一、《越南数据法》将于2025年7月1日生效

《越南数据法》自2025年7月1日起正式施行，旨在规范数字数据管理，明确设立国家数据中心和国家综合数据库。该法对数据分类、质量保障、加密及销毁等环节作出具体规定，并将数据划分为非个人数据、内部数据、开放数据、综合数据、关键数据、核心数据和重要数据等类型。

1. 数据分类要求

根据第十三条，国家机关需基于管理、处理和保护需求对数据进行分类，包括：

• 按共享性质：共享数据、内部数据、开放数据；
• 按重要程度：核心数据、重要数据、其他数据；
• 其他由管理者确定的标准。

非国家机关的数据所有者和管理者须参照重要性标准分类，核心数据与重要数据的具体认定标准由政府另行制定。

2. 跨境数据传输规定

第二十三条规定，跨境传输或处理核心数据、重要数据包括以下情形：

• 将存储于越南的数据传至境外系统；
• 向境外组织或个人传输数据；
• 使用境外平台处理数据。

上述活动须符合越南法律及国际条约，确保国家安全、公共利益及数据主体权益。核心数据的跨境传输须经政府总理评估批准，重要数据由公安部负责评估，且需通过法定数据安全评估程序。

3. 数据收回、删除与销毁

第二十六条规定，数据主体有权要求数据所有者或管理者收回、删除或销毁其提供数据（法律另有规定除外）。数据管理者应建立相应流程并采取技术措施予以执行。国家机关需定期更新所管理数据，并保留操作历史记录。其他数据管理者应依法实施数据整合、备份、传输、移交、删除等操作。

二、《个人数据保护法》（PDPL）将于2026年1月1日生效

越南于2025年6月26日通过《个人数据保护法》（PDPL），将于2026年1月1日施行。该法具有域外效力，即使境外企业未在越南设实体，只要处理越南公民个人数据，均须遵守。

PDPL填补了此前第13/2023/ND-CP号法令在全面性上的不足，对标欧盟GDPR标准，成为越南个人数据保护领域的里程碑立法。

主要合规要求包括：

• 跨境传输：须开展影响评估并在60日内备案；集团内员工数据存储至境外云平台可豁免；
• 同意机制：必须取得明示同意，禁止默认勾选或默示同意；
• 差异化监管：微型企业豁免评估与数据保护官义务；小型企业与初创企业享有5年缓冲期，可自主决定是否履行相关义务。

处罚力度严厉：

• 跨境个人数据传输违规：罚款30亿越南盾（约11.5万美元）或上一财年全球收入的5%，取较高者；
• 非法买卖个人数据：最低罚款30亿越南盾，最高为非法所得的10倍；
• 其他违规行为：最高罚款30亿越南盾。

行业特定规则（第25–32条）：

• 招聘与就业：仅限收集与职位相关数据，须获候选人同意；未录用者数据应删除，除非另有约定；
• 医疗保健与保险：处理健康数据须取得同意；再保险公司向合作伙伴传输数据，须在合同中明确条款；
• 银行与金融：未经同意不得使用信用信息进行评分；
• 社交媒体：平台须提供“选择退出追踪”功能，禁止未经授权的通话监听、录音及信息读取；
• 新兴技术（大数据、AI、云计算、区块链）：系统须合法合规、符合伦理、具备内置安全控制；
• 生物特征数据：须实施物理安全与访问控制，监控行为须可审计。

总体来看，越南正加快构建数据治理与个人隐私保护法律体系，企业需尽快建立合规机制，防范高额处罚与运营风险。缺乏合规准备的企业将面临严峻监管挑战。