文章分类
很难在一个月内不向你更新可能影响你的新隐私法:2023年4月17日,越南政府发布了一项新的数据隐私条例。《个人数据保护法令》(以下简称“PDPD”)旨在保护近1亿越南人民的个人数据。
如果你有来自越南的客户,如果你的网站吸引了来自越南的访客,或者如果你参与了越南人个人数据的处理,新法律可能会适用于你。
此前,个人数据的保护涉及19项不同的法律法规。新法令旨在为保护越南人的个人数据提供统一的方法。
有趣的是,越南新的数据隐私条例并不是国会通过的法律;这是政府颁布的一项法令。因此,与法律相比,它的地位较低。然而,违反该法令仍可能使您面临严重后果,包括刑事起诉和罚款。
在本文中,我们将帮助您了解越南的PDPD以及如何遵守其关键要求。
总结
- 越南的数据隐私法适用于您吗?
- 越南数据隐私法下的关键定义
- 越南数据隐私法的主要要求是什么?如何遵守?
- 如何根据越南数据隐私法获得同意
- 越南PDPD中违规行为的处罚
- GDPR与越南数据隐私法
- Didomi如何提供帮助
- 常见问题解答
越南的数据隐私法适用于您吗?
即使您的总部在越南以外,如果满足以下三个标准,PDPD也可能适用于您:
1) 材料范围标准
如果您处理个人数据,将满足此标准。根据PDPD,个人数据涵盖与特定个人相关或有助于识别特定个人的信息。至于“处理”的含义,它指的是收集、使用、存储、转移、共享和出版等广泛的活动。
2) 地域范围标准
以下类型的处理活动将属于PDPD的范围:
- 越南公司、实体和政府机构即使在越南境外处理个人数据,也将受到法律的约束
- 如果越南以外的组织处理越南国民的个人数据,则必须遵守PDPD
- 如果在越南境内处理个人数据,PDPD将适用。
3) 个人范围标准
如果您参与了能够识别越南数据主体的数据处理,您将满足此标准。例如,如果您是SAAS供应商,并且您的客户使用您的平台处理越南公民的个人数据,则您可以满足此标准。然而,法令中没有明确定义“涉及”一词的界限。因此,可以期待进一步的法令或政府指导来解释这一标准。
越南数据隐私法下的关键定义
与《欧盟通用数据保护条例》(GDPR)类似,越南新的数据隐私法对数据控制者和数据处理者进行了区分。此外,它还定义了“敏感数据”,并要求组织在处理敏感数据时遵守更严格的要求。
以下是您需要注意的关键定义:
- 个人基本数据:指姓名、昵称、出生日期、出生地点、国籍、电话号码、电子邮件地址和婚姻状况等信息。
- 敏感数据:敏感数据类别以非详尽的方式列出。因此,其他类别也可能被视为敏感数据。根据PDPD,敏感数据包括政治观点、基因信息、性取向、犯罪记录、某些财务信息和居住地点。
- 个人数据控制者:指决定个人数据处理目的和方式的实体。
- 个人数据处理器:是指代表个人数据控制者处理个人数据的实体。
- 个人数据控制者和个人数据处理者:与GDPR不同,PDPD规定一个实体可以同时是个人数据控制和个人数据处理器。
越南数据隐私法的主要要求是什么?如何遵守?
越南的数据隐私法对个人数据控制者和个人数据处理者都规定了各种义务。由于解决所有需求都超出了本文的范围,我们将带您了解您必须了解的主要需求。
确定收集和处理个人数据的合法依据
PDPD确定了您可能依赖的六个法律依据:
- 根据法律规定的条件获得个人的有效同意。
- 履行数据主体合同义务的合同必要性
- 当个人资料已公开披露时
- 数据主体在紧急情况下的利益,以保护数据主体的健康和生命
- 为相关部门法律规定的政府机构的活动提供服务
- 主管公共机构在发生与国防、国家安全、社会秩序和安全、重大灾害和危险流行病有关的紧急情况时处理数据;国家安全和国防受到威胁,但不到宣布紧急状态的程度;预防和打击暴乱、恐怖主义、预防和打击犯罪和违法行为。
正如你从这个列表中可以推断的那样,同意和合同必要性可能是收集和处理越南人个人数据的主要依据。
此外,需要注意的是,与GDPR等类似的数据隐私法不同,PDPD不包括“合法利益”基础。
禁止出售或购买个人数据
越南新的数据隐私法禁止在法律允许的有限情况下买卖个人数据。
这些例外情况包括在个人同意的情况下共享个人数据。此外,有效同意很可能证明出售或购买个人数据是正当的。然而,预计将对这些例外情况提供进一步指导。
目的限制
您只能出于“注册”和“申报”目的收集和处理个人数据。然而,没有说明各组织如何登记处理个人数据的目的。
此外,您不能通过声称另一个目的与原始目的“兼容”来扩展已声明的目的。
如果您处理敏感数据,则需要遵守更严格的要求
当您收集和处理敏感数据时,如现场位置数据、犯罪数据、财务信息或有关性取向的数据,您需要遵守其他规则。例如,您需要特别告知个人有关敏感数据的收集和处理。
考虑到大多数企业通过其在线平台处理付款并收集财务数据,这些数据被归类为敏感数据,他们需要将这些数据的处理情况通知所有客户。
数据主体权利
越南数据保护法要求您响应并满足数据主体的权利,包括:
- 知情权:数据主体被告知其个人数据的处理
- 访问个人数据的权利:数据主体有权查阅、修改或要求更正其个人数据
- 撤回同意的权利:数据主体有权撤回其同意
- 删除个人资料的权利:资料当事人有权删除或要求删除其个人资料
- 限制处理的权利:数据主体可能会获得对其个人数据处理的限制
- 反对处理个人数据的权利:数据主体有权反对处理其个人数据,以防止或限制出于广告和营销目的披露或使用个人数据
- 索赔权:数据主体有权在违反个人数据保护规则的情况下要求赔偿损失。
- 提供数据的权利:数据主体可以要求个人数据控制者、个人数据控制和数据处理者提供他或她自己的个人数据
- 提出申诉、谴责和采取法律行动的权利。
违约通知
根据PDPD,个人数据控制者必须在意识到数据泄露后72小时内向网络安全部门通知数据泄露。
个人数据控制者被要求在意识到数据泄露后立即报告。
如何根据越南数据隐私法获得同意
鉴于《越南数据保护法》不允许您依赖与欧盟GDPR不同的“合法利益”理由,在大多数情况下,除了合同必要性外,同意很可能是收集数据的最合适依据。
例如,当你使用广告cookie和谷歌分析等分析工具时,你会收集网站访问者的个人数据。因此,您需要事先获得网站访问者的同意。您可能需要事先同意的另一个例子是出售、购买或转让您的个人数据。
当您依赖个人的同意时,您需要满足某些条件才能获得有效同意:
- 必须告知并自由提供同意。这要求向数据主体提供有关处理哪些个人数据、处理的具体目的、他们与数据相关的权利和义务以及谁处理了个人数据的信息。
- 必须明确表示同意。这需要数据主体采取积极的行动,如勾选方框、配置设置或发送电子邮件或短信。
- 必须采取适当措施记录和保存数据主体提供的每一份同意书。
- 必须提供数据主体撤回其同意的机制。
总之,您需要实施同意管理机制来收集、管理和记录数据主体提供的同意,以便遵守《越南数据保护法》。这可以通过同意管理平台(CMP)来完成:
越南PDPD中违规行为的处罚
如果您未能遵守新的《越南数据隐私法》的任何要求,您可能会面临纪律处分、行政制裁或刑事诉讼。
罚款
根据PDPD,每种违规行为都会被处以不同的罚款。例如,如果你在收集个人数据之前没有征得他们的同意,你可能会面临高达850美元的罚款(2000万越南盾)
如果您在指定目的之外或未经同意使用个人数据,您可能面临最高约2560美元的罚款。
刑事处罚
如果您不遵守有关电子邮件和电话号码等个人数据安全和/或保密的规定,您可能会面临警告、罚款甚至最高3年监禁等刑事制裁。
GDPR与越南数据隐私法
《越南数据隐私法》和欧盟GDPR之间的主要差异可总结如下:
- 根据欧盟GDPR,“合法利益”是收集和处理个人数据的基础之一。然而,《越南数据隐私法》并不包含这样的法律依据。
- 根据欧盟GDPR,敏感数据的定义更为狭隘。例如,财务信息不被视为敏感数据。然而,越南法律对敏感数据有更广泛的定义,并将此类数据列为敏感数据。
- 《越南数据保护法》明确禁止购买和出售个人数据,但有有限的例外情况。然而,《通用数据保护条例》并没有全面禁止销售或共享个人数据。
- 根据欧盟GDPR,数据控制者可以出于“兼容目的”处理个人数据。然而,《越南数据保护法》要求数据控制者处理个人数据仅用于申报和注册目的。
常见问题解答
新的《越南数据保护法》何时开始实施?
《越南数据保护法》于2023年7月1日生效。
是否有遵守PDPD的宽限期?
不,两个月的宽限期已经过去,PDPD已于2023年7月1日生效。
同意是根据PDPD处理个人数据的唯一法律依据吗?
不,PDPD定义了处理个人数据的六个法律依据,包括同意和合同必要性。然而,同意很可能是处理个人数据的主要依据,因为合法利益不被视为法律依据。
是否对不遵守PDPD的行为进行刑事处罚?
是的,如果您不遵守有关电子邮件和电话号码等个人数据安全和/或保密的规定,您可能会面临纪律处分、行政制裁或刑事诉讼。
PDPD下的敏感数据是什么?
敏感数据类别以非详尽的方式列出。因此,其他类别也可能被视为敏感数据。根据新法令,敏感数据包括政治观点、基因信息、性取向、犯罪记录、某些财务信息和居住地点。
- 登录 发表评论