法规解读 | 越南正式通过《个人数据保护法》

主要观点总结

越南国会通过了《个人数据保护法》（PDPL），该法旨在确保法律体系的一致性以及与国际法规的兼容性。PDPL为小型企业和初创企业提供了影响评估与数据保护人员任命豁免，同时禁止七类与个人数据滥用相关的特定行为。该法还规定了个人数据传输的条件和禁止行为，以及数据处理影响评估和跨境数据传输影响评估的要求。此外，PDPL还针对特定场景下的个人数据保护设定了详细规范，并明确了处罚机制。

关键观点总结

关键观点1: PDPL的主要目标和适用范围

PDPL旨在确保法律体系的一致性以及与国际法规的兼容性，适用于越南境内外与越南公民及未确定国籍但持有越南身份证的越南裔人士个人数据处理相关活动。

关键观点2: PDPL对小型企业和初创企业的支持

PDPL为小型企业和初创企业提供了为期五年的影响评估及数据保护人员任命豁免，体现了对中小微企业的包容性监管。

关键观点3: PDPL禁止的行为和处罚

PDPL明确禁止了七类涉及个人数据滥用的行为，包括非法买卖个人数据和未经授权的使用。违法者可被处以高额罚款，最高达非法获利金额的10倍或上一财年收入的5%。

关键观点4: 个人数据传输的规定

PDPL规定了个人数据传输的条件，允许在获得数据主体同意、组织重组或国家机关要求等特定情形下进行，并强调了传输不得被视为数据买卖。

关键观点5: 数据处理影响评估和跨境传输影响评估的要求

PDPL要求个人数据处理影响评估（DPIA）和跨境传输影响评估（TIA）档案需在首次处理后60日内提交专责机构，且至少每6个月更新一次，以确保数据处理风险持续可控。

关键观点6: 特定场景下的个人数据保护规范

PDPL针对儿童、健康信息、金融数据等高风险场景设立了专门保护规则，强调数据处理的合法性和透明度。

关键观点7: PDPL与中国《个人信息保护法》和欧盟GDPR的比较

PDPL同样强调数据主体权利保护、风险评估和跨境数据管理。与中国的《个人信息保护法》和欧盟的GDPR相比，PDPL对中小微企业提供了合规豁免，并在部分安全考量方面与中国法律较为接近。

免责声明