越南数据保护要求

1.前言

2023年4月17日，越南政府颁布了第13/2023/ND-CP号关于个人数据保护的法令（PDPD），该法令于2023年7月1日生效。PDPD是政府巩固个人数据法规的重要一步。

1.1.主要法案、法规、指令、法案

PDPD。
《网络安全法》第24/2018/QH14号（2018年6月12日），该法规范影响国家安全和社会秩序与安全的网络活动
民法典——第38条规定了个人信息的收集、存储、处理、使用、披露和发布规则。
《电子交易法》（于2023年6月22日通过，将于2024年7月1日生效），该法规范了国家机构和私营部门的电子交易，禁止在未经同意的情况下使用、提供或披露可在电子交易中访问的数据
《信息技术法》（2006年6月29日）管理信息技术的应用和发展，规定从事这些活动的机构、组织和个人的权利和义务，并规范在网络环境中收集、处理、使用、存储和提供个人数据。
《电信法》（于2023年11月24日通过，将于2024年7月1日生效），该法规范了电信活动以及电信行业从业人员的权利和义务，并明确要求电信企业未经最终用户同意或主管部门有效请求不得披露最终用户的信息。
《信贷机构法》（于2024年1月18日通过，将于2024年7月1日生效），该法规范了越南信贷机构的设立和运营，并明确要求信贷机构对其用户的账户、资产和交易的所有信息保密，除非获得同意或主管当局提出有效要求。
《消费者权益保护法》（于2023年6月20日通过，将于2024年7月1日生效），列出了各种消费者权利并详细说明了组织保护消费者信息的义务。

1.2.标准指南

越南法律指南以政府法令、部委通告和决定的形式发布。一般而言，隐私和个人数据保护事务由公安部(MPS)负责，国防部、信息和通信部和科技部等其他部委将对公安部的决策提供意见。

1.3.判例法

不适用。

2.适用范围

2.1.个人范围

越南个人数据保护法适用于参与处理个人数据的组织和个人（数据控制者、数据处理者或第三方）以及根据个人信息已识别或可识别的自然人（数据主体）。

2.2.地域范围

一般而言，越南个人数据保护法规涵盖越南境内的数据处理活动，无论数据处理者或数据控制者的国籍如何，是否在海外运营，直接参与或是涉及越南数据处理活动（在岸或境外）。

2.3.数据范围

越南个人数据保护法规适用于以下个人数据处理活动：收集、记录、分析、验证、存储、编辑、发布、组合、访问、检索、加密、解密、复制、共享、传输、提供、传输、删除或移除个人数据，以及任何其他相关活动，包括自动化数据处理活动。

3.数据保护监管机构

3.1.数据保护的主要监管机构

公安部是数据保护的监督机构。网络安全和网络犯罪预防司（网络安全司）是公安部为实施和执行数据保护法规而设立的专门工作组。

3.2.主要权力、职责和责任

公安部的权力包括：

协助政府监督个人信息保护工作；
指导、开展个人数据保护活动；保护数据主体的合法权益不受非法侵害；提出制定个人数据保护标准和建议；
开发、管理和运营国家个人数据保护门户网站；
评估有关实体、机构和个人数据保护活动的效果；
根据《个人数据保护法》接收与个人数据保护相关的档案、表格和信息的提交；
采取措施、开展研究，创新个人数据保护方式，推动个人数据保护国际合作；
进行检查，处理投诉、举报和违反个人数据保护规定的行为。

4.关键定义

数据控制者：决定处理个人数据的目的和方式的任何实体或个人。
数据处理者：根据与数据控制者达成的合同或协议，代表数据控制者处理个人数据的实体或个人。
个人信息：在数字环境中以符号、字母、数字、图形、音频或其他形式存在的任何能够识别特定自然人的信息，或者与其他数据结合能够识别特定自然人的信息。个人信息分为基本个人信息和敏感个人信息。
基本个人资料：包括：

姓名、昵称（如有）；
出生日期、死亡日期或失踪日期；
性别;
出生地、永久地址、临时地址、现地址、联系地址；
国籍；
个人照片；
电话号码、身份证、护照、车牌、驾驶执照、税号、社会保险号和医疗保险号；
婚姻状况及与家庭（父母、子女）有关的信息；
个人数字账户信息以及反映个人在互联网上的活动或活动历史的数据；以及
其他涉及特定人的数据，或者与其他数据和信息结合可以识别特定人的数据，但不属于敏感个人数据。

敏感数据：包括：

政治观点、宗教观点；
医疗记录中的医疗状况和私人信息，不包括血型；
种族信息；
遗传信息；
生物特征和身体信息；
性取向；
执法机构收集和保存的犯罪记录；
金融机构、中介支付服务商的客户信息，包括KYC信息及账户信息、资产、交易、担保/保证人等；
通过定位服务识别的实时位置；以及
其他法律规定具有唯一性且需要予以安全保护的个人信息。

假名化：不适用。

5.合法性依据

5.1.同意

数据控制者可以依赖的法律依据来处理个人数据，包括同意：

自愿并充分了解：
- 要处理的个人数据类型；
- 处理的目的；
- 谁被允许处理；
- 数据主体的权利和义务；以及
- 数据是否为敏感个人数据；
通过书面、语音记录、勾选同意、短信、选择同意的技术选项或其他行动表达并具体说明。沉默或不作为不被视为有效同意；以及
以可打印、可书面复制的格式，包括电子格式和其他可验证的格式。

此外，同意可以是部分的或有条件的。

5.2.与数据主体签订的合同

数据控制者处理个人数据所依赖的法律依据包括依法履行数据主体与相关实体或个人的合同义务。

5.3.法律义务

数据控制者处理个人数据所依赖的法律依据包括按照法律要求处理个人数据。

5.4.数据主体的利益

数据控制者处理个人数据时可以依赖的法律依据包括在紧急情况下，需要立即处理个人数据以保护数据主体或其他个人的生命和健康。

5.5.公共利益

数据控制者处理个人信息所依据的法律基础，包括在国防、国家安全、社会安全秩序、自然灾害、疾病或对国家安全有潜在风险但不需要宣布紧急状态的紧急情况下；或者为依法打击暴乱、恐怖分子、犯罪分子和其他违法行为而处理个人信息的情况。

5.6.数据控制者的合法利益

不适用。

6.原则

越南法律中存在以下数据保护原则（PDPD第3条）：

合法性原则：个人信息将依法处理；
知情原则：数据主体有权被告知与其个人数据有关的处理活动，除非法律另有规定；
目的限制：个人信息仅按照数据控制者和数据处理者已登记或声明的目的进行处理；
准确性：必须根据处理的范围和目的，在适当的范围内收集、更新和补充个人数据；
禁止以任何形式购买或出售个人数据；
安全性原则：在整个处理过程中，必须保障个人数据的安全；以及
存储期限：除非法律另有规定，个人数据只能在适合处理目的的期限内存储。

7.控制者和处理者的义务

7.1.数据处理通知

无需注册。
在处理个人数据之前，必须通知数据主体（PDPD第13条）。通知必须采用可验证的格式（书面、数字或其他可打印格式），并包含以下信息：

处理活动的目的；
正在处理的个人数据类型；
加工方法；
参与此类处理活动的各方的信息；
潜在的不良后果；以及
处理活动的开始和结束时间。

如果数据主体已经同意，或者主管当局正在为合法目的处理数据，则无需通知。即无需每次登录时都同意隐私政策。

7.2.数据传输

《网络安全法》要求，以下存储个人信息或客户信息的组织必须在越南社会主义共和国政府规定的期限内在越南建立实体机构：

在越南提供电信网络、互联网服务和网络空间增值服务，增值服务包括网络空间数据存储和共享、国家或国际域名注册、电子商务服务、社交网络服务、在线游戏服务、电子邮件服务；
收集、分析或处理有关越南服务用户的个人数据。

该要求的实施指南将在未来的细则中规定。
2022年8月15日，越南政府颁布了第53/2022/ND-CP号法令（第53号法令）。除其他事项外，第53号法令还就《网络安全法》引入的“数据本地化”和“强制性物理实体”（mandatory physical establishment）要求提供了重要指导和澄清。第53号法令规范了以下数据（受监管数据）：

越南用户的个人数据；
越南用户创建的数据，包括帐户名称、使用时间、信用卡信息、电子邮件地址、IP地址、最近注销和注册电话号码；以及
与越南用户与其好友或其他与之互动的人的关系相关的数据。

根据第53号法令，“越南公司”必须将受监管数据存储在越南。在越南开展业务的外国企业，如果属于以下情况，则必须将受监管数据存储在越南并设立分支机构或代表处：

该外国企业在越南从事以下领域之一的业务：
- 电信服务；
- 数据共享和存储，为越南用户提供国家或国际域名；
- 电子商务;
- 社交网络和社会营销；
- 在线游戏；以及
- 以短信、电话、视频通话、电子邮件、网络游戏等形式在互联网上提供、管理或运营其他信息；
该企业提供的服务被用于违反《网络安全法》的；
政府网络安全工作组已通知该企业，并要求企业配合预防、调查和处理此类违法行为，但企业并未配合，导致工作组的措施失败。

根据PDPD，个人数据的转移被视为处理活动。因此，应适用处理个人数据的要求。此外，PDPD还对个人数据的离岸转移提出了具体要求。个人数据的离岸转移是指使用互联网、数字手段或设备或其他方式将越南国民的个人数据转移到越南境外，或使用越南境外的地点处理越南国民的个人数据。
在PDPD范围内将个人数据转移到海外的实体或个人必须准备并维护一份转移影响评估。
转移方应在开始处理个人信息后60日内向网络安全部门提交转移影响评估报告。转移完成后，转移方应通知网络安全部门。

7.3.数据处理记录

数据控制者必须记录并维护数据处理活动的系统日志。

7.4.数据保护影响评估

数据控制者和数据处理者需要准备、维护并向网络安全部门提交个人数据保护影响评估（DPIA）。
数据控制者的DPIA必须包含以下内容：
数据控制者的信息和联系方式；

数据保护部门和数据控制者官员的名称和联系方式；
个人数据处理活动的目的；
要处理的个人数据类型；
个人数据接收者，包括境外接收者；
个人信息离岸转移（如有）；
数据处理活动的持续时间；
已实施的保护措施的描述；
评估个人数据处理活动的影响；以及
潜在的不良后果和缓解措施。

数据处理者的DPIA必须包含以下内容：

数据处理者的信息和联系方式；
执行数据处理活动的实体和个人的名称和联系方式；
根据与数据控制者的协议，描述处理活动和要处理的个人数据类型；
数据处理活动的持续时间；预计删除或移除的个人数据（如果有）；
个人数据的离岸转移（如果有）；以及
后果或潜在的不良后果以及缓解和/或预防措施。

这些DPIA必须在个人数据处理活动开始后60天内提交给网络安全部门。

7.5.数据保护官任命

《个人数据保护法》第28条规定，数据控制者和/或数据处理者应当指定一个部门来保护个人数据，如果涉及敏感个人数据，还应当指定一名数据保护官（DPO）。该DPO的信息必须通知网络安全部门。

7.6.数据泄露通知

数据处理者在发现数据泄露后，应当尽快通知数据控制者。数据控制者应当在数据泄露发生后72小时内通知网络安全部门。如果无法在72小时内通知，则需要说明理由（《个人数据保护法》第23条）。
通知应当包含以下内容：

数据泄露的性质和范围的描述，包括但不限于发生的时间、地点、泄露的数据和相关方的信息；
个人数据保护负责人的联系信息；
数据泄露的后果或损害的描述；以及
描述已采取哪些措施来处理或减轻数据泄露的后果或损害。

7.7.数据保留

对于可能包含个人信息的文件（例如会计文件和公司文件）的保留有要求。

7.8.儿童数据

《儿童法》禁止在未经儿童父母或监护人同意的情况下披露16岁以下儿童的个人数据。PDPD规定，七岁或以上儿童的个人数据只能在儿童及其父母或监护人的同意下进行处理（PDPD第20条）。
此外，《网络安全法》还为网络空间儿童保护提供了一般指导。特别是，信息系统管理者、电信服务提供商、互联网服务提供商和增值服务提供商有责任确保其系统或服务上的信息不会对儿童造成伤害，不会侵犯儿童权利，屏蔽和删除对儿童有害或侵犯儿童权利的信息，在发现此类信息时立即通知并配合公安部网络安全工作组。

7.9.特殊类别的个人数据

PDPD要求指定专门的部门和人员负责个人数据保护（PDPD第28(2)条）。此外，在处理敏感个人信息时必须实施PDPD第26和第27条中规定的措施，并且必须通知数据主体此类处理，除非PDPD第13(4)、17和18条另有规定。此外，必须告知数据主体要处理的数据是敏感数据（PDPD第11(8)条）。

7.10.控制者和处理者合同

PDPD要求数据控制者和数据处理者签订处理个人数据的协议或合同。对于此类协议或合同没有具体要求（PDPD第39条）。

8.数据主体权利

8.1.知情权

数据主体有权被告知其个人信息的收集、处理和使用方式、范围、地点和目的（《个人数据保护法》第9.1条）。即使在无需数据主体同意处理个人数据的情况下，数据主体仍然有权被告知。请参阅上文有关数据处理通知的部分。

8.2.访问权

PDPD赋予数据主体访问或请求访问以查看或编辑其个人数据的权利（PDPD第9.3条）。

8.3.更正权

同上。

8.4.删除权

PDPD赋予数据主体删除其个人数据或者请求删除其个人数据的权利（PDPD第9.5条）。

8.5.反对/退出的权利

PDPD赋予数据主体反对或限制数据处理活动的权利。（PDPD第9.6条和第9.8条）。此外，PDPD还赋予数据主体同意或撤回其个人数据处理的权利。在撤回同意之前发生的个人数据处理活动是合法有效的（PDPD第9.2条和第9.4条）。

8.6.数据可携性权利

数据主体有权要求数据控制者提供其个人数据的副本（PDPD第9.7条）。

8.7.不受自动决策约束的权利

越南法律没有针对自动决策的具体规定。自动决策应被视为数据处理活动。因此，数据主体有权反对或限制此类自动决策。

8.8.其他权利

根据《个人数据保护法》，数据主体有权要求赔偿损失、提起法律诉讼以及采取自我保护措施（《个人数据保护法》第9.9至9.11条）。

9.处罚

不遵守越南数据保护法可能会受到行政处罚和刑事处罚。根据14/2022/ND-CP号法令，行政处罚可能包括罚款：

存储个人信息的时间超过法律要求或双方同意的时间，处以200万越南盾（约80美元）至500万越南盾（约200美元）的罚款（第102.1条）；
500万越南盾至1000万越南盾（约合390美元）：
- 未能在收到所有者的请求后验证、更正或删除在网络上存储、收集和处理的个人信息（第102.2（c）条）；
- 在收到所有者的更正请求后提供或使用不正确的信息（第102.2（d）条）；或者
- 在收到所有者的删除请求后提供或使用不正确的信息（第102.2（dd）条）；
1000万至2000万越南盾（约合790美元）：
- 未经数据主体就收集范围和目的的同意而收集个人信息（第84.1（a）条）；
- 在数据主体提出停止提供请求后，仍向任何第三方提供数据主体的个人信息（第84.1（b）条）；
- 在删除数据主体的个人数据后未通知数据主体，或者由于技术问题未能实施对数据主体的个人数据的保护（第85.1条）；
- 未完全遵守网络信息安全技术标准和规定（第86.1条）；或
- 在网络环境中收集、处理和使用个人信息时，未落实必要的管理和技术措施，确保个人信息不丢失、被盗用、泄露、修改或者毁损（第102.3（dd）条）；
4000万越南盾（约合1580美元）至6000万越南盾（约合2370美元）之间：
- 不按照约定的范围和目的或者未经同意使用个人信息（第84.2（a）条）；
- 未经同意，向第三方提供、披露或公开所收集或控制的个人信息（第84.2（b）条）；
- 非法收集、使用、发布和利用数据主体的个人信息进行商业活动（第84.2（c）条）;
- 未能根据数据主体的请求更新、修改或删除个人信息（第85.2（a）条）；
- 未能根据数据主体的请求向其提供更新、修改或删除个人信息的权限（第85.2（a）条）；
- 在完成收集目的或者法定保存期限届满后未删除所收集的个人信息（第85.2（b）条）；或者
- 不遵守网络信息安全技术标准和规定（第八十六条第二款）；
3000万越南盾（约合1180美元）至5000万越南盾（约合1970美元）之间：
- 未能及时对威胁违约的行为采取补救措施或预防措施（第86.3条）；
- 未能应用并维持足够的安全或管理措施来保护个人信息（第85.3条）；
- 未经授权访问他人网络或电子设备，以收集数据或声称控制此类网络或设备（第80.2条）；或
- 如果主管当局要求提供与恐怖主义或犯罪活动有关的个人信息，却不提供（第100.2条）；
5000万越南盾至7000万越南盾（约合2760美元）：
- 非法出售、购买或转让个人信息（第102.5条）。

违反有关个人电子邮件、邮件、电话或其他通信方式的保密和安全规则可能会受到刑事处罚。所施加的刑事制裁取决于犯罪的严重程度，可能包括：警告、500万至5000万越南盾的罚款，和/或最高三年的非监禁改造（类似于其他司法管辖区的缓刑或监督释放）或一至三年的监禁。
此外，任何因违反数据保护法而遭受损失的人都有权向侵权方索取赔偿（《民法典》第13条）。要获得赔偿，索赔人必须提起诉讼并承担实际损害的举证责任。政府正在制定一项单独的法令，对违反网络安全法规（包括违反个人数据保护法规）的行为进行制裁。

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）