【越南个人数据保护】越南颁布具有里程碑意义的个人数据保护法令

2023年4月17日，越南政府发布了第13/2023/ND号个人数据保护法令（“PDPD”），自2021年2月首次发布草案以来，经过广泛的公众咨询和多轮审查。这是一项期待已久的法律文书，旨在成为越南首个关于保护个人数据的全面法规。PDPD将于2023年7月1日生效，没有任何过渡期。位于越南和/或直接参与或与越南个人数据处理活动有关的所有越南和外国组织和个人必须遵守PDPD。

正如预期的那样，PDPD对个人数据的处理提出了新的要求。最关键的规定包括：

• 个人数据处理的八项原则：（一）合法性，（二）透明度，（三）目的限制，（四）数据最小化，（五）准确性，（六）完整性、保密性和安全性，（四，存储限制，以及（八）问责制（第三条）。
• 重要的新定义和概念，特别是包括个人数据（第2.1条）；基本个人资料（第2.3条）；敏感数据（第2.4条）；数据主体（第2.6条）；数据控制者（第2.9条）；数据处理器（第2.10条）；控制和处理个人数据的各方（第2.11条）；第三方（第2.12条）；以及个人数据的跨境转移（第2.14条）。
• 十一项数据主体权利，包括知情权；同意权；访问权；撤回同意的权利；删除数据的权利；限制数据处理的权利；要求提供数据的权利；反对数据处理的权利；申诉、检举和提起诉讼的权利；要求损害赔偿的权利；以及自卫权（第9条）。
• 数据控制者（第38条）、数据处理者（第39条）和第三方（第41条）的具体责任。
• 行使数据主体权利的具体要求（第14-16条）。
• 关于数据主体同意的规则，包括对有效性、可接受格式和撤回同意的要求（第11条和第12条）。
• 关于数据处理影响评估的要求（第24条）。
• 个人数据跨境转移的条件，包括向公安部网络安全和高科技犯罪预防司发送的转移影响评估和转移后通知（第25条）。
• 隐私通知规则，包括发送通知的时间和通知的强制性内容（第13条）。
• 处理通过公共场所录音录像活动获得的个人数据的规则（第18条）。
• 关于处理被宣布失踪或死亡的个人资料的规则（第19条）。
• 处理儿童的个人资料（第20条）。
• 营销服务和介绍广告产品业务中的个人数据保护规则（第21条）。
• 未经同意可以处理个人数据的情况（第17条）。
• 保护个人数据的一般措施（第26条）、基本个人数据（第27条）和敏感个人数据（第一28条）。保护敏感个人数据的措施包括指派一名数据保护官员。

PDPD将对越南几乎所有的商业运营产生深远影响。