越南的个人数据保护法令为在该国运营的外国公司制定了全面的指导方针,以确保个人数据得到强有力的保护。

此外,该法令对个人数据向境外传输提出了严格要求。

根据外国公司在越南的业务情况,了解该法令对于确保公司业务顺利运营至关重要。

考虑到这一点,希望在越南技术领域开展业务的外国公司(包括视频游戏开发商和跨境服务提供商)应确保熟悉这些法规。

范围和定义

该法令适用于在越南境内或与越南公民相关的国内和国际个人数据处理的越南和外国个人、组织和实体。

关键定义

  • 个人数据: 识别个人身份的信息,分为基本信息(例如姓名、联系方式)和敏感信息(例如健康状况、种族、政治观点)。
  • 数据处理:收集、存储、分析或共享个人数据等操作。
  • 数据主体:个人数据所属的个人。
  • 同意:明确获得数据主体处理其数据的许可。

原则和责任

该法令确立了个人数据保护的核心原则:

  • 法律合规性:所有数据处理都必须遵守法律。
  • 数据主体的意识:个人必须了解其数据的处理方式,除非在法律上豁免的情况下。
  • 目的限制:数据只能出于声明的目的进行处理。
  • 数据保护:必须保护数据免遭泄露和不当处理。

参与数据保护的实体处理者(数据控制者、处理者和第三方)有责任遵守这些原则。政府通过政策制定、法律监督和公众教育来管理和执行个人数据保护。

违规行为、禁止行为和国际合作

违规行为:违反数据保护法可能会导致纪律处分、行政处罚或刑事起诉,具体取决于严重程度。

禁止行为:

  • 非法数据处理。
  • 利用个人数据创建危害国家安全或公共安全的信息。
  • 阻碍政府机构执行数据保护。

国际合作:越南鼓励在个人数据保护方面开展国际合作,包括分享专业知识、法律援助以及参与技术转让以改善数据保护能力。

数据的权利和义务主体

  • 知情权:数据主体被告知其数据处理情况。
  • 同意权:数据主体可以同意或拒绝数据处理,但有例外。
  • 访问权:数据主体可以访问和更正其个人数据。
  • 撤回同意权:同意可以是随时撤回,但须遵守法律规定。
  • 删除权:数据主体可以请求删除其数据。
  • 限制处理权:限制数据处理的请求必须在 72 小时内完成。
  • 数据可移植性权利:数据主体可以在控制者之间传输其数据。
  • 对象:他们可以反对处理,特别是出于营销目的。
  • 投诉/起诉权:可以针对违反数据保护的行为采取法律行动。
  • 赔偿权:可以因违反数据保护而要求赔偿
  • 自卫权:数据主体可以自我保护或寻求法律补救措施。

数据主体的义务:

  • 保护自己和他人的数据。
  • 提供准确的数据。
  • 遵循数据保护

数据处理期间的保护

  • 同意:数据处理需要知情、明确的同意,法律另有规定的除外。同意必须是明确、书面且可验证的。
  • 撤回同意:数据控制者必须在撤回同​​意后停止处理。
  • 通知:数据主体必须被告知数据处理活动。
  • 提供个人数据:数据控制者必须根据要求提供个人数据,除非有特定的法律例外。请求必须包含身份证明和访问原因。

影响评估(第 24 条)

个人数据影响评估记录

个人数据控制者、个人数据控制者和处理者以及个人数据处理者必须从个人数据处理开始就建立并维护个人数据影响评估记录。该记录包括:

  • 相关方的信息和联系方式。
  • 负责数据保护的组织和数据保护官员的联系方式。
  • 处理个人数据的目的和类型。
  • 接收个人数据的组织和个人,包括越南境外的组织和个人。
  • 有关数据处理持续时间以及删除或销毁数据的预计时间的详细信息数据。
  • 所采用的数据保护措施的描述。
  • 数据处理的影响评估,包括潜在后果、损害和风险缓解措施。

处理者的个人数据处理影响评估

当个人数据处理者履行合同时作为个人数据控制者,他们必须准备并维护个人数据处理影响评估记录。该记录应包括:

  • 个人数据处理者的信息和联系方式。
  • 负责处理个人数据的组织及其员工的详细信息。
  • 处理活动和数据类型的描述。
  • 数据处理的持续时间和数据删除的预期时间。
  • 所采用的数据保护措施的详细信息。
  • 可能的风险和损害以及缓解措施

文件和报告

影响评估记录必须合法记录并可供公安部检查。记录的原件必须在数据处理开始后 60 天内提交给该部。如有必要,该部可以要求更新和改进评估文件。

评估文件的更新

个人数据控制者、个人数据控制者和处理者、个人数据处理者应当在个人数据处理影响评估文件发生变化时更新和补充。这些更新必须在 60 天内使用规定的表格提交给公安部。

个人数据向境外传输(第 25 条)

数据传输条件

如果传输方准备影响评估档案并遵循特定程序,越南公民的个人数据可以向国外传输。这包括个人数据控制者、个人数据控制者和处理者、个人数据处理者以及参与传输的任何第三方。

数据传输影响评估档案

档案必须包括:

  • 数据传输方和数据接收方的信息和联系方式。
  • 组织的联系方式个人或负责传输的个人。
  • 传输的个人数据的目标和类型。
  • 遵守个人数据保护法规和所采取的措施。
  • 影响评估,包括潜在风险和缓解策略。
  • 数据主体的同意以及反馈和投诉机制。
  • 传输方和接收方之间有关数据处理的具有约束力的协议。

文档和报告

评估档案必须可供公安部检查。转让方必须在数据处理后 60 天内将档案原件发送给该部。还必须提供成功转让的通知和责任单位的联系方式。

更新和检查

转让方必须在影响评估档案发生变化时更新。公安部将组织ss 并要求对档案进行任何必要的改进。此外,如果发生违规或事件,公安部可以每年或更频繁地检查数据传输。

暂停数据传输

如果出现以下情况,公安部可以要求停止向境外传输数据:

  • 传输的数据用于威胁国家安全或利益的方式。
  • 传输方未遵守监管要求。
  • 存在数据泄露或数据泄露事件。

个人数据保护措施

第26条概述了保护个人数据所需的措施,这些措施必须从一开始就实施并在整个处理期间予以维护。这些措施包括管理实践、技术保障、遵守监管要求、国家机构的调查行动以及法律规定的任何其他法律措施。

基本个人数据保护

第27条重点关注个人基本数据的保护。它要求实施第 26 条规定的措施,以及制定和执行具体的数据保护法规。鼓励组织采用相关个人数据保护标准,保障网络安全。此外,他们必须正确处理和处置任何包含个人数据的设备。

敏感个人数据保护

第 28 条涉及敏感个人数据的保护。这包括应用第二十六条和第二十七条详述的措施,指定专门的部门和人员进行数据保护,并与个人数据保护机构协调。处理敏感数据时还需要通知数据主体,法令中概述的某些例外情况除外。

专门机构和国家门户

第 29 条设立了网络安全和信息安全部h-Tech 犯罪预防和控制部门作为负责数据保护的主要机构。该部门管理国家个人数据保护门户,该门户提供有关数据保护活动的指南、更新和信息。该门户网站还处理记录、违规行为、公开警告,并促进评估和执法协调。

实施

该法令将于2023年7月1日起生效。在成立的最初两年内,允许小微企业、中型企业和初创企业免除指定专门负责个人数据保护的个人和部门的要求。

但是,这项豁免不适用于直接从事个人数据处理的企业,这些企业必须从一开始就遵守该法令的规定。

这种分阶段的方法可以让小型企业和新成立的企业实现更平稳的过渡同时确保处理个人数据的所有实体都遵守严格的保护标准。

综上所述,在越南数字领域(例如视频游戏、社交媒体或互联网服务)运营的外国公司应该记住,越南的法律、规则和法规经常变化。

考虑到这一点,在越南开展业务的外国公司最好通过订阅 Vieter 来了解这些变化。

首次发布于 2024 年 9 月 9 日。最后一次审核于 2025 年 3 月 30 日。