2024年2月29日，越南公安部（MPS）宣布制定《个人数据保护法》（“PDP法”）。这一举措以在政府官方网站上发布档案为标志，旨在加强国内的数据隐私措施。

2025 年 6 月 26 日，越南国会正式通过《PDP 法》，建立了该国第一个专门致力于保护个人数据的综合法律框架。该立法取代了第 13/2023/ND-CP 号法令，该法令自发布以来一直作为规范数据隐私的临时法律依据。新法律将于 2026 年 7 月 1 日生效，给予组织一年的过渡期，以调整其运营以符合更新的法律要求。

PDP 法旨在加强越南的数据隐私和治理，与全球标准保持一致，同时支持政府的更广泛目标数字化转型。它适用于在越南处理个人数据或越南个人的国内和国际实体，无论处理实际发生在何处。公安部 (MPS) 仍然是负责执法和监管监督的主要机构。

本文探讨了越南 PDP 法的范围、主要定义、数据主体的权利、合规义务以及企业的后续步骤。

越南个人数据保护法概述

主要定义和范围

越南的个人数据保护法 新的 PDP 法保留并扩展了第 13 号法令中首次引入的定义，包括：

• 基本个人数据：全名、出生日期、性别、地址、联系方式、身份证号码和其他个人身份信息等信息；和
• 敏感个人数据：包括生物特征数据、健康和遗传信息，财务和信用记录、位置数据、信仰（政治、宗教）、社会关系以及与儿童相关的数据。

PDP 法适用于：

• 在国内处理个人数据的越南个人和组织；
• 收集、使用或处理越南个人个人数据的外国实体，即使处理发生在越南境外。

一项重大更新是引入强制向公安部登记某些数据处理活动。这包括敏感个人数据的处理和任何跨境数据传输。注册必须在处理活动开始之前完成。

数据主体的权利

PDP 法扩大并巩固了数据主体的权利，扩展了第 13 号法令奠定的基础，并与 GDPR 等国际标准更加紧密地保持一致。这些权利包括：

• 知情权：必须明确告知个人其数据被收集和处理的方式、原因以及由谁收集和处理。
• 提供和撤回同意的权利：同意必须是明确、具体和自由的。必须向个人提供易于使用的机制，以随时撤回同意。
• 访问和更正权：个人可以访问其个人数据并请求更正不准确或过时的信息。
• 删除权：在特定情况下，个人可以请求删除其个人数据。
• 限制或反对的权利 处理：个人可以要求限制其数据的使用方式或反对特定形式的处理。
• 提出投诉和寻求法律补救措施的权利：如果个人认为自己的数据权利受到侵犯，他们有权向公安部提出投诉或采取法律行动

同意要求

同意仍然是新立法下合法数据处理的基石。 PDP 法要求：

• 对每个不同的处理目的明确同意；
• 不得使用预先勾选的框、沉默或不活动作为同意的有效形式；
• 处理敏感个人数据的书面或数字认证同意。

同意豁免是有限的，主要适用于涉及国家安全、公共卫生、法律义务或国家利益的案件。

数据保护影响评估（DPIA）

PDP 法对组织进行数据保护影响评估提出了明确要求 (DPIA) 在以下场景中：

• 处理敏感个人数据时。
• 跨境传输个人数据时。
• 将个人数据用于高风险活动时，包括分析、自动决策、人工智能或面部识别。

DPIA 必须包括数据处理的类型和目的、风险和缓解措施以及数据保留计划。这些评估必须提交给公安部，并在处理活动发生重大变化时进行更新。

跨境数据传输

PDP 法收紧了跨境数据传输的要求。关键条件包括：

• 完成并提交数据传输的 DPIA。
• 确保接收国提供 MPS 确定的“足够水平的保护”。
• 存在保护个人数据的具有法律约束力的文书或协议。
• MPS 有权暂停或禁止对国家构成威胁的传输。 利益或不遵守法律要求。

这些措施反映了越南对数据主权和网络安全的优先考虑。

组织责任和数据保护官的作用

处理敏感数据或进行大规模数据操作的组织必须：

• 任命一名数据保护官 (DPO) 或建立数据保护团队；
• 维护处理活动的内部记录；
• 制定数据保护和事件响应计划的内部规则。

初创公司和小型企业可以在法律生效之日起五年内选择不遵守 DPO 和 DPIA 要求。另一方面，微型企业和家庭企业完全免除这些义务。

DPO 负责确保监管合规性、向内部利益相关者提供建议并充当与 MPS 的联络人。

数据泄露和执行

组织必须在个人数据泄露时立即采取行动 违规行为：

• 发现违规行为后72小时内通知公安部；
• 立即采取纠正措施以减轻伤害。

违规可能会导致：

• 最高可达非法个人数据交易收入 10 倍的行政罚款；
• 针对跨境数据传输相关违规行为，最高处以上一年收入 5% 的罚款；
• 最高 30 亿越南盾（777.6 美元）的罚款或其他违规行为；
• 暂停或 终止数据处理活动；甚至

对严重或故意违法行为承担刑事责任。

PDP法公告的目标

越南PDP法的公告强调了越南在加强个人数据保护方面的努力取得了重大进展。  政府于 2025 年 2 月发布的档案包括一份综合报告，评估当前与个人数据保护相关的社会动态，以及对越南 PDP 法中拟议政策的影响评估。

尽管重点关注社会政治考虑，但该报告和影响评估也深入研究关键的立法问题。其中包括：

• 定义个人数据；
• 概述数据主体权利；以及
• 制定数据保护措施。

在向公众征求意见的文件发布后，公安部计划通过各种渠道收集反馈，包括研讨会和会议。这些举措旨在促进利益相关者更广泛的参与和见解。

PDP 法的推出有望解决现有法规之间的冲突，例如越南个人数据保护法令 （第 13/2023/ND-CP 号法令，下文） “PDPD”）以及其他有关个人数据保护的法律。这种法律框架的协调预计将有助于建立一个更有凝聚力和更有效的数据保护环境。

越南关于个人数据保护的更广泛的法律框架

在越南，个人享有宪法权利隐私和个人秘密的保护。 2023 年 7 月之前，有关个人数据保护的规定可以在不同的法律中找到。其中包括 2015 年的《民法典》和《网络信息安全法》第 86/2015/QH13 号。此外，特定行业的法律也在塑造个人数据保护的法律格局方面发挥了作用。

2023 年 4 月推出的 PDPD 是越南数据保护之旅的一个重要里程碑，巩固和加强了之前分散在多部法律中的法规。 PDPD 于 2023 年 7 月 1 日生效，对在越南运营的企业和组织提出严格要求。

PDPD 引入了几个关键概念和原则。它要求遵守基本的数据保护原则，例如合法性、透明度、目的限制、数据最小化、准确性、完整性、保密性和问责制。

<此外，PDPD 强调数据主体通知、同意和权利的重要性。数据主体必须被告知其个人数据的收集和使用，并且必须明确获得他们的同意。该法规禁止在未经数据主体同意的情况下收集、转移或出售个人数据，数据主体有权访问和审查其个人数据。

越南个人数据保护目前的关键合规要求是什么？

除了最近正式颁布的《PDP 法》外，PDPD 仍然是越南个人数据保护最基本的文书之一。 越南。

值得注意的是，PDPD 概述了参与越南个人数据处理的组织和个人的主要合规义务。对于在越南运营的处理个人数据的组织来说，遵守 PDPD 至关重要。不遵守法规大纲PDPD 中的 d 将导致法律后果，包括对严重违规行为进行行政罚款或根据刑法提起诉讼。此外，合规性可确保保护个人隐私权并培养对数据处理实践的信任，从而有助于打造更安全、更有保障的数字环境。

以下各节重点介绍根据 PDPD 在越南处理个人数据的组织和实体的关键合规要求。

处理个人数据的角色

PDPD 对所涉及的各种角色进行了明确区分 在数据处理过程中，为每个人分配具体的职责：

• 数据控制者：承担关键角色，是有权确定处理个人数据的目的和方法的组织或个人。他们的职责包括遵守数据保护要求，包括获得事先同意数据主体负责所有处理活动，并及时将任何个人数据泄露情况通知公安部。
• 数据处理者：指通过合同协议代表数据控制者负责处理个人数据的实体或个人。他们的职责包括向数据控制者通知任何违规行为，并根据合同中商定的条款处理个人数据。
• 数据控制和处理方：充当结合了数据控制者和数据处理者职责要素的混合角色。
• 第三方：包括不同于数据主体、数据控制者、数据的个人或实体。 处理方或数据控制和处理方获准在特定条件下处理个人数据。他们有义务妥善存档个人数据，并按照法律规定采取措施保护数据。企业必须准确把握明确他们在数据处理中的角色，以有效地划分相应的责任。

数据主体的同意

PDPD规定，除特定豁免外，所有数据处理活动都必须事先获得个人同意。数据主体的有效同意要求其在充分了解个人数据类型、数据处理目的、参与处理的实体以及数据主体的权利和责任的情况下自由地给予。

明示同意可以采取多种形式，包括书面协议、口头确认、勾选同意框或任何其他表示同意的行为。值得注意的是，数据主体的沉默或缺乏回应并不构成同意。如有争议，证明数据主体同意的责任由数据控制者和数据控制和处理方承担。

Assessme对个人数据处理的影响

每个数据控制者以及数据控制和处理方必须从个人数据处理开始就生成并维护影响评估档案。这些档案将转发给公安部（A05 部门）进行评估，应包含全面的详细信息，例如处理数据的目标和类别、接收者（包括外国实体）、跨境传输实例、数据保留期限、数据保护措施、潜在后果评估以及缓解策略。

如果出现以下情况，数据处理者也可能有义务遵守这些规定： 与数据控制者签订的协议中规定。

跨境数据传输要求

PDPD 下的跨境数据传输要求允许在特定条件下将越南公民的个人数据传输到外国。负责此类交易的实体传输方（包括数据控制方、数据控制和处理方、数据处理方和第三方）有义务编制一份详细的档案，概述传输的影响评估。

该文件必须包含有关传输的个人数据类型、处理的预期目的以及传输方和接收方的责任等信息。该档案必须易于 MPS 审查，并在数据处理开始后 60 天内提交。如果认为不充分，公安部可能会要求进一步完成档案。此外，数据成功传输后，传输方必须向公安部提供书面通知和联系信息。

公安部保留暂停任何不符合这些规定或对越南利益、国家安全或越南公民个人数据构成风险的跨境传输的权力。

注意个人数据泄露的通知要求

如果发生个人数据泄露，PDPD 要求立即发出通知。数据处理者通知数据控制者，数据控制者与数据控制和处理方必须在 72 小时内通知公安部。

未能及时通知的，需要提供延迟的原因。虽然尚未制定全面的处罚措施，但违规行为可能会被处以 1000 万越南盾至 7000 万越南盾的罚款，或根据《刑法典》对严重违规行为提起诉讼。

过渡性规定和合规路线图

尽管越南的 PDP 法于 2026 年 1 月 1 日生效，但企业应立即开始准备。建议的步骤包括：

• 进行内部审计，以确定数据处理风险和差距；
• 更新同意机制、隐私声明和合同协议；
• 制定或更新内部数据保护政策和培训；
• 任命 DPOr 如果需要，指定负责的个人/团队；
• 准备 DPIA 并确保在需要时向 MPS 注册。

初创企业和小型企业可享受五年过渡性关键义务豁免。
微型企业和家庭企业永久豁免 DPIA 和 DPO 要求。

预计将提供进一步指导，包括详细的合规表格和程序规则。 由公安部在该法律生效前通过法令和通告发布。

展望

对 2024 年越南数据经济的预测表明，该国的经济格局将发生重大转变，特别是在电子商务、金融科技、医疗保健技术和智能生产等领域。随着企业越来越依赖基于数据的解决方案，这些行业的增长预计将对经济的总体产出做出重大贡献。重点关注跨境协议和倡议知识交流方面的合作预计将促进技术转让并扩大市场准入机会，进一步推动越南数据经济的增长。

这种对数据的高度依赖凸显了强有力的法律框架对于确保个人信息的隐私和安全的至关重要性。

越南的 PDP 法代表了该国数字监管环境的重大进步。通过与全球规范保持一致，同时保留国家监督优先事项，该法律引入了一个全面的制度，平衡个人隐私与公共和国家利益。

随着实施倒计时的进行，处理越南个人数据的国内外组织都必须优先考虑合规规划。主动适应不仅可以降低监管风险，还可以增强消费者对越南快速发展的数字经济的信任和运营弹性。

（本文原创最终发布于2024年4月8日。最后更新于2025年7月15日。）