越南个人数据保护制度即将发生的变化

知识亮点 1 September 2025

越南第 91/2025/QH15 号《个人数据保护法》(“PDPL”)已于 2025 年 6 月 26 日由国会通过,并将于 2026 年 1 月 1 日生效。该法统一了目前分散在不同法律中的数据隐私规定,其中最重要的是取代了第 13/2023/ND-CP 号法令(“第 13 号法令”)。

PDPL 对越南的数据保护框架进行了重大修订,引入了新的合规义务、重大行政处罚以及行业特定要求。

本文简要概述了 PDPL 的一些关键条款。

适用范围

PDPL 规范个人数据、个人数据保护,以及相关机构、组织和个人的责任。PDPL 和第 13 号法令均区分基本个人数据与敏感个人数据。但在 PDPL 下,每类数据的具体类型由政府另行规定,而不是在法律中直接列明,从而提供了更大的灵活性。

虽然第 13 号法令和 PDPL 均广泛适用于在越南境内外从事个人数据处理的越南和外国机构、组织和个人,但 PDPL 引入了更明确的域外适用范围和更广泛的主体覆盖。第 13 号法令已将适用范围扩展至在境内或境外处理越南公民个人数据的外国实体,但 PDPL 明确涵盖了处理以下数据的主体:既包括越南公民的数据,也包括国籍尚未确定但居住在越南并已获发身份认证的越南裔人士的数据。

数据去标识化、加密与解密

PDPL引入了“个人数据去标识化”与“个人数据加密解密”的新概念。个人数据去标识化是指通过修改或删除信息以生成无法用于识别(或辅助识别)特定自然人数据的过程;个人数据加密则指“将数据转换为未经解密便无法读取格式”的处理过程。对此,《个人信息保护法》明确规定,经去标识化处理的个人数据不再视为个人数据,而加密后的个人数据仍属于个人数据范畴。

同意

PDPL 延续了第 13 号法令所采用的以同意为核心的模式,但进一步强化了同意规则,明确规定处理个人数据的同意必须是自愿的、知情的,并且针对每一项处理目的具体化。PDPL 明确禁止将不相关的服务与同意捆绑在一起。

PDPL 引入了一项新的无需同意即可处理个人数据的合法依据,规定在“为保护个人数据主体的生命、健康、荣誉、尊严以及合法权利和利益”或“应对国家安全紧急情况或威胁”时,可以在未取得同意的情况下进行处理。这类门槛显然高于《欧盟通用数据保护条例》(GDPR)所规定的“合法利益”标准,后者允许更广泛地在组织需求与数据主体权利之间进行平衡。

数据处理影响评估

PDPL 中的数据处理影响评估(“DPIA”)要求与第 13 号法令中所规定的要求基本相似,相关实体须在开始处理个人数据后的 60 天内向专门的数据保护主管机关提交 DPIA。

跨境传输影响评估

对于个人数据跨境传输,必须准备并在启动跨境传输后的 60 天内提交一份数据跨境传输影响评估(“OTIA”)。与第 13 号法令类似,准备和提交 OTIA 的要求独立且区别于准备和提交 DPIA 的要求。但在某些情况下,OTIA 要求可获豁免,例如当跨境传输是由数据主体自行发起,或雇员数据存储于云端时。

允许的数据传输

PDPL 规定了允许传输个人数据的情形,包括:

  • 在取得数据主体同意的情况下进行传输;
  • 在同一机构或组织内部的部门之间共享个人数据,以按照预期目的进行处理;
  • 由个人数据控制者,或由个人数据控制者与个人数据处理者,将个人数据传输给个人数据处理者或第三方,以便合法处理;
  • 因重组(如合并或重组)而产生的传输;
  • 按照相关主管机关的要求进行的传输;以及
  • 法律允许在未取得数据主体同意的情况下处理个人数据时所进行的传输。

PDPL 明确规定,在上述情形下进行的个人数据传输,不论该等传输是否涉及付款,均不被视为个人数据的买卖。然则,这些条款存在一定程度的模糊性,目前尚不清楚该允许传输的清单是否旨在允许某些传输(例如因合并而产生的传输)即使未取得数据主体的同意也可进行。预计越南政府将就这些条款提供进一步指引。

特定行业

PDPL 针对被视为高风险的领域制定了更为细致的规则。下表列出了其中部分相关规定。

行业

规则

就业、招

·         仅可收集与招聘相关的数据

·         处理需获得候选人的同意

·         若候选人未被录用,必须删除候选人数据,除非双方另有一致同意

·         根据法律或协议的要求保留雇员的个人数据

·         在合同终止时删除或销毁此类数据,除非法律或协议另有要求

医疗、保

·         处理健康数据必须取得同意(有限例外适用)

·         如再保险人将客户个人数据转移至合作伙伴,再保险人必须在客户合同中纳入数据转移条款

银行、金

·         未经明示同意,不得将信用信息用于评分

·         仅可从符合法律规定的适当信息来源收集信用信息活动所必需的个人数据

 

广

·         仅可在获得数据主体同意的情况下,通过数字平台收集个人数据

·         必须采取措施以拒绝数据共享、明确数据保存期限,并在不再需要时删除数据

·         广告服务提供者不得将与个人数据相关的服务委托或转租给第三方

 

社交媒

·         平台必须允许用户选择退出跟踪

·         禁止秘密访问音频或信息

人工智能、大数据、云计算、区块

·         系统必须内嵌安全和伦理控制措施

 

行政制裁

PDPL对违反其条款的处罚设定了上限(这一点在第13号法令中并未明确规定),并针对以下各类违法行为设立了处罚上限:

  • 非法交易个人数据 —— 处罚金额最高可达违法所得收入的10倍;
  • 跨境违规 —— 处罚金额最高可达年度收入的5%;
  • 除上述之外的一般违法行为 —— 处罚金额最高可达30亿越南盾(约合115,000美元)。

过渡性条款

根据第13号法令合法发起的基于同意及影响评估的活动可在PDPL下继续进行。根据第13号法令已取得的同意在PDPL下仍然有效,无需重新获取。根据第13号法令提交的DPIA和OTIA同样有效,但在2026年1月1日之后的任何更新必须符合PDPL的要求。

 

查看更多观点

知识亮点 1 September 2025

新加坡经济韧性工作组宣布针对性措施支持企业与员工,包括推出“企业适应补助金”

查看更多

知识亮点 19 August 2025

新加坡金管局与银行公会联合成立新加坡支付网络公司,统筹国家支付体系管理以推动下一阶段发展

查看更多