2025.07.10 陆斯珮 史晓宇
2025年6月26日,越南国民议会通过了《个人数据保护法》(以下简称“法案”),该法案将自2026年1月1日起正式生效。1该法案在内容上保留和延续了此前越南政府在2023年颁布的《关于保护个人数据的第13/2023/ND-CP号法令》(以下简称“2023法令”)的规定,同时仍有大量具体的标准、条件、程序等细节等存在立法空白,有待政府后续颁布的法令进行补充完善。不过,这不影响该法案颁布对于越南本国个人数据保护的重大意义,因为这是越南历史上第一部专门针对个人数据保护的正式法律,效力层级高于此前颁布的2023法令,意味着越南个人数据保护进入到崭新的阶段。
本文章将对法案中的主要规定进行解读。在保证尽量概览法案整体内容的同时,我们将着重分析其中和中国法律存在较大差异、本次立法中非常重要且具有其本国特色、以及可能对中国企业开展业务产生较大影响的关键条款,以期为中国企业在当地开展个人数据保护活动提供帮助。
一、本次法案主要规定了哪些内容?
法案总体共计五章39条,包括:总则;个人数据保护;保障个人数据保护的体系和条件;机关、组织、个人的个人数据保护责任;条款的实施。
其中,第一章“总则”对法案的关键定义、适用范围、个人数据保护基本原则、个人数据主体的权利和义务、禁止开展的活动、相关罚则等作出一般性的规定。第二章“个人数据保护”占据了法案大部分内容,共计24个条款,主要涵盖两节,第一节对个人数据的收集、使用、分析、存储、删除、提供、公开、传输、跨境转移等多个环节中的个人数据保护要求进行了规定,同时规定了关于个人数据处理影响评估、个人数据保护违规事件报告等方面的内容;第二节对九个特定场景下的个人数据保护要求进行了规定。第三章“保障个人数据保护的体系和条件”则对国家、组织内部、社会层面参与个人数据保护的人员,以及个人数据保护方面的标准、技术规范进行了概要性的规定。第四章对国家机构和从事个人数据处理活动的主体的责任进行了规定。第五章则涉及法案实施过程中关于特定类型企业的一些宽松待遇以及实践中关于个人数据处理影响评估和跨境传输个人数据影响评估备案在过渡期内的实操问题。
二、法案中的相关定义和适用范围?
与欧盟GDPR中将相关主体区分为个人数据的控制者、处理者、第三方,以及中国《个人信息保护法》中将相关主体区分为个人信息处理者、受托处理者、第三方不同,该法案第2条提出了“个人数据控制者”、“个人数据处理者”、“个人数据控制者兼处理者”、“第三方”四类主体的定义。其中,额外新提出的“个人数据控制者兼处理者”是指决定处理目的、方式并直接处理个人数据的机关、组织、个人。个人数据控制者兼处理者需同时履行个人数据控制者和个人数据处理者的义务。
法案将“个人数据”的定义为能够单独或与其他信息结合识别特定个人的数据或信息,经过匿名化处理后无法再识别个人的数据不属于个人数据,且将个人数据区分为一般个人数据和敏感个人数据,但是并没有明确在上述类别的个人数据中究竟包括哪些类型的数据,有待未来政府颁布的各项法令进行细化。
根据法案第1条,法案适用于越南机关、组织、个人;在越南境内的外国机关、组织、个人;以及直接或参与处理越南公民及居住在越南且持有越南政府签发的身份证件的越南裔无国籍人士的个人数据的外国机关、组织、个人。由此可见,该法案具有一定的域外效力,但是对于何种情况下构成“直接或参与处理”,仍有待进一步明确。
三、法案中规定了哪些禁止从事的活动?
法案第7条特别提出了与个人数据滥用有关的七项禁止性行为,包括:
处理个人数据以反对越南社会主义共和国,或对国防、国家安全、公共秩序、社会安全、以及机关、组织、个人的合法权益造成影响;
妨碍个人数据保护活动;
利用个人数据保护活动从事违法行为;
违反法律规定处理个人数据;
使用他人的个人数据,或允许他人使用自己的个人数据从事违法行为;
买卖个人数据,但法律另有规定的除外;
非法占有、故意泄露或丢失个人数据。
四、个人数据处理有哪些合法性基础?
虽然法案没有专门设置有关个人数据处理合法性基础的条款,但是根据法案第9条关于个人数据主体同意以及第19条关于无需个人数据主体同意即可处理个人数据的情况的规定,可以看出在该法案下,个人数据处理的合法性基础包括:
获得个人数据主体的同意;
在紧急情况下保护数据主体或他人的生命、健康、名誉、人格、合法权益,或在面临侵害前述权益的行为时,为保护自身、他人或国家、机关、组织的正当权益所必需;
为应对紧急状态、应对尚未宣布紧急状态的国家安全威胁;预防和制止骚乱、恐怖主义、犯罪及违法行为;
为履行国家管理活动、国家管理职能,依照法律规定执行;
为履行数据主体与相关机关、组织、个人的之间的合同,依照法律规定执行(该情形是本次法案较之于2023法令新增的情形);
法律规定的其他情形。
关于同意的合法性基础,法案第9条规定同意必须在数据主体清楚地了解(1)正在处理的个人数据类型和处理目的,(2)个人数据控制者或个人数据控制者兼处理者的身份;以及(3)数据主体自身的权利和义务的情况下,自愿给予的情况下才有效,并且要求数据主体必须针对每个特定的处理目的作出具体的同意。整体来看,法案简化了2023法令关于同意的要求,不过具体的同意形式等细节性规定,仍然需要政府后续颁布法令进行明确。
法案第19条第2款指出,当机关、组织、个人在无需数据主体同意的情形下处理个人数据时,应当建立监督机制,包括建立个人数据处理的流程,明确机关、组织、个人在处理个人数据过程中的责任;采取适当的个人数据保护措施并定期评估可能存在的风险;定期检查和评估相关法律、程序的遵守情况;建立机制,接收并处理相关机关、组织、个人的反馈和建议。
五、个人数据从越南境内跨境转移至其他国家需要满足哪些条件?
法案第20条对个人数据跨境转移作出规定,首先,明确了个人数据跨境转移包含三种具体情形(1)将存储在越南的个人数据转移到位于越南境外的数据存储系统;(2)越南的机构、组织或个人向国外实体转移个人数据;以及(3)处理越南或国外的机构、组织或个人使用位于越南境外的平台在越南收集的个人数据。其次,指出将越南境内的个人数据跨境转移至越南境外时,必须编制个人数据跨境传输影响评估报告,并在首次跨境传输个人数据之日起60天内向个人数据保护主管机关备案。关于该项评估及备案的要求,法案也设置了一些豁免情形,包括:
国家机关依法进行的跨境个人数据传输;
机关或组织使用云服务存储其员工的个人数据;
个人数据主体自行将其个人数据跨境传输至境外;
政府规定的其他情形。
据此,对于在全球范围开展业务的跨国公司,其出于集团内人力资源管理的需要将越南当地员工的个人数据储存在云服务上构成跨境传输,可以豁免开展跨境传输个人数据影响评估及备案。
法案指出,该项个人数据跨境传输影响评估的适用示例、豁免情形、程序步骤、所需文件以及触发评估报告更新的条件等,均由相关的政府规定细化。根据我们此前从越南当地合作律所了解到的情况,目前个人数据跨境传输影响评估及备案在越南仍然有很大的不确定性,实践中很少有公司成功完成备案,且具体的评估内容及备案时间表也不是特别明确,因此仍然需要等待当地监管机构提供更细化的指引。
六、法案对数据保护影响评估有何要求?
法案不仅要求组织需要开展数据保护影响评估,还必须将相关评估报告向监管机构进行备案,具体而言,法案第21条对个人数据处理影响评估及备案作出规定,第22条对更新个人数据处理影响评估报告(包括个人数据跨境传输影响评估报告)作出规定。
根据法案第21条,个人数据处理影响评估及备案的责任主体是“个人数据控制者”和“个人数据控制者兼处理者”。责任主体应当在首次处理个人数据之日起60日内编制影响评估文件,并向个人数据保护主管机关备案。但是“个人数据处理者”需要就其代表个人数据控制者开展的处理活动编制和保存影响评估文件。
根据法案第22条,个人数据处理影响评估报告(包括跨境传输个人数据影响评估报告)需要进行更新并及时向监管机构通过线上平台进行备案。此类评估在公司运营期间只需要开展一次,但每6个月需要对报告进行更新(如果有任何变化),并且在发生法定情形时需立刻更新。法定情形包括:
机关、组织依照法律规定进行重组、终止活动、解散或破产;
提供个人数据保护服务的组织或个人的信息发生变化时;
评估文件中登记的与个人数据相关的业务、职业或服务新增或停止。
根据法案,关于开展个人数据处理影响评估及更新评估的触发条件、具体内容、程序以及手续等都需要政府规定进一步细化。
此外值得注意的是,法案第39条第2款特别提到,如果组织和个人已经根据2023法令进行了个人数据处理影响评估或个人数据跨境传输影响评估,则不需要再次重新开展此类评估,但需要根据法案的要求对报告进行更新。
七、法案如何规定发生个人数据保护违规事件时的报告义务?
法案第23条将发生个人数据保护违规事件时的报告义务主体限定为个人数据控制者、个人数据控制者兼处理者、第三方,要求必须在发现任何可能影响国防、安全、公共秩序或数据主体的生命、健康、荣誉、尊严或财产的个人数据保护违规事件后的72小时内报告数据保护监管机构。此外,个人数据处理者在发现个人数据保护违规事件时,必须立即通知个人数据控制者或个人数据控制者兼处理者。个人数据控制者、个人数据控制者兼处理者还必须准备一份关于违规事件的正式记录,并与数据保护监管机构合作处理违规行为。关于具体的报告程序或内容,将由政府后续发布具体的法令进行细化。
八、个人数据控制者、个人数据处理者、个人数据控制者兼处理者需要承担哪些法定责任?
法案第37条明确规定了个人数据控制者、个人数据处理者、个人数据控制者兼处理者需要承担的法定责任。整体来看,个人数据控制者需要就个人数据处理活动承担整体责任,个人数据处理者需要根据和个人数据控制者签署的个人数据处理协议向个人数据控制者负责,而个人数据控制者兼处理者需要同时承担作为控制者和处理者的责任。
个人数据控制者的责任包括:
在涉及个人数据处理的协议、合同中明确各方权利、义务和责任,
在与个人数据主体的文件、协议中确定处理目的和方式,确保符合法案的要求;
采取适当的管理和技术措施保护个人数据并进行必要的审查和更新;
及时向监管机构报告个人数据保护违规事件;
选择合格的个人数据处理者处理个人数据;
保障个人数据主体享有的法定权利;
对处理过程中造成的个人数据主体损害承担责任;
防止从自身系统、设备、服务中非法收集个人数据;
配合公安部及相关监管机构开展个人数据保护工作,提供用于调查处理违法活动的信息。
个人数据处理者的责任包括:
仅在与个人数据控制者、个人数据控制者兼处理者签订处理协议或合同后接收个人数据;
依照与个人数据控制者签订的协议或合同处理个人数据;
全面落实法律规定的个人数据保护措施;
对处理过程中造成的对个人数据控制者、个人数据控制者兼处理者的损害承担责任;
防止从自身系统、设备、服务中非法收集个人数据;
配合公安部及相关监管机构开展个人数据保护工作,提供用于调查处理违法活动的信息。
九、企业内的个人数据保护相关的组织和人员体系建设有哪些要求?
法案第33条第2款对组织内任命和组建个人数据保护相关的组织和人员作出一般性的规定,要求必须任命具备专业能力的部门或人员负责个人数据保护,或聘请提供个人数据保护服务的外部第三方组织、个人。据此,企业组织必须强制任命数据保护官,且任命的数据保护官需要具备必要的专业能力,同时也可以选择使用外部的专业服务组织、个人提供数据保护官服务。
法案规定关于组织内部个人数据保护部门或人员的具体条件和职责,以及外部的个人数据保护服务提供商的资质和服务规范均由政府规定进一步细化。
十、法案中规定了哪些罚则?
法案第8条对违法处理个人数据的行为设置了罚则,其中买卖个人数据的最高罚款可达违法所得的十倍(若无违法所得或按违法所得计算的罚款低于法案规定的最高罚款额,则适用最高罚款额),违规跨境传输个人数据的罚款额最高可达组织上一年度营业额的5%(若上一年度无营业额或按营业额计算的罚款低于法案规定的最高罚款额,则适用最高罚款额),个人数据保护领域其他违法行为的行政处罚罚款额最高为三亿越南盾。个人实施相同违法行为的,最高罚款金额为组织罚款金额的一半。未来,政府将进一步规范计算各项违法处理个人数据行为的违法所得的具体方法。此外,据我们合作的越南律师的提示,按照越南的立法惯例,政府预计将通过一项单独的法令,对每项违法行为适用的行政处罚进行具体的规范。
十一、特定类型的企业在法案下享有的宽松政策有哪些?
法案第38条为个体工商户、微型企业、小型企业和创业企业提供了关于个人数据处理影响评估和任命数据保护官的直接豁免或五年缓冲期。
按照一般的要求,企业应编制并定期或在触发法定情形时更新个人数据处理影响评估报告或个人数据跨境转移影响评估报告,且相关报告应及时向监管机构备案;企业内应当任命具备个人数据保护能力的部门或人员,或雇佣提供此类服务的外部组织或人员。但是对于个体工商户和微型企业,可直接豁免该两项要求;对于小型企业和创业企业,他们可以选择是否在法案实施后的五年内遵守上述两项要求。不过,上述豁免或五年缓冲期不适用于从事个人数据处理服务,或直接处理敏感个人数据,或处理大量个人数据主体的数据的企业。
有关微型企业、小型企业和创业企业的具体定义,以及排除豁免条款中关于处理大量个人数据的数量触发条件等,法案中都没有明确规定,只是指出将由政府规定进一步细化,因此仍需等待监管的进一步指引。
十二、法案对于特定业务场景下的个人数据处理有哪些特殊要求?
法案中一大特色是设置了专门的一节对九大特定业务场景下的个人数据处理作出专门规定,涵盖了(1)儿童、无民事行为能力或限制民事行为能力人或其他认知行动有困难的人员的个人数据保护;(2)招聘和劳动管理中的个人数据保护;(3)健康和保险领域的个人数据保护;(4)金融、银行、信贷业务领域的个人数据保护;(5)广告业务中的个人数据保护;(6)社交媒体和在线通信服务中的个人数据保护;(7)大数据、人工智能、区块链、元宇宙、云计算环境中的个人数据保护;(8)位置数据和生物特征数据的保护;(9)公共场所录音、录像中的个人数据保护。
整体上关于特殊业务场景中的规定都比较宽泛,但企业在日常经营中仍然需要重点关注以下事项:
(1) 儿童、无民事行为能力或限制民事行为能力人或其他认知行动有困难人员的个人数据保护:
关于个人数据处理的同意由法定代理人代为行使;
处理7岁以上儿童的个人数据,若涉及公开或泄露其私生活、个人隐私信息,应当同时获得儿童及其法定代理人的同意;
在法定代理人撤回的同意,或监管机关有充分证据证明处理行为可能侵犯上述群体的合法权益时,应当停止处理个人数据(除非法律另有规定)。
(2) 招聘和劳动管理中的个人数据保护:
仅可要求应聘者提供与招聘目的相关的个人信息,且仅用于招聘目的或法律允许的其他约定目的;
处理应聘者的个人信息必须取得其同意;
未录用应聘者的应当及时删除其提供的信息(除非另有约定);
员工个人数据处理还需要特别注意劳动法、劳动就业法等相关法律的规定;
员工个人数据的存储期限应当符合法律规定或约定,且在劳动合同终止时,应当及时删除员工个人数据(除非另有约定或法律另有规定);
使用技术手段收集员工个人数据(如在工作场所设置监控摄像头)时,需要确保仅使用符合法律规定的技术手段,并确保保护员工权益,且在员工明确知晓的前提下实施,不得处理或使用通过非法方法收集的任何数据。
(3) 健康和保险领域的个人数据保护:
遵守敏感个人数据保护规定;
卫生领域的机关、组织、个人不得向提供医疗服务或健康保险、人寿保险服务的第三方提供个人数据,除非存在其他无需个人同意的法定情形,或个人数据主体书面请求要求提供;
开发医疗应用和保险经营应用的组织、个人应当全面遵守个人数据保护的法定要求;
再保险、转分保企业与客户签订合同时,应当明确约定向交易对手传输个人数据的情形。
(4) 金融、银行、信贷业务领域的个人数据保护:
遵守敏感个人数据保护规定及金融、银行活动中的安全保密标准;
未经个人数据主体同意,不得使用个人信用信息进行信用评分、评级、信用信息或信任度评估;
收集个人数据应当限于最小必要且仅可用于信用信息活动;
发生银行账户、财务、信用信息泄露或丢失,应当通知个人数据主体;
采取安全措施防范个人数据被非法访问、使用、泄露、修改,并制定数据丢失后的恢复方案。
(5) 广告业务中的个人数据保护:
企业与广告服务经营者之间的个人数据传输必须符合法律要求;
处理客户个人数据用于广告业务的,应当获得客户同意,确保客户知晓内容、方式、形式及产品推介频率,并提供拒绝接收广告信息的途径;
遵守禁止垃圾短信、邮件、骚扰电话的法律及广告相关法律规定;
个人数据主体有权要求停止接收广告信息,广告服务经营者应当提供相应机制并依照请求停止广告推送;
广告服务经营者不得转包或委托其他组织、个人代其实施全部的使用个人数据的广告服务;
使用个人数据实施定向推送或个性化营销时,应当仅在获得个人数据主体同意后,通过追踪电子信息平台或应用程序收集个人数据,并向个人数据主体提供拒绝分享数据的方式,同时需要明确存储期限,并及时删除或销毁。
(6) 社交媒体和在线通信服务中的个人数据保护:
在用户安装和使用服务时,明确告知收集的个人数据内容,不得非法收集或超范围收集个人数据;
不得要求用户提供包含完整或部分身份证件信息的图片、视频作为账户验证要素。
为用户提供拒绝收集和分享Cookie数据的选项;
为用户提供“不追踪”选项,或仅在获得用户同意后追踪其社交媒体和在线通信服务使用活动;
未经个人数据主体同意,不得监听、窃听或录音通话及读取文本信息(除非法律另有规定)。
公开数据安全政策,说明收集、使用和分享数据的方式;
为用户提供访问、修改、删除数据的机制及隐私设置选项;
及时报告安全和隐私违规行为;
跨境传输越南公民个人数据时需保护其权益;
建立快速有效的个人数据保护违规处理流程。
(7) 大数据、人工智能、区块链、元宇宙、云计算环境中的个人数据保护:
确保相关处理活动限于必要的目的和范围,保障个人数据主体的合法权益;
相关处理活动需要符合越南道德标准和公序良俗;
应当部署适当的数据安全措施;采用合适的身份验证和访问授权方式处理个人数据;
人工智能处理个人数据应当根据风险等级采取与风险相适应的保护措施;
不得损害国防、国家安全、社会秩序或侵犯他人人格、健康、名誉、财产权益。
(8) 位置数据和生物特征数据的保护:
除非经过个人数据主体同意或法律法规允许时,否则禁止通过无线射频识别卡及其他技术追踪个人定位;
移动应用平台提供者应当告知用户其使用个人位置数据的情况,并采取措施防止无关组织、个人收集个人位置数据,同时为用户提供拒绝位置追踪的选项;
收集和处理生物识别数据的组织应当对存储和传输设备采取物理安全措施,并限制对生物识别数据的访问权限,建立监控系统防范数据侵犯行为,同时需要注意遵守法律及相关国际标准;
若生物识别数据处理对个人数据主体造成损害,应当依照政府规定及时通知个人数据主体。
(9) 公共场所录音、录像中的个人数据保护:
为履行国防、保护国家安全、维护社会秩序和安全、保护机关、组织、个人合法权益的职责,或在公共活动(如会议、论坛、体育赛事、文艺演出等)中收集音频、视频及其他识别信息,且不损害数据主体的名誉、人格和信誉时,可以未经个人数据主体同意录音录像并处理由此收集的个人数据,但是仍然需要通知或以其他方式告知个人数据主体其正在被录音录像(除非法律另有规定);
收集的个人数据仅可用于必要的目的,且不得用于非法目的;
收集的个人数据仅可在满足收集目的的必要期限内存储,存储期限届满后,应当及时删除或销毁数据(除非法律另有规定)。
本文章内容同时参考借鉴了越南律师Logan Leung为我们提供的关于越南个人数据保护法的评论文章,在此特表示感谢!
1. https://english.vov.vn/en/politics/national-assembly-passes-law-on-personal-data-protection-post1210092.vov
声 明
君合官网所刊登的文章仅代表作者本人观点,不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。未经本所书面同意,不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。