来源:大成律师事务所
了解当地的数据监管要求对中国企业“走出去”至关重要。笔者此前已详细介绍了英国和美国这两大出海热点法域的数据保护法律,并提出了相关的数据合规建议。近年来,越南凭借其稳定增长的经济、支持性的商业环境、充满活力的劳动力市场以及优越的地理位置,逐渐成为全球企业关注的投资目的地。在中国企业拓展越南市场时,难免涉及个人数据的跨境传输及面临不同的数据监管环境。本文作为系列文章的第三篇,将重点探讨越南首次颁布的全面数据保护法律——《个人数据保护法令》(Personal Data Protection Decree,“PDPD”)及其相关规定,以期帮助中国企业更好地理解越南的数据合规法律框架,为相关企业提供合规参考。
一、综述
(一)立法总览
越南公安部(Ministry of Public Security,下称“公安部”)、信息通信部(Ministry of Information and Communication)、国防部和科技部等是个人数据保护的主要监管机构,其中最核心的部门是公安部。截至目前,越南关于数据监管的法律法规包括但不限于:
1、《关于保护个人数据的第13/2023/ND号法令》(Personal Data Protection Decree, 下称“PDPD”):该法案是越南第一部全面的数据隐私法,于2023年4月17日颁布并已于2023年7月1日生效,标志着越南在保护个人信息和隐私权方面迈出的重要一步。该法令适用于所有在越南设有办事处或在越南开展数据处理活动的越南和外国公司。这意味着,无论公司是否位于越南,只要其在越南处理个人数据,都必须遵守该法令的规定。
2、《个人数据保护法》(Personal Data Protection Law,下称“PDPL”):公安部于2024年2月29日在政府官方网站上公布了建议制定PDPL的第一版卷宗,以征求公众意见。现阶段尚未公布新PDPL的草案版本。预期PDPL的颁布将有助于解决现行PDPD与《消费者权利保护法》(Law on Protection of Consumers' Rights)等其他现行个人数据保护法规之间的潜在冲突。但该法的起草和颁布可能需要很长的时间(两到三年)才能完成,企业需持续关注其动向。
3、《网络安全行政处罚法令》(草案)(Draft Decree on Cybersecurity Administrative Sanctions)(下称“《处罚法令》”):该《处罚法令》最初根据第24/2018/QH14号《网络安全法》对行政处罚行为、处罚形式、处罚等级、每种行政处罚的补救措施以及每种违法行为的具体罚款进行了规范。
4、《信贷机构法》(Law on Credit Institution,No. 32/2024/QH15):该法对越南信贷机构的建立和运营进行了规范,明确要求信贷机构对其用户账户、资产和交易的所有信息进行保密,除非获得同意或主管部门提出有效要求。该法于2024年1月18日通过,已于2024年7月1日生效。
5、《消费者权利保护法》(Law on Protection of Consumers' Rights,No. 19/2023/QH15):该法规定了各种消费者权利,并详细说明了各组织保护消费者信息的义务。该法规于2023年6月20日通过,已于2024年7月1日生效。
6、《电信法》(Law on Telecommunications No. 24/2023/QH15):该法对电信活动以及电信行业从业人员的权利和义务进行了规定,并明确要求电信企业未经最终用户同意或主管当局的有效请求,不得披露该最终用户的信息,已于2024年7月1日生效。
7、《电子交易法》(Law on Electronic Transactions No. 20/2023/QH15),该法对国家机构和私营部门的电子交易进行了规范,一般禁止未经同意使用、提供或披露与电子交易有关的数据,并已于2024年7月1日生效。
8、《民法典》(Civil Code):第38条规定了收集、储存、处理、使用、披露和公布个人信息的规则。
除上述PDPD和其他相关法律法规之外,越南在制造业、商业、工业和劳工等行业还存在一些特殊的数据保护规定。
在个人数据控制者或处理者涉及以下任一情形时,适用越南的数据保护法律:
1、越南本土机构、组织和个人;
2、在越南的外国当局、实体和个人;
3、在外国开展业务的越南机构、组织和个人;
4、在越南直接处理或参与处理个人数据的外国机构、组织和个人。
(三)基本原则
与我国《个人信息保护法》(下称“《个保法》”)类似,越南PDPD规定了若干个人数据的处理原则,包括:
1、应按照法律规定处理个人数据。
2、除非法律另有规定,否则数据当事人有权获得与其个人数据处理相关的信息。
3、个人数据应按照个人数据控制者、个人数据处理者、个人数据控制者兼处理者和第三方登记和声明的目的进行处理。
4、所收集的个人数据应与处理范围和目的相符。除非法律另有规定,禁止以任何形式购买或出售个人数据。
5、个人数据应根据处理目的进行更新和添加。
6、个人数据在整个处理过程中应受到保护和保障。具体而言,应保护个人数据,防止违反保护个人数据的规定,防止因事故和使用技术措施造成的丢失、毁坏或损坏。
7、除非法律另有规定,个人数据的保存期限应与处理目的相符。
8、个人数据控制者和个人数据控制者兼处理者应遵守前述第(a)至第(h)款规定的数据处理规则,并证明其遵守了这些规则。
此外,于2024年7月1日刚刚生效的《消费者权利保护法》也规定了关于消费者信息保护的一般规则,特别是
(1)关于事先通知数据主体某些规定信息的规则;
(2)在收集和处理消费者信息前获得数据主体明确选择同意的规则;
以及(3)确保消费者信息安全的规则。
二、个人数据的处理
与《个保法》类似,越南PDPD对个人数据处理的全流程作出了详细的规定,包括:
1、越南PDPD规定了数据主体所享有的若干权利,如:
(1)知情权:数据主体有权了解与其个人数据有关的处理活动;
(2)同意权:数据主体有权同意或不同意与其个人数据有关的处理活动,但PDPD另有规定的情况除外;
(3)查阅权:数据主体有权查阅、修改或要求修改其个人数据,法律另有规定的除外;
(4)撤回同意权:数据主体有权撤销同意;
(5)删除权:除个别规定情况之外,数据主体有权删除或要求删除其个人数据;
(6)限制处理数据权:数据主体有权要求限制处理其个人数据;
(7)数据获取权:数据主体有权要求数据控制者或数据控制者兼处理者向其提供个人数据;
(8)反对数据处理的权利:数据主体有权反对数据控制者、数据控制者兼数据处理者处理其个人数据,以防止或限制披露个人数据或将其用于广告或营销目的;
(9)投诉、谴责和提起诉讼权:数据主体有权投诉、控告和提起诉讼;
(10)赔偿权:如果违反有关保护个人数据的规定,数据主体有权依法要求赔偿损失;
(11)自我保护权:数据主体有权根据Civil Code、其他相关法律和PDPD进行自我保护,或要求主管机构和组织实施Civil Code第11条规定的公民权利保护方法。
2、在义务方面,越南PDPD也规定了数据主体应该履行的若干义务,包括
(1)保护自己的个人数据,要求相关组织和个人保护自己的个人数据;
(2)尊重和保护他人的个人数据;
(3)在同意处理时,全面准确地提供自己的个人数据;
(4)参与个人数据保护技能的传播;
(5)遵守有关保护个人数据的法律规定,防止违反有关保护个人数据的规定。
同时,我们留意到,在与保护消费者个人数据相关的具体要求方面,《消费者权利保护法》和PDPD之间仍存在差异,例如在处理个人数据之前通知数据主体的要求不同,以及通知安全事件的时限不同。目前在这些情况下是以《消费者权利保护法》还是PDPD为准还存在争议,这些争议期望在即将颁布的PDPL中得到进一步阐释。
(二)数据保护影响评估(DPIA)
个人数据控制者和个人数据控制者兼处理者应制作并保存个人数据处理的影响评估档案,包括但不限于以下情况:
- 开始处理个人数据之时;
- 个人数据处理者与个人数据控制者签订合同时。
除了需要在上述情况下制作并保存个人数据的影响评估档案之外,下述规则也需遵守:
- 个人数据控制者、个人数据控制者兼处理者或个人数据处理者的个人数据处理影响评估档案应以有效的书面形式提交;
- 应随时提供个人数据处理影响评估档案,以便公安部进行检查和评估;
- 公安部应进行评估,如果评估不完整、不准确,应要求个人数据控制者、个人数据控制者兼处理者和个人数据处理者完成其评估档案;以及
- 个人数据控制者、个人数据控制者兼处理者和个人数据处理者应在提交给公安部的个人数据处理影响评估内容发生变化时,更新和修改其档案材料。
(三)数据委托处理、对外提供和共享
如果数据控制者委托处理者处理个人数据,将其处理的个人数据共享给其他控制者,或与其他控制者共同处理个人数据,根据PDPD的规定:
- 数据控制者应与该处理者者签订协议,法规仅允许个人数据处理者在与个人数据控制者签订合同或协议后处理个人数据。
- 在数据控制者与他人共享个人数据之前,数据控制者应经个人数据主体同意。
PDPD对跨境传输个人数据做出了详细的规定,要求越南公民的个人数据应在传输方就个人数据向外传输的影响作出评估,并在影响评估档案中说明和解释越南公民的个人数据传输到国外后的处理目的,向国外传输的个人数据的类型,关于遵守本法令中个人数据保护规定的说明和解释,以及保护个人数据的详细措施等。
出现下列情况之一时,公安部将要求传输方停止向国外传输个人数据:
- 传输的个人数据被用于侵犯越南国家利益和安全的活动;
- 向国外传输数据的一方未能补充和更新个人数据跨境传输影响评估档案;或
- 发生越南公民个人数据泄露或丢失事件。
传输方应随时提供个人数据向境外传输影响评估档案,以便公安部对于相关规定进行检查和评估。在成功传输个人数据后,传输方应以书面形式向公安部通报有关数据传输的信息以及负责此类传输的组织或个人的详细联系信息,并且在当提交给公安部的个人数据向外转移影响评估档案的内容发生变化时进行更新和修改。
公安部应视情形每年检查一次个人数据的跨境传输行为,发现违反PDPD中关于保护个人数据的规定或越南公民的个人数据被泄露或丢失的情况将另行讨论。
三、监管合规
(一)保护个人数据的措施和条件
越南PDPD规定数据处理方应从处理个人数据开始,并在处理个人数据的整个过程中采取保护个人数据的措施,包括但不限于
- 组织或个人在处理个人数据时采取的管理措施;
- 组织或个人采取的与处理个人数据有关的技术措施;
- 主管当局根据本法令和相关法律规定采取的措施;
- 以及主管当局采取的调查和程序措施。
在上述措施中,管理措施在若干活动中包括数据权利合规、违规通知或用户通知等;技术措施则涉及利益相关者的许多活动,如个人数据的完整性和安全性或存储限制等。
数据保护官(Data Protection Officer,“DPO”)是否必须任命取决于公司处理的个人数据的性质。根据PDPD,对于敏感个人数据的保护措施处理需:
- 指定具有保护个人数据职能的部门和负责保护个人数据的人员,并与个人数据保护机构交换有关负责保护个人数据的部门和个人的信息。如果个人数据控制者、个人数据控制者兼处理者、个人数据处理者或第三方是个人,则需交换有关负责保护的个人的信息;
- 除特殊条件规定之外,还需通知数据主体其敏感个人数据的处理情况。
相反,如果处理的数据是一般非敏感个人数据,则可选择性任命数据保护官。
越南PDPD要求DPO应当具备数据合规领域的专业知识和技能,但就DPO的职责内容,并未做具体规定。
如果发现有违反个人数据保护规定的行为,个人数据控制者或个人数据控制者兼处理者应在违反行为发生后72小时内通知公安部。如果在72小时后才发出通知,则应说明延迟通知的原因。个人数据处理者在发现违反个人数据保护规定的行为后,也应尽快通知个人数据控制者。前述通知必须包括下述信息:
- 违规性质描述,包括:时间、地点、违规行为、组织、个人、个人数据类型和相关数据量;
- 被指派保护数据的员工或负责保护个人数据的组织或个人的详细联系信息;
- 可能造成的后果和损害说明;
- 说明处理和尽量减少违规行为所造成损害的措施。
发现下列情况时,相关组织和个人应通知公安部:
- 发现个人数据违规行为;
- 个人数据被用于非预期目的,或违反数据主体与个人数据控制者、个人数据控制者兼处理者之间的原始协议,或违反法律规定;
- 数据主体的权利未得到保护或未适当行使;
- 法律规定的其他情况。
PDPD规定,机关、组织和个人违反个人信息保护规定,根据情节轻重,可以依法给予纪律处分、行政处罚或者刑事追诉,但并未就处罚的具体金额与上限作出明确规定。根据最新出台的《处罚法令》,其概述了对网络安全领域行政违规行为的处罚,其中包括违反个人数据保护法规的行为。根据该《处罚法令》,对个人违反个人数据保护法规的行为的罚款金额,视违规行为的性质和严重程度,从1,000万越南盾到上一财政年度总收入的5%不等。若组织有同样的违规行为,将面临比个人高一倍的罚款,最高可能达到上一财政年度总收入的10%。除罚款外,《处罚法令》还规定了其他各种制裁和补救措施,以进一步执行这些个人数据保护法规。
四、结语
近年来,越南频繁发布和更新数据监管法律法规,这对日益增多的中国企业在越南的运营提出了更高的合规要求。相关中国企业需要全面深入地理解越南的个人数据安全及隐私保护相关法律,并持续关注其立法的最新动态。越南的个人数据保护法规与中国的法律要求存在诸多差异,尤其是在数据收集、存储、使用和跨境传输方面。越南对数据处理活动的监管更加细化,并对跨境数据流动制定了严格的合规要求,而中国则更注重数据安全和国家安全的平衡管理。因此,中国企业在越南运营时,不能简单地套用国内的合规经验,而是必须结合越南的具体法规进行调整和优化。
本文作为域外个人数据保护立法系列文章的第三篇,旨在帮助中国企业更好地理解越南的数据保护法律框架。在后续的文章中,我们将继续深入探讨欧盟、印度等其他出海热点地区的个人数据保护立法,帮助企业应对全球化背景下日益复杂的数据合规挑战。我们诚邀各位读者持续关注,获取最新的法律动态和实用的合规建议。
作者:
特别声明:大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。