越南新《个人数据保护法》：企业需知

越南已正式通过《个人数据保护法》（第91/2025/QH15号，简称"PDPL"），标志着越南从法规层面的规则迈向了全面的立法框架。该法自2026年1月1日起生效，提高了合规要求，尤其对在越南开展经营及/或处理越南个人数据的外国企业而言。

下文将分述主要变化、合规风险及企业须采取的准备措施。

I. 关键修改条款

1. 新增禁止性规定与严厉制裁措施（第7 条、第8条）

该法增设了多项禁止性规定，对在越南处理个人数据的主体具有相应后果：

• 利用他人个人数据，或允许他人使用本人个人数据，实施违法行为。 
• 买卖个人数据，除非法律另有明确规定。 
• 窃取、故意泄露或销毁个人数据。

国会常务委员会认为，全面禁止个人数据交易具有必要性，此举旨在打击网上普遍存在的个人数据售卖行为并防止内部滥用。该委员会主张，个人数据与个人隐私及身份相关，并非商品。

为执行上述禁止性规定，该法规定了严厉的处罚机制：

• 违规跨境传输个人数据：罚款范围为30亿越南盾（约合11.5万美元）至上一财政年度总收入的5%。 
• 非法买卖个人数据：最低罚款为30亿越南盾，最高为 违法所得的10 倍。 
• 其他违规行为：罚款最高为30亿越南盾。

此类处罚表明，数据保护如今已成为一项严肃的合规义务，而不再是单纯的政策愿景。

2. 高风险行业的特定规则（第25-32 条）

与第13/2023/ND-CP号法令（"第13号法令"）不同，该法增加了针对敏感行业和新兴技术领域数据处理的详细规定：

• 招聘与就业（第 25条）：仅可收集与招聘相关的数据。处理此类数据需获得候选人同意。若候选人未被录用，其数据必须删除，除非另有约定。 
• 医疗与保险（第 26条）：处理健康数据必须获得同意（有限例外情形除外）。再保险人若向合作伙伴传输客户个人数据，必须在客户合同中纳入数据传输条款。 
• 银行与金融（第 27条）：未经同意，不得将信用信息用于评分。 
• 社交媒体（第 29条）：平台必须提供"退出追踪"功能。未经明确约定，窃听、通话录音及读取信息的行为均被禁止。 
• 大数据、人工智能、云计算、区块链（第 30条）：相关系统必须符合法律规定，遵循伦理标准，内置安全控制措施等。 
• 生物识别数据（第 31条）：必须采取物理安全措施及访问限制。追踪与监控行为必须可审计。

3. 同意（第9条）

同意必须是自愿、具体、充分知情的，且需针对每一项目的分别作出。此外，《个人数据保护法》（PDPL）还禁止企业将任何要求同意超出约定目的之条件纳入其中。因此，与无关服务捆绑或宽泛笼统的同意方式，可能会使企业面临执法风险。

4. 强制性影响评估（第20-21 条）

企业必须向越南数据保护机构提交：

• 数据处理影响评估（"DPIA"）：需在开始处理数据之日起60日内一次性提交。
• 跨境数据传输影响评估（"CTIA"）（在涉及跨境数据传输的情况下）：同样需在首次传输之日起60日内提交。不过，《个人数据保护法》对某些跨境传输活动免除了跨境数据传输影响评估要求，例如：
• • 国家机构进行的数据传输；
  • 员工数据在云端存储的情形；
  • 数据主体自行传输其个人数据的情况。

若依据本法提交了影响评估报告，则无需再依据其他数据相关法律进行进一步的风险评估。这种统一协调机制确保避免了重复评估，但也给企业带来了压力，要求其首次提交时就务必确保内容准确无误。

5. 小型企业及初创企业的有条件豁免（第38 条）

在该法律生效后的五年内，小型企业和初创企业可：

• 免于提交数据处理影响评估报告；且
• 暂缓任命数据保护官（DPO）。

但此项豁免仅在以下情形下适用：

• 不处理敏感数据或大量个人数据；且
• 不提供数据处理服务。

尽管政府将就这些豁免情形提供进一步指引，但企业仍应谨慎评估自身是否符合豁免条件，并随着业务发展定期重新评估。

6. 过渡条款提供有限宽限（第三十九条）

依据第13号法令正在进行的数据处理活动，可继续开展而无需重新获取同意。根据该法令已提交的影响评估报告仍然有效。然而，2026年1月1日之后对这些评估报告所做的任何更新，均须符合《个人数据保护法》的规定。企业应将此视为一个短暂的过渡期，以尽快升级其合规体系。

II. 更严格的执法环境与合规路线图

新法在公众对数据泄露事件频发以及政府加强执法力度日益担忧的背景下颁布通过。仅在2025年上半年，有关部门就破获了56起非法数据交易案件，涉案记录超过1.1亿条。 ¹值得注意的是，2025年5月，因Telegram拒绝配合刑事调查提供用户数据，政府责令电信运营商封锁该平台。 ²这些事件彰显了政府加强监管的决心。违反相关规定不仅会面临罚款，还可能导致企业被禁止进入越南市场。

虽然对于已遵循第13号法令要求的企业而言，《个人数据保护法》不会立即引发大量合规义务，但尚未完成合规行动的企业应密切关注相关立法指引，并着手开展以下工作：

第一阶段：筹备

• 数据盘点：识别所有类型的个人数据，将其分类为一般数据或敏感数据。梳理数据在组织内外的流动路径。
• 合规差距分析：将现行做法与《个人数据保护法》要求进行比对，明确需改进之处。
• 人员与技术筹备：任命数据保护官，划拨预算并配置技术支持。

第二阶段：实施与持续审查

• 更新制度文件：根据新要求重新起草同意书及隐私政策。
• 编制并提交影响评估报告：收集证据以完成评估报告编制工作。建立流程机制，确保在60天申报期限内完成提交。
• 聘请外部法律顾问：结合企业业务运营实际，制定具有前瞻性且切实可行的全面合规战略。

简言之，越南《个人数据保护法》为数据保护提供了法律确定性，但也要求企业迅速且持续地采取行动。采用最低限度合规做法的商业主体可能面临更高的监管风险。相反，将数据保护融入公司治理与业务运营的企业，将更能适应越南不断发展的数字经济。

作者: Yen Vu, Huy Nguyen, Ly Nguyen, Uyen Doan,  Nguyet Nguyen

Footnotes

1.  https://vneconomy.vn/xam-pham-du-lieu-ca-nhan-co-the-bi-phat-toi-da-den-5-doanh-thu-nam-lien-ke.htm?utm_source=chatgpt.com

2.  https://www.reuters.com/sustainability/society-equity/vietnam-acts-block-messaging-app-telegram-government-document-seen-by-reuters-2025-05-23/?utm_source=chatgpt.com

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.