国别研究｜生效在即！越南《个人数据保护法》（PDPL）下出海企业的主要合规要求与实践红线



国别研究｜生效在即！越南《个人数据保护法》（PDPL）下出海企业的主要合规要求与实践红线

网络与数据法实务

2025-12-08

导读：距越南新《个人数据保护法》生效已不足一个月

关键词：DPIA、TIA、重要数据

越南《个人数据保护法》（Personal Data Protection Law，PDPL）将于2026年1月1日生效。相对于现行的《个人数据保护法令》（Decree No. 13/2023/ND-CP on the Protection of Personal Data，PDPD），尽管许多条款在实质上没有改变，但是该法仍引入了若干新概念、豁免情形和合规义务。

越南数据保护主要立法框架大致如下（法案仅列举与本文相关）：

1. 个人数据保护：

基本法：PDPD（现行）、PDPL（2026年1月1日生效）
实施细则与指引： Decree 72/2013/ND-CP of 15 July 2013 on the Management, Provision and Use of Internet Services and Online Information（简称“第72号法令”）

2. 数据处理、使用、管理与保护的专门法：

基本法：《数据法》（Law No.60/2024/QH15 for the Data Law）
实施细则与指引：Decree No.165/2025/ND-CP， Decision No.20/2025/QD-TTg on July 1,2025

3. 网络安全：

基本法：《网络安全法》（Law on Cybersecurity）
实施细则与指引： Decree No. 53/2022/ND-CP Detailing Some Articles of Network Security Law（简称“第53号法令”）

本文将简述越南在个人数据保护和重要数据领域的关键合规要求，为出海越南的企业提供越南数据保护的框架，帮助出海企业了解在越南经营红线。

一、管辖范围

PDPL的管辖范围包括：

1. 越南的机构、组织和个人；

2. 在越南的外国机构、组织和个人；

3. 直接参与或涉及处理越南公民以及目前居住在越南、已获得个人身份证明但国籍未定的越南裔人士的个人数据的外国机构、组织和个人。

《数据法》同样适用于越南境内外的机构和个人，只要其涉及在越南的数字数据活动。该法将“数字数据”定义为“以数字形式表现的对象、现象、事件的数据”。

二、核心规定

1.个人数据、基本个人数据和敏感个人数据的定义

1.1 PDPL定义（PDPL第2条）：

个人数据：指以数字或其他形式存在的，能够识别或有助于识别特定个人的信息。
基本与敏感个人数据：基本个人数据是指反映常见个人和背景因素的个人数据，且这些数据常用于交易和社会关系中；敏感个人数据是指与个人隐私相关的个人数据，一旦遭到侵犯，将直接影响机关、组织和个人的合法权益。PDPL注明，具体清单将由政府发布。
去标识化数据：经过去标识化处理后不再是个人数据。

1.2 数据法定义（数据法第3条）：

该法根据数据对国家利益的影响程度进行分类：

重要数据：指可能对国防、国家安全、外交、宏观经济、社会稳定、公众健康和安全产生影响的数据。
核心数据：指直接影响上述领域（国防、安全等）的重要数据。

在2025年7月1日，越南发布了一份决定（Decision No.20/2025/QD-TTg on July 1,2025）。根据该决定，私营部门持有的某些数据集如果超过特定数量门槛，将被归类为“重要数据”或“核心数据”，从而受到更严格的监管。具体门槛如下：

重要数据：未公开的基本公民数据涉及10万至100万人；未公开的敏感公民数据涉及1万至10万人。
核心数据：未公开的基本公民数据涉及100万人以上；未公开的敏感公民数据涉及10万人以上。

2.数据主体的权利和义务（PDPL第4条）

与PDPD相比，PDPL中规定的数据主体权利基本保持不变，即数据主体享有知情权、同意权、访问权、撤回同意权、删除权及限制处理权。此外，PDPL还对数据主体规定了某些义务，包括：

(a) 自我保护其个人数据；

(b) 尊重和保护他人的个人数据；

(d) 遵守个人数据保护法律法规，并参与预防个人数据侵权/违规行为。

3. 个人数据交易

PDPL严格禁止买卖个人数据，除非法律另有规定（PDPL第7条第6款）。

同时，PDPL规定了部分类型的数据传输。根据PDPL第17条第2款，在以下情况发生的个人数据的转移，无论是否收费，均不构成PDPL第7条第6款所述的买卖。

4. 个人数据传输（跨境传输）

PDPL所罗列的可进行数据传输情形如下（PDPL第17条第1款）：

(a) 数据主体已给予同意；

(b) 在同一机构或组织内的部门之间共享数据，以便按照确定的目的进行处理；

(d) 数据控制者或数据控制-处理者按规定将数据传输给数据处理者或第三方（例如独立数据控制者）进行处理；

(e) 应主管国家机关的要求；

(f) 在PDPL规定的无需数据主体同意即可处理个人数据的情况下（请参阅下文关于同意要求的部分）。

跨境传输个人数据，除了要满足法律允许进行数据传输的情形之一外，还需要满足PDPL规定的数据处理影响评估（DPIA）和数据跨境传输影响评估（TIA）规定（请参阅下文关于DPIA和TIA要求的部分）。PDPL第20条规定，跨境传输个人数据包括：
a) 将存储在越南的个人数据传输至越南境外的数据存储系统；
b) 越南境内的机关、组织、个人向境外组织、个人传输个人数据；
c) 越南境内或境外的机关、组织、个人使用越南境外平台处理在越南收集的个人数据。

5. 同意与豁免要求

PDPL维持了PDPD以同意为中心的方法和同意的形式要求，并增加了豁免同意的情形。值得注意的是，PDPL扩大了豁免范围，扩充了“保护利益”的客体范围，除了生命和健康外，新增了保护数据主体的名誉、尊严以及权利和合法利益；将“合同”扩大为协议，意味着不仅限于正式的书面合同，范围更广的法律协议或约定也被纳入豁免范畴。

具体包括如下豁免条件：

(a) 在紧急情况下，为保护个人数据主体或其他人员的生命、健康、名誉、尊严、权利和合法权益（PDPL第19条第1款a项）；

(b) 为履行合同义务（PDPL第19条第1款d项）；

(d) 预防犯罪和违法行为。

对于豁免同意的情况，PDPL要求数据控制者和相关数据处理者实施监控机制以保护数据，包括但不限于实施适当的数据保护措施、定期评估可能的风险、定期检查和评估法律合规性，以及接收和处理相关方的反馈。

PDPL包含一项过渡条款（第39条），允许在PDPL生效日期之前，经数据主体同意或根据符合PDPD的协议进行的个人数据处理活动，可以继续进行，无需重新获取同意或签订新协议。

6.DPIA和TIA

6.1 个人数据

PDPL在21条保留了PDPD关于准备、提交和维护数据处理影响评估（DPIA）和数据跨境传输影响评估（TIA）的要求，并在处理开始后60天内提交给监管机构备案。关于每种影响评估的档案、条件、顺序和程序的详细要求，将由政府在PDPL的实施法令中阐述，我们预估这些要求与PDPD相比，不会有大幅变化。

为了减轻合规负担，除非例外情形，PDPL允许小型企业和初创企业在PDPL生效之日起五年内选择是否遵守DPIA的要求，而个体户和微型企业则无需遵守。但是，如果这些实体提供个人数据处理服务、直接处理敏感个人数据或处理大量数据主体的个人数据，则此豁免不适用。

PDPL第22条要求，如果有任何变更，DPIA和TIA必须每6个月更新一次。在某些情况下必须立即更新，例如公司重组、终止、解散或破产；提供个人数据保护服务的组织或个人发生变更；或出现了新的业务线/活动，或者DPIA和TIA中申报的涉及个人数据的当前业务线/活动发生变更。

在PDPL生效日期（即2026年1月1日）之前，根据PDPD由公安部下属的网络安全与高科技犯罪预防局（A05局）接收的DPIA和TIA将保持有效。但是，在PDPL生效日期之后，对这些档案进行的任何更新都必须符合新的PDPL的要求。

6.2 重要数据

对于被《数据法》归类为“核心数据”和“重要数据”的跨境传输，《数据法》要求必须进行TIA并获得监管部门的批准（针对核心数据）或履行通知义务（针对重要数据）（《数据法》第25条）。具体而言，数据法执行法令之一Decree No.165/2025/ND-CP第12条规定，控制者（越南法律规定为“数据主管方”）只有在收到评估结果为合格的书面通知后，才能决定进行核心数据出境或跨境处理；而对于重要数据，传输方必须建立评估档案，并在进行数据处理前15天将档案正本发送给越南公安部或国防部。

如前定义所述，如果在越南运营的跨国公司将其IT系统放置在境外，导致核心或重要数据（如超过10万人的银行客户数据）流出越南，同样必须提交TIA档案供审查。

若违反规定，越南国防部、公安部有权决定要求停止核心数据、重要数据的跨境传输活动。

7. 数据本地化

根据第72号法令，提供以下基于互联网的服务之一的组织，即社交网络、互联网信息门户、移动网络信息服务和电子游戏，必须在越南境内保留至少一台服务器，以便配合国家机关的信息索取要求（第72号法令第 24、25、28 和 34 条）。

越南《网络安全法》也包含关于控制本地用户数据和数据本地化的条款。如果一个组织（无论是在境内还是境外）通过电信网络或互联网在越南提供服务，或在越南提供其他在线增值服务，则须遵守下列要求：

(a) 需要认证用户身份；

(b) 企业必须在用户注册时收集特定的用户注册数据；

(d) 在收到主管机关的请求后 24 小时内，预防并删除其平台上的反政府、攻击性或煽动性内容。

此外，《网络安全法》对在越南境内的服务器中强制本地存储数据提出了要求。第53号法令对这些要求作了进一步解释。

第53号法令划分了以下需本地化的受监管数据类型：

(a) 越南用户的个人数据；

(b) 由越南用户创建的数据：账户名称、使用时间、信用卡信息、电子邮件地址、IP 地址、最近一次登出记录以及注册电话号码；

根据第53号法令，越南企业必须在越南存储受监管数据。在越南开展业务的外国企业，如果属于以下情形，将被强制要求在越南存储受监管数据，并设立分公司或代表处：

(a) 该外国企业在越南从事以下领域之一的业务：电信服务；数据共享和存储；为越南用户提供国家或国际域名；电子商务；社交网络和社交营销；网络游戏；以短信、电话、视频通话、电子邮件或网络游戏的形式在互联网上提供、管理或运营其他信息；

(b) 该企业提供的服务被用于实施违反《网络安全法》的行为；

8. 违规通知

PDPL的一项关键更新是修改了检测到违规行为后的通知时限。组织现在必须在检测到违规行为起72小时内报告，而不是像以前PDPD要求的那样从发生之时起报告。此外，虽然PDPD仅要求通知监管机构（具体为公安部A05局），但PDPL引入了额外的义务，即在涉及生物识别数据事件或与金融服务提供商相关的事件中，需通知受影响的数据主体。

9. 特殊个人数据保护机制

PDPL针对特定数据主体、特定行业及运营活动以及特定类型的敏感个人数据，包含了特殊的数据保护机制。

特定数据主体群体
根据PDPL，弱势群体（如儿童、丧失或限制民事行为能力的个人，或有认知或行为障碍的人）现在享有更适当和全面的个人数据保护机制。例如，处理儿童数据通常需父母同意。但是，如果数据涉及披露儿童的私生活或个人秘密，且儿童年满7岁或以上，则需要儿童和父母的双重同意。
特定行业和运营活动
PDPL概述了特定行业和运营活动中个人数据处理活动的具体保障措施，包括就业（招聘和员工管理）；健康数据和保险业务；金融、银行和信贷信息活动；广告服务；社交网络平台和在线通信服务；大数据处理、AI、区块链、虚拟宇宙和云计算；以及公共场所和公共活动的音频和视频录制。

其中一些要求可以普遍应用于所有企业；例如，PDPL要求如果求职者未被录用，必须删除/销毁其提供的信息，除非与求职者另有协议。

特定类型的敏感个人数据PDPL规定了处理位置数据和生物识别数据所需的保障措施。

10. 个人数据保护部门及人员

根据PDPL，组织必须任命合格的个人数据保护部门和人员，或聘请外部数据保护组织或个人（服务提供商）。此类个人数据保护部门、人员和服务提供商被PDPL认定为“个人数据保护力量”。越南政府目前尚未提供关于个人数据保护力量的更多细节。

注意，小型和初创企业享有五年的宽限期来决定是否遵守此要求，而个体户和微型企业无需遵守（除非这些实体提供个人数据处理服务、直接处理敏感个人数据或处理大量数据主体的个人数据）。

11. 其他

除上述内容，越南在数据保护影响评估内容、数据主体行权响应等多个方面也有更严格或特殊的要求。

三、违规处罚与生效时间

1. 违规行为的最高行政处罚

PDPL第8条规定，对于与跨境个人数据传输相关的违规行为，组织的最高行政罚款为其上一财政年度收入的5%。如果该组织在上一年度没有收入，或者基于该收入计算的罚款低于30亿越南盾（约合80万元人民币），则适用后者。

对于其他与个人数据保护相关的违规行为，最高行政罚款为30亿越南盾（约合80万元人民币）。

值得注意的是，根据PDPL第8条第3款，买卖个人数据的最高行政罚款为违规所得收入的10倍。如果违规没有产生收入，或者基于收入计算的罚款低于30亿越南盾（约合80万元人民币），则适用后者（即30亿越南盾）。

计算因违反个人数据保护法规而产生的收入的方法，将由政府在即将出台的PDPL指导/实施法令中进一步规定。

2. 生效时间

根据PDPL第38条，PDPL将于2026年1月1日生效。

二、出海越南企业合规安排

综观越南的数据保护法，越南系立法最为严格的东南亚国家之一，监管红线集中在：数据本地化、内容安全和数据跨境，这种对于数据出境的态度，与俄罗斯、中国和美国的数据出境监管属于同一类，即基于对国家安全和意识形态的关注建立了数据出境备案/审批制度，以及不法内容的监管制度，成为出海企业在越南不得逾越的红线，尤其值得被关注和重视。在协助中国企业出海全球的项目实践中，汇业已积累了为出海企业提供越南个人数据保护合规的经验，就其中与监管沟通的部分，汇业通过与我们越南战略合作律所合作共同完成。

*本文作者：黄竞一