裁剪后

中国企业出海越南:数据合规不可忽视的关键问题

编辑:阮海山(越南)

审核: 陈孟彬(中国)

近年来,随着“一带一路”倡议的深入推进,越来越多的中国企业选择出海越南,寻求更广阔的市场机遇。然而,机遇与挑战并存,数据合规问题正成为中企在越南不可忽视的关键挑战。2025年6月,越南正式通过《个人数据保护法》(PDPL),标志着越南数据保护法律体系的全面升级,对中国企业提出了更高的合规要求。本文将深入剖析越南数据合规法律体系,助力中国企业稳健出海。

一、越南数据合规法律体系概览

越南的数据保护法律体系正逐步完善,形成了以《个人数据保护法》为核心,辅以《网络安全法》《数据法》等多部法律法规的复合型框架。

   

1. 《个人数据保护法》(PDPL):越南数据保护的里程碑

    2025年6月,越南国会通过《个人数据保护法》(第91/2025/QH15号),该法将于2026年1月1日正式生效,取代2023年的《第13/2023/NĐ-CP号法令》(PDPD),成为越南首部系统性的个人数据保护法律。PDPL具有域外效力,无论企业是否在越南设立实体,只要处理越南公民的个人数据,均需遵守该法。

PDPL在多个方面强化了数据保护要求:

– **数据跨境传输**:个人数据跨境传输需开展影响评估,并在60日内向越南公安部备案。不过,集团内部员工数据存储至境外云平台可豁免评估。

– **同意机制**:数据处理必须取得数据主体的明示同意,禁止默认勾选或默示同意。

– **差异化监管**:对微型企业(如个体工商户)豁免部分义务,小型企业与初创企业享有5年缓冲期。

 

2. 《网络安全法》:数据本地化的硬性要求

越南《网络安全法》要求特定行业的国内外企业,将越南用户数据的副本存储在越南境内服务器上,并在越南设立实体办事处,接受越南执法部门监管。适用行业包括电商、社交平台、OTT服务、游戏、支付等。若外国企业违反越南法律,越南公安部可强制其进行数据本地化。

   

3. 《数据法》:构建数据治理框架

《数据法》确立了“数据所有权”与“国家数据资源”制度,为个人数据之外的数据治理提供了补充框架,进一步丰富了越南的数据合规法律体系。

二、中国企业出海越南的数据合规挑战

1. 数据跨境传输的合规风险

    中国企业在越南开展业务,常涉及将越南用户或员工的数据传输回中国总部或第三国处理。根据PDPL,此类跨境传输需完成数据保护影响评估(DPIA)与传输影响评估(TIA),并在60日内向越南公安部备案。若未履行相关程序,企业可能面临高达上一年度全球营业收入5%的罚款。

 

2. 数据本地化的强制要求

对于属于《网络安全法》适用范围内的中国企业,必须在越南境内设立数据中心,存储越南用户数据的副本,并设立实体办事处。这对企业的IT基础设施与运营成本提出了新的挑战。

 

3. 数据处理同意的严格性

    PDPL要求数据处理必须获得数据主体的明示同意,且需为每项目的独立授权。这意味着企业不能再使用一揽子同意或模糊条款,需在隐私政策中明确告知数据处理方式、目的、共享对象、处理期限等关键信息。

 

 4. 行业特定合规要求

PDPL针对敏感行业与新兴技术制定了详细规定:

– **招聘与就业**:仅可收集与招聘相关的数据,若候选人未被录用,必须删除其数据,除非双方另有约定。

– **医疗保健与保险**:处理健康数据必须获得同意,再保险公司转移客户数据给合作伙伴时,需在合同中加入数据传输条款。

– **银行与金融**:未经同意,不得使用信用信息进行评分。

– **社交媒体**:平台必须提供“选择退出追踪”功能,禁止未经双方明确同意的窃听、通话录音与信息读取。

– **大数据、人工智能、云计算、区块链**:系统需符合法律与道德标准,具备内置安全控制措施。

– **生物特征数据**:强制执行物理安全与访问限制,跟踪与监控必须可审计。

三、中国企业应对策略与建议

1. 全面评估自身业务适用性

    中国企业首先需判断是否因处理越南数据主体的信息而受到PDPL等法律的约束。若企业在越南有业务运营,或处理越南公民的个人数据,即需遵守越南数据保护法规。

 

2. 建立完善的合规体系

– **数据分类与识别**:对处理的数据进行分类,识别是否涉及敏感或特殊数据,如健康信息、生物识别数据等。

– **用户同意机制**:建立合规的用户同意机制,确保每项目的独立授权,并通过隐私政策清晰告知用户关键信息。

– **内部流程建设**:尽早建立DPIA与TIA内部流程,确保在跨境数据传输前完成评估与备案,并根据业务变化定期更新。

 

3. 数据本地化与技术措施 

    对于属于《网络安全法》适用行业的企业,需在越南设立代表机构并配合数据在地存储。同时,企业应制定全面的技术与组织防护措施,对敏感与关键数据实施加密、访问权限控制、物理隔离、审计记录与异常识别预警机制。

 

4. 合同管理与外部合作

    企业与服务商、广告商、云服务提供商等外部处理者之间,应签署书面协议,明确数据处理权限、目的、责任划分、再处理限制、销毁机制与数据转移控制条款,以规避转委托风险并确保PDPL合规。

 

5. 数据泄露响应机制

    企业应预设数据泄露响应机制,在发生违规处理、数据外泄或用户投诉时,能迅速响应并履行72小时内向越南公安部上报与通知数据主体的义务。

    越南数据保护法律体系的升级,体现了其对数据安全与隐私保护的重视。中国企业在出海越南时,必须将数据合规置于战略高度,深入了解并严格遵守越南相关法律法规。通过构建完善的合规体系,企业不仅能有效规避法律风险,更能赢得越南用户与监管机构的信任,为在越南市场的长期发展奠定坚实基础。在机遇与挑战并存的越南市场,唯有合规经营,方能行稳致远。

越南投资专业服务机构参考
       越南大地律师有限公司为投资者提供专业支持,该公司位于胡志明市,持有越南司法部颁发的《外国律师执业组织分支机构设立许可证》,拥有 4 名同时具备中越两国律师执业牌照的律师,并聘请多名越南籍律师、律师助理、法律翻译及会计师。

其服务容包括:

1.提供越南法律法规、财税与市场信息资讯及建议

2.搭建投资者与越南官方机构、贸易伙伴的沟通桥梁

3.提供一站式落地服务(官方网址:https://www.shendadi.com