越南个人数据保护新规：第356号法令要点解析

Article Insights

Yen Vu’s articles from Rouse are most popular:

within Privacy topic(s)
with readers working within the Utilities industries

Rouse are most popular:

within Media, Telecoms, IT, Entertainment, Technology and Corporate/Commercial Law topic(s)
in European Union

第356/2025/ND-CP号法令（下称"第356号法令"）已于2026年1月1日正式生效，该法令为《个人数据保护法》（PDPL）的具体实施提供了全面的操作指引。相较于第13/2023/ND-CP号法令，第356号法令已从原则性框架转变为具体可执行的合规要求。

本文旨在梳理第356号法令的核心规定，相关组织应立即着手落实合规要求。

一、第356号法令的核心要点

1. 敏感个人数据处理义务强化

和此前的法规相比，第356号法令采用非穷尽清单形式，显著扩展了敏感个人数据的界定范围。¹值得注意的是：

银行业敏感个人数据现包括：账户登录凭证、银行卡信息、交易记录，以及授权机构持有的客户金融、证券和保险信息。
个人电子身份账户的登录凭证（含身份证件及公民身份证图像）首次被纳入敏感数据清单。
第356号法令还将与电信服务、社交网络、在线媒体及其他网络服务使用相关的行为追踪数据列入敏感个人数据。

处理敏感个人数据需制定严格的访问控制规则、处理流程及安全措施（例如存储传输设备的物理安全、数据加密和匿名化等）。此外，在获取数据主体同意时，必须明确告知其涉及的是敏感数据。²

与之相关，第356号法令对涉及以下两类敏感数据的安全事件增设了专门通报义务：个人位置数据与生物识别数据。数据控制者或处理者必须在发现事件后72小时内，同时向公安部及受影响用户发出通知。如因技术或紧急情况无法逐一通知，需通过官方网络渠道发布公告，待条件允许时补发个别通知。相关事件记录须在整改完成后至少保存五年。³

2. 提高同意获取标准

第356号法令明确和加强了有效同意的要求，要求企业重新评估其同意机制的设计方案：

同意可通过书面形式或经记录的电话、短信、电子邮件、网站、平台、应用程序或其他可验证的方式获取。
同意机制必须能够验证同意的时间、内容范围以及数据主体的身份。
明确禁止默认同意、默示同意，或通过强制性或误导性设计（模糊同意与不同意之间的区别）获取同意。⁴

3. 关于个人数据传输制定更详细和更严格的规则

第356号法令规定：

数据传输协议需明确处理目的、责任划分、法律依据及数据主体权利保障。
在符合既定处理目的的前提下，内部数据共享必须建立内部控制机制，以确保数据使用的合法性，并防止向第三方非授权披露。
数据交易所交易前必须对个人数据进行匿名化处理。

该法令还要求加强对有偿数据传输的管控，并进一步明确数据处理各方的角色与责任边界。⁵

这些新规要求企业在数据传输和处理的全生命周期内，建立完整的协议框架、控制系统、安全措施及端到端合规机制。

4. 细分行业的个性化个人数据保护要求

该法令对强监管行业和技术驱动型行业的企业提出了针对性的合规要求，包括金融、银行、信用信息以及涉及大数据、人工智能、区块链、虚拟环境和云计算等领域的企业。具体要求包括：

金融、银行和信用信息：企业必须满足更高的数据治理标准，包括严格执行数据保护规则、记录所有数据处理活动并开展年度合规评估。⁶
大数据处理：企业必须限制数据收集、加强员工培训、控制第三方访问，并实施强制性的技术保障措施，如多因素认证、加密、匿名化和持续监控。⁷
人工智能系统和虚拟环境：企业必须确保透明度和问责制，向数据主体提供明确的通知、解释核心算法原理，并在自动化处理或推断数据可能识别个人身份时，允许数据主体选择退出。⁸

5. 关于个人数据保护官资格的新要求

第356号法令首次明确规定，机构组织的个人数据保护官必须满足以下条件：

（1）至少持有大学本科学历；

（2）毕业后具备两年以上相关领域的工作经验；

（3）接受过个人数据保护法律及专业技能的正式培训。⁹

6. 数据处理服务提供商新规

第356号法令将运营自动化处理系统、在线数据采集、数据分析、挖掘和加密等活动明确为数据处理服务。提供此类服务的机构必须是越南注册实体，需获得公安部颁发的资质认证，并满足人员、技术及运营方面的法定要求。¹⁰

二、执法现状分析

根据第356号法令，企业须接受定期及专门的个人数据保护合规检查。此类检查的启动条件包括涉嫌违规、主管部门指令或常规国家管理需要。检查范围涵盖企业整体合规情况、影响评估（含跨境传输评估）以及个人数据处理服务提供情况。¹¹

随着监管环境的快速发展，企业已无法回避合规要求。隐私保护实践正面临监管机构与公众的密切审视，执法手段也在不断强化。

值得关注的是，即将出台的数据保护行政处罚条例将进一步强化监管力度。《处罚法令》草案2.0版确立了严格的执法框架，包括高额罚款、暂停营业许可等处罚措施，以及强制数据删除和系统整改等纠正要求。虽然正式发布时间尚未公布，但预计该条例将于2026年上半年生效，为公安部的执法工作提供有力依据。因此，企业必须立即行动，识别并整改存在的合规差距。

^{1. Article 4}

^{2. Article 6.4}

^{3. Article 29}

^{4. Article 6}

^{5. Article 7}

^{6. Article 8}

^{7. Article 9}

^{8. Article 10}

^{9. Article 13.2}

^{10. Articles 21 and 22}

^{11. Article 31}

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.