2021年2月,越南发布了首部《个人数据保护法令》草案,该草案总体采用了GDPR的框架,曾计划于2021年12月1日颁布并生效但并未能实现。此后,越南政府于2023年4月17日颁布了第13/2023/ND-CP 号《个人数据保护法》(Personal Data Protection Decree,简称PDPD,以下简称“本法”),已于今年7月1日正式生效,为出海企业提出了新的合规要求。
越南的低成本优势吸引了许多中国企业前往投资。在这种背景下,中国出海越南企业应该重视越南个人数据保护法的生效和实施,并进行相应的合规工作。
本法适用于在越南直接参与或与个人数据处理业务有关的所有实体,包括:直接参与越南境内个人数据处理活动或与之相关的外国机构、组织和个人。本法还扩展了个人数据和数据处理的定义。根据本法第2.1条,“个人数据”分为“基本个人数据”和“敏感个人数据”两组,法令详细规定了每组数据的清单。本法扩展了《网络安全领域行政违法行为处罚法令》中提及的受监管主体类别,确认了“数据控制者”和“数据处理者”这两个术语,对“数据控制和处理实体”的概念作了规定,但总体未脱离欧盟《通用数据保护条例》(GDPR)的概念和结构。基本个人数据包括姓名;出生日期;死亡或失踪日期;性别;出生地、常住地、暂住地、现居住地;国籍;个人图像;电话号码;身份证号码或个人身份号码、护照号码;驾照、车牌;个人税号;社会保险、医疗保险号码;婚姻状况;家庭关系。敏感个人数据是与个人隐私相关的个人数据,一旦被侵犯,将直接影响个人的权利和利益,其中包括政治观点、宗教;医疗记录中记录的健康状况和私人生活;种族或民族血统;遗传特征;独特的生物特征;性生活和性取向;执法部门收集或存储的违法行为;银行客户信息,如身份、账户、存款、存入资产、交易;通过定位服务确定的个人位置等信息。05
对有效同意、敏感个人数据处理和跨境数据传输提出了新要求
1. 在进行个人数据处理之前和整个过程中,个人数据控制者和个人数据处理者需要获得数据主体的同意,适用于所有活动,除非法律另有规定。数据主体的同意必须明确表达,具体表现为书面、语音、勾选同意框、短信同意语法、选择同意设置或其他表明同意的行为,并可以打印、复制为书面形式,包括电子或可验证格式。应注意的是,数据主体的沉默或不回应不被视为同意。2. 在处理敏感数据时,数据处理者必须指定一个具有保护个人数据职能的部门,任命负责个人数据保护的人员,并与个人数据保护机构交换有关负责个人数据保护的部门和个人的信息。3. 向国外转移越南公民个人数据必须进行转移影响评估,其中必须包括 (i) 出境方和目的方以及参与转移的任何其他各方的详细联系信息;(ii) 转移的目的;(iii) 转移的个人数据类型;(iv) 为保护数据而采取的安全措施;(v) 对此类处理的影响以及为减轻任何风险或危害而采取的任何措施的评估;以及(viii) 为保护数据而采取的安全措施等。向国外转移个人数据的评估材料必须接受公安部的检查,相关主体须在处理个人数据之日起60天内,根据本法附录中的第06号表格,向公安部提交档案原件。为了确保保护个人数据权利和防止个人数据泄露的能力,本法第 26、27 和 28 条规定了处理个人数据期间应采取的个人数据保护措施,其中包括:- 国家主管机构采取的调查和程序措施以及法律规定的其他措施。
本法还为在越南建立个人数据保护网站提供了法律依据:越南公安部下属的网络安全和高科技犯罪预防局将成为个人数据保护的专门机构。本法禁止以任何形式买卖个人数据。根据该法令第4条的规定,对违反个人数据保护规定的机构、组织和个人,包括依法预防、发现、制止和处理与个人数据有关的违法行为和保护责任,可根据情节轻重,给予纪律处分、行政处罚、刑事处理。此外,根据本法第49条,除直接从事个人数据处理活动的微型企业、小型企业、中型企业和新创企业外,允许微型企业、小型企业、中型企业和新创企业选择在企业成立后的前2年内免于遵守关于个人身份认定和个人数据保护的规定。需要注意的是,本法并没有明确对数据本地化进行要求,但相关企业应对此保持关注。除此之外,向越南境外传输个人数据,数据处理主体还须填写并提交跨境个人数据传输影响评估档案(“TIA档案”)。在组织违反国家安全、提交不完整的TIA档案或丢失或披露越南公民个人数据的情况下,监管机构可能会停止数据传输。对于出海越南的企业而言,数据跨境传输和本地合规同样重要,因此需要尽快根据本法检视相关的合规事项,以免违规带来不必要的损失。
作者简介
冯超,资深知识产权律师,泰和泰(北京)律师事务所高级合伙人。
冯超律师毕业于美国杜克大学和中国外交学院,获得法学硕士学位,曾在知名国际和国内律所执业。过去二十年里,冯律师代理了大量知识产权申请案件、知识产权侵权、确权诉讼案件、不正当竞争案件和与知识产权相关的反垄断案件,参与了大量知识产权交易合同的起草、谈判和执行。同时,冯律师在网络安全、数据保护和数据合规领域具有丰富经验,是较早关注并从事企业数据安全与保护、数据跨境传输相关法律业务的律师之一,并获得ALB、MIP、WTR、Legal band、AsiaIP等国内外权威评级机构的认可和推荐。
冯超律师团队由十余名毕业于国内外知名法学院的律师和专利代理人组成,团队成员均具有法学硕士或博士学位,可用中、英、日、法、马来语等向客户提供知识产权、数据保护、外商投资、民商事争议解决等领域的法律服务。
联系方式:
+86-13910336970
Charlesfeng@tahota.com
Fchao7847@hotmail.com
作者:冯超 王婉怡 薛莲
编辑:Sharon
点击图片查看文章
(www.pharmaip.cn)
(www.meddeviceip.com)
(www.caiips.com)