越南关于特定数据与实体的数据本地化要求于2022年10月1日生效

1 November 2022

2022年8月15日，越南颁布了第53/2022/ND-CP号法令（“第53号法令”），用以阐释2018年《越南网络安全法》（“《网安法》”），尤其是该法关于将在越南境内收集的特定类型数据存储于本地的相关要求。第53号法令于2022年10月1日生效。

本通讯列出了第53号法令的主要要点。

数据本地化存储要求

第53号法令阐释了《网安法》第26(3)条，该条款规定，“外国和国内企业在越南境内通过电信网络和互联网提供服务以及提供网络增值服务时”必须存储用户的个人信息数据、用户关系数据或用户在越南境内创建的数据存储一段期限，具体存储期限由政府设定，只要该等外国或国内企业收集、利用、分析或处理该等数据（“数据本地化要求”）。

第53号法令将须存储于越南境内的数据（“须驻留数据”）规定为：

• 越南用户的个人数据
• 越南用户生成的数据，包括账户名、服务使用次数、信用卡信息、电子邮件地址、最近一次登录/登出的网络地址以及与该账户或数据相关联的注册电话号码
• 关于越南服务用户关系的数据，例如，与用户之间存在关联或互动关系的群组

根据越南法律成立的所有本地服务提供商，如在电信网络、互联网上以及通过越南网络空间的增值服务进行收集、利用、分析或处理上述类型数据的活动，则必须将该等数据存储于越南境内。

第53号法令规定，如外国公司虽未在越南境内设立任何业务机构，但却持有须驻留数据，并在越南境内提供以下服务，则可能被相关部门责令在越南境内存储数据并设立业务机构（“受影响公司”）：

·        电信	·        在线支付
·        向越南用户提供国内或国际域名	·        第三方支付
·        以消息、语音通话、视频通话、在线聊天或电子邮件的形式在网络空间提供、管理或操作其他信息的服务	·        社交网络、社交媒体
·        在网络空间存储和共享数据	·        在线视频游戏
·        电子商务	·        通过网络空间进行的传输连接服务

 

第53号法令规定，一旦越南公安部网络安全与预防高科技犯罪司（“网安司”）发出书面执行令，受影响公司必须遵从相关的数据本地化要求。书面执行令的其中一种适用情形是业已发生违反网安法的行为，且经营该违法行为所用服务的受影响公司未能充分遵从网安司提出的配合、预防、调查及处理要求。第53号法令并未规定何种类型的违法行为将导致网安司提出该等配合要求。书面执行令的另一种适用情形是受影响公司对抗、妨碍或禁用网安司网络安全防护工作组所应用的网络安全措施。

一旦发出书面执行令，则受影响公司必须遵从上述数据本地化要求，并在该执行令发出后12个月内设立分公司或代表处。

受影响公司必须自收到数据存储执行令之日起，将须驻留数据存储至少24个月，直至数据存储完结之日止，并须将跟踪相关调查及违反网络安全规则行为的系统日志存储至少12个月。第53号法令并未规定具体应以何种方式存储须驻留数据，而是指出决定权归属于该公司。

删除网络空间中的非法信息

第53号法令规定，网络空间中的信息如被有关机构认定为具有以下效果（“非法信息”），则必须予以删除：

• 侵犯国家安全、社会秩序与安全以及机构、组织和个人的合法权益
• 含有“羞辱性及诽谤性”内容
• 侵犯经济管理秩序
• 捏造及伪造信息，混淆视听，对社会经济活动造成严重损害，以至于该等信息必须予以删除
• 歪曲历史，否认革命成就，破坏民族团结，犯下宗教罪行、实施性别歧视或种族主义行为
• 利用网络空间从事卖淫、社会罪恶或贩卖人口等活动
• 发布淫秽、堕落或犯罪信息
• 破坏人民优良传统习俗、社会道德或社区健康
• 教唆、引诱或煽动他人犯罪

网安司将向受影响公司发出书面执行令，要求删除非法信息。此外，网安司亦有权收集与侵犯国家安全、社会秩序与安全，以及机构、组织和个人的合法权益的行为有关的电子数据。第53号法令要求网安司在检索这些数据时应保持数字设备和数据的原有状态，以可核查的方式复制并记录数据，保护数据的完整性，并记录恢复或搜索数据的过程。

第53号法令规定的其他阐释内容

第53号法令还包括与以下内容有关的规定：

• 对国家安全至关重要的信息系统的网络安全要求
• 评估、检查和监测对国家安全至关重要的信息系统的程序及规程
• 应对网络安全事件的程序及规程
• 实施旨在保护网络信息的加密的程序及规程
• 指导地方和中央各级国家机构及政治机构的网络安全保护计划