越南新个人数据保护法 (PDPL) 初稿
2024 年 9 月 24 日,越南政府发布了新个人数据保护法 (PDPL) 的初稿。该法律草案将于 2026 年 1 月 1 日生效,标志着越南在建立健全的个人数据保护框架方面又向前迈出了一步。该草案目前公开征求公众意见,截止日期为 2024 年 11 月 24 日,允许利益相关者提供反馈。
PDPL 草案由公安部 (MPS) 制定,由 7 个章节 68 条组成。 PDPL草案比去年关于个人数据保护(PDPD)的第13/2023/ND-CP号法令更加全面,涵盖了广泛的领域,包括营销服务、行为广告、大数据处理、人工智能、云计算、员工监控和招聘、金融和信用数据、医疗保健、保险等。
PDPL草案预计将于2025年5月在国民议会通过。 它不规定合规过渡期,但小微企业、中小企业和初创企业除外,这些企业仅在成立后的头两年内免于任命数据保护部门。但是,这些小型企业必须在与大型企业相同的时间表内履行所有其他 PDPL 义务。
主要目标和政策
2024 年 3 月,公安部 (MPS) 向国民议会提交了制定《个人数据保护法》草案的提案。公安部强调,该草案旨在完善越南个人数据保护的法律框架,为保护个人数据建立明确的法律基础,提高国内组织和个人保护个人数据的能力,使其符合国际和地区标准,并鼓励合法使用个人数据支持经济和社会发展。
为了实现上述目标,PDPL草案根据四大关键任务:
- 统一个人数据和个人数据保护相关法律术语的法律规定;
- 明确数据主体的权利和义务;
- 完善数据处理过程中个人数据保护的规定;
- 加强法规,确保个人数据保护的条件和措施。
PDPL草案的主要特点
- 扩大范围:PDPL草案适用于在国内外运营的所有越南机构、组织和个人,以及参与越南境内数据处理的外国实体。这一广泛的范围确保法律涵盖国内和海外越南数据主体的数据处理活动。
- 严格的同意要求:同意仍然是处理个人数据的主要法律依据,并对跨境数据传输提出了新规定。控制器和处理器是需要获得数据主体的肯定、知情同意,特别是对于健康记录、政治观点和生物识别数据等敏感个人数据。 PDPL 草案规定,沉默或不回应不能被视为同意,这强化了越南对严格数据隐私的立场。
- 个人数据的定义:PDPL 草案对“基本个人数据”和“敏感个人数据”进行了更明确的区分。敏感数据类别已扩大到包括土地使用信息、位置数据和信用记录。此外,还引入了“个人数据保护专家”、“个人数据保护信用评级”和“使用个人数据进行营销”等新定义,进一步细化了数据保护责任。
- 数据保护影响评估(DPIA)和传输影响评估(TIA):PDPL草案对组织强制要求DPIA和TIA,必须随时更新。每六个月或发生任何重大变化。这确保了个人数据处理受到持续监控并符合不断变化的监管环境。
- 企业的义务:PDPL 草案对公司规定了严格的数据保护合规义务。例如,企业必须指定一个数据保护部门来处理基本数据和敏感数据。该部门可以外包给外部服务提供商,为企业提供更大的灵活性。草案还规定,企业必须在这些部门配备至少一名个人数据保护专家,同时对招聘这些人员的资格提出了详细要求。
- 中小微企业的豁免:小微企业、中小企业和初创企业仅在前两年免于设立数据保护部门,其他所有义务均须在规定的期限内履行。 萨姆与更大的组织一样的时间表。 但是、微型直接从事个人数据处理活动的企业、中小型企业和初创公司不受豁免。
- 数据泄露通知:企业将有 72 小时的时间向当局通报任何数据泄露事件,这是 PDPD 沿用的一项规则。这种快速响应要求体现了国际最佳实践,确保在发生数据安全违规时及时采取行动。
- 新的认证机制:草案引入了个人数据保护认证,有效地为企业建立了基于合规性的信用评级体系。企业可以根据其个人数据保护实践获得“高可信度”或“信任”等评级,从而增强消费者信任度和市场声誉。
禁止以任何形式出售个人数据
《个人数据保护法》草案明确提出了个人数据八项原则l 数据保护,其中之一就是个人数据不得以任何形式买卖。
根据法律草案,个人数据是指电子环境中以符号、字母、数字、图像、声音或者类似形式存在的、与特定人相关或者有助于识别该人的信息。这些数据分为两类:
- 个人基本数据,包括姓名、出生年月日、性别、出生地、国籍、个人形象、电话号码、身份证号码、婚姻状况等;
- 敏感个人数据,是指一旦受到侵犯,将直接影响组织和个人合法权益的信息,与个人隐私密切相关。
根据数据主体的要求,停止营销活动
法律草案单独设条规范营销服务中的个人数据保护。
p>
因此,提供营销服务的组织和个人只能将通过其业务活动收集的客户个人数据用于营销服务。个人数据的收集和使用必须保证数据主体的权利。
为营销服务而处理客户个人数据,必须在客户明确了解产品推出的内容、方式、形式和频率的基础上,征得客户同意。
金融、银行、征信、征信活动中的个人数据保护规定
《个人数据保护条例》草案规定,金融、银行、信贷公司 必须:
- 不得在金融、信用、征信机构之间买卖或非法转让信用信息。
- 不得在此类机构之间传输或共享未加密的数据主体的金融和信用数据。
- 完全遵守保护法规敏感个人数据,以及法律规定的支付和信用安全标准。
- 在使用数据主体的信用信息进行信用评分或评估其信用度之前,获得数据主体的明确同意。
- 确保数据主体的信用评估仅产生二进制输出,例如“通过或失败”、“是或否”,或基于直接从客户收集的数据的等级。
- 明确识别和声明
- 在发生金融账户信息泄露或数据丢失的情况下,及时通知数据主体。
禁止提供信用信息服务的组织以及银行、保险、金融和支付中介机构非法向彼此或第三方企业共享或转让个人数据,除非经批准的情况 数据主体的信用信息及相关产品此类信息只能提供给法律明确规定的金融、银行和信贷机构。
负责个人数据保护的机构是索取信用信息的主要机构,以便根据适用法规调查和处理违法行为。
挑战和合规考虑
尽管有新规定,但某些挑战仍未得到解决。例如,PDPL 将如何与现有的 PDPD 互动仍不清楚。 PDPL 会取代 PDPD 还是与之共存?此外,虽然该法律加强了基于同意的数据处理,但它不承认“合法利益”作为法律依据,这与 GDPR 等全球标准形成鲜明对比。
对于在越南经营的企业,该法律草案将需要进行重大调整。公司必须准备加强其数据处理业务,特别是在 DPIA、跨境传输和严格的同意制度。此外,营销、行为广告、医疗保健和人工智能等行业将需要调整其做法,以始终符合敏感个人数据处理方面的更高要求。
结论
个人数据保护法草案表明越南致力于建立符合全球标准的全面个人数据保护框架的雄心。虽然企业需要应对新的合规挑战,但他们也有机会在咨询期间提供意见。 PDPL 预计将于 2025 年 5 月颁布并于 2026 年 1 月 1 日开始执行,企业必须迅速采取行动,评估其准备情况并与越南新的数据保护范式保持一致。
(来自 Vu Nguyen Hanh 的意见。)
