在有关越南数据调节的系列文章中,我们探讨了拟议法规的关键方面及其对该国与数据相关业务的潜在影响。本文专门侧重于实施草案,该法令旨在阐明数据法中概述的一般规定。

在2024年11月提出有关数据(“数据法”)第60/2024/QH15法律之后,越南政府尚未填补指导这项里程碑法实际实施所需的详细法规的空白。但是,一系列新的监管工具将很快解决该空白,该工具的草案于2025年1月发布。这些文件包括:

找到业务支持 通过实体健康检查和合作伙伴审查服务确定业务风险 “”
  • 详细法规和数据法的实施措施(“实施法令”);
  • 关于科学,技术和创新活动和与数据相关的服务的法令草案(“与数据相关的活动法令”);
  • 关于国家数据发展基金的草案(“ NDDF法令”);和
  • 关于核心和关键数据分类的决定草案。

越南目前正在准备四个法律文件,以促进其新数据法的执行,该法律将于2025年7月1日生效。在本系列有关越南的数据法规的系列中,我们研究了这些拟议法规的关键方面及其对越南与数据相关业务的潜在影响

必需和核心数据标识

“实施草案”法令指定了识别基本和核心数据的标准。通常,基本数据是信息可能影响国防,安全,外交关系,宏观经济稳定,社会秩序,公共卫生,AND社区安全。同时,核心数据与对这些部门有直接影响的信息有关。 

数据分类标准

类别

标准

受影响的区域

基本数据

对国家安全,主权和领土完整性的影响

国防,政治稳定,经济安全,社会秩序,公共卫生和安全(不包括国家机密)。

对外交关系和国际合作的影响

战略合作伙伴关系,海外项目,能源安全,海上路线。

对经济发展的影响

宏观经济稳定性,c范围基础设施和关键行业。

对个人和组织的影响

生活,健康,财产,合法权利和声誉风险。

核心数据

政党和国家政策

国内/外交政策,领导活动,种族/宗教策略。

国防与安全

军事行动,关键基础设施,武器系统,密码学。

战略经济和工业数据

货币政策,稀有资源和国家储备。

科学和技术进步

与国防相关的专利,核/原子研究和稀有药物。

人口和法律监督

人口普查数据,反腐败和法律调查。

国际协议和条约

与约束条约下的外国实体交换的数据。

数据传输的义务

跨境数据传输

根据法令草案,对于国外的基本和核心数据,数据管理员必须彻底评估相关风险,以建立强制性影响评估报告,包括:

  • 跨境数据传输;和
  • 处理影响评估档案。

数据管理员必须在之前 之前,需要准备并提交必要的文件以及通知,以传输数据,其中包括:

  • 国防部关于与军事,国防或加密领域有关的数据;或
  • 其他领域的数据公共安全部。

尽管如此,Transferri的批准与基本数据相比,NG核心数据更为严格,如下所述:

  • 基本数据:如果在五天内未提供负面评估,则数据管理员可以继续传输和处理国外的数据。
  • 核心数据:数据调节器必须在十个工作日内完成影响评估 接受完整且有效的档案。数据管理员只能在获得数据调节器的积极评估后才继续传输和处理数据。
找到业务支持 无缝管理您在亚洲多个国家的运营 “”

还要求数据管理员每年对与基本数据转移和处理有关的风险进行年度自我评估,以及对核心D的双年度评估ATA。这些评估必须报告给公共安全部。

此外,无论在国际上转移的数据类别如何,数据传输都必须维护数据主体的合法权利和利益,以及国防,安全和公共利益。还必须与接收者建立协议,其中包括明确定义的强制性内容。

合并,重组或破产中的数据传输

“实施草案”法令指出,如果数据管理员必须在合并,重组或破产的情况下传输数据,则数据管理员必须通过电话,短信,电子邮件或通知通知受影响的用户并提交转移计划。

>

>

数据保护度量

该法令草案建立了用于管理数据访问和提取的原则,以及处理核心数据和基本数据的特定要求。

数据验证

根据草案法令,数据验证的责任在于数据库所有者和数据主体。但是,数据库所有者具有确保数据库中数据质量的最终责任。数据库所有者,数据库操作员或数字验证服务提供商有权执行数据验证。验证的数据在特定时期中具有与原始数据相同的法律价值,如主管当局所规定的。

数据披露限制

披露 - 固定数据

草案法令规定以下数据类型,不得公开披露:

  • 未经同意的个人数据;
  • 影响国防和安全的国家机密或数据;和
  • 数据,如果披露可能会损害:
    • 共产党,政府或国家主权的利益;
    • 外交关系,社会道德或公开C健康;和
    • 个人或组织(例如,声誉或财务损失)。

有条件披露的数据

可以在某些条件下披露以下信息:

  • 与业务相关的信息可以通过数据所有者的同意公开发布;
  • 有关私人生活或个人秘密的个​​人信息只能在数据主题的明确批准下共享,而有关家庭秘密的信息需要所有家庭成员的同意;和
  • 特定的敏感信息可以由适当的当局揭示,如果它为公共利益提供服务,保障公共卫生,或者是法律规定的。

数据安全

为了确保安全,草案要求对数据管理实施一项或多项加密措施,其中包括:

  • 传输加密;
  • 存储Encryption;
  • 设备加密;和
  • 硬件安全协议可以防止未经授权访问并确保在安全设置中进行加密/解密。

同时,解密协议必须需要对单个解密数据并授权访问加密信息的身份验证。所有加密和解密活动都必须记录在有效性,透明度和问责制中。

找到业务支持 通过AI云会计,ERP和办公室自动化扩展操作 “”

值得注意的是,所施加的许多措施受到个人数据保护方面的最佳实践的启发(例如,处理活动的记录,访问控制,员工的培训,适当的删除和破坏程序等)。虽然人们会明白为什么这样的措施是在核心和重要数据的情况下,对“普通”数据处理的要求将非常繁重。数据法的应用范围(及其未来指导法令)将涵盖参与数字数据活动或相关的任何组织。由于数字数据仅以数字形式为数字,因此应用程序范围非常广泛,并且义务很深入。

为州机构提供数据提供程序

该法令草案概述了州当局从组织和个人那里获取数据的程序。国家机构必须发出书面数据访问请求。口头请求仅在紧急情况下允许,必须进行确认。

每个数据请求应详细介绍数据类型,所需的详细信息级别,数据量,访问频率和提供方法。这些请求必须尊重数据管理员和数据所有者的合法目的,同时确保PROT商业秘密和个人隐私。

可以在特定条件下撤回数据请求,例如:

  • 违反数据法或其他适用的法律标准;
  • 无法满足数据提供的标准;或
  • 由于有效的原因,不再获得所请求的数据。

草案法令允许数据所有者,法律代表或个人合法管理和利用数据请求更改或从各个国家当局取消数据请求,只要在既定的数据提供截止日期之前就提出此类请求。

企业的收获

该法令草案旨在通过建立明确的数据标准来对数据进行分类并实施严格的跨境数据传输协议,从而保护国家安全和公共利益。

随着公司为这些变化做好准备,必须遵守有了新的要求,以确保数据完整性并与不断变化的法律标准保持一致。要成功调整这些法律修改,企业应:

  • 进行详尽的数据清单,以确定其数据类别是否包括核心数据或基本数据;
  • 审查和修改数据处理政策,尤其是专注于国外数据传输和处理,以识别和纠正合规性差异;和
  • 参加公众咨询,并就影响最终法规的法令提供反馈。