近年来，越南一直在稳步构建全面的法律框架，以有效管理网络空间活动，特别注重个人数据保护。这项工作的重要里程碑包括 2018 年网络安全法、第 53/2022/ND-CP 号法令，以及最近的第 13/2023/ND-CP 号法令，该法令标志着该国第一个关于个人数据保护的全面立法。然而，该框架的执行机制仍然不完善，没有规定对违规行为的制裁。

为了弥补这一差距，越南司法部在其在线平台上发布了最新的网络安全违法行为行政制裁法令草案（“制裁法令草案”），以征求社区和利益相关者的反馈。负责起草该法令的公安部经司法部审查后，可进行进一步修改，然后提交政府报最终批准。该法令预计将于2024年6月1日生效。

此次版本保留了上一草案中对涉及个人数据违规行为的严格处罚，体现了公安部对执行《个人数据保护令》（PDPD）的承诺。

法令草案的关键条款

预计生效日期

公安部建议6月1日， 2024 年为生效日期，无宽限期。不过，鉴于某些条款可能仍需完善，该日期可能会重新安排。

没有新的义务

制裁令草案并未对组织或个人施加新的义务，但概述了从 2024 年 6 月 1 日起对违法者实施的行政处罚，如第 49 条所示。这表明公安部已准备好强制遵守 2015年《网络信息安全法》、2018年《网络安全法》及其细则规定的义务指导法令（第53-2022号法令）和PDPD。

对数据保护违规行为的严厉处罚和制裁

值得注意的是，与之前的草案相比，与PDPD违规行为相关的许多罚款已经减少。不过，最高固定罚款仍为 10 亿越南盾（约合 39,285 美元），严重违规可处以最高可达违规企业上一财年在越南营业额 5% 的处罚。

具体违规行为包括：

• 在营销和广告中屡次违反个人数据保护规定
• 屡次非法收集、 转让、购买和出售个人数据
• 披露或误置 500 万或更多越南公民的个人数据

罚款的严重程度随着受影响公民的数量而增加：

• 对于影响超过 500 万公民的违规行为，罚款最高可达总收入的 5%。
• 罚款最高可达越南盾对于影响 1 至 500 万公民的违规行为，处以 5 亿越南盾罚款。
• 对于影响 10 万至 100 万公民的违规行为，处以最高 2 亿越南盾的罚款。

对于组织而言，这些罚款可能会加倍，可能达到其总收入的 10%。

对于涉及超过 500 万越南公民个人数据的跨境违规行为，罚款可从 3% 不等 不超过企业上一财年在越南营业额的5%。

对某些违规行为的额外处罚可能包括吊销许可证、没收用于违规的工具以及各种补救措施，例如暂停处理个人数据、销毁或不可恢复地删除个人数据以及返还非法利润。

追溯 制裁

《制裁令草案》第50.1条详细规定了网络安全行政违法行为的过渡性规定。它澄清该法令不具有追溯力，并指出在其生效之前发生但在其生效之后发现或审查的违规行为将受到违规时有效的规定的约束。如果制裁令草案对过去的行为实施较轻制裁或不给予制裁，则从其规定。

解释空间

尽管处于后期阶段，制裁令草案仍包含与现行法律相冲突的条款。例如：

• 数据主体请求：第 13 号法令允许在 72 小时内响应数据主体请求，而法令草案将其缩短至 48 小时，从而产生了差异。
• 数据存储条件：第 13 号法令允许在有效同意的情况下存储数据，而法令草案则提出了额外要求，例如可能来自主管部门的合同或文件 与现行法律相冲突。
• 与之前草案相比的变化：制裁令草案不再包括《中华人民共和国制裁令》第 50.2 条。之前的草案，该草案将废除经修订的第 15/2020/ND-CP 号法令（“第 15 号法令”）规定的对行政违法行为的各种处罚。因此，第 15 号法令的制裁预计将继续有效。然而，根据越南法律，一家公司不能因同一违法行为而被处以两次罚款，因此有关当局需要选择是否根据制裁令草案或第15号令实施制裁。

结论

该法令草案标志着越南朝着建立统一的网络安全和个人数据保护法律框架迈出了关键一步。然而，所发现的不一致之处表明有必要进一步审查和完善。由于该法令的正式颁布可能会延迟，涉及个人数据处理的企业应主动确保遵守现行法规，以避免自 2024 年 6 月 1 日起可能受到的处罚。

了解有关该法令草案可能如何影响您的更多信息运营并确保合规性，请通过 vietnam@dezshira.com 联系我们的顾问。