随着越来越多的中国企业进军越南市场,在越南开展生产经营活动的过程中,不可避免地会涉及到越南本地的个人信息处理及跨境传输。2023年4月17日,越南政府正式颁布了《个人数据保护法令》(Personal Data Protection Decree)。本文旨在解答关于越南数据保护法的相关问题,为中国企业在越南的经营活动提供最新的合规指引,确保其个人信息处理行为符合当地法律法规要求。
问
在越南,哪部法律专门管辖个人数据/信息?
答
越南政府于2023年4月17日发布了关于保护个人数据的第13/2023/ND号法令 ,该法令于2023年7月1日生效 。《个人数据保护法》(下称“PDPD”)特别强调以下方面的个人资料保护责任:
• 在越南的越南和外国机构、组织和个人;
• 在海外经营的越南机构、组织和个人;
• 直接参与或与越南的个人数据处理活动相关的外国机构、组织和个人。
“PDPD”定义了包括“基本个人数据”、“敏感个人数据”、“个人数据处理”、“个人数据控制者”和“个人数据处理者”、“同意”和“第三方”等在内的术语。此外,“PDPD”概述了个人数据处理的原则,包括合法性、透明度、目的限制、数据最小化、准确性、保密性、问责制和存储限制。同样,“PDPD”规定了数据主体的权利,包括知情权、同意权、访问权、选择退出权、删除权、处理限制权、反对权、数据可移植权、投诉权、索赔权和自卫权。 然而,“PDPD”还注意到在未经数据主体同意的情况下可以处理个人数据的情况,例如有必要保护数据主体的生命和健康、依法进行披露以及为履行合同义务或在紧急状态下进行处理的情况。
此外,“PDPD”还详细说明了关于产品广告和个人数据的转让、购买和销售的数据主体同意的进一步要求。 更具体地说,“PDPD”概述了处理个人资料的机构的责任,包括:
• 提供隐私通知;
• 对个人数据的处理和在数据个人数据转移到国外时进行影响评估;
• 实施组织和技术措施以及适当的安全和安保措施;
• 记录和记录个人数据处理;
• 与数据处理者订立数据处理合约或协议;
• 在处理敏感个人数据时,任命负责个人数据保护的人员。
值得注意的是,“PDPD”还明确规定了关于处理失踪或被宣告死亡人士的个人数据、儿童个人数据以及从公共场所的音视频录制活动中获取的个人数据的要求。
最后,“PDPD”明确,微型、小型、中型和初创企业在开办企业时,有权选择在注册后的头两年不适用“PDPD”。
问
这个司法管辖区的关键数据保护原则是什么?
答
根据越南法律,个人信息处理(定义为出于商业目的在网络空间进行收集、编辑、利用、存储、提供、共享或传播个人信息的一种或几种行为)的坚实法律基础是数据主体的事先同意。
具体来说,它要求处理个人信息的组织只有在:
(i)通知数据主体收集、存储、处理、使用、披露和转移此类信息的范围、目的、存储期限、形式和地点(相关术语涵盖“收集、存储、处理、使用、披露和转移”,而不仅仅是“收集和处理”数据)之后才收集个人信息;
(ii)在收集和/或处理其个人数据之前获得其同意。在电子商务网站上收集和使用消费者个人信息的商家或机构必须设立机制,让消费者(或“主体”)通过网站的在线功能、电子邮件、短信或双方约定的其他方式明确表示同意。
关于同意的形式,目前越南立法并没有提供任何具体的规定。但“PDPD”明确规定,数据主体的沉默或不回应不得被解释为同意,这意味着不再接受默示同意。而且,同意的形式必须是可以打印或书面复制的。
但是,根据个人信息处理的具体目的,法律提供了除同意之外的另一种法律依据。特别是,当个人信息用于以下目的时,组织可以未经同意收集、处理、使用、存储、披露和转移他人的个人信息:
a.在网络环境(一般定义为“通过信息基础设施提供、传输、收集、处理和交换信息的环境”)中签署、修改或履行信息、产品或服务的使用合同;
b.计算在网络环境中使用信息、产品或服务的费用;
c.履行法律规定的其他义务(例如,应法律规定的主管机关的要求)。
此外,在下列情况下,在电子商务网站上收集和使用消费者个人信息的贸易商和组织将不需获得消费者/主体的事先同意:
a.收集已在电商网站上公布的个人信息;
b.为签订或履行商品和服务的买卖合同而收集个人信息;
c.收集个人信息用于计算在网络环境下使用信息、产品和服务的价格和收费;
d.为依法履行其他义务而收集个人信息。
此外,收集或处理个人信息的人员(“数据控制者”)还需进一步遵守以下要求:
a.在收到数据主体的请求后,向数据主体提供数据控制者收集和存储的个人信息;
b.立即遵从请求,并在收到数据主体提出的复核、更新、更正、修改或取消,或停止向第三方提供个人信息的请求时通知数据主体或授予其获取信息的权利,在该等信息被更正之前不提供或使用相关个人信息;
c.采取必要措施保护个人信息,如果数据控制者因技术原因或其他原因未能遵从其请求,应通知数据主体;
d.除法律另有规定外,存储的个人信息在完成使用目的或存储期限届满时予以删除,并通知数据主体。
问
在这个司法管辖区的数据保护法下,数据主体享有哪些关键权利?
答
根据越南法律,数据主体有权要求数据控制者检查、更正或删除其个人信息。法律特别要求,网站或平台的隐私政策必须注明:
(i)信息收集和管理单位的联系方式,以及数据主体(例如客户)如何询问与其相关的信息的收集和处理;
(ii)数据主体在网站或平台上访问和修改其个人信息的方法和工具。
如果数据主体明确要求数据控制者更正或删除其个人信息,数据控制者在收到该请求后,必须立即:
a.遵守要求并通知数据主体(如果该要求切实可行);
b.采取必要措施保护此类信息,如果由于技术或其他原因未能遵守此类请求,则通知数据主体。
问
是否有必要任命数据保护专员(或类似职位)?
答
目前,没有法规要求数据控制者任命一名数据保护官(“DPO”)。但是,某些类型的组织(如大型信息系统所有者和其他如电信企业、银行、国家机构、使用国家资金的信息系统所有者等)需要指定专门的信息安全联络人和联系人,对网络信息安全进行监督和警告等。这些官员预计将负责事件处理,而不是数据保护问题。其他严格的要求(在各种法律文件下)也适用于这类组织,不包括“私营部门的公司”。
问
越南是否有特定的数据泄露通知要求?
答
越南法律对实际或疑似个人信息安全事件的报告和通知规定了几项要求。一般来说,如果数据安全事件符合法律规定的标准,数据控制者必须及时采取相关措施缓解并及时通知相关主管国家机关和/或受影响的数据主体(例如,在发现安全事件后5天,或者对于超出数据控制者控制范围的事件,立即通知)。如果电子商务服务提供者的信息系统受到攻击,造成消费者信息丢失的风险,数据控制者必须在发现事件后24小时内通知相关主管部门。
通常情况下,数据控制者会被要求向以下国家主管部门发出相关通知:
• a.公安部所属政府机构(即网络安全与高科技犯罪预防与打击厅、数据控制者总部所在地省级公安部门等);
• b.由信息和通信部下属的信息安全局直接管理的越南计算机应急响应小组/协调中心。
问
个人数据/信息的国际转移有哪些限制?
答
一般来说,如果数据控制者希望向第三方(包括集团公司)共享、披露或以其他方式转移个人的个人信息,数据控制者必须告知数据主体,并事先获得相关数据主体的明确同意。 《网络安全法》要求,从事收集、开发/使用或分析和处理个人信息、服务用户关系数据以及越南服务用户产生的数据活动的国内外网络空间服务提供商必须在政府规定的特定期限内将这些数据存储在越南。
特别是,根据第53号法令,为越南客户提供电信和在线服务的国内外企业,如果在当局警告其服务/在线平台被用于违反越南法律的情况下,这些在线服务提供商未能按照当局的要求进行整改,那么这些企业可能需要在越南本地至少保存与客户相关的数据24个月。
根据第53号法令,虽然所有向越南客户提供电信和在线服务的国内公司都必须在越南本地存储某些与客户相关的数据,但受此数据本地化要求约束的外国公司仅包括从事以下 10 项服务的公司:
(i)电信;
(ii)在网络空间进行数据存储和共享;
(iii)向越南的服务用户提供国内或国际域名;
(iv)电子商务;
(v)网上支付;
(vi)中介支付;
(vii)网络空间运输连接;
(viii)社交网络和社交媒体;
(ix)网络电子游戏;
(x)以短信、电话、视频通话、电子邮件、网络聊天等形式提供、管理或者经营网络空间其他信息的。
以下数据需要在越南进行存储:
• a.越南境内服务用户的个人信息数据;
• b.越南服务用户创建的数据:帐户名称、服务使用时间、信用卡信息、电子邮件、上次登录或注销会话的IP地址、与帐户或数据相关的注册电话号码;
• c.关于越南服务用户关系的数据:这些用户与之联系或互动的朋友和团体。
此外,从事上述服务的外国企业也必须在越南设立分支机构或代表处,如果当局警告他们的服务/在线平台违反越南法律,并且在线服务提供商未能根据要求纠正这种情况。此类设立的时间将从企业收到设立请求开始,并持续到企业终止其在越南的运营或规定的服务在越南不再可用。
“PDPD” 建议对跨境资料转移施加限制(包括将个人资料从越南转移至外国的登记)。“PDPD” 还规定,在将越南公民的个人资料转移出越南之前:
(i)必须取得资料当事人的同意;
(ii)原始数据必须存储在越南;
(iii)数据转让方必须有书面证明,证明接收方所在国家、领土或地区的个人数据保护水平等于或高于“PDPD”规定的水平;
(iv)转让必须获得个人信息保护委员会(下称PDPC)的书面批准。
“PDPD”规定,在下列情况下可免除上述要求:
(a)数据主体的同意;
(b) PDPC 的书面批准;
(c)数据处理者对保护数据的承诺;
(d)数据处理者对采取措施保护数据的承诺。(从“PDPD”的措辞来看,尚不清楚数据转移方是否需要满足这些条件中的一个还是全部才能享受豁免,但假设必须同时满足所有四个条件。)为了获得PDPC 的书面批准,申请必须包括一份影响评估报告,其中包括对潜在危害的评估以及管理、最小化或消除这种危害的措施。由提交申请之日起,PDPC 有 20 个工作天处理审批申请。
问
不遵守数据保护法(包括营销法)会有什么后果?
答
根据违规的性质和严重程度,违规者将面临500万越南盾(约合216美元)至1亿越南盾(约合4337美元)的行政罚款,在非常严重的情况下,还可能面临3个月至7年的监禁。例如,未经数据主体事先同意收集、处理和使用其信息,将处以1000万至2000万越南盾(约合433至867美元)的罚款。根据《刑法》,在严重情况下,任何非法使用计算机或电信网络信息的人都可能面临3000万至10亿越南盾(约合1300至43376美元)的罚款、最高3年的社区刑罚或6个月至7年的监禁。违法者还可能面临2000万至2亿越南盾(约合867至8675美元)的罚款,或被禁止在1至5年内担任某些职务或从事某些工作。
此外,“PDPD”还考虑实施新的行政制裁措施,包括对违规活动所得收入的5%处以罚款。
注:本文所提供的法律解读仅供参考,来源于律意通过法律检索,整理了越南数据保护律师专家的建议、并进行中文翻译及校对后的内容。然而,这些解读不应被视为正式的法律意见或建议。我司不对任何由于本文提供的信息或读者的理解差异而引起的任何后果承担责任。由于越南法律动态的变化,本文涉及的法律问题的准确性和适用性可能会因特定情况的变化而发生改变。最后,未经我们公司明确授权,任何对本文内容的复制、修改、再发表或其他形式的使用均不被允许。
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7层728
编辑/排版:Elina
关注律意,为您带来更多原创好文!
