越南数据法实施法令草案
继 2024 年 11 月出台第 60/2024/QH15 号数据法(“数据法”)后,越南政府尚未填补指导这一里程碑式法律实际实施所需的详细法规的空白。然而,一系列新的监管文书很快将解决这一空白,其草案已于 2025 年 1 月发布。这些文件包括:
- 关于《数据法》详细规定和实施措施的法令草案(“实施令”);
- 关于科学、技术和创新活动以及数据相关服务的法令草案(“关于数据相关的法令”) 活动”);
- 国家数据发展基金法令草案(“NDDF 法令”);
- 关于核心和关键数据分类的决定草案。
越南目前正在准备四份法律文件,以促进新数据法的执行,该法将于 2025 年 7 月 1 日生效。在关于越南数据监管的系列文章中,我们将审查这些拟议法规的关键方面及其对越南数据相关业务的潜在影响。
基本和核心数据识别
实施令草案规定了识别基本和核心数据的标准。一般来说,重要数据是指可能影响国防、安全、对外关系、宏观经济稳定、社会秩序、公共卫生和社区安全的信息。同时,核心数据涉及对这些部门有直接影响的信息。
数据分类标准 | ||
类别 | 标准 | 受影响区域 |
基本数据 | 对国家安全、主权和领土完整的影响 | 国防、政治稳定、经济安全、社会秩序、公共卫生和安全(不包括国家机密)。 |
对外关系和国际合作的影响 | 战略伙伴关系、海外项目、能源安全、海事 | |
对经济发展的影响 | 宏观经济稳定、关键基础设施、重点产业。 | |
对个人和组织的影响 | 生命、健康、财产、法律 | |
核心数据 | 党和国家政策 | 国内外政策、领导活动、民族/宗教 战略。 |
国防和安全 | 军事行动、关键基础设施、武器系统、密码学。 | |
战略经济和工业数据 | 货币政策、稀有资源和国家储备。 | |
科学技术进步 | 国防相关专利、核/原子研究和稀有药物。 | |
人口和法律 监督 | 人口普查数据、反腐败和法律调查。 | |
国际协议和条约 | 在具有约束力的情况下与外国实体交换的数据 | |
数据传输义务
跨境数据传输
根据法令草案,对于向境外传输重要和核心数据,数据管理者必须彻底评估相关风险,并制定强制性影响评估报告,包括:
- 跨境数据传输;
- 处理影响评估档案。
数据管理员必须准备并向相关数据提交必要的文件以及通知传输数据之前至少五天的监管机构,其中包括:
- 国防部,负责与军事、国防或加密领域相关的数据;
- 其他领域的数据则需要公安部。
不过,核心数据的出境审批比基本数据更为严格,具体如下:
- 基本数据:如果五天内未提供负面评估,数据管理员可以继续向境外转移数据并进行处理。
- 核心数据 数据:数据监管机构必须在收到完整有效的档案后十个工作日内完成影响评估。数据管理员只有在获得数据监管机构的积极评估后,才能继续向境外转移和处理数据。
数据管理员还需要每年进行一次数据自我评估。sks涉及基本数据的传输和处理以及核心数据的半年评估。这些评估必须报告给公安部。
此外,无论国际传输何种数据,数据传输者都必须维护数据主体的合法权益以及国防、安全和公共利益。还必须与接收方签订协议,其中明确规定强制性内容。
合并、重组、破产等情况下的数据转移
《实施令》草案规定,数据管理人在合并、重组、破产等情况下需要转移数据的,数据管理人应当通过电话、短信、电子邮件或者通知等方式告知受影响的用户,并提交转移申请。 计划。
数据保护措施
该法令草案确立了管理数据访问和提取的原则,
数据验证
根据法令草案,数据验证的责任由数据库所有者和数据主体共同承担。然而,数据库所有者对确保其数据库中数据的质量负有最终责任。数据库所有者、数据库运营者或者数字验证服务提供者有权进行数据验证。根据主管机关的规定,经过验证的数据在一定期限内与原始数据具有相同的法律价值。
数据披露限制
披露禁止数据
法令草案规定了以下数据类型,不得公开披露:
- 未经授权的个人数据 同意;
- 国家秘密或影响国防和安全的数据;
- 如果泄露,可能会损害:
- 共产党利益的数据、政府或国家主权;
- 外交关系、社会道德或公共卫生;
- 个人或组织(例如声誉或财务损失)。
有条件披露的数据
在某些条件下可能会披露以下信息:
- 经数据所有者同意,可以公开发布与业务相关的信息;
- 有关私生活或个人秘密的个人信息 只有在获得数据主体明确同意的情况下才能共享,而涉及家庭秘密的信息则需要获得所有家庭成员的同意;
- 如果服务于公共利益、维护公众健康或法律强制要求,有关机构可以在未经同意的情况下披露特定的敏感信息。
数据安全
为了保证安全,法令草案要求在数据管理方面实施一项或多项加密措施,同时包括:
- 传输加密;
- 存储加密;
- 设备加密;
- 硬件安全协议,防止未经授权的访问并确保加密/解密在安全的环境中进行。
同时,解密协议必须要求对解密数据的个人进行身份验证并授权访问加密信息。所有加密和解密活动都必须记录在案,以保证有效性、透明度和问责制。
值得注意的是,所实施的许多措施都是受到个人数据保护最佳实践的启发(例如,处理活动记录、访问控制、员工培训、适当的删除和销毁程序等)。尽管人们会理解为什么这些措施与核心和重要数据相关,但这些要求对于“普通”数据处理来说将是非常繁重的。适用范围《数据法》(及其未来的指导性法令)的制定将涵盖参与数字数据活动或与数字数据活动相关的任何组织。由于数字数据只是数字形式的数据,因此应用范围非常广泛,义务也深远。
向国家机构提供数据的程序
该法令草案概述了国家机构从组织和个人获取数据的程序。国家机构必须发出书面数据访问请求。仅在紧急情况下才允许口头请求,并且必须经过确认。
每个数据请求应详细说明数据类型、所需的详细程度、数据量、访问频率和提供方法。这些请求必须尊重数据管理员和数据所有者的合法目的,同时确保商业秘密和个人隐私的保护。
数据请求可以在特定条件下撤回,例如:
- 违反数据法或其他适用的法律标准;
- 未能满足数据提供标准;
- 因正当理由而无法再获取所请求的数据。
法令草案允许数据所有者、法定代表人或合法管理和使用数据的个人向相应国家当局请求更改或取消数据请求,只要此类请求是在规定的数据提供截止日期之前提出的。
企业要点
实施法令草案 旨在通过建立明确的数据分类标准和实施严格的跨境数据传输协议来加强即将出台的数据法,从而保护国家安全和公共利益。
随着公司为这些变化做好准备,必须遵守新的要求以确保数据完整性并与不断变化的法律标准保持一致。为了成功适应这些法律修改,企业应:
- 进行彻底的数据盘点,以确定其数据类别是否包括核心数据或基本数据;
- 审查和修订数据处理政策,特别是关注国外的数据传输和处理,以识别和纠正合规性差异;
- 参与公众咨询并就法令草案提供反馈,以影响最终法规。
