越南新的个人数据保护法(PDPL)的初稿
2024年9月24日,越南政府发布了新的有关个人数据保护法(PDPL)的初稿,以寻求公众反馈。法律草案的规定比个人数据保护法令更为严格,并有可能从2026年1月1日生效。
2024年9月24日,越南政府发布了本法律新法律(PDPL)的初稿,该草案将于2026年1月1日生效,标志着越南为建立个人数据保护的强大框架的努力,这是又一步。该草案目前供公众咨询 ,直到2024年11月24日,允许利益相关者提供反馈。
由公共安全部(MPS)开发的PDPL草案包括七个章节的68篇文章。 PDPL草案比去年关于个人数据保护(PDPD)的13/2023/ND-CP法令更全面,并涵盖了WIDE范围的领域范围,包括营销服务,行为广告,大数据处理,AI,云计算,员工监视和招聘,财务和信用数据,医疗保健,保险等。
找到业务支持 通过公司健康检查审查和专业咨询的危险您的亚洲业务PDPL草案预计将在2025年5月由国民议会通过。除了微型企业,中小型企业和初创企业外,它不提供合规性的过渡期,该期限仅免于在其前两年中任命数据保护部门。但是,这些较小的企业必须符合与较大企业同一时间表内所有其他PDPL义务。
主要目标和政策
2024年3月,公共安全部(MPS)向国民议会制定个人数据保护法草案。国会议员强调,该草案旨在增强越南为个人数据保护的法律框架,为维护个人数据提供明确的法律依据,提高国内组织和个人保护个人数据以符合国际和地区标准的能力,并鼓励合法使用个人数据来支持经济和社会发展。
要完成上述目标,PDPL草案是根据四个关键任务构建的:
- 根据与个人数据和个人数据保护有关的法律条款统一法规;
- 指定数据主体的权利和义务;
- 在数据处理过程中改善有关个人数据保护的法规;和
- 加强法规以确保个人数据保护的条件和措施。
草稿PDPL
的关键特征- eXpanded范围: PDPL草案适用于所有在国内外运营的越南机构,组织和个人,以及参与越南数据处理的外国实体。这个广泛的范围可确保法律将涵盖该国内部的数据处理活动以及在海外的越南数据主体。
- 严格的同意要求:同意仍然是处理个人数据的主要法律依据,并提供了针对跨境数据传输的新规定。控制者和处理器必须从数据主体中获得肯定的知情同意,特别是对于敏感的个人数据,例如健康记录,政治观点和生物识别数据。 PDPL草案指定无法认为沉默或无响应不能被视为同意,这加强了越南对严格的数据隐私的立场。
- 个人数据的定义: PDPL草案在“基本个人数据和“敏感的个人数据”。敏感数据类别已扩展到包括土地利用信息,位置数据和信用记录。此外,还引入了新的定义,例如“个人数据保护专家”,“个人数据保护信用评级”和“使用个人数据进行营销”,进一步完善了数据保护责任。
- 数据保护影响评估(DPIA)和转移影响评估(TIA): PDPL草案授权DPIA和TIA为组织,必须每六个月更新一次或进行任何重大变化。这样可以确保个人数据处理不断监视并符合不断发展的监管格局。
- 企业的义务: PDPL草案对公司对数据保护合规性施加了严格的义务。例如,企业必须为基本数据处理和敏感数据处理任命数据保护部门。这可以将部门外包给外部服务提供商,从而为企业提供更多的灵活性。法律草案还颁布了公司必须在这些部门中至少拥有一名个人数据保护专家,同时为符合条件招募这些人员提供了详细的要求。
- 对 MSMES的豁免:微型企业,中小型企业和初创公司仅在头两年内免除数据保护部门的要求,并且所有其他义务必须遵守与大型组织的同一时间表。 但是, ,Micro - Enterprises,中小型企业和直接从事个人数据处理活动的初创公司不受豁免。
- 数据泄露通知:企业将有一个72小时的窗口,将任何数据泄露事件通知当局,这是从PDPD中删除的规则。这种快速的响应要求反映了国际最好的实践,确保在违反数据安全的情况下及时采取行动。
- 新的认证机制:草案介绍了个人数据保护认证,有效地根据企业的合规创建了信用评级系统。公司可以根据其个人数据保护惯例获得诸如“高信誉”或“信任”之类的评级,这可以提高消费者的信任和市场声誉。
禁止以任何形式
禁止个人数据销售PDPL草案清楚地说明了个人数据保护的八种原则,其中之一是不能以任何形式购买或出售个人数据。
根据法律草案,个人数据是符号,字母,数字,图像,声音或类似形式的信息,这些信息与特定人相关或有助于识别该人。这些数据分为两种类型:
- 基本个人数据,包括全名,分娩日期/月/年,性别,出生地点,国籍,个人形象,电话号码,身份证,婚姻状况等;和
- 敏感的个人数据,,这是违法的信息,这些信息将直接影响组织和个人的合法权利和利益,并且与个人的隐私密切相关。
数据主题要求时停止营销活动
法律草案搁置了单独的文章,以规范营销服务中的个人数据保护。
因此,仅允许提供营销服务的组织和个人通过其业务活动收集的客户个人数据进行营销服务。个人数据的收集和使用必须确保数据主体的权利。
客户对营销服务的个人数据处理必须根据客户的同意客户清楚地知道产品介绍的内容,方法,形式和频率。
财务,银行,信贷和信贷信息活动中的个人数据保护法规
PDPL草案规定金融,银行和信贷公司必须:
- 不要在财务,信贷和信贷信息机构之间购买,出售或非法转移信贷信息。
- 不发送或共享此类机构之间数据主体的未加密财务和信用数据。
- 完全遵守有关保护敏感个人数据的法规,以及法律规定的付款和信用安全标准。
- 在使用其信用信息以评分信用或评估其信誉的情况下,请从数据主体中获得明确的同意。
- 确保对数据主体的信用评估仅导致二进制输出,例如“通过或失败”,“是或否”,或基于直接从中收集的数据等级客户。
- 清楚地识别并声明需要应用个人数据去识别措施的阶段。
- 如果财务帐户信息漏洞或数据丢失,请立即通知数据主体。
提供信贷信息服务以及银行,保险和金融和付款中介的组织,禁止非法分享或转移个人数据或将个人数据转移到彼此或第三方业务,但在法律允许的情况下。
。法律明确规定的数据主体的信用信息和相关产品只能提供给财务,银行和信贷机构。
负责个人数据保护的机构是请求信贷信息以根据适用法规调查和解决法律违规行为的主要当局。
挑战和合规考虑
查找业务SUPPORT 通过完整的市场进入和跨区域支持,在亚洲发展了您的业务尽管有新的规定,但某些挑战仍未解决。例如,PDPL将如何与现有PDPD相互作用尚不清楚。 PDPL会替换PDPD或与之共存吗?此外,尽管法律加强了基于同意的数据处理,但它并不认为“合法利益”是法律基础,这与GDPR等全球标准形成鲜明对比。
对于在越南经营的企业,该法律草案将需要进行大量调整。公司必须准备增强其数据处理操作,尤其是DPIA,跨境转移和严格的同意制度。此外,诸如营销,行为广告,医疗保健和AI等部门需要调整其实践以保持符合高地D围绕敏感的个人数据处理的要求。
结论
《个人数据保护法》草案表明越南的野心是建立与全球标准保持一致的全面个人数据保护框架。尽管企业需要应对新的合规性挑战,但他们也有机会在咨询期间提供意见。随着PDPL计划于2025年5月进行潜在颁布,从2026年1月1日开始执法,公司必须迅速采取行动以评估其准备就绪并与越南新的数据保护范式保持一致。
(带有Vu Nguyen Hanh的输入。)