文章分类
一、简介
越南期待已久的第一部全面的数据隐私法,《关于保护个人数据的第13/2023/ND号法令》最终于2023年4月17日颁布。该法令没有过渡期,将于2023年7月1日生效。在此之前,继2022年3月通过的第27/NQ-CP号决议之后,2023年2月7日发布了第13/NQ-CP号决议。
该法令适用于所有在越南设有办事处或在越南开展数据处理活动的越南和外国公司。
根据该法令,个人有权访问、更正和删除其个人数据,组织必须遵守这些要求。该法律还要求各组织实施适当的安全措施,以保护个人数据的安全,并将任何数据泄露情况通知当局。
违反越南数据隐私法可能会导致纪律处分和行政制裁,并可能受到刑事指控,这将取决于违规的严重程度。为了避免潜在的法律和财务影响,在越南运营的企业必须确保其数据处理业务符合越南的数据保护法。
二、谁需要遵守越南第13/2023/ND号法令
A.材料和地域范围
该法令适用于越南和外国的组织、机构和个人。它适用于任何设在越南或在国外经营并参与处理个人数据的越南机构、组织或个人。该法令还涵盖在越南境内处理个人数据的任何外国机构、组织或个人。该法令的规定表明了越南个人数据保护法的域外范围。
三、 关键术语的定义
A.个人资料
个人数据是以符号、字母、数字、图像、声音或电子媒介的形式与特定个人相关联或有助于识别特定个人/身体的信息。根据该法令,个人数据包括基本个人数据和敏感个人数据。
B.基本个人资料
个人基本数据包括个人的:
- 全名、中间名、出生名和任何其他姓名(如有);
- 出生日期;日、月、年死亡或失踪;
- 性别
- 出生地、出生登记地、永久或临时居住地、家乡、联系地址;
- 国籍
- 个人形象;
- 电话号码、身份证号码、个人识别号码、护照号码、驾驶执照号码、车牌号码、个人税务识别号码、社会保险号码、医疗保险卡号;
- 婚姻状况;
- 家庭关系信息(如其父母和/或子女);
- 有关个人数字账户的信息;和
- 反映网络空间活动和活动历史的个人数据。
C.敏感个人数据
敏感个人数据是指当被侵犯时,将直接影响个人合法权益的任何个人数据,包括:
- 政治观点、宗教观点;
- 健康状况、医疗记录,不包括血液信息;
- 种族或民族出身信息;
- 遗传或获得的遗传特征信息;
- 物理属性和生物学特性;
- 性生活、性取向信息;
- 执法机构收集和存储的犯罪数据;
- 信贷机构、外国银行分行、支付中介服务提供商和其他授权机构的客户信息,包括:
- 法律规定的客户身份信息,
- 关于账户的信息,
- 关于存款的信息,
- 关于存放资产的信息,
- 关于交易的信息,
- 关于作为信贷机构担保人的组织和个人的信息,
- 银行分行,
- 支付中介服务提供商,
- 通过位置服务识别的个人的位置数据。
D.同意
数据主体的同意是对数据主体处理个人数据的许可的明确、自愿、肯定的表达。
E.控制者
个人数据控制者(“数据控制者”)是指决定处理个人数据的目的和方式的组织或个人。
F.处理者
个人数据处理者(“数据处理者”)是指通过与控制者签订的合同或协议代表控制者进行数据处理的组织或个人。
G.第三方
第三方是指除数据主体、数据控制者或数据处理者之外被允许处理个人数据的组织或个人。
IV、 越南第13/2023/ND号法令规定的组织义务
A.法律依据要求
该法令要求根据处理原则处理个人数据。这些原则如下:
- 合法、公平和透明:必须依法处理个人数据,除非法律另有规定,否则应让数据主体了解他/她的个人数据处理相关活动;
- 目的限制:个人数据只能用于相关方(如数据控制方、数据处理方和任何第三方)已注册和最初声明的目的;
- 数据最小化:收集的个人数据必须是适当的,并在其初始收集的范围和目的内受到限制;
- 准确性:必须根据处理目的不断更新和补充个人数据;
- 完整性、保密性和安全性:在处理个人数据的过程中,应实施保护和安全措施,以防止违规行为,并防止和减轻事件造成的损失、破坏或损害,包括使用适当的技术措施;
- 存储限制:除非法律另有规定,否则个人数据只能存储一段适合数据处理的时间;
- 问责:数据控制者和处理者负责确保遵守数据处理原则。
此外,该法令向前迈进了一步。它引入了“禁止出售个人数据”的原则,规定不得以任何方式购买或出售个人数据。特别是,根据法律,未经数据主体明确同意,建立软件系统或实施技术措施,以及收集、转让、购买或出售个人数据都是非法的。
B.同意要求
该法令概述了与获得数据主体同意有关的一些要求,其中包括以下规定:首先,除非法律另有规定,数据主体的同意适用于个人数据处理过程中涉及的所有活动。此外,只有在数据主体知情且自愿提供以下信息的情况下,数据主体的同意才被视为有效:
- 要处理的个人数据的类型;
- 处理个人数据的目的;
- 允许组织和个人处理个人数据;
- 数据主体的权利和义务。
除非法律另有规定,数据主体的同意适用于处理个人数据所涉及的所有活动,并且只有在他/她知情且自愿提供所需信息的情况下才被视为有效。
数据主体必须通过书面、语音或勾选同意框、使用适当的短信语法、选择适当的技术设置或采取其他行动澄清同意,表达其同意。当处理数据有多个目的时,数据控制者和处理者必须列出所有目的,以便数据主体可以决定是否同意其中一个或多个目的。
该法令进一步规定,数据主体的同意书必须是可以打印、书面复制、电子或验证的形式。必须注意的是,数据主体的沉默或缺乏回应并不构成同意,可以给予部分或有条件的同意,并且数据主体的同意在数据主体做出其他决定之前是有效的。
无论何时处理敏感的个人数据,都必须告知数据主体。最后,数据控制者和数据处理者各自负责在发生争议时证明数据主体的同意。
C.数据控制器和数据处理器要求
根据该法令,数据管理员负有多项关键责任。作为个人数据控制者的组织有义务实施组织和技术措施以及适当的安全保障措施,以证明数据处理符合法律规定。还必须定期审查和更新这些措施。
数据控制者对数据主体因处理个人数据而造成的损害负责,因此必须确保数据主体的权利得到履行。他们还必须努力选择和任命一名符合特定授权并采取必要安全措施的数据处理人员。数据管理员还需要维护个人数据处理方式的系统日志,并发布违规通知。
另一方面,数据处理者只能在与数据控制者签订数据处理合同或协议后才能接收和处理个人数据。此外,数据处理者还应采取技术和组织措施,确保个人数据的安全和完整性,因为数据处理者也可能对数据主体承担处理过程中造成的任何伤害的责任。数据处理完成后,数据处理器需要删除所有个人信息,并将其提供回数据控制器。
与该部的合作
数据控制者和数据处理者都负责与公安部和其他相关国家机构合作,并共享信息,以帮助调查和处理违反个人数据保护立法的案件。
D.儿童个人数据处理要求
应始终根据保护儿童权利的原则和儿童的最大利益处理儿童的个人数据。在处理儿童的个人数据时,必须征得儿童以及父母/监护人的同意,并且儿童必须年满7岁。因此,在处理儿童的个人数据之前,数据控制者、数据处理者、数据控制者和处理者以及第三方必须确认儿童的年龄。
在以下情况下,数据控制器和数据处理器会停止处理儿童的个人数据,永久删除或销毁,如果:
- 为不正当目的处理数据,或在数据主体同意的情况下实现处理个人数据的目的;
- 儿童的父母或法定监护人撤回对处理儿童个人数据的同意;和
- 在有充分理由证明处理个人数据影响儿童合法权益的情况下,应主管当局的要求。
E.安全要求
该法令规定,个人数据保护措施必须从处理开始到结束实施。这些措施包括参与处理个人数据的个人或组织所采取的管理和技术措施。国家主管管理机构还应根据相关法律和本法令采取措施保护个人数据。此外,国家主管机构可以采取调查和程序措施,确保个人数据得到保护。
F.数据泄露要求
如果一个组织发现违反该法令的任何规定,它必须在违法行为发生后72小时内通知公安部、网络安全和高科技犯罪预防司。任何逾期通知均应附有正当理由。通知中必须包括以下内容:
- 对违约性质的描述,包括违约时间、地点、性质、相关方以及受影响的个人数据的类型和数量;
- 数据保护官员的联系方式;
- 违约可能造成的后果;和
- 正在采取的任何补救措施。这种通知可以分阶段发出。
G.数据保护影响评估
数据控制者和数据处理者应从开始处理个人数据之时起,应准备并保留其个人数据处理影响评估记录。该影响评估报告应包括数据控制者和数据处理者的详细信息和联系方式,以及各自数据保护官员的详细信息(姓名和联系方式)。报告还必须概述数据处理的目的、正在处理的数据类型、数据接收方(包括越南以外的接收方)以及任何向国外转移个人数据的情况。
此外,报告应强调保留期和安全措施,并评估处理过程中的任何风险或危害以及这些风险或危害的任何缓解方法。这些评估报告必须提供给公安部、网络安全和高科技犯罪预防司(监管机构)进行审查和评估,并且必须在数据处理完成之日起60天内使用法令附录中的表格4发送原件。还必须使用法令附录中的05号表格告知监管机构任何修改。
H.第三方处理要求
参与处理活动的任何第三方都应确保采取适当的安全措施来保护个人数据。第三方可在获得数据控制者和数据处理者的书面同意后,并在充分确保已获得数据主体的同意后,编辑数据主体的个人数据。在处理儿童的个人数据时,第三方必须在处理儿童个人数据之前核实儿童的年龄。
I.跨境数据传输要求
要将越南公民的个人数据转移到国外,需要提供以下信息:
- 个人数据发送者和接收者的姓名和联系信息;
- 数据传输负责人的姓名和联系方式;
- 越南公民的个人资料被转移到国外的原因;
- 哪些类型的个人数据被转移到国外;
- 如何遵守个人数据保护法规以及采取了哪些措施来保护数据;
- 评估转移个人数据对个人的影响,以及正在采取哪些措施将任何伤害降至最低;
- 个人数据被转移者的协议,以及在需要时如何提出投诉的信息;和
- 证明传输和接收个人数据的双方已同意遵守有关保护个人数据的规定。
向国外转移个人数据的影响评估相关文件必须可供公安部检查。原件应在处理个人数据之日起60天内交给监管机构。
在以下情况下,公安部有权阻止在越南境外转移个人数据:
- 调查发现,这些个人数据被用于违反越南利益和安全的活动;
- 发送数据的一方不遵守越南在国际协议中同意的管理和保护个人数据的规则;和
- 存在越南公民的个人数据丢失或未经许可共享的情况。
J.特别规定
销售营销服务或为产品做广告的人和公司只有在客户同意的情况下才能将从客户那里收集的个人信息用于这些目的。要将客户的个人信息用于营销服务或广告,客户必须同意并知道他们的信息将如何使用,例如将推出什么产品以及多久推出一次。销售营销服务或为产品做广告的公司和人员在使用客户的个人信息进行营销和广告时,必须证明他们遵守了本法令的规定。
根据该法令,越南将建立一个国际合作框架,以帮助确保个人数据保护法律的有效实施。它应参与与其他当局交换法律信息和潜在的调查协助,以及在保护其他国家的个人数据方面的司法协助。
五、数据主体权利
根据该法令第9条,数据主体有十一项权利,包括:
1.知情权
数据主体有权了解其个人数据处理情况。
2.同意权
数据主体可以自由同意或反对处理其个人数据。
3.访问权
数据主体有权访问、查看和要求更正其个人数据。
4.撤回同意的权利
数据主体有权撤销同意。
5.删除数据的权利
资料当事人有权要求删除其个人资料。
6.限制数据处理的权利
数据主体可以要求限制对其个人数据的处理。该限制必须在数据主体提出要求后72小时内执行,数据主体要求限制的所有个人数据。
7.提供数据的权利
数据主体可以请求数据控制器向他们提供正在处理的个人数据。
8.反对数据处理的权利
数据主体可以阻止或限制个人数据的披露或将个人数据用于广告和营销目的。请求必须在收到请求后72小时内完成。
9.申诉、谴责和提起诉讼的权利
数据主体有权依法投诉、声讨或提起诉讼。
10.要求损害赔偿的权利
数据主体有权在违反其个人数据保护规定时依法要求损害赔偿,除非双方另有约定或法律另有规定。
11.自卫权
根据《民法典》、其他适用法律和本法令的规定,数据主体有权保护自己,或者他们可以要求主管机构和组织根据《民法》、其他应用法律和本命令的规定实施民权保护措施,如《民法典第11条所述。
六、 监管机构
公安部网络安全和高科技犯罪预防控制司是负责执行该法令的机构,也是监管机构。它与公安部合作,执行国家数据保护管理。
七、不合规处罚
如果一个组织违反了该法令,它可能会受到纪律处分、行政制裁或根据该法令发布的法规进行的刑事处罚。
八、一个组织如何运作越南第13/2023/ND号法令
各组织可通过以下步骤实施越南第13/2023/ND号法令:
- 识别组织收集、使用、存储和共享的个人信息;
- 识别处理活动中的角色,即组织是数据控制者、数据处理者还是第三方;
- 确定处理的合法依据;
- 实施机制,有效回应数据主体行使权利的请求;
- 进行数据保护影响评估,以确定处理的个人数据类型、处理目的以及潜在的隐私影响;
- 实施适当的保障措施,以保护个人数据的机密性、完整性和可用性;
- 制定隐私计划,包括管理和保护个人信息的政策、程序和控制措施;
- 向个人提供清晰简洁的隐私声明;
- 对员工进行隐私计划、隐私政策和程序方面的培训;和
- 制定应对计划以应对数据泄露。
常见问题解答
越南有数据保护法吗?
越南实施了数据保护条例,包括《网络安全法》和《个人信息保护法》。这些法律管辖着国内的数据隐私和网络安全。
越南有数据保护法吗?
越南实施了数据保护条例,包括《网络安全法》和《个人信息保护法》。这些法律管辖着国内的数据隐私和网络安全。
GDPR适用于越南吗?
《通用数据保护条例》(GDPR)主要适用于欧盟(EU)和欧洲经济区(EEA)。然而,如果越南组织处理欧盟或欧洲经济区个人的个人数据,它可能需要遵守GDPR关于保护该数据的要求。
越南的第13号法令是什么?
越南第13/2023/ND号法令是一项期待已久的、有史以来第一部全面的数据隐私法,适用于所有在越南设有办事处或在越南开展数据处理活动的越南和外国公司。
越南的数据主体权利是什么?
根据越南第13/2023/ND号法令,数据主体权利包括知情权、同意权、访问数据权、撤回同意权、删除数据权、限制数据处理权、提供数据权、反对数据处理权,要求损害赔偿的权利和自卫的权利。
- 登录 发表评论