当中国新能源车企加速布局东南亚市场,越南凭借人口红利与政策支持,成为出海蓝图中的关键一站。但不少企业在推进本地化业务时,却在数据合规环节“卡了壳”——越南对跨境数据传输、数据本地化的监管细则日趋严格,智能网联汽车产生的海量用户数据更是监管重点,稍有不慎可能面临罚款、业务停摆等风险。
本文基于最新越南法律文件与实务案例,提炼新能源车企最关注的3大合规核心问题,为企业出海越南提供方向性指引。
需特别说明的是,文中仅展示通用合规框架与关键要点,针对企业具体业务场景的定制化分析(如特殊数据类型判定、监管沟通策略等),将由专业团队提供一对一咨询支持。
PART 01
先搞懂
越南数据合规的核心法规
PART 02
关键问题 1
我的企业需要在越南本地存储数据吗?
PART 03
关键问题 2
跨境传输数据需要满足哪些要求?
PART 04
关键问题 3
新能源车企如何决策“是否本地部署”?
PART 05
合规建议
别让数据问题成为出海“绊脚石”
PART 06
写在最后
合规是长期主义,专业支持是关键
先搞懂:
越南数据合规的核心法规
所有跨境数据操作的前提,是明确越南的监管依据。目前企业需重点关注以下三部分法律规定,它们构成了数据合规的“基本规则”:
作为顶层法律,划定了数据本地化与跨境传输的总体原则,明确了企业在网络安全与数据保护中的基本义务。
细化《网络安全法》部分条款,针对数据本地化的适用主体、触发条件、存储要求等作出具体规定。
聚焦个人数据保护,堪称“跨境数据传输操作手册”,详细规定了传输流程、合规要求及法律责任,是企业日常操作的核心遵循。
需注意的是,2025年6月,越南国会正式通过了《个人数据保护法》(Personal Data Protection Law),这部新法律在保留和延续2023年法令相关内容的基础上进行了更新,是一项重大进步,也是一个更全面的框架,并将于2026年1月1日生效。
总体来看,越南当前监管呈现“重个人数据、轻企业数据”的特点:仅对个人数据的跨境传输和本地化有强制要求,企业经营数据(如供应链数据、财务数据)除需履行保密义务外,暂无专门跨境限制。
但智能网联汽车业务中,用户位置、身份、驾驶习惯等数据均属于个人数据,需严格遵守上述法规。且《个人数据保护法》对于个人位置数据规定了特别的保护规则:
a) 除数据主体同意、有权机关依法要求或法律另有规定外,禁止通过无线射频识别卡及其他技术追踪定位。
b) 移动应用平台提供者应当告知用户其使用个人位置数据的情况;采取措施防止无关组织、个人收集位置数据;为用户提供位置追踪选项。
关键问题1:
我的企业需要在越南本地存储数据吗?
数据本地化是越南合规的“第一道门槛”,是否需要部署本地服务器,取决于企业的主体类型与业务场景,可分为三类情况逐一判断:
越南境内注册企业: 满足条件即“强制本地化”
若企业已在越南注册成立(包括外资子公司、合资公司等),且同时符合以下两个条件,必须将相关数据在越南本地存储:
业务范围覆盖:
越南境内的电信网络服务、互联网服务、网络增值服务(如智能网联汽车的远程数据服务);
处理的数据类型包括:
(1) 个人数据(如车主姓名、身份证号、联系方式、定位信息);
(2) 用户关系数据(如车主社交关联信息、车辆共享群组数据)
(3) 用户在越南境内生成的数据(如账号登录时间、IP地址、绑定手机号、充电记录)。
举例:某中国新能源车企在越南设立子公司,负责本地车辆销售与智能网联服务运营,其收集的车主定位数据、驾驶行为数据均需在越南本地存储,存储形式可自主选择(越南法律未限制存储介质或技术方式)。
无越南商业主体的外国企业: “触发式本地化”
若企业未在越南设立分支机构、代表处等实体,仅通过线上或代理模式向越南用户提供服务,仅在同时满足以下4个条件时,才需履行本地化义务:
业务领域属于:电信、网络数据存储/共享、域名服务、电子商务、在线支付、网约车、社交网络、网络游戏等网络信息服务(智能网联汽车的远程数据服务可能被归类为此类);
提供的服务被用于违反越南《网络安全法》的行为;
收到越南公安部网络安全局(简称“A05”)的书面通知,要求配合调查或处理违法违规行为;
未遵守A05要求,或阻碍其实施网络安全保护措施。
一旦触发上述条件,企业需在规定期限内完成数据本地存储,且需设立越南分支机构或代表处(运营至停止越南业务为止)。数据存储期限以A05要求为准,最低不得少于24个月。
豁免情形: 哪些情况可暂不本地存储?
无越南商业主体的外国企业,若未收到A05的书面要求,且未触发上述违法违规条件,无需提前部署本地服务器,可直接开展跨境数据传输。
但需注意:豁免仅针对“本地存储”要求,跨境传输本身仍需遵守其他合规程序(如数据主体同意、报备评估等)。
关键问题2:
跨境传输数据需要满足哪些要求?
无论企业是否在越南设立实体,只要涉及越南公民个人数据的跨境传输(如将越南车主数据传回中国总部),均需严格遵守《第13/2023/NĐ-CP号法令》,核心合规要求可概括为“1个前提、2个必备、2个评估、1个保障”,即将生效的《个人数据保护法》与该法令的要求基本上是一致的:
1个前提: 获得数据主体的“有效同意”
传输前应取得数据主体(如车主)的明确同意,且同意需满足以下4个条件,缺一不可:
自愿性:数据主体需自主作出同意决定,不得被强迫或误导;
知情权:需明确告知数据主体“传输的数据类型”“处理目的”“授权的境外接收方”“数据主体的权利义务”;
形式有效性:同意需以书面、语音、勾选同意框、短信确认、系统设置选择等“可验证”的形式作出,沉默或不回应不视为同意;
特殊主体保护:处理7岁以上未成年人数据(如未成年车主),需同时取得未成年人本人及监护人的双重同意。
2个必备: 设立数据保护责任主体+报备
设立专门部门与人员
由于智能网联汽车数据多属于敏感个人数据,企业必须:
指定专门的“个人数据保护部门”(如数据合规部);
任命专职的数据保护负责人;
向A05报备该部门及负责人的名称、联系方式、职责范围;
制定数据收集、存储、传输、删除、应急处理等全流程管理制度。
向A05报备基础信息
需主动向A05提交数据保护部门及负责人的备案材料,确保监管机构可随时对接数据合规相关事务。
2个评估: 60日内完成并报备
越南对跨境数据传输实行“报备制”而非“审批制”,企业可在报备前开展传输,但需在数据处理活动启动后60日内完成两项评估并提交A05:
个人数据处理影响评估:
需准备评估档案,内容包括数据处理目的、范围、风险防控措施等,档案需留存备查,同时提交A05。若档案内容不完整或不符合要求,A05会在10个工作日内要求补充完善。
跨境数据传输影响评估:
除评估档案外,还需向A05提交“跨境传输信息表”(如传输频率、接收方信息、数据用途)及“数据保护负责人联系方式”,确保A05可追踪传输全流程。
1个保障: 落实安全防护措施
企业需建立与数据规模、风险等级匹配的安全保障体系,包括:
技术层面:数据加密、访问权限控制、异常行为监测等;
管理层面:数据处理人员培训、应急预案、定期风险排查等;
证明义务:需留存相关记录,证明数据处理活动符合越南法律要求,以备A05检查。
红线不能碰: 禁止传输与处罚
出现以下3种情况时,越南公安部有权要求企业立即停止跨境数据传输:
数据被用于危害越南国家安全、公共利益的活动;
企业未按A05要求补充完善评估档案,或未及时更新备案信息;
发生数据泄露、丢失、篡改等安全事件,且未及时采取补救措施。
若违反上述规定,企业将面临8000万至1亿越南盾(约合人民币2.4万至3万元)的行政罚款,情节严重的还可能被追究刑事责任;若造成数据主体合法权益受损,还需承担民事赔偿责任。需注意的是,2026年1月1日即将生效的《个人数据保护法》对于行政处罚的最新规定为:对违规跨境传输个人数据的组织,行政处罚中的最高罚款为其前一年度营业额的5%;若无前一年度营业额或按营业额计算的罚款低于本款规定的最高罚款的,适用本款规定的最高罚款。
豁免情形: 哪些企业可以豁免部分法律义务?
初创企业和小型企业可在法律生效之日起5年内选择不执行数据保护影响评估(DPIA)和任命数据保护官(DPO)的义务,微型企业和家庭作坊式经营者可完全豁免上述要求,但从事个人数据处理服务、直接处理敏感个人数据或处理大量数据主体数据的企业除外。
关键问题3:
新能源车企如何决策“是否本地部署”?
结合越南法规要求与行业实践,新能源车企可按以下“三步法”判断是否需要在越南本地部署云服务器:
若已在越南设立子公司、分公司,或计划开展“车辆销售+本地数据服务”(如远程诊断、智能导航),建议优先本地部署,直接满足数据本地化要求,避免后续因业务扩张触发合规风险;
若仅通过代理模式销售车辆,且暂不提供智能网联服务,仅涉及少量车主基础信息传输,可暂缓本地部署,但需严格遵守跨境传输的报备、同意等要求。
若需长期、大规模收集越南用户数据(如万辆级以上智能网联汽车的实时定位数据),本地部署可降低跨境传输的合规成本与安全风险,同时提升数据处理效率(如减少延迟);
若数据传输频率低、规模小(如每月数十条车主信息更新),可通过完善跨境合规流程替代本地部署,但需建立数据台账,确保可追溯。
越南数据合规法规仍在完善中,企业需持续跟踪法规更新;同时,对于无商业主体的外国企业,若暂未收到A05通知,可利用“豁免期”优化业务架构,但需提前制定本地部署的应急预案,避免因监管要求突变影响业务。
合规建议:
别让数据问题成为出海“绊脚石”
对于计划或已布局越南市场的新能源车企,除上述具体要求外,还需注意以下3点核心建议:
将数据分为“个人数据(基础/敏感)”与“企业数据”,针对敏感个人数据(如定位、驾驶习惯)建立更严格的收集、传输、存储流程,避免因“一刀切”导致合规漏洞。
妥善保存数据主体同意文件、评估报告、A05报备回执、安全措施记录等材料,至少留存至数据处理活动结束后2年,以备监管检查;建议采用电子化归档,确保可快速调取。
越南数据合规涉及多部法规的交叉适用,且监管实践仍在动态调整(如A05的具体执法标准),企业可通过专业法律团队获取“定制化合规方案”,包括但不限于:
数据类型合规判定(如某类驾驶数据是否属于敏感数据);
跨境传输评估报告的撰写与报备协助;
与A05的沟通对接(如解释业务模式、补充合规材料);
本地部署的法律可行性分析(如服务器选址、合作方资质审核)。
写在最后:
合规是长期主义, 专业支持是关键
在东南亚新能源汽车市场竞争日趋激烈的背景下,数据合规已不再是“可选动作”,而是企业扎根越南的“基础能力”。无论是本地服务器部署的决策,还是跨境数据传输的流程设计,都需要结合企业实际业务场景,精准匹配越南法规要求——而这一过程中,专业的法律支持能帮助企业少走弯路,避免因合规问题错失市场机遇。
如果您的企业正面临以下困惑:
不确定自身业务是否需要在越南本地部署服务器;
不清楚如何撰写跨境数据传输的评估报告并向A05报备;
担心现有数据处理流程不符合越南最新法规要求;
需要协助应对A05的调查或合规检查。
欢迎联系我们的专业团队,我们将基于越南🇻🇳最新法律法规及实务经验,为您提供“法规解读+流程设计+落地支持”的全链条服务,助力企业平稳、合规地开拓越南市场,让数据合规成为出海的“助推器”而非“绊脚石”。
#出海 #越南 #数据合规 #网络安全 #跨境许可 #越南投资 #东南亚 #合规 #跨境合规 #中国企业出海 #投资 #东南亚市场 #海外投资 #DeepSeek #环球法律动态 #出海交流社群 #制裁合规法律咨询 #投资指南 #跨境贸易法律服务 #涉外法律交流群 #中企出海 #劳动法
[免责声明]
本文件所载信息(包括但不限于政策解读、数据、案例分析及应对建议)仅供一般性参考,不构成法律、税务、贸易或任何其他专业领域的建议。使用者应自行核实信息来源的准确性及时效性。我方不对因依赖本文内容而导致的任何直接或间接损失承担责任。相关政策及法规可能随时变动,请以各国政府及监管机构最新官方文件为准。
往期精选
关于我们
LAW PURPOSE
律意是一家创新型综合性跨境法律服务平台。
基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球156个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系/关注我们
小管家微信
小红书
知乎
播客
电话:+86 021 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7楼728
