32
越南新的《个人数据保护法》(PDPL)已于2025年6月26日获得国会通过,并将于2026年1月1日正式生效。与现行的《关于个人数据保护的第13/2023/ND-CP号法令》(PDPD)相比,PDPL引入了若干新的概念、豁免和义务,但其他内容基本保持不变。
PDPL与PDPD之间的关系尚未明确界定,但预计政府将发布一项新法令,为PDPL中的某些要求提供必要的指导。在此新法令出台并取代PDPD之前,PDPD将继续有效。
以下是新PDPL的几个关键要点:
- 个人数据定义:个人数据将由政府发布的“基本个人数据”和“敏感个人数据”列表进一步明确。
- 以同意为核心:PDPD中以“同意”为核心的处理方法得以保留,同时针对某些数据处理活动增加了新的豁免。
- 影响评估:数据处理影响评估(DPIA)和传输影响评估(TIA)的要求基本不变。但TIA新增了豁免情形,包括:
- 在云端处理和存储员工数据。
- 数据主体自己将数据发送到越南境外。
- 既有合规性:在PDPD下获得的同意在新PDPL下仍然有效。根据PDPD提交的DPIA和TIA在新PDPL下也有效,但可能需要进行更新以符合PDPL的要求。
- 行政处罚:行政罚款的金额取决于违规类型:
- 买卖个人数据:罚款金额为销售收入的10倍,或30亿越南盾(约11.5万美元),以较高者为准。
- 跨境传输违规:罚款金额为前一年收入的5%,或30亿越南盾,以较高者为准。
- 其他违规:罚款上限为30亿越南盾。
- 中小企业豁免:小型企业和初创公司将有五年的宽限期来遵守关于准备影响评估文件、指定数据保护部门和人员的规定。个体户和微型企业则完全豁免这些规定。然而,这些豁免和宽限期不适用于以下情况:
- 处理大量个人数据。
- 提供数据处理服务。
- 直接处理敏感个人数据。
新的PDPL将于2026年1月1日生效,它在现行PDPD的基础上,引入了新的监管要求和豁免。企业需要在此生效日期前,主动评估并实施合规措施。
需要注意的是,尽管PDPL以PDPD为基础,但其许多条款仍需政府提供进一步的澄清和指导。因此,企业应密切关注监管动态,以便随时了解并做好准备。
编辑:甬江知道团队 微信: yongjiangzhidao
