专业领域
观韬解读|数海灯塔:企业出海数据合规实务要点Q&A(越南篇)
作者:王渝伟 刘红
随着东南亚数字经济持续增长和区域供应链加快重构,越南凭借制造业基础、外资吸引力和快速扩张的数字消费市场,正成为中国企业出海的重要目的地之一。根据DataReportal的《Digital 2025: Vietnam》,截至2025年初,越南互联网用户约7,980万,互联网普及率约78.8%,移动连接数约1.27亿,显示出较强的数字消费能力和移动场景渗透率[i];Google、Temasek与Bain的报告亦指出,越南数字经济GMV在2024年约为360亿美元,延续较快增长态势[ii]。与此同时,越南计划投资部公布,2024年越南外商直接投资实际到位资金约253.5亿美元,年增长9.4%,进一步反映出其作为区域投资目的地的吸引力[iii]。
从经贸联系看,中越双边贸易与投资合作近年来持续深化。中国商务部指出,中国自2004年以来一直是越南最大贸易伙伴,2024年中越双边贸易额达2,606.5亿美元,同比增长13.5%[iv]。这意味着,对于中国企业而言,越南不仅是承接制造、消费和数字服务布局的重要市场,也是在东南亚开展区域化经营的重要支点。与此同时,企业在进入越南市场时,除关注准入、税务、劳动和行业监管等传统合规议题外,也必须同步重视数据合规要求。
在制度层面,越南目前已形成以《个人数据保护法》(Law No. 91/2025/QH15,下称“PDPL”)《第356/2025/ND-CP号政令》(下称“第356号政令”)为核心的数据保护框架,对个人数据处理、数据主体权利、跨境传输、安全保障及监管配合等提出了较为具体的要求。对于拟布局或已落地越南市场的中国企业而言,数据合规已不只是降低处罚和经营风险的防御性要求,更是保障业务连续性、维护客户信任和支撑长期经营的重要基础。基于此,本文将从企业视角出发,以Q&A形式梳理越南数据合规框架下的核心问题,为中国企业出海越南提供基础性参考。
Q1:越南立法中主要的数据保护法律法规有哪些?
A1:越南作为典型的大陆法系国家,其法律位阶由国会通过的法律(Laws/Luật)、政府颁布的政令(Decrees/Nghị định)及各部委发布的通告(Circulars/Thông tư)构成。越南数据保护法律体系目前以于2026年1月1日正式生效的PDPL为核心,该法的出台标志着越南个人数据保护正式从此前长期由《第13/2023/ND-CP号法令》等中低位阶政令规制的“行政监管时代”,跨入高位阶专门法统一监管的新阶段。在此核心框架下,越南还辅以侧重数据资源治理与公共数据库管理的《数据法》(Law No. 60/2024/QH15)、聚焦国家安全与数据本地化义务的《网络安全法》(Law No. 116/2025/QH15,将于2026年7月1日生效),以及由越南政府配套发布的《第356号政令》等具体执行规则,共同构建起涵盖个人隐私权益、国家数据安全及跨境传输合规的完整法律架构。
Q2:越南的数据监管机构是什么?
A2:越南采取的是以公安部(下称“MPS”)为核心、多部委协同的监管模式。根据PDPL第36条及第356号政令第34条,除国防领域的个人数据保护管理外,MPS代表政府牵头负责个人数据保护管理。
MPS的职责包括:
(1) 协助政府统一开展个人数据保护国家管理工作;
(2) 牵头制定、发布或提请有权国家机关制定、发布个人数据保护法律法规文件,并指导实施个人数据保护法律法规;
(3) 指导、部署个人数据保护工作,在违反个人数据保护法律法规行为发生前保护数据主体权利;
(4) 牵头并与科技部合作,制定个人数据保护技术标准、规范;制定并在越南实施个人数据匿名化、去标识化技术标准、规范;
(5) 建立、管理、运营国家个人数据保护信息系统;
(6) 开展个人数据保护法律法规宣传、普及和教育,指导、培训个人数据保护人员的知识和技能。
除MPS外,根据第356号政令的相关规定,国防部负责管辖范围内国防相关个人数据的保护、违规查处与资源配置,科技部则与公安部协同制定个人数据保护及匿名化、去标识化的技术标准规范,并推动相关技术研发与应用。
Q3:如何判断PDPL是否适用于企业?
A3:PDPL第1条规定,PDPL适用于:
(1)越南的机构、组织和个人;
(2)在越南的外国机构、组织和个人;
(3)直接参与或涉及处理越南公民以及目前居住在越南、已获得个人身份证明但国籍未定的越南裔人士的个人数据的外国机构、组织和个人。
Q4:PDPL中与个人数据保护相关的定义有哪些?
A4:以下是PDPL中的一些重要定义:
(1)个人数据:指能够识别或有助于识别特定自然人的数字数据或其他形式的信息,包括基本个人数据和敏感个人数据。
(2)基本个人数据:指反映个人身份、常见履历等要素,在交易和社会关系中常用的个人数据,具体目录由政府颁布。
(3)敏感个人数据:指与个人隐私权相关,一旦被侵犯将直接影响机关、组织、个人合法权益的个人数据,具体目录由政府颁布。
(4)数据主体:指个人数据所反映的自然人。
(5)处理个人数据:指涉及个人数据的活动,包括收集、分析、汇总、加密、解密、修改、删除、销毁、去标识化、提供、公开、传输个人数据及其他涉及个人数据的活动。
(6)数据控制者:指决定处理个人数据的目的和方式的机关、组织、个人。
(7)数据处理者:指根据数据控制者的要求或通过合同约定,处理个人数据的机关、组织、个人。
(8)数据控制与处理者:指决定处理个人数据的目的、方式并直接进行处理的机关、组织、个人。
(9)第三方:指数据主体、数据控制者、数据控制与处理者、数据处理者以外,依法参与个人数据处理活动的组织、个人。
(10)个人数据去标识化:指通过改变或删除信息,生成无法识别或无法关联到特定自然人的新数据的过程,去标识化后的个人数据不再属于个人数据。PDPL中的去标识化近似于GDPR下的匿名化(anonymization)而非化名处理(pseudonymization)。GDPR下的化名处理数据仍属于个人数据,而PDPL下去标识化后的数据则不再属于个人数据,这是两者的重要区别。
(11)处理个人数据影响评估:指分析和评估个人数据处理过程中可能产生的风险,以采取措施降低风险、保护个人数据的活动。
PDPL将个人数据区分为基本个人数据和敏感个人数据,第356号政令在PDPL的基础上细化了基本个人数据和敏感个人数据的清单。相较于GDPR,PDPL在个人数据分类上的突出特点在于其采取了更为明确的“二分+清单化”立法模式。同时,PDPL对敏感个人数据的认定范围较GDPR更宽,不仅涵盖传统上与人格尊严、歧视风险密切相关的信息,还将定位数据、账户密码、金融交易记录以及网络行为监测数据纳入其中,体现出更强的风险防控导向和数字安全导向。
Q5:PDPL中针对个人数据保护人员的任命有哪些要求?
A5:PDPL规定机关、组织有责任指定具备专业能力的部门或人员负责个人数据保护,或聘请提供个人数据保护服务的组织、个人。第356号政令在此基础上详细规定了个人数据保护人员的条件及职责:
个人数据保护人员须满足以下条件:
(1)具有大专及以上学历;
(2)具有至少2年与法律、信息技术、网络安全、数据安全、风险管理、合规管控、人力资源管理、行政组织等领域相关的工作经验;
(3)接受过个人数据保护相关法律法规知识和专业技能培训。
个人数据保护人员的职责如下:
(1)参与制定政策、流程、规定、表格,以遵守个人数据保护法律法规规定;
(2)参与落实个人数据主体的各项权利;
(3)参与定期评估个人数据保护合规状况,提出改进合规效率、预防和管控风险的措施;
(4)编制跨境个人数据传输影响评估报告、个人数据处理影响评估报告,接收并上报个人数据保护违规情况,按照规定执行有权机关的其他要求;
(5)参与个人数据保护相关的培训、进修课程;
(6)参与实施个人数据安全技术措施、个人数据保护标准、规范,执行个人数据保护应急响应计划。
根据第356号政令的规定,负责个人数据保护的组织和个人既可以由企业内部指定,也可以从外部聘请第三方。相较于企业内部指定,第356号政令对企业外部聘请的相关组织和个人的专业要求相对更高,具体体现在要求有3年的相关工作经历。但无论是内部指定还是外部聘请,PDPL及第356号政令对相关组织和个人的独立性均没有要求。
对于该合规要求,PDPL给予了一定的豁免和缓冲期:对于个体工商户和微型企业,可直接豁免该要求;对于小微企业和初创企业,可享有五年的缓冲期,但经营个人数据处理服务、直接处理敏感个人数据或处理的个人数据累计达到10万以上的数据主体不享有任何豁免及缓冲期。
Q6:PDPL中数据处理的合法性基础有哪些?
A6:根据PDPL第9条及第19条,PDPL数据处理的合法性基础仍围绕“主体同意为原则,法定豁免为例外”的框架,具体而言:
(1)获得个人数据主体的同意;
(2)在紧急情况下保护数据主体或他人的生命、健康、名誉、人格等合法权益,或在面临侵害前述权益的行为时,为保护自身、他人或国家、机关、组织的正当权益所必需;
(3)为解决紧急情况、威胁国家安全的风险(尚未达到宣布紧急状态)、防范和打击暴乱、恐怖主义、犯罪及违法行为;
(4)服务于国家机关活动和国家管理,依照法律规定执行;
(5)履行数据主体与相关机关、组织、个人的合同约定,依照法律规定执行;
(6)法律规定的其他情形。
Q7:PDPL中与数据收集、处理相关的义务有哪些?
A7:PDPL向个人数据控制者、个人数据处理者以及兼具两种身份的主体施加了明确的法定义务与要求。整体而言,个人数据控制者对个人数据处理活动承担整体和主要责任,需要在处理安排、数据主体权利保障、安全措施、违规通报、处理者选任、损害赔偿以及监管配合等方面履行全面合规义务;个人数据处理者则主要依据其与控制者签署的处理协议开展处理活动,并就协议履行、数据保护措施落实、损害赔偿、非法收集防范及监管配合等承担相应责任;对于同时属于个人数据控制者兼处理者的主体,则需同时履行作为控制者和处理者的双重法定义务,满足PDPL项下的合规要求。
Q8:PDPL对于数据跨境传输的规定?
A8:根据PDPL对数据跨境传输的相关规定,数据跨境传输包括三种情形:
(1)将存储在越南的个人数据传输至越南境外的数据存储系统;
(2)越南境内的机关、组织、个人向境外组织、个人传输个人数据;
(3)越南境内或境外的机关、组织、个人使用越南境外平台处理在越南收集的个人数据。
相关组织进行数据跨境传输时应当在首次传输之日起60日内编制跨境传输影响评估文件,并向MPS备案,在整个活动期间仅需进行一次评估,但需按照法律要求定期或立刻更新评估文件。PDPL也针对跨境传输影响评估列举了一些豁免情形,如下所示:
(1)有权国家机关的跨境数据传输;
(2)机关、组织将其员工的个人数据存储在云端服务;
(3)数据主体自行跨境传输其个人数据;
(4)政府规定的其他情形。
第356号政令对“(4)政府规定的其他情形”进行了细化,包括:
a) 按照法律法规规定开展的新闻、传播活动;
b) 已按照法律法规规定公开的跨境个人数据传输活动;
c) 紧急情况下,为保护个人生命、健康和财产安全而必须进行的跨境个人数据传输;为履行法律法规规定的职责、义务而进行的跨境个人数据传输;
d) 按照法律法规规定的程序、劳动规则和集体劳动合同,为管理跨境人力资源而进行的跨境个人数据传输活动;
e) 为签订合同或履行与跨境运输、住宿、汇款、支付、酒店、签证、奖学金申请相关的程序而提供跨境个人数据的活动。
Q9:违反PDPL的规定可能会面临什么样的处罚?
A9:违反PDPL的规定,违法主体可能承担行政处罚、刑事责任及民事赔偿责任。就行政处罚而言,买卖个人数据的,罚款上限为违法所得的10倍或30亿越南盾(以较高者为准);组织违反个人数据跨境传输规定的,罚款上限为其上一年度营业额的5%或30亿越南盾(以较高者为准);其他个人数据保护领域违法行为,对组织的罚款上限为30亿越南盾。个人实施同类违法行为的,罚款上限原则上为组织罚款上限的一半。
Q10:越南数据保护立法与欧盟GDPR的区别?
A10:越南PDPL虽然在许多方面借鉴了欧盟GDPR的立法经验,但在监管架构、合法性基础、跨境传输机制、处罚体系等方面存在显著差异。以下从几个核心维度进行对比:
对比维度 | 越南 PDPL | 欧盟 GDPR |
适用范围 | 适用于越南境内外相关主体,以及直接参与或涉及处理越南公民个人数据的组织和个人。此外,PDPL还特别提到了在越南境内生活、已获发身份证明但国籍未定的越南裔人士。 | 适用于欧盟境内设立主体,以及向欧盟个人提供商品/服务或监测其行为的域外主体。 |
合法性基础 | 不包含GDPR式的“合法利益”(legitimate interest)基础。 | 采用六大合法基础,包括同意、合同必要、法定义务、重大利益、公共任务、合法利益。 |
DPO制度 | 越南法要求设置数据保护部门/人员,但未见GDPR式的明确独立性保障条款。 | 强调独立性。 |
跨境传输 | 对法定场景要求制作跨境传输影响评估档案,并在首次传输起 60 天内向主管机关提交。 | 以充分性决定、SCC、BCR 等传输工具为核心,不是普遍报送制。 |
影响评估 | 影响评估义务覆盖面更广,并配套行政报送/更新要求。 | DPIA 主要是高风险触发机制。 |
行业规则 | 对金融、银行、征信、广告、AI、元宇宙、区块链等场景规定更具体规则。 | 主要以通用规则约束,再配合行业法或配套规则。 |
处罚机制 | 跨境传输违法:上一年度营业额5%或30亿越南盾(以较高者为准);买卖个人数据:违法所得10倍或30亿越南盾(以较高者为准);其他违法:上限30亿越南盾。 | 最高可达全球年营业额的4%或2,000万欧元(以较高者为准)。 |
数据交易 | 明确禁止买卖个人数据,违反者面临严厉处罚。 | 未全面禁止数据交易,但须符合合法性基础要求,且数据主体享有知情权和拒绝权。 |
监管架构 | 政府统一领导,公安机关牵头作为监管机关。 | 由成员国独立监管机构执行,并通过欧盟一致性机制协作。 |
【作者简介】 王渝伟,观韬上海办公室合伙人,观韬数字法律与网络合规业委会主任,长期专注于网络安全数据合规业务领域。王渝伟律师在网络安全数据合规领域为金融、医疗、汽车、航空、互联网、房地产、物流、能源、生命健康、智能制造等行业的众多国内外企业提供该领域的法律合规服务。在上百个数据合规项目中,王律师带领团队为行业头部企业及研究机构提供专业服务,完成了一系列具有指导意义的数据合规项目。2020年以来,王律师在TMT和数据保护领域先后获得钱伯斯、Legal500、ALB、商法、亚洲法律商务、LEGALBAND等多个法律专业评级机构的推荐。
Email: wangyw@guantao.com
刘红,数据合规团队实习生。
[i] DataReportal, Digital 2025: Vietnam:https://datareportal.com/reports/digital-2025-vietnam,最后访问于:2026/03/20。
[ii] Google / Temasek / Bain, e-Conomy SEA 2024 – Vietnam:https://services.google.com/fh/files/misc/vietnam_e_conomy_sea_2024_report.pdf,最后访问于:2026/03/20。
[iii] 越南计划投资部(MPI),FDI attraction situation in Vietnam:https://www.mpi.gov.vn/en/Pages/2025-1-14/FDI-attraction-situation-in-Vietnam-and-Vietnam-s-ehsipf.aspx,最后访问于:2026/03/20。
[iv] 中国商务部,Could you please introduce the current state of China-Vietnam economic and trade cooperation?:https://english.mofcom.gov.cn/PressConferenceHomepage/BiandMultilateralRelations/art/2025/art_cd0cd43ca32843be89609a5292f735d6.html,最后访问于:2026/03/20。
