越南政府于今年4月颁布第13/2023/ND-CP 号法令 《个人数据保护法》(“PDPD”),该法令将于2023年7月1日正式生效。其中出海厂商应重点关注的法条内容包括:
域外适用范围——PDPD 将适用于在越南直接从事个人数据处理活动和/或与之相关的本地和离岸实体,包括越南机构、组织和个人;在越南的外国机构、组织和个人;在国外经营的越南机构、组织和个人;在越南处理个人数据的外国机构、组织和个人。值得注意的是,数据本地化存储的要求并未在PDPD中体现,而规定为“以适合其运营的形式存储个人数据”。
受监管主体的分类——PDPD 确认“数据控制者”和“数据处理者”的概念,它还引入了“数据控制和处理实体”的概念。
个人数据和数据处理的广义定义——与PDPD将个人数据分为“基本个人数据”和“敏感个人数据”两组。其中,敏感个人数据的清单包括了政治和宗教观点;健康状况和医疗记录(不包括血型) ;种族或族裔出身;遗传特征、物理属性和生物学特征;性生活和性取向;执法机构持有的犯罪记录;信用机构客户信息;位置数据。
隐私声明条款规定——公开隐私声明中应包含处理活动的目的;为处理目的而收集的个人数据类型;将参与活动的信息第三方;可能发生的意外后果和损害;数据处理活动的时间范围。
有效同意的要求——只有当数据主体自愿并清楚地知道以下内容时,同意才能被视为有效:正在处理的个人数据类型(或敏感个人数据类型,如适用);加工目的 ;将处理个人数据的第三方;数据主体在 PDPD 下的权利。
跨境传输的要求——此前草案中规定了跨境传输的四项要件(获得数据主体的同意+获得个人数据保护委员会的书面同意+数据处理者承诺保护个人数据+数据处理者承诺采取个人数据保护措施),而生效版本中并未提及四要件,而是要求进行数据跨境传输的主体应进行个人数据出境影响评估,并准备相关材料,包括:a) 传输数据的一方和接收越南公民个人数据的一方的信息和联系方式;b) 负责传输和接收越南公民个人数据的数据传输方的组织或个人的全名和联系方式;c) 描述和解释移出国外后越南公民个人数据处理活动的目的;d) 描述并阐明传输到国外的个人数据的类型。相关评估材料依照PDPD规定,应向公安部寄送备案。
违规罚则——不同于草案文件中对于各项罚则的详细罗列,正式生效版本中并未设置相关罚则规定,本团队认为相关细则可能将会以执行条例等形式进行补充,而目前关于数据隐私相关的违法违规行为,仍应参考越南现行行政处罚及网络安全相关的法律法规。
法案最后,PDPD 明确了中小微和初创企业在设立企业时拥有2年窗口期以免除 PDPD合规义务。而针对广大出海越南厂商,本律师团队提示应及时关注越南地区后续数据隐私保护层面的立法动态及执法情况,以针对出海产品的合规现状进行适时调整。
一枝梧桐(https://www.yzwt.cn)
