【越南数据保护】关于个人数据保护的法律更新：第13/2023/ND-CP号法令中概述的重要条款概述

2023年4月17日，越南政府发布了关于个人数据保护的第13/2023/ND-CP号法令（“第13号法令”），这是越南第一个为保护个人数据提供全面框架的法律文书。除了借鉴欧盟《通用数据保护条例》（“GDPR”）的某些方面外，第13号法令还对参与越南个人数据处理活动的组织和个人提出了一些新要求。以下是第13号法令的主要规定摘要：

1. 适用范围：第13号法令适用于越南个人和组织（包括在海外经营的个人和组织），也适用于在越南经营或直接在越南从事或与个人数据处理活动有关的外国实体（第1.2条）。
2. 关键定义：与2021年发布的个人数据保护法令草案（“PDPD草案”）一样，第13号法令包括关键术语的广泛定义。特别是：
   1. “个人数据”是指电子环境中以符号、文字、数字、图像、声音或任何其他类似形式存在的信息，这些信息属于特定个人或有助于识别特定个人。个人数据包括“基本个人数据”和“敏感个人数据”（第2.1条）。
   2. “基本个人数据”包括姓名、出生日期、性别、出生地、地址、国籍、个人形象、电话号码、身份证号码、护照号码、驾驶执照号码、车牌号码、个人税号、社会保险号码、健康保险卡号、婚姻状况、家庭关系信息、数字账户数据，反映网络空间活动和历史的数据以及不属于“敏感个人数据”的其他数据（第2.3条）。
   3. “敏感个人数据”是指与个人隐私相关的个人数据，一旦被侵犯，将直接影响其权益。敏感个人数据清单内容广泛，并不详尽，包括：（一）政治和宗教观点；（ii）医疗文件中记录的健康状况和个人生活信息（不包括血型信息）；（iii）与种族或族裔血统有关的资料；（iv）遗传数据，即与个人的遗传或后天遗传特征有关的信息；（v） 生物特征数据，即关于个体的物理和生物特征的信息；（vi）关于个人性生活和性取向的信息；（vii）执法机构收集和储存的犯罪记录；（viii）信贷机构、外国银行分行、中介支付服务提供商或其他持牌组织的客户数据；（ix）通过定位服务识别的个人定位数据；以及（x）法律认为具体且需要采取安全措施的其他个人数据（第2.4条）。
   4. “数据处理”是指影响个人数据的一项或多项活动，如收集、记录、分析、存储、修改、发布、加密、复制、共享、传输或其他相关行动（第2.7条）。
3. 保护个人数据的原则：（i）合法性，（ii）透明度，（iii）目的限制，（iv）数据最小化，（v）准确性，（vi）完整性、保密性和安全性，（vii）存储限制，以及（viii）问责制。第13号法令明确禁止以任何形式出售和购买个人数据，除非法律另有规定（第3条）。
4. 受监管主体：与GDPR类似，第13号法令主要监管三（3）个主体：“数据控制器”（“bên kiểm soát dữ 李ệ越南语中的“u cánhân”），“数据处理器”（“bên xử lýdữ 李ệ越南语中的“u cánhân”），以及“数据控制和处理实体”（“bên kiểm soát vàxử lýdữ 李ệu cánhân“在越南语中），它具有数据控制器和数据处理器的功能（第2.9、2.10和2.11条）
5. 数据主体权利：（i）知情权，（ii）同意权，（iii）访问权，（iv）撤回同意权，（xi）自卫权（第九条）。
6. 数据主体的同意：（第11条和第12条）
   1. 除非法律另有规定，数据处理的所有阶段都需要征得同意。如果出于不同目的处理数据，数据控制者和数据控制和处理实体必须指明每一个目的，并且数据主体必须能够单独同意这些目的。
   2. 只有当数据主体自愿提供同意，并明确告知（i）正在处理的数据类型，（ii）处理的目的，（iii）处理数据的个人或组织，以及（iv）数据主体的权利和义务时，同意才有效。
   3. 同意必须通过（i）书面文书、（ii）语音、（iii）选择同意框、（iv）发短信同意语法、（v）选择同意技术设置或（vi）其他表示同意的行动明确而具体地表达。数据主体的沉默或不回应不被视为同意。数据主体可以给予部分同意或有条件同意。同意书的提供或撤回必须以可打印或书面复制的格式表示，包括以电子或可验证的格式。
   4. 在数据主体或国家主管机构另有决定之前，该同意书一直有效。撤回同意不影响撤回同意前数据处理的合法性。
7. 在收到数据主体的请求后采取行动：数据控制者和数据控制和处理实体必须在收到限制数据或处理、反对数据处理、提供个人数据、修改个人数据或存储或删除个人数据的请求后72小时内遵守数据主体的要求（第9.6（b）、9.8（b）和14.3条，15.2和16.5）。
8. 未经数据主体同意处理个人数据：未经数据对象同意可处理个人数据的情况与2023年2月7日政府第13/NQ-CP号决议规定的情况类似，包括（第17条和第18条）：
   1. 处理个人数据是为了在紧急情况下保护数据主体或其他人的生命和健康。数据控制者、数据处理者、数据控制和处理实体以及第三方在本案中承担举证责任；
   2. 依法披露个人资料；
   3. 个人数据的处理由国家主管机构执行：在涉及国防、国家安全、社会秩序和安全、重大灾难或危险流行病的紧急情况下；当安全和国防受到威胁而没有宣布紧急状态时；或者当处理是为了依法防止和打击骚乱和恐怖主义、犯罪和违法行为时；
   4. 个人数据的处理履行了数据主体与相关机构、组织和个人的合同义务；
   5. 个人数据的处理服务于专门法律规定的国家机构的活动；和
   6. 处理在公共场所录音录像活动中获得的个人数据，是为了依法保护国家安全、社会秩序和安全，以及个人的合法权益。
9. 数据处理影响评估：数据控制者、数据处理者以及数据控制和处理实体需要为公安部（“MPS”）准备并保留一份档案，以评估个人数据处理的影响（“处理影响评估”）。处理影响评估必须在个人数据处理开始后60天内提交给公安部网络安全和高科技犯罪预防部。处理影响评估的任何更新或变更必须向MPS报告（第24条）。
10. 个人数据的跨境传输：
    1. 第13号法令第2.14条定义了跨境转移个人数据的范围，包括（i）使用网络空间、电子手段或设备或其他形式将越南公民的个人数据转移到越南境外的地点，或（ii）使用越南境外的地方处理越南公民的私人数据，包括：
       1. 组织、企业或个人将越南公民的个人数据转移到国外的组织、企业、或管理单位，以便按照数据主体同意的目的进行处理；和
       2. 数据控制者、数据处理者或数据控制和处理实体根据数据主体同意的目的，使用位于越南境外的自动化系统处理越南公民的个人数据。
    2. 与PDPD草案不同，第13号法令省略了对个人数据（包括敏感个人数据）跨境转移进行登记的要求。相反，数据转让人必须满足以下几个条件（第25.1、25.3、25.4和25.6条）：
       1. 获得数据主体对跨境转移个人数据的同意；
       2. 准备并保留转移影响评估档案（“转移影响评估”），以供MPS检查和评估。转让影响评估必须在转让后60天内提交给公安部网络安全和高科技犯罪预防部。转移影响评估的任何更新或变更必须向MPS报告；和
       3. 成功传输数据后，向公安部网络安全和高科技犯罪预防部提交书面通知，其中包括数据传输的详细信息以及负责组织和/或个人的联系信息。
    3. 在下列情况下，公安部可暂停个人数据的跨境传输（第25.8条）：
       1. 所转移的个人数据用于侵犯越南利益或国家安全的活动；
       2. 未能遵守MPS关于修改转让影响评估的要求；或
       3. 越南公民个人资料泄露或丢失事件。
    4. 与PDPD草案不同，第13号法令不要求在跨境转移的情况下将个人数据存储在越南。然而，实施《网络安全法》的第53/2022/ND-CP号法令已经对个人数据的跨境传输提出了数据本地化要求。
11. 保护个人数据的措施：第13号法令要求采取管理和技术措施保护个人数据，包括在组织/实体内指定一个数据保护部门和一名数据保护官员（第26、27和28条）。
12. 生效日期：第13号法令于2023年7月1日生效。然而，不直接从事个人数据处理的微型、小型和中型企业以及初创企业，在成立后2年内无需设立数据保护部门或任命数据保护官员（第43.2条）。