官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
根据人民日报今年5月份报导,越南数字经济总量约为210亿美元,约占国内生产总值的7.5%,已成为推动越南经济发展和产业转型的重要驱动力,越南将数字经济、数字政府和数字社会作为建设数字化国家的三大支柱。此外,越南出台了多项优惠政策,还将数字经济列为外资优先投资领域。据越通社报导,在今年的越南-亚洲数字化转型论坛,越南着重强调协调整个政治系统、各部委、行业和地方政府等促进数字化转型进程。越南对数字经济的重视可见一斑。数据合规作为数字经济的核心合规需求,值得各出海越南企业的重视。本文将对此简要概述 。
数据保护法律体系概况
越南的数据保护法律体系以《个人数据保护法令》草案(Personal Data Protection Decree,以下简称“PDPD”草案)为主,该法令是一部规范个人数据处理、个人数据保护措施、个人数据保护委员会、个人数据泄露处理等的综合性立法。2022年3月7日,越南通过第27/NQCP号决议,但在最终签署PDPD草案成为法律前,相关部门和国会常务委员会仍需继续协商。截至本文章出具之日,越南政府暂未正式发布PDPD草案。
除PDPD草案之外,《网络信息安全法》(86/2015/QH13)、《网络安全法》(24/2018/QH14)、《细化网络安全法若干条文法令草案》、《电子交易法》(51/2005/QH11)、《关于信息系统安全分类法令》(85 /2016/ND-CP)、《关于管理、提供和使用互联网服务和在线信息法令》(72/2013/ND-CP)、《全国网络信息安全事件协调和响应办法》(20/2017/TT-BTTTT)以及《网络安全领域行政违法行为处罚法令》等形成了现行网络安全与数据合规监管体系。
因PDPD草案暂未正式发布,PDPD草案规定的监管机构“个人数据保护委员会”暂未正式设立并行使职责。在此之前,需着重关注公安部(Ministry of Public Security,以下简称“MPS”)以及信息通信部(Ministry of Information and Communications,以下简称“MIC”)发布的相关规范。
适用范围
适用范围 | 具体内容 |
适用情形 | 1. 域内 适用于在越南开展业务的国内外个人、组织以及机构。 2. 域外 PDPD草案暂未对境外收集或处理越南公民的个人数据行为是否受约束做出规定。 |
处理合法性基础
可以对标《个人信息保护法》第13条对越南数据处理合法性基础进行交叉理解。
中国 | 越南 |
1. 取得个人的同意; 2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 3. 为履行法定职责或者法定义务所必需; 4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; 6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 7. 法律、行政法规规定的其他情形。 | 1. 取得数据主体的同意; 2. 为了应对威胁数据主体或其他个人的生命、健康或安全的紧急情况,处理是必要的; 3. 依据法律规定披露; 4. 因国防安全需要,由主管机关依照其他法律规定; 5. 服务于违法行为的查处; 6. 国家主管部门依法为国家机关服务而处理个人数据。 |
数据处理者义务
越南PDPD草案规定了数据处理者的多项义务,具体如下:
序号 | 义务类型 | 义务内容 |
1 | 同意义务 | 数据处理者在收集和处理个人数据之前需征得同意,但豁免除外。 |
2 | 目的限制义务 | 数据处理者仅按照注册目的,实现既定目的所必需的范围进行处理。 |
3 | 通知义务 | 数据处理者应告知数据主体处理的个人数据类型及其处理方式、处理时间和目的等。 |
4 | 准确性义务 | 数据处理者应确保个人数据准确性和完整性。 |
5 | 保护义务 | 数据处理者应采用管理、技术和物理措施来保护个人数据,防止未经授权读取、复制、更改和删除等。 |
6 | 保密义务 | 数据处理者在数据处理过程中必须对个人数据进行保密。 |
7 | 自动化处理通知义务 | 数据处理者应在自动处理实施前通知数据主体,对数据主体的通知必须易于理解和明确。 |
8 | 数据转移限制义务 | 在某些情况下,数据处理者可以跨境转移数据,且需建立系统存储3年的数据传输历史。 |
9 | 数据泄漏义务 | 根据《全国网络信息安全事件协调和响应办法》,数据处理者应在发现事件之日起5日内向相关机构和单位报告,《全国网络信息安全事件协调和响应办法》规定了报告方式、形式和内容。 |
10 | 数据保护官任命义务 | 数据处理者应指定具有个人信息保护职能的部门,指定个人信息保护负责人。 |
11 | 制定数据保护条例义务 | 数据处理者应制定和发布关于个人数据保护的文件,应发布规则以接收和回应可能出现的与个人数据保护相关的投诉。 |
12 | 影响评估义务 | 数据处理者对处理敏感个人数据时以及个人数据跨境转移时进行影响评估报告。 |
数据主体权利与保护
越南数据保护法律体系下的数据主体权利详见下表:
数据主体权利 |
1. 知情权 数据主体有权被告知处理的个人数据类型及其处理方式、处理时间和目的等。 2. 访问权 数据主体具有访问的权利,但同时需要注意,在某些情况下,数据处理者可限制数据主体对个人数据的访问。 3. 更正权 数据主体具有要求数据处理者更正其个人数据的权利。 4. 删除权 数据主体有权要求数据处理者删除其个人数据。 5. 投诉权 若权利受到侵犯,个人数据被用于错误目的或未正确行使,数据主体可依法投诉或向个人数据保护委员会投诉。 6. 依法要求赔偿权利 数据主体有理由认为个人数据受到侵害时,可依法要求赔偿。 7. 撤回同意权利 数据主体可随时撤回对其个人数据处理的同意。 |
跨境传输
数据处理者不得将个人数据转移到越南以外的国家或地区,除非符合PDPD 草案的要求。且数据处理者应将传输历史记录保存3年,并进行数据跨境转移申请与登记。PDPD草案关于跨境传输的具体规定如下:
法律要求 | 具体内容 |
法律要求 | 1. 当数据主体同意转移时; 2. 原始数据存储在越南; 3. 有文件证明其所转移的国家、地区已颁布个人数据保护条例并达到或高于PDPD草案规定的水平; 4. 获得个人数据保护委员会的书面同意; 5. 数据处理者对保护个人数据的承诺; 6. 承诺应用数据处理者的个人数据保护措施。 |
存储传输历史 | 数据处理者向境外传输数据,需存储3年的数据传输历史,包括以下内容: 1. 向外界提供个人数据的时间; 2. 接收方的身份,包括姓名、地址、联系方式; 3. 传输到外部的个人数据的类型、数量和敏感性; 4. 个人数据保护机构规定的其他内容。 |
停止跨境传输 | 在以下情况,停止跨境传输: 1. 处理个人数据的一方或接收方发生滥用或泄露大量数据的事件; 2. 数据主体无法或难以维护其合法权益; 3. 数据处理者或接收方没有能力保护个人数据。 |
跨境传输登记 | 1. 数据跨境转移申请; 2. 数据跨境影响评估。 |
本地化要求 | 根据《细化网络安全法若干条文法令草案》,完全满足以下条件的国内外企业必须在越南存储数据并设立分公司或代表处: 1. 作为在越南从事以下业务活动的电信网络、互联网和网络空间附加服务企业;电信服务;在网络空间存储和共享数据的服务;为越南的服务用户提供国内或国际域名;电子商务;在线支付;支付中介;通过网络空间传输连接服务;社交网络和社交媒体;在线视频游戏;电子邮件; 2. 从事以下数据的收集、利用、分析和处理行为: (1) 服务使用者的个人信息数据,包括:全名、出生日期、出生地、国籍、职业等; (2) 服务用户创建的数据,包括:选择上传、同步或从设备导入的信息; (3) 服务用户关系数据,包括:好友、用户连接或互动的群组。 3. 允许服务使用者进行《网络安全法》某些条款规定的行为,如进行网络攻击、网络恐怖主义、网络间谍活动、网络犯罪等; 4. 违反《网络安全法》某些条款的规定,如用户注册数字账户时验证信息。 |
法律责任承担
数据处理者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
最高可处以总收入5%的罚款
三次违反:违反数据主体在处理个人数据方面的权利规定;违反个人数据披露规定;违反限制访问个人数据的规定;违反数据主体同意个人数据的规定;数据主体死亡后违反个人数据处理规定的行为;未经数据主体同意,违反个人数据处理规定;违反通知数据主体处理个人数据的规定;违反有关为科学研究或统计服务处理个人数据的规定;违反个人数据自动处理规定;违反有关处理儿童个人数据的规定;违反个人数据准确性规定;违反个人数据存储、删除和销毁的规定。
二次违反:未采取技术措施和制定保护个人数据的规定;违反个人敏感数据处理登记规定;违反个人数据跨境传输规定;
附加制裁形式
因违反第(2)条规定的行为,暂停1至3个月的个人数据处理;
剥夺使用书面同意处理敏感个人数据和将个人数据转移出越南领土边界的权利。
以上为我们对越南数据合规的重点解读,即使PDPD草案暂未正式生效,但作为规范越南数字经济发展的主要立法之一,值得持续关注,在此之前,越南数据合规要求可遵循《网络信息安全法》、《网络安全法》以及《细化网络安全法若干条文法令草案》等相关规定。