第356/2025/ND-CP号法令(下称"第356号法令")已于2026年1月1日正式生效,该法令为《个人数据保护法》(PDPL)的具体实施提供了全面的操作指引。相较于第13/2023/ND-CP号法令,第356号法令已从原则性框架转变为具体可执行的合规要求。
本文旨在梳理第356号法令的核心规定,相关组织应立即着手落实合规要求。
和此前的法规相比,第356号法令采用非穷尽清单形式,显著扩展了敏感个人数据的界定范围。[1]值得注意的是:
处理敏感个人数据需制定严格的访问控制规则、处理流程及安全措施(例如存储传输设备的物理安全、数据加密和匿名化等)。此外,在获取数据主体同意时,必须明确告知其涉及的是敏感数据。[2]
与之相关,第356号法令对涉及以下两类敏感数据的安全事件增设了专门通报义务:个人位置数据与生物识别数据。数据控制者或处理者必须在发现事件后72小时内,同时向公安部及受影响用户发出通知。如因技术或紧急情况无法逐一通知,需通过官方网络渠道发布公告,待条件允许时补发个别通知。相关事件记录须在整改完成后至少保存五年。[3]
第356号法令明确和加强了有效同意的要求,要求企业重新评估其同意机制的设计方案:
第356号法令规定:
该法令还要求加强对有偿数据传输的管控,并进一步明确数据处理各方的角色与责任边界。[5]
这些新规要求企业在数据传输和处理的全生命周期内,建立完整的协议框架、控制系统、安全措施及端到端合规机制。
该法令对强监管行业和技术驱动型行业的企业提出了针对性的合规要求,包括金融、银行、信用信息以及涉及大数据、人工智能、区块链、虚拟环境和云计算等领域的企业。具体要求包括:
第356号法令首次明确规定,机构组织的个人数据保护官必须满足以下条件:
(1)至少持有大学本科学历;
(2)毕业后具备两年以上相关领域的工作经验;
(3)接受过个人数据保护法律及专业技能的正式培训。[9]
第356号法令将运营自动化处理系统、在线数据采集、数据分析、挖掘和加密等活动明确为数据处理服务。提供此类服务的机构必须是越南注册实体,需获得公安部颁发的资质认证,并满足人员、技术及运营方面的法定要求。[10]
根据第356号法令,企业须接受定期及专门的个人数据保护合规检查。此类检查的启动条件包括涉嫌违规、主管部门指令或常规国家管理需要。检查范围涵盖企业整体合规情况、影响评估(含跨境传输评估)以及个人数据处理服务提供情况。[11]
随着监管环境的快速发展,企业已无法回避合规要求。隐私保护实践正面临监管机构与公众的密切审视,执法手段也在不断强化。
值得关注的是,即将出台的数据保护行政处罚条例将进一步强化监管力度。《处罚法令》草案2.0版确立了严格的执法框架,包括高额罚款、暂停营业许可等处罚措施,以及强制数据删除和系统整改等纠正要求。虽然正式发布时间尚未公布,但预计该条例将于2026年上半年生效,为公安部的执法工作提供有力依据。因此,企业必须立即行动,识别并整改存在的合规差距。
[1] Article 4
[2] Article 6.4
[3] Article 29
[4] Article 6
[5] Article 7
[6] Article 8
[7] Article 9
[8] Article 10
[9] Article 13.2
[10] Articles 21 and 22
[11] Article 31
作者:Yen Vu, Ly Nguyen, Uyen Doan
中文校对:曹喆,律师助理,路盛律师事务所,邮箱:lcao@lushenglawyers.com
