邮发代号 2-786
征订热线:010-82341063
随着数字经济的快速发展,越南政府意识到保护个人数据的重要性,积极推进本国的数字治理机制及政策法规的构建,对个人数据跨境传输制定了严格的合规要求,个人数据跨境传输规则体系逐渐完善。越南个人数据跨境传输规则体系主要包含《网络安全法》《个人数据保护法令》以及正在制定中的《个人数据保护法》。
《网络安全法》于2019年1月1日正式生效,该法对网络安全的基本框架以及个人数据保护的基本原则和要求进行了规定。2022年10月1日正式生效的《关于网络安全法若干条款的详细规定法令》(以下简称第53号法令),对《网络安全法》若干条款进一步细化。2023年7月1日,越南首部综合性个人数据保护法规《个人数据保护法令》正式生效,填补了法律空白,提供了全面一致的个人数据保护规则,它与《网络安全法》等法律同时适用。2024年9月24日,越南就《个人数据保护法(草案)》向公众征求意见,该草案旨在全面规范个人数据的收集、存储、使用、加工、传输、提供、公开等各个环节,预期将比《个人数据保护法令》更为严格,该法预计将于2026年1月1日生效。越南公安部、信息通信部、国防部和科技部等均是个人数据保护的监管机构,其中公安部网络安全和高科技犯罪预防司是主要的监管机构。企业需接受上述监管机构的定期审查,确保其个人数据跨境传输活动符合法律要求,违反个人数据跨境传输规则可能会承担民事赔偿、行政处罚甚至刑事责任。越南《网络安全法》第26条规定了数据本地化存储要求,越南本土和境外的网络服务提供商对用户的个人数据、用户关系数据或用户在越南境内创建的数据进行收集、利用、分析或处理时,必须在越南境内存储该数据,且境外服务提供商必须在越南境内设立分支机构和代表处。
第53号法令对《网络安全法》第26条进行了细化,对数据本地化存储要求进行了必要限定。越南本土成立的网络服务提供商无论提供何种服务,都必须落实数据本地化要求。越南境外成立的网络服务提供商提供以下服务时,需要落实数据本地化要求,主要包括:电信服务;在网络空间存储和共享数据;为越南的服务使用者提供国内或国际域名;电子商务;在线支付;支付中介;通过网络空间的交通连接服务;社交网络和社交媒体;在线视频游戏;通过消息、语音通话、视频通话、电子邮件和在线聊天的形式在网络空间提供、管理或处理其他数据的服务。第53号法令还规定了需要进行本地存储的数据类型,包括越南用户的个人数据;越南用户生成的数据,如账户名/身份、服务使用时间、信用卡信息、电子邮件地址、最近一次登录/登出的网络地址以及与该账户或数据相关联的注册电话号码;关于用户关系的数据,如朋友关系或互动群组数据。个人数据是指以电子或者其他方式如符号、字母、数字、图像、声音或类似形式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种数据。个人数据分为基本个人数据和敏感个人数据,敏感个人数据是指与个人隐私相关的,一旦被泄露或者被非法使用,容易侵犯自然人合法权利的个人数据。
个人数据跨境传输是指利用网络空间、设备、电子媒体或其他形式将越南的个人数据传输到境外或在境外使用、处理越南公民的个人数据,包括经越南个人数据主体同意,越南的机构、组织和个人将越南公民个人数据提供给境外的机构、组织和个人进行的处理;以及经越南个人数据主体同意,越南个人数据控制者或处理者通过越南境外的自动化系统对越南公民的个人数据进行的处理。越南《个人数据保护法令》明确该法具有域外效力,无论个人数据控制者或处理者是否位于越南,都必须遵守该法令的规定,适用范围涵盖越南本土机构、组织和个人;在越南的外国机构、组织和个人;在越南境外开展业务的越南机构、组织和个人以及在越南直接处理或参与处理个人数据的外国机构、组织和个人。越南《个人数据保护法令》规定的个人数据跨境传输规则具有一定的独特性,既未基于传输目的地的数据保护充分性情况制定“白名单”,也未将数据传输双方订立“标准合同条款”作为个人数据跨境保护措施之一,而是采用所有个人数据均需 开展数据跨境传输影响评估的规则。个人数据跨境传输影响评估并非自评估,而是需要在评估完成后按照法定要求提交相关评估文件到监管部门申报备案,只有评估通过监管机构的审查,才能开展个人数据出境活动。具体而言,越南实体从越南向境外传输数据,需要同时满足下述条件:1.数据传输方就个人数据跨境传输开展影响评估,评估需包括以下内容:个人数据传输方和接收方的详细信息和联系方式;说明个人数据跨境传输后对越南公民个人数据处理活动的目的;说明跨境传输活动遵守相关规定的情况,以及所采取的具体个人数据保护措施;评估个人数据处理的影响,跨境传输可能造成的负面后果和损害,以及减少或消除此类后果和损害的措施;个人数据主体在已得知出现问题/需求时的反馈/投诉机制的基础上,给予同意;数据传输方和接收方之间的关于处理越南公民个人数据的保护义务和责任的相关文件。2.数据传输方应随时提供个人数据跨境传输影响评估档案,以便公安部对相关规定进行检查和评估。3.在报告方面,要求数据传输方在个人数据传输完成后,将数据传输的相关信息及负责传输的组织或个人的联系方式以书面形式通知越南公安部网络安全和高科技犯罪预防司。4.越南公安部网络安全和高科技犯罪预防司在数据跨境传输影响评估不完整、不准确的情况下,应要求数据传输方完善个人数据跨境传输影响评估档案。5.越南公安部应视情形每年检查一次个人数据的跨境传输行为,发现有下列情形之一的,可以要求数据传输方停止向境外传输个人数据:被传输的个人数据用于危害国家利益和安全的活动;数据传输方未遵守前述关于评估档案的规定;越南公民的个人数据被泄露或丢失。越南《个人数据保护法(草案)》涵盖了个人数据的定义以及数据跨境传输等多个方面。相比于《个人数据保护法令》这一行政法规,《个人数据保护法(草案)》属于法律,将进一步完善越南个人数据跨境传输规则。
《个人数据保护法(草案)》将适用于所有在越南境内外运营的越南机构、组织和个人,以及参与越南数据处理的外国实体。它延续了《个人数据保护法令》的分类,将个人数据分为基本个人数据和敏感个人数据,并将敏感个人数据类别扩展至土地使用数据、位置和信用记录等个人数据。《个人数据保护法(草案)》对个人数据并无强制本地化要求,但要求进行个人数据跨境传输的机构、组织和个人必须建立个人数据跨境传输影响评估档案,明确指出数据传输方和接收方之间关于处理个人数据的权利和义务,保证个人数据跨境传输活动符合越南的法律规定。此外,当传输的个人数据被用于危害越南的国家利益和安全的活动时,负责个人数据保护的机构有权要求相关机构、组织和个人停止跨境传输个人数据。(来源:人民法院报)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664235038&idx=4&sn=d5d670e02e6690a029cf91ba98894c4b&chksm=8b5802e7bc2f8bf12d74db74b6d23efe779dc9b074b80efd47d7ffb4874d0665a003c525e7ac&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh