小程序
公众号

企业合规

RCEP网安与数据合规专题风险与挑战:越南篇
发布日期:2023-12-26

前言

RegionalComprehensiveEconomicPartnership(RCEP)区域全面经济伙伴关系协定,是亚太地区规模最大、影响最深远的自由贸易协定。该协议旨在创造合作机制,简化成员国间贸易壁垒,促进区域自由贸易流动。在数字经济高度发展的今天,促进成员国间的数据流动是促进贸易自由的主要方式之一,因此,RCEP对于一般贸易数据持较为宽松的状态,旨在促进成员国间的数据流动和无差异的数据跨境。在这一主要原则的指导下,第十二章电子商务针对各成员国提出了个人信息保护和数据安全的具体规定,在保障数据所有者的基本权利的前提下,要求各国法律和政策的公开性和透明性要求。同时,RCEP也给与成员国一定的自主权,特别是基于“公共政策”“基本安全利益”原因的数据流动,成员国可自行规定。

作为东盟国家中经济活力最强、发展最快的国家之一,越南已成为东盟最具投资吸引力的国家之一。同时,越南也是RCEP最早生效的国家之一,与中国之间的贸易往来日益密切。根据上海海关最新统计,今年前11个月,上海口岸对越南进出口3048亿元,同比增长0.6%,其中进口1260亿元,出口1788亿元。在2023年12月13日,中越两国共同发表了《中华人民共和国和越南社会主义共和国关于进一步深化和提升全面战略合作伙伴关系、构建具有战略意义的中越命运共同体的联合声明》。

越南的数字经济也在近年来迅速发展,提前出台了实施第四次工业革命和发展数字经济、数字社会的战略。根据《2022年东南亚数字经济报告——乘风破浪,迈向机遇之海》报告,2022年越南数字经济规模达230亿美元,有望在2025年达到490亿美元。越南《数字经济和数字社会发展战略》明确指出,到2025年数字经济占越南GDP的20%、到2030年占30%。发展数字经济和数字社会被列为国家发展战略高度优先事项。

在中越两国战略合作加深、越南数字经济迅速发展的大背景下,网络安全与数据保护的合规将成为中国企业在越南出海时面临的重要课题。

越南数据保护法律概况

越南《个人数据保护法》于2023年7月1日起施行,是越南首部个人数据保护综合性立法。在此之前,越南《网络安全法》、《网络信息安全法》、《关于网络安全法若干条款的详细规定法令》、《关于信息系统安全分类法令》《电子商务管理法令》等法律法规也对数据本地化、网络安全等方面提出了诸多要求。这些法律法规共同构成了越南现行的网络安全与数据保护法律体系。

越南数据保护的主要监管机构为公安部、信息和通信部等。其中公安部负责指导和实施个人数据保护工作,保护数据主体的权利免受侵害,提出出台数据保护标准、个人数据保护和适用建议,并开展依法检查、审查、处理投诉和控告等工作,是最主要的监管机构。

1)越南PDPD简介

01 域外适用性

PDPD适用于在越南从事与个人数据处理活动有关的本地和境外实体,因此,该法律具有域外效力。当中国企业从事越南出海业务时,若收集、处理了越南的个人数据,即使企业实体在中国境内,仍有可能适用《个人数据保护法》。

02 法律角色划分

PDPD对数据处理的实体的角色划分与欧盟GDPR相似,分为数据控制者、数据处理者及数据控制者兼数据处理者:

  • 数据控制者:决定个人数据处理目的和方式的组织或个人;
  • 数据处理者:通过与数据控制者签订的合同或协议,代表数据控制者处理数据的组织或个人;
  • 数据控制者兼处理者:指共同决定处理目的和方式,并直接处理数据个人数据的组织或个人。

03 个人数据处理规则

  • 告知同意:PDPD对告知同意的机制作出了较为详细的规定,且与我国《个人信息保护法》具有一定差异。PDPD要求在收集处理个人数据前,需向数据主体告知:

1. 处理的个人数据类型,包括是否含有法律规定的敏感个人数据

2. 处理的个人数据的目的

3. 是否允许组织处理其个人数据

4. 数据主体的权利和义务

5. 数据处理者或相关第三方的身份

6. 数据处理可能产生的风险或损害

7. 数据处理时限

而数据主体的同意必须是以可以打印或书面形式复制、包括电子格式的形式表达。同时,PDPD规定:

1. 数据主体的沉默或不回应不被视为有效的同意;

2. 数据主体应可以部分或有条件地同意

3. 在发生争议的情况下,个人数据控制者/个人数据控制者兼处理者有举证义务,需证明其已获得了数据主体的有效同意。

因此,在PDPD的框架下,获得数据主体同意的合规要求更高。

  • 针对广告营销服务的规定:在电子商务、线下经营等活动中,通过短信、社交媒体等形式进行广告投放非常普遍。在投放过程中,可能会涉及对顾客的联系方式、社交媒体账号、硬件设备信息等进行处理,在个性化广告投放中,还会对顾客的行为信息进行处理,进行用户画像。

PDPD对于广告营销服务也提出了明确要求:

1. 只有在获得数据主体同意的情况下,方可通过业务活动收集的数据用于广告营销活动;

2. 获得数据主体同意时,需明确告知广告服务的内容、方法、形式和频率;

3. 提供广告营销服务的组织具有举证义务,需证明其对客户个人数据的使用符合PDPD的要求。

  • 数据主体权利:PDPD规定,数据主体有如下权利:

1. 数据处理之前的知情权

2. 同意或拒接其个人数据处理的权利

3. 查看、编辑、删除、销毁个人数据的权利

4. 撤回同意的权利

5. 获取个人数据副本的权利

6. 限制、反对处理个人数据的权利

7. 针对个人数据滥用提前诉讼寻求赔偿的权利

企业在接收到数据主体限制或反对数据处理、索取副本、修改或删除个人数据的请求时,应在72小时内响应并解决。

  • 隐私影响评估:与我国《个人信息保护法》规定不同,PDPD要求所有的数据处理活动均需要维护一份档案,评估个人数据处理的影响,包括跨境传输的情况、对个人的影响、潜在的后果与㞶、风险控制措施等。该档案需在处理活动的60天内提交原件至网络安全和高科技犯罪预防不,并根据公安部的要求及时更新该档案。
  • 人员要求:PDPD要求,处理敏感个人数据的组织需指定专门的部门和人员负责个人数据保护工作,并将部门与人员信息上报至公安部。

2)越南数据本地化与跨境传输

对于出海的中国企业来说,数据本地化要求与数据跨境要求或许是最重要的议题。除了PDPD外,越南在《网络安全法》等其他法律法规里对此提出了较高的要求。

01 数据本地化

尽管PDPD没有明确要求企业讲个人数据存储在越南境内,但在2018年发布实施的越南《网络安全法》中,第26条对数据本地化和本地办事处提出了要求,规定“在越南提供电信网络、互联网和网络增值服务的国内外企业,其收集、挖掘、分析和处理有关个人信息的数据、服务用户关系数据、服务用户生成的数据必须在政府规定的时间内储存在越南。本款规定的外国企业必须在越南设有分支机构或代表处。”

越南《网络安全法》第26条自颁布以来并未获得有效实施,直到2022年8月15日发布第53/2022/ND-CP号法令(“第53号法令”)《关于网络安全法若干条款的详细规定法令》对其进行了细化规定。第53号法令已于2022年10月1日生效。第53号法令要求下列数据应在越南本地存储:

1. 越南服务使用者的个人数据

2. 越南的用户生成数据(包括服务用户的帐户名、服务使用时间、信用卡信息、电子邮件地址、最近一次登录/注销的IP地址、与帐户或数据关联的注册电话号码)

3. 有关越南服务用户和在越南开展业务的在岸、离岸实体之间的关系的数据(包括:用户与之联系或互动的朋友和团体)

上述数据应在越南本地保存至少24个月,且相关系统日志至少保存12个月。

第53号法令适用于在越南开展以下业务的外国机构:电信服务;在网络空间存储和共享数据;向越南的服务用户提供国家或国际域名;电子商务;在线支付服务提供商;支付中介机构;利用网络空间的传输连接服务;社交网络和社交媒体;在线视频游戏;以短信、语音通话、视频通话、电子邮件、在线聊天等形式提供、管理或运营网络空间中其他信息的服务。其中电子商务、在线支付、社交网络、游戏等均可能涉及我国企业出海业务。

02 数据跨境要求

根据PDPD,从越南向境外传输个人数据,需接受个人数据跨境影响评估,评估内容包括:

1. 数据传输各方的完整联系方式

2. 数据跨境传输的目的

3. 数据传输的个人数据类型

4. 数据跨境传输采取的安全措施

5. 数据跨境传输产生的影响及采取的风险控制措施

6. 数据主体的同意与申诉机制

数据发送方需在处理个人数据的60天内,将个人数据跨境传输影响评估档案提交至公安部,并将原档案妥善保存,以供公安部检查。公安部应当对数据传输情况进行评估,并要求数据发送方完善个人数据跨境传输影响评估档案,并在数据跨境传输侵犯越南国家利益与国家安全时、发现不符合PDPD时或认为有意外泄露越南公民个人数据的情况下,公安部有权阻止数据传输至越南境外。

中国企业出海越南合规应对策略

在中国企业出海越南的策略上,我们建议企业采取如下三步来应对出海的数据合规:

在这个方法的基础上,考虑到越南部分特殊的要求,出海企业应当尤其注意:

1.更高的数据主体授权同意要求:根据PDPD要求,默认同意不被认为是有效的同意,且数据主体可以部分同意数据处理活动。通过隐私政策“一揽子”打包同意等常见的授权形式在越南可能会被认为是无效的同意。尤其是涉及广告营销的数据处理活动,企业应当采取单独同意的形式,并为用户提供退出选项。

2. 数据本地化与数据跨境传输:企业在越南收集的个人数据,在传输至境外之前,应先在越南境内存储,并根据PDPD的要求进行跨境传输影响评估。符合条件时,应在越南本地设立办事处。

3. 上报义务:根据PDPD,隐私影响评估、数据跨境影响评估等档案需提交至越南监管机构,并在违规、安全事件发生时在72小时内通知公安部。

4. 更高的举证义务:在PDPD框架下,企业有着极高的举证义务,在争议发生等情况下需“自证清白”。因此,企业应建立严格的记录留存机制,将数据处理过程产生的各类记录妥善留存归档,并定期进行合规审计,确保数据处理活动的合规与记录的完善。

小结

在中越两国的贸易与投资合作逐渐深化、越南数字经济高速发展之际,对于中国企业来说,越南无疑是一个充满机会的国家。但机会往往与挑战并存,企业在业务开展的同时应当加强对越南的数据保护合规的理解与认知,采取必要的措施,并密切关注越南相关的立法执法动态,确保业务合规有序开展。

来源:上海市贸促会

延伸阅读:RCEP网安与数据合规专题风险与挑战

免责声明及版权等信息,请查看此处

电话咨询

在线咨询

留言咨询