个人数据保护法规定了各方在处理和保护个人信息方面的责任,包括小型企业和个体工商户。该法自2026年1月1日起生效,并允许小微企业在一定时间内选择是否执行某些条款。
适用范围
与在越南处理个人数据有关的机构、组织和个人。
要点
- 关于控制者和处理者对个人数据处理的责任的规定
- 保护个人数据的条件和技术标准
- 对法律生效前正在进行的活动的过渡规定
- 小微企业在适用时间上的灵活性。
- 各方必须报告违反个人数据保护规定的违法行为
🌐 本文件的社会影响
- 加强公民个人信息的安全保障
- 发展安全、可持续的信息技术产业
- 鼓励企业遵守国际数据保护标准
❓ 常见问题
本法何时生效?
个人数据保护法自2026年1月1日起施行。
小微企业在多长时间内可以选择执行法律规定?
小型企业可以在法律生效后五年内选择是否执行,而微型企业的这一要求则无需执行。
法律如何规定数据控制者的责任?
数据控制者必须明确其在与个人数据处理相关的协议中的职责、权利和义务;决定个人数据处理的目的和手段;采取技术措施以保护个人数据。
全文
|
全国人民代表大会 |
中华人民共和国 |
|
法律编号:91/2025/QH15 |
法律
个人数据保护
根据已修改和补充若干条款的2025年第二百零三条第十五届全国人民代表大会决议通过的越南社会主义共和国宪法;
国会颁布《个人数据保护法》。
第一章
总则
第一条 调整范围和适用对象
1. 本法规定个人数据、个人数据保护以及相关机关、组织和个人的权利、义务和责任。
||| 本法适用于:
||| (一)越南的机关、组织和个人;
b) 在越南的外国机关、组织和个人;
c) 直接参与或与处理越南公民和未确定国籍的越南裔居民个人数据活动有关的外国机关、组织和个人,后者已获得身份证明。
贷款金额
在本法中,下列术语具有以下含义:
1. 个人数据 是以数字或其他形式存在的能够识别或有助于识别特定个人的信息,包括基本个人数据和敏感个人数据。经过匿名化处理后无法识别特定个人的数据不再被视为个人数据。
2. 基本个人数据 是反映个人身份、一般背景并在社会交易和关系中经常使用的数据,属于政府公布的目录。
3. 敏感个人数据 是与个人隐私直接相关的数据,当被侵犯时会对机关、组织和个人的合法权益造成直接影响,属于政府公布的目录。
4. 个人数据保护 是机关、组织和个人使用力量、手段和措施预防和打击侵犯个人数据的行为。
5. 数据主体 是个人数据所反映的人。
6. 处理个人数据是对个人数据进行影响的活动,包括以下一项或多项活动:收集、分析、汇总、编码、解码、修改、删除、销毁、匿名化、提供、公开、转移个人数据以及其他影响个人数据的活动。
7. 数据控制者 是决定个人数据处理目的和方法的机关、组织或个人。
8. 数据处理者 是根据数据控制者的请求或通过合同与数据控制者共同处理个人数据的机关、组织或个人。
9. 数据控制者和处理者 是决定个人数据处理目的和方法并直接处理个人数据的机关、组织或个人。
10. 第三方 是除数据主体、数据控制者、数据控制者和处理者、数据处理者外,根据法律规定参与处理个人数据的组织或个人。
11. 个人数据匿名化 是改变或删除信息的过程,以生成无法识别或无法帮助识别特定个人的新数据。
12. 数据处理影响评估 是在处理个人数据过程中分析和评估可能发生的风险,并采取措施减少风险,保护个人数据。
第三条 个人数据保护原则
1. 遵守宪法、本法和其他相关法律法规的规定。
2. 只能在具体明确的目的范围内合法地收集和处理个人数据,确保遵守法律法规。
3. 确保个人数据的准确性,并在必要时进行修正、更新和补充;存储时间应符合处理个人数据的目的,除非法律另有规定。
4. 有效实施制度、技术、人员等综合措施,以保护个人数据。
5. 主动预防、发现、阻止、斗争和及时严厉处理所有违反个人数据保护法律法规的行为。
6. 个人数据保护与国家利益、民族利益相联系,服务于经济发展和社会进步,保障国防、安全和外交;确保个人数据保护与机关、组织和个人合法权益保护之间的平衡。
条4. 数据主体的权利和义务
1. 数据主体的权利包括:
a) 知悉个人数据处理活动;
b) 同意或不同意,要求撤回同意处理个人数据的许可;
c) 查阅、更正或要求更正个人数据;
d) 要求提供、删除、限制处理个人数据;提出反对处理个人数据的要求;
đ) 投诉、举报、提起诉讼、要求赔偿损失,依照法律规定;
e) 要求有权机关或者与处理个人数据有关的机关、组织、个人按照法律规定采取措施、解决方案保护其个人数据;
2. 数据主体的义务包括:
a) 自行保护自己的个人数据;
b) 尊重并保护他人的个人数据;
c) 按照法律规定、合同约定或在同意处理自己个人数据时,如实、准确地提供自己的个人数据;
d) 遵守个人数据保护法律法规,并参与防范、打击侵犯个人数据的行为。
3. 数据主体在行使权利和履行义务时必须遵守以下原则:
a) 按照法律规定执行;履行数据主体的义务。行使权利和履行义务的目的在于保护数据主体自身的合法权益;
b) 不得妨碍数据控制者、数据控制者和处理者、数据处理者的合法权利义务的实施;
c) 不得侵犯国家、机关、组织、其他个人的合法权益。
4. 机关、组织和个人有责任为数据主体行使权利和履行义务创造便利条件,不得设置障碍。
5. 当收到数据主体根据本条第1款规定行使权利的要求时,数据控制者、数据控制者和处理者必须及时在法定期限内予以执行。
政府将对本条款作出具体规定。
条5. 适用个人数据保护法律
1. 在越南社会主义共和国领土上进行的个人数据保护活动,应遵循本法和其他相关法律的规定。
2. 对于在本法生效前由国会颁布的法律、决议中具体规定的个人数据保护内容,只要不违反本法规定的个人数据保护原则,则适用该法律、决议的规定。
3. 对于在本法生效后由国会颁布的法律、决议中规定的与本法不同的个人数据保护内容,必须明确规定是否按照本法规定执行,以及按照该法律、决议的具体执行内容。
4. 如果机关、组织、个人按照本法规定进行数据处理影响评估、跨境传输数据影响评估,则无需按照数据法规定进行数据处理风险评估、跨境传输数据影响评估。
条 6. 国际合作关于保护个人数据
1. 遵守越南社会主义共和国的法律法规、越南社会主义共和国是成员的国际条约以及平等互利、尊重独立、主权和领土完整的前提下,就保护个人数据达成的国际协议。
2. 国际合作关于保护个人数据的内容包括:
a) 建立国际合作机制,为有效执行保护个人数据的法律法规创造条件;
b) 参与其他国家保护个人数据的司法互助;
c) 预防和打击侵犯个人数据的行为;
d) 培养人力资源,进行科学研究,应用科学技术以保护个人数据;
đ) 交流制定和实施保护个人数据法律法规的经验;
e) 转让技术以服务于保护个人数据。
3. 政府规定实施国际合作保护个人数据的责任。
条 7. 禁止行为
1. 处理个人数据旨在反对越南社会主义共和国,影响国防、国家安全、社会秩序和公共安全,机关、组织和个人的权益和合法利益。
2. 干扰保护个人数据的活动。
3. 利用保护个人数据的活动实施违法行为。
4. 违反法律规定处理个人数据。
5. 使用他人的个人数据或将自己的个人数据提供给他人使用,以实施违反法律的行为。
6. 买卖个人数据,除非法律另有规定。
7. 占有、故意泄露或丢失个人数据。
条 8. 处理违反保护个人数据法律法规的行为
1. 组织和个人违反本法和其他相关法律法规保护个人数据的规定,根据违法行为的性质、程度和后果,可能受到行政处罚或追究刑事责任;如果造成损失,则应依法赔偿。
2. 对于在保护个人数据领域内的行政违法行为处罚,按照本条第3、4、5、6和7款及有关行政违法行为处理的法律法规的规定执行。
3. 对于买卖个人数据的行政违法行为处罚的最高罚款金额为违法所得的十倍;如无违法所得或按违法所得计算的罚款低于本条第5款规定的最高罚款金额,则适用本条第5款规定的罚款。
4. 对于组织违反跨境传输个人数据规定的行为,行政违法行为处罚的最高罚款金额为其前一年收入的百分之五;如无前一年收入或按收入计算的罚款低于本条第5款规定的最高罚款金额,则适用本条第5款规定的罚款。
5. 对于其他在保护个人数据领域内的行政违法行为处罚的最高罚款金额为三亿元人民币。
6. 本条第3、4和5款规定的最高罚款金额适用于组织;个人实施相同违法行为的最高罚款金额为对组织罚款金额的一半。
7. 政府规定计算因违反保护个人数据法律法规而获得违法所得的方法。
第二章
个人数据保护
节 1
在处理个人数据过程中保护个人数据
条 9. 数据主体的同意
1. 数据主体的同意是指数据主体允许处理其个人数据,除非法律另有规定。
2. 数据主体的同意只有在基于自愿并了解以下信息的情况下才有效:
a) 处理的个人数据类型和处理个人数据的目的;
b) 控制个人数据的一方或控制和处理个人数据的一方;
c) 数据主体的权利和义务。
3. 数据主体的同意应以明确具体的方式表达,并可通过书面形式体现,包括电子形式或其他可验证的形式。
4. 数据主体的同意必须符合以下原则:
a) 对每个目的分别表示同意;
b) 不得附带强制同意其他与约定内容不同的目的;
c) 同意的有效期直至数据主体改变该同意或法律规定为止;
d) 沉默或不回应不得视为同意。
5. 政府对本条第3款作出详细规定。
条 10. 撤回同意及限制处理个人数据的要求
1. 数据主体有权要求撤回对其个人数据处理的同意,或要求限制处理其个人数据,当怀疑处理范围、目的或个人数据准确性时,除非本法第19条规定的情况或法律另有规定。
2. 数据主体撤回同意或限制处理个人数据的要求必须以书面形式提出,包括电子形式或其他可验证的形式,并提交给控制个人数据的一方或控制和处理个人数据的一方。数据主体撤回同意或限制处理个人数据的要求应按照法律规定和各方协议执行。
3. 控制个人数据的一方或控制和处理个人数据的一方在接受、执行数据主体撤回同意或限制处理个人数据的要求时,应在法律规定的时间内要求处理个人数据的一方执行这些要求。
4. 执行撤回同意或限制处理个人数据的要求不适用于数据主体提出撤回同意或限制处理个人数据之前的数据处理活动。
条 11. 收集、分析和汇总个人数据
1. 收集个人数据必须事先获得数据主体的同意,除非法律另有规定。
2. 党政机关有权从自行收集的数据源或共享、提供、转移、开发和使用的数据源中分析和汇总个人数据,以服务于领导、指导、国家管理和社会经济发展工作,依照法律规定进行。
3. 不属于本条第2款规定范围内的机构、组织和个人可以从依法处理的个人数据源中分析和汇总个人数据。
条 12. 数据加密、解密
1. 数据加密是指将个人数据转换为无法识别的形式,除非经过解密;加密后的个人数据仍然是个人数据。
2. 涉及国家秘密的个人数据必须按照保护国家秘密和机要工作的法律规定进行加密和解密。
3. 机关、组织和个人应根据处理个人数据的活动决定个人数据的加密和解密事宜。
条 13. 数据修改
1. 数据主体有权自行修改其个人数据,但须与数据控制者或数据控制和处理者达成协议;可以请求数据控制者或数据控制和处理者修改其个人数据。
2. 数据控制者或数据控制和处理者应在数据主体要求时或依据法律规定修改个人数据,并要求数据处理者或其他第三方修改数据主体的个人数据。
3. 修改个人数据必须确保准确性。因正当理由无法修改个人数据的情况下,数据控制者或数据控制和处理者必须通知相关机关、组织或个人。
条 14. 删除、销毁、去标识化个人数据
1. 在以下情况下可删除或销毁个人数据:
a) 数据主体提出请求并接受可能产生的风险和损害;此类请求必须遵守本法第四条第三款规定的各项原则;
b) 已实现处理个人数据的目的;
c) 超过法定存储期限;
d) 执行有权限的国家机关的决定;
e) 根据协议执行;
f) 法律规定的其他情况。
2. 不得在本法第十九条规定的情况下执行数据主体关于删除或销毁个人数据的要求,或者违反本法第四条第三款规定的情况。
3. 数据控制者或数据控制和处理者应在本条第一款规定的情况下删除或销毁个人数据,或要求数据处理者或其他第三方删除或销毁数据主体的个人数据。删除或销毁个人数据必须采取安全措施,防止非法入侵和恢复已删除或销毁的数据。
4. 任何机关、组织或个人不得非法恢复已被删除或销毁的个人数据。
5. 数据控制者或数据控制和处理者、数据处理者有责任遵守本法的规定。在收到数据主体的要求后,因正当理由无法删除或销毁个人数据的情况下,数据控制者或数据控制和处理者必须通知数据主体。
6. 去标识化个人数据的规定如下:
a) 机关、组织或个人负责严格监控去标识化过程,防止非法访问、复制、占有、泄露或丢失个人数据;
b) 除法律规定外,不得重新识别已经去标识化的个人数据;
c) 去标识化个人数据必须遵守本法和其他相关法律的规定。
条15. 提供个人数据
1. 数据主体根据法律规定或与机关、组织、个人的协议向机关、组织、个人提供个人数据。
2. 数据控制者、数据控制和处理者在以下情况下提供个人数据:
a) 根据数据主体的要求,按照法律规定和与数据主体的协议,向数据主体提供个人数据,除非提供该数据可能对国防、国家安全、社会秩序、公共安全或他人的生命、健康、财产造成损害;
b) 在获得数据主体同意的情况下,向其他机关、组织、个人提供个人数据,除非法律另有规定。
条16. 公开个人数据
1. 个人数据仅能为具体目的公开。公开范围和个人数据类型必须符合公开目的。公开个人数据不得侵犯数据主体的合法权利和利益。
2. 个人数据仅能在以下情况下公开:
a) 经数据主体同意;
b) 按照法律规定执行;
c) 符合本法第19条第1款第b项的规定;
d) 履行合同义务。
3. 公开的个人数据必须准确反映原始数据,并便于机关、组织、个人接触、开发和使用。
4. 公开个人数据的形式包括:在电子信息网站、电子门户、大众媒体及其他法律规定的形式上发布数据。
5. 机关、组织、个人公开个人数据时,必须严格监控和监督公开行为,确保遵守公开目的、范围及法律规定;防止未经授权访问、使用、披露、复制、修改、删除或以其他非法方式处理已公开的个人数据。
条17. 转移个人数据
1. 在以下情况下可以转移个人数据:
a) 经数据主体同意;
b) 在同一机关、组织内分享个人数据,以便按照既定处理目的处理数据;
c) 在机关、组织、行政单位重组、国有企业的所有权形式转换、机关、组织分立、合并、终止活动等情况下,继续处理个人数据;
d) 数据控制者、数据控制和处理者根据规定将个人数据转移给数据处理者或第三方进行处理;
e) 应有权国家机关要求转移个人数据;
f) 符合本法第19条第1款规定的其他情况。
2. 在上述第1款规定的情况下,无论是否收费,均不得视为买卖个人数据的行为。
3. 国务院详细规定本条内容。
条 18. 其他个人数据处理活动
1. 数据控制者、数据控制和处理者、数据处理者以及以符合其业务活动的方式存储个人数据的第三方,应当在存储过程中按照法律规定采取措施保护个人数据。
2. 存储、访问、检索、连接、协调、确认、验证个人数据以及其他影响个人数据的活动,应依照本法、数据相关法律法规及其他相关法律规定和各方之间的协议进行。
3. 优先将个人数据用于国家管理服务活动、公立事业单位的活动,以试点实施促进科学技术创新和国家数字化转型的特别机制和政策。
条 19. 在无需个人数据主体同意的情况下处理个人数据的情形
1. 不需要个人数据主体同意即可处理个人数据的情形包括:
a) 为保护个人数据主体或他人的生命、健康、名誉、人格权、合法权益,在紧急情况下;为保护自己的正当权益、他人或国家机关组织的正当权益,防止侵害上述利益的行为。数据控制者、数据处理者、数据控制和处理者、第三方有责任证明这种情况;
b) 解决紧急情况;国家安全受到威胁但尚未达到宣布紧急状态的程度;预防暴乱、恐怖主义、犯罪和违法行为;
c) 服务于国家机关的活动,根据法律规定进行国家管理;
d) 根据法律规定,执行个人数据主体与有关机关、组织和个人之间的协议;
e) 法律规定的其他情况。
2. 有关机关、组织和个人在无需个人数据主体同意的情况下处理个人数据时,必须建立监督机制,包括:
a) 建立处理个人数据的程序和规定,并确定机关、组织和个人在处理个人数据过程中的责任;
b) 实施适当的个人数据保护措施;定期评估处理个人数据过程中可能发生的风险;
c) 定期检查和评估遵守法律规定、处理个人数据的程序和规定的状况;
d) 设立接收并处理来自有关机关、组织和个人的意见和建议的机制。
条 20. 跨境传输个人数据
1. 跨境传输个人数据的情形包括:
a) 将存储于越南境内的个人数据传输到位于越南社会主义共和国领土之外的数据存储系统;
b) 越南境内的机关、组织和个人向境外的组织和个人传输个人数据;
c) 越南境内或境外的机关、组织和个人使用位于越南社会主义共和国领土之外的平台处理在越南境内收集的个人数据。
2. 跨境传输个人数据的机关、组织和个人,应在本条第1款规定的情形下,自首次跨境传输个人数据之日起60日内,编制跨境传输个人数据影响评估报告,并提交一份正本给专门负责保护个人数据的机关。
3. 跨境传输个人数据的影响评估仅需在整个机关、组织和个人运营期间进行一次,并根据本法第二十二条的规定更新。
4. 专门负责保护个人数据的机关决定每年不超过一次定期检查或在发现违反个人数据保护法律规定的行为或发生个人数据泄露、丢失事件时进行突击检查。
5. 专门负责保护个人数据的机关决定要求机关、组织和个人停止跨境传输个人数据,当发现所传输的个人数据被用于可能危害国防、国家安全的活动时。
6. 不需要进行跨境传输个人数据影响评估的情形包括:
a) 有权机关跨境传输个人数据;
b) 机关、组织在其云服务中存储其员工的个人数据;
c) 个人数据主体自行跨境传输其个人数据;
d) 政府规定的其他情形。
7. 政府详细规定本条第1款、第5款和第6款的内容;规定跨境传输个人数据影响评估报告的组成部分、条件、程序和手续。
条 21. 数据处理影响评估
1. 数据控制者、数据控制和处理者应建立并保存个人数据处理影响评估档案,并在开始处理个人数据之日起60日内,向负责保护个人数据的专门机构提交一份正本,除非本条第6款另有规定。
2. 个人数据处理影响评估在整个数据控制者、数据控制和处理者的运营期间仅进行一次,并根据本法第二十二条的规定更新。
3. 数据处理者应按照与数据控制者、数据控制和处理者的协议建立并保存个人数据处理影响评估档案,除非本条第6款另有规定。
4. 负责保护个人数据的专门机构应对个人数据处理影响评估档案进行评估,要求数据控制者、数据控制和处理者、数据处理者完善档案,以确保其完整且符合规定。
5. 数据控制者、数据控制和处理者、数据处理者应在个人数据处理影响评估档案中所载内容发生变化时,及时更新和补充档案。
6. 具有相应权限的国家机关无需执行本条规定的个人数据处理影响评估规定。
7. 政府应规定个人数据处理影响评估档案的内容、条件、程序和手续。
条 22. 更新个人数据处理影响评估档案和个人数据跨境传输影响评估档案
1. 个人数据处理影响评估档案和个人数据跨境传输影响评估档案应每六个月定期更新或在本条第2款规定的情况下立即更新。
2. 需要立即更新的情况包括:
a) 根据法律规定,组织、单位被重组、停止运营、解散或破产;
b) 提供个人数据保护服务的组织或个人的信息发生变化;
c) 新增或变更了与已登记在个人数据处理影响评估档案或个人数据跨境传输影响评估档案中的业务相关的行业、职业或服务。
3. 个人数据处理影响评估档案和个人数据跨境传输影响评估档案的更新应在国家个人数据保护信息门户网站上进行,或在负责保护个人数据的专门机构处进行。
4. 国务院将详细规定本条内容。
条 23. 违反个人数据保护规定的通知
1. 发现违反个人数据保护规定可能对国家安全、国防、社会秩序、公共安全或个人数据主体的生命、健康、名誉、人格尊严、财产造成损害的数据控制者、数据控制和处理者、第三方,必须在发现违规行为后最迟72小时内向负责保护个人数据的专门机构报告。数据处理者发现违规行为应及时通知数据控制者或数据控制和处理者。
2. 数据控制者、数据控制和处理者必须记录违规行为,配合负责保护个人数据的专门机构处理违规行为。
3. 在以下情况下,机构、组织或个人应向负责保护个人数据的专门机构报告:
a) 发现违反个人数据保护规定的行为;
b) 个人数据被用于非约定目的或未按个人数据主体与数据控制者、数据控制和处理者之间的协议处理;
c) 未能保障或未正确行使个人数据主体的权利;
d) 法律规定的其他情形。
4. 负责保护个人数据的专门机构有责任接收报告并处理违反个人数据保护规定的行为。数据控制者、数据控制和处理者、第三方以及相关机构、组织或个人有责任阻止违规行为,消除后果,并配合负责保护个人数据的专门机构处理违反个人数据保护规定的行为。
5. 政府应规定违反个人数据保护规定的通知内容。
节
在某些活动中的个人数据保护
条24. 保护儿童、无民事行为能力或限制民事行为能力人以及认知和控制能力有困难的人的个人数据
1. 对儿童、无民事行为能力或限制民事行为能力人以及认知和控制能力有困难的人的个人数据保护,按照本法的规定执行。
2. 对于儿童、无民事行为能力或限制民事行为能力人或者认知和控制能力有困难的人,法定代理人可以代表数据主体行使权利,但不包括本法第19条第1款规定的情况。处理儿童个人数据以公布或披露其私人生活和个人秘密信息时,必须获得儿童及其法定代理人的同意,该儿童年满七岁及以上。
3. 在以下情况下应停止处理儿童、无民事行为能力或限制民事行为能力人以及认知和控制能力有困难的人的个人数据:
a) 根据本条第2款规定已经同意处理个人数据的人撤回同意,除非法律另有规定;
b) 根据有权机关的要求,在有足够的证据证明处理个人数据可能侵犯儿童、无民事行为能力或限制民事行为能力人以及认知和控制能力有困难的人的权利和合法利益的情况下进行,除非法律另有规定。
条25. 招聘、管理和使用员工中的个人数据保护
1. 机关、组织和个人在招聘员工中保护个人数据的责任如下:
a) 只能要求提供符合法律规定的服务于招聘目的的信息;提供的信息只能用于招聘目的和其他符合法律规定的目的;
b) 提供的信息必须按照法律规定处理,并且必须得到应聘者的同意;
c) 如果未被录用,必须删除或销毁应聘者提供的信息,除非与应聘者另有约定。
2. 机关、组织和个人在管理、使用员工中保护个人数据的责任如下:
a) 遵守本法、劳动法、就业法、数据法及其他相关法律规定;
b) 员工的个人数据必须按照法律规定或约定的时间保存;
c) 当终止合同时,必须删除或销毁员工的个人数据,除非另有约定或法律规定。
3. 使用技术手段收集员工个人数据的处理规定如下:
a) 只能采用符合法律规定并确保数据主体权利和利益的技术手段,且员工必须了解这些手段;
b) 不得违反法律规定处理或使用通过技术手段收集的个人数据。
条 26. 保护个人数据中的健康信息和保险业务
1. 对于健康信息和个人数据在保险业务中的保护规定如下:
a) 在收集、处理个人数据过程中,必须获得数据主体的同意,除非符合本法第19条第1款的规定;
b) 全面适用关于保护个人数据的规定以及相关法律法规的规定。
2. 从事健康领域活动的机构、组织和个人不得向第三方提供个人数据,除非是提供医疗服务或健康保险、人寿保险的服务组织,并且需要得到数据主体书面同意或者符合本法第19条第1款的规定。
3. 开发医疗应用和保险业务应用的组织和个人必须全面遵守关于保护个人数据的规定。
4. 再保险公司、分保公司和有转移个人数据给合作伙伴的情况需在与客户的合同中明确说明。
条 27. 金融、银行活动及信用信息服务中的个人数据保护
1. 从事金融、银行业务和信用信息服务的组织和个人负有以下责任:
a) 按照法律规定,全面执行关于保护敏感个人数据的规定,确保金融、银行业务的安全标准和保密措施;
b) 在未获得数据主体同意的情况下,不得使用个人信用信息进行信用评分、信用等级评定、信用信息评估或信用信任度评估;
c) 只能从符合本法和其他相关法律法规规定的来源收集必要的个人数据,以支持信用信息服务;
d) 当银行账户、财务、信贷信息或信用信息泄露或丢失时,应通知数据主体。
2. 提供信用信息服务的组织和个人必须遵守本法规定;采取措施防止非法访问、使用、披露、修改客户个人数据;制定恢复客户个人数据的方案,在数据丢失情况下;在收集、提供、处理客户个人数据的过程中确保保密性,以便进行信用信息评估。
3. 国务院详细规定本条内容。
条 28. 广告服务经营中的个人数据保护
1. 经营广告服务的组织和个人只能使用由数据控制者、数据控制和处理者根据协议转让或通过其经营活动收集的数据主体的个人数据来经营广告服务。收集、使用、转让个人数据必须保障数据主体在本法第四条中规定的权利。
2. 数据控制者、数据控制和处理者只能按照法律规定将个人数据转让给经营广告服务的组织和个人。
3. 处理客户个人数据用于广告服务必须获得客户的同意,基于客户了解广告内容、方式、形式和频率;提供让客户可以拒绝接收广告信息的方式。
4. 使用个人数据进行广告宣传必须符合有关防范垃圾短信、垃圾电子邮件、垃圾电话和广告法规的规定。
5. 数据主体有权要求停止接收来自广告服务的信息。经营广告服务的组织和个人必须提供机制并按数据主体的要求停止广告。
6. 经营广告服务的组织和个人不得委托其他组织或个人代表自己执行全部涉及使用个人数据的广告服务。
7. 经营广告服务的组织和个人负责证明使用客户个人数据进行广告宣传;遵守本条第一、二、三、四款规定和广告法规的规定。
8. 在使用个人数据进行特定行为或具体目标或个性化广告宣传时,组织和个人必须遵守本条规定和以下规定:
a) 必须在数据主体同意的情况下,通过跟踪网站、门户网站或应用程序收集个人数据;
b) 必须设立允许数据主体拒绝分享数据的方法;确定存储时间;在不再需要时删除、销毁数据。
条 29. 保护社交媒体平台和在线通信服务中的个人数据
提供社交媒体服务和在线通信服务的组织和个人应承担以下责任:
1. 在个人数据主体安装和使用社交媒体服务、在线通信服务时,明确告知所收集的数据内容;不得非法收集超出协议范围的个人数据;
2. 不得要求提供包含全部或部分身份证明文件内容的图像或视频作为账户验证因素;
3. 向用户提供选择,允许拒绝收集和分享数据文件(称为cookies);
4. 提供“不跟踪”选项或仅在用户同意的情况下跟踪其使用社交媒体服务和在线通信服务的行为;
5. 未经个人数据主体同意,不得监听、窃听或录音通话以及阅读文本消息,除非法律另有规定;
6. 公开隐私政策,清楚解释个人数据的收集、使用和共享方式;向用户提供访问、修改、删除数据和个人隐私设置的机制;报告有关隐私和数据保护的违规行为;保护跨境传输的公民个人数据;建立快速有效的处理数据保护违规行为程序。
条 30. 在处理大数据、人工智能、区块链、虚拟宇宙和云计算中的个人数据保护
1. 在大数据、人工智能、区块链、虚拟宇宙和云计算环境中处理个人数据必须符合目的和必要限度,保障个人数据主体的合法权益;
2. 在大数据、人工智能、区块链、虚拟宇宙和云计算环境中处理个人数据必须遵守本法和其他相关法律法规的规定;符合越南道德标准和风俗习惯;
3. 使用大数据、人工智能、区块链、虚拟宇宙和云计算的系统和服务必须集成适当的个人数据保护措施;必须采用适当的身份验证和访问控制方法来处理个人数据;
4. 使用人工智能处理个人数据时,必须根据风险等级采取相应的个人数据保护措施;
5. 不得开发或使用利用个人数据的大数据、人工智能、区块链、虚拟宇宙和云计算系统,以损害国家安全、公共秩序和社会安全,或者侵犯他人的生命健康、名誉、人格尊严和财产;
6. 政府对本条作出具体规定。
条 31. 对于位置数据和个人生物识别数据的个人数据保护
1. 位置数据是通过定位技术确定的位置信息,用于识别特定个体;
2. 生物识别数据是关于个人独特的物理属性和稳定特征的数据,用于识别该个人;
3. 对位置数据的个人数据保护规定如下:
a) 除个人数据主体同意或法律规定有权机关的要求外,不得使用射频识别标签和其他技术进行位置跟踪;
b) 提供移动应用程序平台的组织和个人必须向用户通报位置数据的使用情况;采取措施阻止与用户无关的组织和个人收集位置数据;向用户提供位置跟踪的选择;
4. 对生物识别数据的个人数据保护规定如下:
a) 收集和处理生物识别数据的机构、组织和个人必须对其存储和传输生物识别数据的设备采取物理安全措施;限制对生物识别数据的访问权限;建立监控系统以预防和发现生物识别数据的侵害行为;遵守相关法律法规和国际标准;
b) 如果处理生物识别数据导致个人数据主体受损,则收集和处理生物识别数据的组织和个人必须按照政府规定向该个人数据主体通报。
条 32. 保护在公共场所录音、录像活动中获取的个人数据
1. 在以下情况下,机构、组织和个人可以在未获得个人数据主体同意的情况下进行公共场所录音、录像活动并处理由此获取的个人数据:
a) 为执行国防任务,维护国家安全,保障社会秩序和安全,保护机构、组织和个人的合法权益;
b) 公共活动中的声音、图像和其他识别信息,包括会议、研讨会、体育比赛、艺术表演及其他公共活动,只要不损害个人数据主体的名誉、人格尊严或信誉;
c) 法律规定的其他情况。
2. 根据本条第1款规定进行录音、录像时,机构、组织和个人有责任通过公告或其他形式的信息告知个人数据主体其正在被录音、录像,除非法律规定另有规定。
3. 获取的个人数据只能用于处理目的,不得用于非法目的或侵犯个人数据主体的合法权益。
4. 公共场所录音、录像活动中获取的个人数据仅可在满足收集目的所需的时间内保存。超出保存期限后,个人数据应按照本法的规定予以删除或销毁,除非法律另有规定。
5. 根据本条第1款规定实施录音、录像及处理由此获取的个人数据的机构、组织和个人,有责任按照本法及相关法律法规的规定保护个人数据。
第三章
保障个人数据保护的力量和条件
条 33. 个人数据保护力量
1. 个人数据保护力量包括:
a) 属于公安部的专业个人数据保护机构;
b) 机构、组织内部的个人数据保护部门和人员;
c) 提供个人数据保护服务的组织和个人;
d) 被动员参与个人数据保护工作的组织和个人。
2. 机构、组织有责任指定具备相应能力的个人数据保护部门和人员,或者聘请提供个人数据保护服务的组织和个人。
3. 政府规定机构、组织内部的个人数据保护部门和人员的资格条件和职责;提供个人数据保护服务的组织和个人;数据处理服务。
条 34. 个人数据保护的技术标准和规范
1. 个人数据保护标准包括适用于越南的系统信息、硬件、软件、管理、运行、处理和保护个人数据的标准。
2. 个人数据保护技术规范包括在越南建立、发布和应用的系统信息、硬件、软件、管理、运行、处理和保护个人数据的技术规范。
3. 发布个人数据保护标准和技术规范应遵循有关标准和技术规范的法律规定。
条 35. 检查个人数据保护活动
个人数据保护活动的检查按照本法和政府的规定进行。
第四章 实施细则
主体、组织和个人关于保护个人数据的责任
条 36. 国家管理机关关于保护个人数据的责任
1. 政府统一负责国家对个人数据保护的管理工作。
2. 公安部是负责向政府报告并执行国家对个人数据保护管理工作的主要部门,但不包括国防部管辖范围内的内容。
3. 国防部负责向政府报告并执行其管辖范围内国家对个人数据保护的管理工作。
4. 部门、相当于部级的机构以及政府所属机构根据法律规定和所赋予的职能任务,负责在其管辖范围内对个人数据保护进行国家管理。
5. 省人民政府根据法律规定和所赋予的职能任务,负责对个人数据保护进行国家管理。
条 37. 数据控制者、处理者及同时为控制者和处理者的责任
1. 数据控制者的责任如下:
a) 在与处理个人数据相关的协议或合同中明确各方的责任、权利和义务,并遵守本法和其他相关法律法规的规定;
b) 在与个人数据主体的书面文件或协议中确定处理个人数据的目的和手段,确保符合本法规定的原则和内容;
c) 根据法律规定采取适当的管理和技术措施来保护个人数据,并在必要时审查和更新这些措施;
d) 根据本法第23条的规定通报违反个人数据保护规定的违法行为;
e) 选择合适的个人数据处理者来处理个人数据;
f) 确保个人数据主体根据本法第4条的规定享有各项权利;
g) 对因处理个人数据过程造成的损害向个人数据主体承担责任;
h) 阻止从自身系统、设备和服务非法收集个人数据的行为;
i) 与公安部及其他有权机关合作,在保护个人数据方面提供信息以支持调查和处理违法行为;
k) 履行本法和其他相关法律法规规定的其他责任。
2. 数据处理者的责任如下:
a) 只能在与数据控制者或同时为控制者和处理者的协议或合同达成后接收个人数据;
b) 根据与数据控制者或同时为控制者和处理者的协议或合同的规定处理个人数据;
c) 完整地履行本法和其他相关法律法规规定的保护个人数据的各项措施;
d) 对因处理个人数据过程造成的损害向数据控制者或同时为控制者和处理者承担责任;
e) 阻止从自身系统、设备和服务非法收集个人数据的行为;
f) 与公安部及其他有权机关合作,在保护个人数据方面提供信息以支持调查和处理违法行为;
g) 履行本法和其他相关法律法规规定的其他责任。
3. 同时作为数据控制者和处理者的主体应全面履行本条第1款和第2款的规定。
第五章
实施条款
条38. 生效日期
1. 本法自2026年1月1日起生效。
2. 小型企业、初创企业可以选择在本法生效之日起五年内是否执行第二十一条、第二十二条和第三十三条第二款的规定,但从事个人数据处理服务业务、直接处理敏感个人数据或处理大量个人数据主体的数据的小型企业、初创企业除外。
3. 个体工商户、微型企业无需执行本法第二十一条、第二十二条和第三十三条第二款的规定,但从事个人数据处理服务业务、直接处理敏感个人数据或处理大量个人数据主体数据的个体工商户、微型企业除外。
4. 政府对本条第2款和第3款作出具体规定。
条39. 过渡规定
1. 在本法生效前已获得个人数据主体同意或根据政府于2023年4月17日发布的第13/2023/NĐ-CP号法令规定达成协议而正在进行的个人数据处理活动可以继续进行,无需再次取得同意或达成新的协议。
2. 在本法生效前已被个人数据保护专门机构接受的根据政府于2023年4月17日发布的第13/2023/NĐ-CP号法令规定提交的个人数据处理影响评估文件和跨境传输个人数据影响评估文件,可继续使用,无需根据本法重新提交个人数据处理影响评估文件和跨境传输个人数据影响评估文件;在本法生效后对上述已提交文件的更新,应遵循本法的规定。
本法由越南社会主义共和国第十五届国会第九次会议于2025年6月26日通过。
|
全国人民代表大会主席 聂文俊 陈青山 |
原始文件(PDF)
关系图
点击文件即可打开。红色边框=改变效力的关系。