越南个人数据保护:第356号法令核心规定解析

Posted by Written by
Subscribe to Vietnam Briefing
可用语言

随着第356/2025/ND-CP号法令(以下"第356号法令")的布,越南的个人数据保要求入了一个新段。企目前面着法域外适用范大、强制性影响估的施,以及在取同意和跨境数据传输方面更为严格的新准,要求企立即更新合措施。

第356号法令于2026年1月1日生效,取代了原有的第13/2023/ND-CP号法令,成为《个人数据保护法》的主要实施细则。它将法律原则转化为可强制执行的操作性义务,填补了之前的合规漏洞,并在同意机制、数据主体权利、跨境传输和影响评估等方面提供了清晰的程序性指引。

本文将从法令扩大的域外适用范围和更严格的操作责任入手,剖析其核心条款,并着重指出在越运营企业的初步合规重点。

适用范围与数据分类的扩展

越南更新后的数据保护制度显著扩大了其适用范围,明确纳入了处理越南公民个人数据的外国实体,无论其处理行为发生在何处。

该制度还进一步明确了基本个人数据与敏感个人数据的法律区分,并对后者进行了扩展和细化。具体而言:

  • 敏感数据 现包括财务信息、生物识别标识、精确位置数据、行为跟踪数据、健康记录和账户凭证。
  • 处理敏感个人数据 将触发关于同意、访问控制、安全措施和内部治理的更严格要求。
  • 数据映射与分类 已成为强制性合规任务,而不再仅是最佳实践。不完整的数据清单会立即暴露企业的合规缺口,尤其是在跨境传输、自动化处理和第三方数据共享方面。

数据控制者和处理者的核心合规义务

第356号法令规定的合规义务标志着向可证明、经得起审计的合规实践的转变,而非非正式或临时的隐私做法。

对小规模实体的豁免
第356号法令在法定规则与实际操作性之间取得了平衡,提供了关键豁免,包括:

  • 微型企业和个体工商户豁免:无需任命数据保护官或执行影响评估;以及
  • 小型企业和初创企业豁免:自2026年1月1日起,享有为期五年的宽限期,在此期间无需满足数据保护官任命或操作标准,前提是它们:
    • 不直接处理敏感个人数据;
    • 不大规模处理个人数据(不超过10万个个体);且
    • 不作为数据处理服务提供商。

强化的同意要求

第356号法令将越南的个人数据保护框架转化为一套针对数据控制者和处理者的可强制执行的操作性职责。一个核心变化在于强化了同意要求。

组织必须通过可验证的方法获取同意,并清晰记录同意是在何时、以何种方式、为何种目的而给予的。法令明确禁止以下做法:

  • 默认同意设置;
  • 预勾选框;或
  • 混淆"同意"与"拒绝"选项的界面设计。
    此规则使企业完全承担提供证据的责任。

结构化的程序时限

该框架为行使数据主体权利引入了结构化的程序时限。数据控制者必须在两个工作日内确认请求,并在严格的法定期限内完成操作:

  • 访问/更正:10天
  • 撤回同意:15天;以及
  • 删除请求:20天(如涉及第三方,可延长)。
    这些固定时限取代了第13号法令下原有的72小时规定,并要求建立正式的内部工作流程和升级机制。

强制性的全面记录保存

组织现在必须保存全面的文档,包括内部数据保护政策、同意记录、处理日志和影响评估档案。对于敏感个人数据,组织必须实施强化的安全措施,包括严格的访问控制、加密、匿名化处理和持续监控。

个人数据保护人员与治理要求

项目

指定的个人数据保护人员(内部)

提供个人数据保护服务的个人(外部)

岗位类型

机构或组织指定的内部工作人员

根据服务合同聘用的外部人员

最低学历

大专或以上学历

大专或以上学历

最低经验

毕业后至少2年经验

毕业后至少3年经验

相关领域

法律、信息技术、网络安全、数据安全、风险管理、合规、人力资源/组织管理

法律、个人数据处理、网络安全、数据安全、风险管理、合规

培训水平

接受过个人数据保护培训及进阶培训

接受过个人数据保护培训及深入培训

主要职责

内部合规:政策制定、数据主体权利响应、风险评估、影响评估、事件响应

仅在合同范围内提供服务

合规监督

主动监控并改进组织的合规状况

无内部合规管理职责

处理违规行为

接收并报告个人数据保护违规行为

不得滥用服务违反法律

工作结束后的数据处理

未作特别规定

合同结束后必须删除并销毁个人数据

对个人数据保护人员的具体要求

第356号法令规定了参与越南个人数据保护工作的人员资格与职责。它区分了由机构或组织指定的内部个人数据保护人员,以及根据合同提供个人数据保护服务的个人。

个人数据保护服务提供商的资格要求

当组织将数据保护职责委托给服务提供商时,服务提供商需证明其拥有足够的人员配备、相关的技术专长以及先前经验。要求包括:

  • 业务涉及技术、法律服务或两者结合相关的职能、任务或领域,并被机构或组织聘请为个人数据保护法律合规提供建议,并根据协议执行个人数据保护职责;
  • 至少雇佣三名符合第356号法令所述能力标准的人员;
  • 提供与保密、网络安全、信息技术、标准评估或个人数据保护咨询相关的产品或服务。

组织内部的新治理与问责要求

职责范围已超出政策起草,包括数据处理和跨境传输影响评估、在法定期限内协调处理违规事件、定期员工培训和内部合规审计。

人力资源部门必须处理员工数据处理和培训问题,信息技术部门必须嵌入技术防护措施,法律和合规职能部门则需监督文件记录、审计和与监管机构的沟通,围绕数据治理重塑内部运营模式。

跨境数据传输与影响评估义务

跨境个人数据传输的范围

新规对跨境个人数据传输的定义广泛,涵盖直接传输、境外存储、基于云的处理以及将在越南收集的数据进行后续处理。因此,区域性数据枢纽、全球人力资源系统、集中式客户关系管理平台和海外分析环境等常规安排现在明确属于跨境传输监管范围。

数据传输影响评估要求

为管理这些风险,法令引入了强制性的数据传输影响评估档案制度。进行跨境传输的组织必须在传输开始后的60天内,通过公安部门户网站准备并提交全面的评估报告。档案必须记录传输目的、数据类别、同意机制、安全保障措施、接收方保护措施和风险缓解措施。

主管部门在15天内审查备案材料,如果文件不完整或不充分,可能要求修订。

执法权力与合规影响

监管机构现在拥有明确权力,可在数据使用方式威胁国家安全或发生严重违反数据保护义务的情况下,暂停或中止跨境传输。对于跨国企业、共享服务中心和依赖云服务的企业而言,此框架带来了实际挑战。

组织必须重新评估数据本地化假设,加强供应商控制,并使跨境数据架构符合越南特定的合规要求,以避免业务中断。

行业与技术特定规则

行业特定规则

针对性的合规义务现适用于大规模处理个人数据或风险较高的行业和技术。在金融、银行和信用信息行业,组织必须应用经批准的技术标准、维护端到端的处理日志、进行年度合规评估,并遵守金融行业特定的严格违规通知协议。

同意通知还必须披露评分、画像和信用评估活动,并明确保留期限。

技术特定规则
针对人工智能系统、大数据分析、区块链、云计算和元宇宙平台,法令建立了一个前瞻性的治理框架:

  • 组织必须将数据收集限制在明确的目的范围内,实施强大的加密和访问控制,并在可行的情况下应用匿名化或去标识化技术。
  • 对个体产生影响的AI驱动处理,需要透明化自动决策逻辑、有意义的解释说明以及提供退出机制。
  • 区块链部署必须避免在链上存储可识别的个人数据,而云合同必须明确分配数据保护责任。

给企业的建议

新规下,执法权力显著扩大,赋予主管部门广泛的检查与监督权,包括常规和临时的合规审查。组织必须保存数据处理活动、影响评估和违规事件的完整记录,某些记录需至少保留五年。

若发生涉及敏感个人数据的违规事件,企业必须在72小时内通知监管机构。

值得注意的是,对于金融和银行业,以及涉及生物识别或位置数据的违规事件,组织还必须在同一72小时窗口内通知受影响的数据主体。

不合规将使组织面临严厉处罚,包括行政罚款、暂停跨境数据流动以及潜在的许可证吊销。除了法律风险外,强制补救和系统中断还可能严重损害商业伙伴关系和客户信任。

如何获取协助

356号法令引入了详细的操作、文档记录和治理要求,可能需要企业重新评估其现有的数据保护框架。协力管理咨询(Dezan Shira & Associates)越南可为在越南运营的企业提供端到端的个人数据保护合规支持,包括:

  • 个人数据保护法律咨询:解读第356号法令义务及行业特定规则;
  • 合规审计:识别数据处理、同意机制和跨境传输方面的差距;
  • 起草和更新个人数据保护政策、内部规定及数据处理合同;以及
  • 根据法定要求,准备和提交数据保护影响评估和传输影响评估报告。

如需就遵守第356号法令及管理越南数据保护风险获取量身定制的建议,请联系我们的团队预约咨询:Vietnam@dezshira.com。