15),该法将于2026年1月1日起施行。PDPL基本延续了PDPD的框架,同时引入更为细化的规则,例如对中小微企业的豁免、特定行业的合规要求等。
· 配套法规:
· 《网络安全法》及其《53号法令》(Decree 53/2022/ND‑CP)对在越南提供电商、社交媒体、在线支付等服务的国内外企业规定了数据本地化义务,要求特定类别的数据在越南境内存储,并授权公安部在违反要求时采取措施。
· 《监控摄像机网络信息安全要求技术法规》(QCVN 135:2024/BTTTT)对通过互联网运行的监控摄像设备提出加密和信息安全标准,用于保障涉及敏感个人数据的传输安全。
2. 监管与责任
· 监管机构:公安部网络安全和高科技犯罪预防司(MPS)是个人数据保护的主要监管机构,信息通信部、国防部、科技部等机关也对其相关领域的数据处理活动拥有监管权。
· 法律责任:违反个人数据保护规定的行为可能面临民事赔偿、行政处罚甚至刑事责任。PDPL规定,根据不同违法行为,企业可能被处以上一财年营业收入5%或违法所得10倍的罚款。
二、“个人数据”的定义与分类
根据现行《个人数据保护法令》(PDPD)以及已公布的信息,越南个人数据在法律层面主要区分为两大类:
· 基础个人数据:主要是用于识别个人身份的一般性信息,例如姓名、电话号码、身份证件号码、住址、账号等,以及其他单独或者结合起来可以识别到特定个人、但未被列为敏感个人数据的资料。
· 敏感个人数据:指与个人隐私密切相关,若泄露或滥用对数据主体的权利和利益造成较大影响,需要更高保护水平的数据。法律及配套文件通常将健康/医疗信息、生物特征数据、财务账户信息、地理位置、儿童数据等归入敏感个人数据范围,并对其处理设置更严格的条件和程序。
三、合规要求
个人数据合规围绕合法性基础、告知义务、安全保障、保留期限、影响评估及数据本地化等核心维度展开。
1. 合法性基础
· 以同意为原则:除法律另有规定外,任何个人数据处理活动都需获得数据主体的明示同意,同意应具体、可证明,并针对每个处理目的分别征求。沉默或不回复不得视为同意。
· 例外情形:PDPL允许在以下情况下不经数据主体同意即处理个人数据:
(1)为保护数据主体或他人的生命、健康、名誉、权利等紧急情况;
(2)预防和制止犯罪、骚乱或国家安全风险;
(3)履行国家机关法定职能或国家管理活动;
(4)履行与数据主体签订的合同,例如劳动合同;
(5)在会议、研讨会、体育赛事、文艺演出等公共活动中获取的声音、图像等信息,且不侵害数据主体合法权益。
2. 个人同意的取得
企业若基于个人同意收集或处理个人数据,应通过隐私政策、告示牌等方式向数据主体告知以下信息:
· 处理的个人数据类别和目的;
· 数据控制者及其数据处理者的身份和联系信息;
· 数据主体所享有的权利及履行这些权利的途径。
举例而言,为履行国家、社会安全等职责且不侵害个人权益的情况下,在公共场所安装监控设备并记录音视频时,依法可免于征得个人同意,但企业仍应以明显方式告知公众其正在被录像或录音。但若将录音录像用于其他非必要目的,则应另行取得合法基础。
3. 安全保护措施
· 根据 PDPD 及 PDPL,数据控制者和处理者应按照数据处理活动的风险程度,采取适当的管理和技术措施,防止个人数据被未经授权访问、泄露、丢失或滥用。
· 建立内部管理制度:明确个人数据分类、访问控制、密码及密钥管理、日志记录、备份恢复和定期安全审计等要求,对敏感个人数据原则上应采用加密、访问权限最小化、分区存储等更高等级保护。
· 指定数据保护责任人:处理敏感个人数据的组织,一般应设立专门的数据保护部门或至少指定数据保护负责人。
· 建立事件响应和通报机制:发生违反个人数据保护规定或数据泄露时,应按 PDPD/PDPL 的要求,在合理期限内(通常为 72 小时内)向主管机关报告,并在需要时通知受影响的数据主体。
· 对于通过网络摄像头等设备采集个人数据的场景,除上述一般要求外,还需关注越南关于QCVN 135:2024/BTTTT等国家技术规范,遵守规范对通信加密及系统恢复等的最低安全要求。
4. 影响评估
· 数据处理影响评估(DPIA):数据控制者和处理者必须在首次处理个人数据之日起60天内完成DPIA,并提交给个人数据保护主管机关。评估报告内容变更时应每六个月更新一次。
· 跨境数据传输影响评估(TIA/OTIA):实施跨境个人数据传输时需编制TIA报告,内容包括接收方信息、接收国法律保护水平、传输的数据类型、加密措施、存储期限、申诉渠道等。报告应在首次传输之日起60天内提交,并定期更新。豁免情形包括国家机关自行传输、同一机构在云平台上存储员工数据、数据主体个人自行传输等。
· 小微企业豁免:符合《中小企业法》和Decree 80/2021/ND‑CP规定的小型企业或初创企业可在PDPL生效后的五年内免于提交DPIA和TIA,但若处理敏感数据或高风险数据则不适用。
5. 数据本地化要求
PDPL未专门规定数据本地化要求,但根据《网络安全法》第26条及《53号法令》第26条:
· 适用主体:在越南提供电商、社交媒体、在线支付、网络游戏、云存储等服务的越南企业及向越南境内提供此类服务的境外企业。
· 需本地保存的数据类型:
(1)越南服务用户的个人数据;
(2)服务用户在越南境内生成的数据(如账号信息、交易时间、银行卡信息、电子邮件、最近一次登录/退出IP地址、注册电话号码等);
(3)服务用户的关系数据(好友或群组信息);
· 存储期限:外国企业在收到数据存储要求后须在越南本地保存相关数据至少24个月,并保存系统日志至少12个月。
· 例外:数据主体自行跨境传输数据、企业内部临时共享非敏感数据等场景不强制本地化。
四、合规操作建议
1. 完善隐私政策:根据PDPL调整隐私政策,明确说明收集的数据类型、处理目的、保存期限、数据共享和传输情况,并以越南语提供。即便在法律规定无需同意的场景中,企业仍应按照规定处理和传输数据。
2. 设置告知标识:在公共场所或业务办理区域设置明显的告示,提示个人数据收集行为,例如监控摄像头或录音设备的存在。
3. 限定数据保存期限:根据收集目的合理设定数据保留期限,定期清理或匿名化不再需要的数据。
4. 强化技术安全:选择符合越南国家标准(如QCVN 135:2024/BTTTT)的设备和系统,对敏感数据采用加密、访问控制等措施,建立数据泄露应急响应机制,并在发生泄露后72小时内向监管机构报告。
5. 开展DPIA和TIA:在开展个人数据处理或跨境传输前,按规定完成DPIA和TIA并在60日内提交备案,之后按要求定期更新;未按规定备案可能受到行政处罚。
6. 指定数据保护人员:处理敏感数据的企业应设立数据保护部门或指定数据保护官,并向监管机构备案联系方式,以便及时沟通和检查。
五、结语
PDPL的施行,将越南个人数据保护从分散规定纳入统一法律框架,监管力度也明显提升。企业在越南运营时,应以“合法、必要、安全”为原则,严格区分基础数据和敏感数据,落实明示同意、告知、加密、安全存储、保留期限等要求;对于高风险场景主动开展DPIA和TIA;在跨境传输时合规完成评估备案,遵守数据本地化义务。随着法规不断完善,企业需要持续关注政策动态并适时调整合规策略,以实现业务发展与个人数据保护的平衡。