观韬解读│越南个人数据保护新规下在越中资企业的合规影响及应对建议

作者：费丹丹

近年来，随着数字化管理、集团化协同和跨境数据流动的持续深化，个人数据保护已逐步成为企业境外经营中不可回避的核心合规议题。2025年6月26日，越南国会通过第91/2025/QH15号《个人数据保护法》；2025年12月31日，越南政府进一步发布第356/2025/NĐ-CP号法令，对该法若干条款及实施措施作出细化，并自2026年1月1日起与该法同步生效。第356/2025/NĐ-CP号法令同时取代原第13/2023/NĐ-CP号法令，标志着越南个人数据保护监管已由此前以行政法令为主的模式，正式升级为“法律+实施细则”的体系化框架。

对于在越中资企业而言，此次立法变化的影响并不限于隐私政策、授权文本或内部制度的局部调整，而是将进一步延伸至劳动用工、客户管理、集团共享、系统上云、跨境协同及第三方合作等日常经营场景。尤其是在总部统一管理平台、共享服务中心和数字化运营工具被广泛采用的背景下，企业原有的数据处理路径、内部控制安排及合规文件体系，都有必要根据越南新法要求进行重新审视和系统梳理。本文拟结合越南《个人数据保护法》及其实施细则，对其在越中资企业层面的主要影响、高风险场景及应对建议作一梳理，以供企业在后续合规建设中参考。

一、法律概览：越南个人数据保护规则已由“法令时代”进入“法律时代”

越南《个人数据保护法》与第356/2025/NĐ-CP号法令共同构成当前越南个人数据保护的基本规范框架。与此前以第13/2023/NĐ-CP号法令为核心的监管模式相比，现行规则在立法层级、制度体系和执法基础上均有明显提升，个人数据保护已从分散的信息管理要求，转变为覆盖数据收集、存储、使用、共享、传输和删除全流程的独立合规事项。

从适用范围看，该法不仅适用于越南境内的机关、组织和个人，也适用于在越南的外国机关、组织和个人；同时，还适用于直接参与或与处理越南公民以及在越居住、已获身份证明的未定国籍越裔人员个人数据活动有关的境外主体。从适用对象和制度设计上看，该法并非仅面向互联网平台或科技企业，而是广泛影响所有在越经营过程中收集、存储、使用、共享、传输或删除个人数据的经营主体。

从制度内容看，该法围绕个人数据全生命周期建立了较为完整的治理框架，核心内容主要包括：个人数据与敏感个人数据的分类规则，控制方、处理方、控制兼处理方等角色划分，数据主体权利，同意与相关处理规则，个人数据处理及跨境传输影响评估，违规事件通报，劳动者及其他重点场景的特别要求，以及保护组织、监管职责和法律责任等内容。越南个人数据保护规则的立法升级，意味着企业今后面对的已不再只是零散的信息安全要求，而是与劳动用工、客户管理、集团协同、数字化运营和公司治理密切相关的体系化合规要求。

二、对在越中资企业影响最大的制度变化

首先，越南法下的“个人数据处理”范围非常广。法律将“处理”界定为对个人数据实施收集、分析、汇总、加密、解密、修改、删除、销毁、去标识化、提供、公开、转移以及其他影响数据的活动。换言之，招聘、入职、考勤、门禁、人脸识别、薪酬发放、客户管理、售后、广告投放、云端备份、总部查看数据、第三方外包处理等日常经营行为，原则上都可能构成受监管的个人数据处理活动。企业过去习惯从行政管理、劳动管理或信息技术角度处理的问题，今后均需要纳入个人数据合规框架统一评估。

其次，同意规则明显收紧。根据法律规定，数据主体的同意只有在自愿且充分知悉被处理数据类型、处理目的、控制方或控制兼处理方以及其权利义务等信息时方为有效；同意应当针对各处理目的分别作出，不得以接受无关目的为条件强制取得；沉默或者不回应，不得视为同意。对于在越中资企业常见的招聘表、入职确认书、员工手册、客户注册页面、营销授权页面和隐私政策而言，这意味着过去较为笼统的授权条款、默认勾选或“一揽子同意”安排，后续都可能面临较大的合规风险。

再次，集团共享、境外上云和总部远程访问更容易触发跨境传输规则。根据法律规定，个人数据跨境传输主要包括三类情形：一是将在越南存储的个人数据转移至境外数据存储系统；二是越南境内主体向境外组织或个人传输个人数据；三是使用位于境外的平台处理在越南收集的个人数据。由此可见，在越中资企业将员工、客户或供应商数据同步至中国总部、区域共享中心、境外ERP、HR或CRM系统、境外邮箱或境外云平台，并不会因“同一集团内部流转”而当然排除在跨境规则之外。

同时，评估与报送义务已成为企业必须正面应对的核心程序性事项。根据《个人数据保护法》及第356号法令，控制方、控制兼处理方应当建立、留存个人数据处理影响评估档案，并自开始处理之日起60日内提交；跨境传输个人数据的主体则应建立跨境传输影响评估档案，并自首次跨境传输之日起60日内提交。至于处理方，法律规定其应当按照与控制方、控制兼处理方之间的约定建立并留存个人数据处理影响评估档案，第356号法令进一步就报送程序作出细化。相关档案通常需要覆盖处理或传输目的、数据类型、数据流向、同意取得情况、存储与删除政策、安全保护方案、系统结构、第三方再转移流程、合规自评以及风险与缓释措施等内容。这意味着企业不但要“处理得合规”，还要能够以文件化、可证明的方式说明其处理活动为何合规。

此外，企业还需要真正建立个人数据保护的组织责任体系。法律要求机关、组织指定符合条件的个人数据保护人员或部门，或者依法聘请相关服务机构；第356号法令进一步明确，指定应通过正式书面文件作出，并明确职责分工、职能任务和权限。被指定的保护人员通常需要具备大专以上学历、至少两年法务、信息技术、网络安全、数据安全、风险管理、合规控制、人力资源管理等相关经验，并接受个人数据保护法律和专业技能培训。实施细则同时明确了保护部门和保护人员在政策流程建设、权利响应、合规评估、影响评估、事件报告、培训和技术措施落实等方面的职责。对在越中资企业而言，这意味着个人数据保护不能再只是法务或IT部门的临时事项，而应成为法务、HR、IT、信息安全和内控共同参与的治理议题。

最后，违法成本显著上升。根据法律规定，买卖个人数据的行政罚款最高可达违法所得的10倍；组织违反个人数据跨境传输规定的，最高可按上一年度营业收入的5%处罚；其他个人数据保护领域违法行为，对组织的最高罚款可达30亿越南盾，个人则按组织标准的一半适用。除行政责任外，如造成损害，还可能进一步引发民事赔偿，情节严重的还可能涉及刑事责任。随着规则体系由法令上升为法律并配套实施细则，企业在个人数据保护方面的违法风险显然已由一般性的合规瑕疵，转变为可能直接影响经营和治理的重要法律风险。

三、在越中资企业最需要优先关注的高风险场景

对制造业、贸易业和一般服务业中资企业而言，劳动用工场景往往是最容易被忽视但风险最高的领域之一。越南法律专门规定了个人数据在招聘、管理和使用劳动者过程中的保护要求，包括仅要求提供与招聘目的相符的信息，未录用时原则上应删除或销毁候选人信息，以及在劳动关系终止时依法删除或销毁劳动者个人数据。同时，企业通过技术手段管理员工时，也需确保措施合法、必要，并以员工知悉有关技术手段为前提。因此，招聘背调、入职建档、门禁考勤、宿舍管理、薪酬系统、离职交接、人脸识别和定位打卡等场景，都应作为首批整改重点。

对零售、电商、平台、App和To C服务型中资企业而言，客户与市场运营场景同样风险突出。法律对广告业务中的个人数据使用、社交平台和在线服务的数据处理，以及大数据、人工智能、云计算、位置数据、生物识别数据和公共场所录音录像形成的数据都设置了更具体的保护要求。例如，行为定向或个性化广告需要以数据主体同意为前提，并提供拒绝接收广告信息或要求停止接收广告的机制；公共场所录音录像虽在特定情形下可无需取得同意，但仍需履行提示、限于合法目的使用并在必要期限届满后删除或销毁。因此，客户开户注册、精准营销、Cookie或追踪技术、用户画像、境外分析工具接入、线上客服与工单系统、商场或园区监控等场景，都需要结合告知、同意、权限、存储、删除和跨境流转进行专项合规审查。

对集团化运营的在越中资企业而言，最具现实挑战的往往是“统一管理”模式。许多企业习惯将越南子公司数据纳入集团统一的人事、财务、风控、审计、客服和供应链平台，但在越南新法框架下，这类安排很可能同时触发数据处理、角色识别和跨境传输等多重要求。尤其在总部远程查看数据、海外共享中心处理数据、境外云备份、外包服务商远程运维等场景下，企业更需要提前识别数据流向和法律角色，而不能等到监管问询后再补手续。

四、在越中资企业的应对建议

第一，尽快完成一次全面的数据盘点。企业应围绕员工及候选人、客户、供应商、访客、经销商、终端用户等对象，梳理数据从何而来、处理什么、为何处理、保存多久、由谁访问、是否共享、是否跨境，并进一步识别企业在不同场景中究竟属于控制方、处理方，还是控制兼处理方。只有数据流清晰，后续的告知文本、合同安排、审批流程和影响评估才有现实基础。

第二，应同步重构告知与同意文本，尤其是招聘和劳动用工类文件。建议企业围绕“处理什么数据、为何处理、由谁处理、是否共享或跨境、保存多久、如何删除、权利如何行使”等核心问题，重写招聘申请表、入职文件、劳动合同、试用协议、员工手册、隐私政策、客户注册页面、营销授权条款和Cookie弹窗，尽量避免默认勾选、泛化授权和与主合同强行捆绑的同意机制。对劳动管理场景，还可结合内部管理需要，在劳动规章中补充对擅自买卖、泄露、非法共享个人数据等行为的纪律约束，并在劳动合同或配套文件中细化企业处理员工个人数据的边界。

第三，应把“个人数据处理影响评估”和“跨境传输影响评估”作为重点项目推进。值得注意的是，法律及第356号法令对部分场景设置了“无需开展跨境传输影响评估”的例外，例如：机构将本单位员工个人数据存储在云服务中；基于依法建立的劳动规章制度或集体劳动协议所必需的跨境人事管理；以及为签约、物流、转账支付、酒店、签证等目的进行必要的数据提供。但该等例外通常仅免除跨境影响评估的程序要求，并不免除告知与同意、最小必要、安全措施、留存删除、第三方约束和权利响应等其他义务。企业仍应先完成数据流识别，再据此判断是否满足例外条件。

第四，应尽快明确个人数据保护责任人或责任部门，并形成跨部门工作机制。即便企业暂不单独设置大型团队，也应通过正式内部文件明确牵头部门、职责边界、审批权限和升级机制，并确保法务、HR、IT、信息安全、业务与内控部门形成协同；同时，建议建立数据主体权利请求（如查阅、更正、删除、撤回同意等）的统一受理、核验与响应流程并留痕。如企业同时向外部客户提供数据处理类服务（如受托处理客户数据、画像评分或数据分析等），还应评估是否触发越南对“个人数据处理服务”的特别监管要求。

第五，应同步完善技术和内控措施。实践中，企业至少应做到对个人数据进行分级分类管理，严格落实最小授权；对批量导出、U盘拷贝、境外访问、云端备份和第三方接口设置审批与审计留痕；针对生物识别、位置数据、监控录像等高风险场景建立专项规则；并建立数据事件应急处置流程。法律明确要求，在发现可能对国防安全、社会秩序或数据主体生命、健康、名誉、财产造成损害的个人数据保护违规行为时，个人数据控制方、控制兼处理方及第三方应最迟在72小时内通知个人数据保护专责机关；处理方发现该等情形的，应及时通知控制方或控制兼处理方，并依据实施细则履行相应配合与报送要求。因此企业内部响应机制必须能够实现快速识别、快速固定事实、快速研判和快速处置。

第六，应重视过渡安排，但不要误判宽免范围。对于在旧法令框架下已经取得同意或已被主管机关接收的处理影响评估、跨境影响评估档案，法律允许继续使用，无需一律重签或重做；但后续发生变化的，仍应依新法更新。与此同时，小型企业、初创企业在一定期间内可以选择不适用部分关于处理影响评估、更新义务和保护人员配置的规定，个体经营和微型企业也有更宽的宽免安排；不过，凡涉及个人数据处理服务、直接处理敏感个人数据或处理大量数据主体数据的企业，通常不能简单依赖该类过渡或豁免。需要强调的是，员工人数较少并不意味着当然不适用新规；只要企业在越南境内处理员工及候选人、客户、供应商或访客等个人数据，原则上仍应履行基本的个人数据保护义务。

总结

总体而言，越南个人数据保护规则由“法令监管”迈入“法律监管”阶段，标志着企业在越经营所面临的数据合规要求已明显提升。对在越中资企业而言，新法所带来的影响并非单一文本层面的更新，而是对企业在劳动用工、客户运营、集团协同、信息系统建设及外部合作机制等方面提出了更高的制度化、文件化和可证明性要求。

从实务角度看，当前企业更应关注的，并非被动等待具体执法案例进一步明朗，而是尽早围绕数据盘点、角色识别、告知与同意文本重构、影响评估、跨境传输管理、责任部门配置及技术内控措施等关键环节开展系统性自查和整改。越早完成从“经验式管理”向“体系化治理”的转变，越有可能在越南监管持续趋严的背景下，将个人数据合规要求转化为企业治理能力提升和境外经营稳健运行的重要支撑。