前言
当前数字经济时代,一切与大数据、算法、AI模型等新型科技、前沿网络和商业形态相关的企业都需要面临数据合规的关卡,数据已成为企业的重要生产要素和核心竞争力,当然也是监督的重点关注对象。这就意味着信息时代的朝阳产业,一个庞大的新兴市场需要首先获得数据合规的入场券。
一、越南数据合规的法律体系
2021年2月,越南发布了《个人信息保护草案》 (Decree on Personal Data Protection,以下简称“PDPD”),该草案总体采用了欧盟GDPR的框架,内容涉及个人数据的定义、越南将成立个人数据保护委员会作为PDPD的执行监督机构。2023年7月1日,越南正式颁布并实施《个人数据保护法》,是越南首部个人数据保护综合性立法。对数据本地化、跨境数据传输、网络安全等方面提出了规范性的法律法规要求。法律规定越南数据保护的最主要监管机构为公安部,依法开展和实施个人数据保护工作。
PDPD适用于在越南从事与个人数据处理活动有关的本地和境外实体,因此,该法律具有域外效力。当中国企业从事越南出海业务时若收集、处理了越南的个人数据即使企业实体在中国境内,仍有可能适用《个人数据保护法》。对于出海的中国企业来说,数据本地化要求与数据跨境要求或许是最重要的议题。除了PDPD外,越南在《网络安全法》等其他法律法规里对此提出了较高的要求。
随着PDPD的正式生效,越南数据合规的“规”所包含的《个人数据保护法》《网络安全法》《越南数据法(草案)》三部法律,以及和这三部法律紧密相关的法律法规、部门规章、政策等集合完成。越南政府和行业监管机构不断完善数据保护法律法规,规范数据的获取、使用和共享,积极避免数据泄露、隐私侵犯、网络安全等风险,这就迫使在越经营的企业面临法律体系下的合规挑战,不仅要确保数据的合法处理,还要有效应对复杂的法律法规要求。
二、越南企业数据合规的适用范围
传统合规通常是指企业在财务、税务、劳动、环评等方面遵循法律法规,而新兴的数据合规则是专注于数据处理过程中遵循法律要求,随着数据的经济价值和隐私重要性的增加,数据合规重要性脱颖而出,成为企业合规管理中的重要一环,是企业合规中的蓝海市场。数据合规是指企业在数据收集、存储、使用、加工、传输过程中,遵循相关法律法规,确保数据处理的合法性、安全性、透明度,以及保护数据主体权益的行为,其中主要强调数据保护、隐私安全和跨境传输。
数据保护:越南《网络安全法》第26条自颁布以来并未获得有效实施,直到2022年8月15日发布第53/2022/ND-CP号法令(“第53号法令”)《关于网络安全法若干条款的详细规定法令》对其进行了细化规定。第53号法令适用于在越南开展以下业务的外国机构:电信服务;在网络空间存储和共享数据;向越南的服务用户提供国家或国际域名;电子商务;在线支付服务提供商;支付中介机构;利用网络空间的传输连接服务;社交网络和社交媒体;在线视频游戏;以短信、语音通话、视频通话、电子邮件、在线聊天等形式提供、管理或运营网络空间中其他信息的服务。其中电子商务、在线支付、社交网络、游戏等均可能涉及我国企业出海业务。
隐私安全:个人数据是数据合规的核心内容,个人数据包含基本个人数据和敏感个人数据。基本个人数据即一般的身份信息,如姓名、出生日期、死亡日期、联系方式、婚姻状况和家庭关系、国籍、个人照片、性别、个人识别号码(如公民身份证号、护照号、税号、社会保险号/健康保险卡号、驾驶执照号、车牌号),以及关于血型、账户号码和反映个人在网络空间中的活动和历史记录的数据。敏感个人数据是与个人隐私相关的数据,一旦被侵犯将直接影响个人的合法权益,包括:政治观点和宗教信仰、健康状况和个人生活(除血型外)、生物识别数据、遗传数据、性取向、犯罪记录、金融机构客户数据、支付中介服务数据、通过定位服务确定的个人位置信息,以及越南法律规定的其他敏感个人数据。一旦泄露可能对个人造成严重影响,法律通常对此类数据设定更严格的处理要求。越南《个人数据保护法》规定了对个人敏感信息的特殊处理要求,企业在处理此类信息时需格外谨慎,并确保数据主体的知情同意和保护机制到位。
数据跨境:根据PDPD,从越南向境外传输个人数据,需接受个人数据跨境影响评估,数据发送方需在处理个人数据的60天内,将个人数据跨境传输影响评估档案提交至公安部,并将原档案妥善保存,以供公安部检查。公安部应当对数据传输情况进行评估,并要求数据发送方完善个人数据跨境传输影响评估档案,并在数据跨境传输侵犯越南国家利益与国家安全时、发现不符合PDPD时或认为有意外泄露越南公民个人数据的情况下,公安部有权阻止数据传输至越南境外。
三、越南企业数据合规的实践和流程
越南数据合规的法律法规贯穿数据全生命周期,包括但不限于数据收集、存储、使用、加工、传输、提供、公开和删除等,要求企业在此过程中遵循适用相关法律法规、行业标准和最佳实践。首先,数据收集的合规要求。数据收集必须基于合法授权,企业需向数据主体明确告知数据用途,并获得明确同意。其次,数据存储和保护。要求企业在存储数据时需采取严格的安全措施,确保数据的完整性和机密性。加密、访问控制等措施都是确保数据存储安全的重要手段。再次,数据使用与传输。企业在使用和传输数据时,需确保数据使用符合收集时的声明,不得超出必要范围。跨境数据传输时,需符合法律规定的合规要求。最后,数据共享与销毁的合规措施。数据共享需要确保各方在使用数据时符合合规要求,并签订相应的合规协议。当数据不再需要时,企业应采取适当的措施彻底销毁数据,防止其被恢复和滥用。
当律师接受客户委托,对其在越南的个人数据处理活动进行个人数据保护健康检查。我们的工作范围包括以下内容:
第一步,根据客户的数据保护政策和程序以及数据保护法规要求,对数据保护治理和实践进行运行状况检查。法律合规健康检查审查提供的信息和文件,以发现不合规行为,并评估与PDPD相关的流程、程序、法律框架和当前活动的完善程度;
第二步,根据第13/2023/n-CP号法令,确定风险并提出改进领域的建议。起草并审查数据隐私文件根据越南法律,起草并审查公司在数据隐私权和个人数据保护活动中所需的文件中涉及个人数据保护的条款;
第三步,根据第4460/QĐ-BCA/A05号决定发布,指导个人数据保护领域的行政程和相关表格。准备数据处理影响评估跨境数据传输影响评估根据越南的规定,协助起草所需的标准影响评估,基于公司提供的文件和信息,制定关于个人数据保护的表格和承诺书;
最后,与违规通知和评估通知相关的行政程序,预计罚款金额在2000万越南盾到1亿2000万越南盾之间。
四、中国企业出海越南数据合规应对策略
1. 更高的数据主体授权同意要求
根据PDPD要求,默认同意不被认为是有效的同意,且数据主体可以部分同意数据处理活动。通过隐私政策“一揽子”打包同意等常见的授权形式在越南可能会被认为是无效的同意。尤其是涉及广告营销的数据处理活动,企业应当采取单独同意的形式,并为用户提供退出选项。
2. 数据本地化与数据跨境传输
企业在越南收集的个人数据,在传输至境外之前,应先在越南境内存储,并根据PDPD的要求进行跨境传输影响评估。符合条件时,应在越南本地设立办事处。
3. 上报义务
根据PDPD,隐私影响评估、数据跨境影响评估等档案需提交至越南监管机构,并在违规、安全事件发生时在72小时内通知公安部。
4. 更高的举证义务
在PDPD框架下,企业有着极高的举证义务,在争议发生等情况下需“自证清白”。因此,企业应建立严格的记录留存机制,将数据处理过程产生的各类记录妥善留存归档,并定期进行合规审计,确保数据处理活动的合规与记录的完善。
越南在数据安全和个人信息保护上的立法和实施,意味着中国企业在越南电子商务、金融科技、医疗保健和智能生产等领域即将面临更多的监管。兰迪越南的律师团队深入研究PDPD数据合规要求,针对出海中国企业的相应需求,增加了此领域法律服务产品,在企业合规中增加数据安全风险评估和合规建议,服务范围包括但不限于:为客户提供数据保护DPaas、信息技术和通信(“ITC”)、电子商务建议书、隐私保护、数据加密等服务,撰写数据隐私建议和数据隐私同意书等书面文件,帮助企业能够提升其数据处理活动的合法性、合理性和有效性,从而更好地应对日益复杂的数据产业环境。