越南是世界上互联网发展和应用速度最高的国家之一。越南网民数量已达6400多万人,占其总人口的2/3以上(66%——与2018年相比增长超过19%);其网民数量排名全球第13位,其中Facebook账号5800万,谷歌账号6200万。其数字基础设施发展非常迅速,同时也在不断完善。越南政府正大力推动电子政务向数字政府和数字经济方向发展,并取得了许多重要成果。然而,技术应用水平越高,个人信息的提供和使用就越多。这就给政府提出了问题,其需要有效管理、确保防止和处理违反个人信息法的行为以及确保遵守《宪法》、越南法律和国际法规定。

在这种情况下,越南公安部决定根据2018年6月12日颁布的《网络安全法》和其他相关法律法规,公开严格规定的《个人数据保护法令草案》(以下简称《法令草案》)。目前,公安部正在征集各机关、组织和个人的意见,完善法令草案的法律内容。

 

越南个人数据保护法令草案的主题

根据该法令草案第1.2条,其适用于参与处理和加工个人数据的所有(国内)机构、组织和个人。此外,违反个人数据保护规定的处理将适用于草案第4.2条规定的任何在越南开展业务的国内外组织、企业和个人。

该法令草案所定义的个人数据系有关个人的任何数据,或与特定个人的身份有关或可能有关的任何数据。草案规定的主要内容包括关于个人数据的规定;处理个人数据;个人数据保护措施;个人资料保护委员会;处理违法行为;有关机构、组织和个人的个人数据保护责任。

 

个人数据类型

该法令草案对两种类型的个人数据进行了分类,即“基本个人数据”和“敏感个人数据”。 基本个人数据包括:姓名、年龄、出生日期、居住地、国籍、种族、个人身份证号码等。敏感个人数据包括:政治观念、宗教信仰、健康状况、财务状况、犯罪记录等。

 

保护个人数据的措施

该法令草案规定了许多保护个人数据的措施,特别是保护个人数据的原则,如法律原则(仅在法律规定的必要情况下收集)、最低限度使用原则(仅为实现特定目的所需的范围内收集)、有限使用原则(仅在数据主体同意或主管部门依法允许的情况下使用)。此外,任何个人或组织不得在所提及的数据属于敏感个人数据或损害数据主体合法利益的情况下披露他人的个人数据。

 

个人数据处理者的义务

个人数据处理者有义务尊重数据主体的权利,例如在处理数据时通知他们或在可能的情况下立即通知他们;允许数据主体查看和接收其个人数据的副本;在数据主体的要求下终止个人数据处理,限制对个人数据的访问,终止披露或允许访问个人数据,删除或关闭收集的个人数据,但以下情况除外。

只有在下列情况下,才允许未经数据主体同意披露个人数据:(1)法律有规定的;(2)为了国家安全、社会秩序和安全需要披露信息的;(3)为了国防安全、社会秩序需要通过媒体披露的;(4)依照《新闻法》的规定向媒体披露,未对数据主体造成经济、荣誉、精神、物质损害的;(5)法律规定属于突发事件、有生命危险或者严重影响数据主体或公众健康的。

特别地,国家主管部门在公共场所通过录制和录像获得的录制品和处理数据,根据法律规定将被视为已经取得数据主体同意。

 

违反个人数据规定的处罚

该草案还就与个人数据有关的违规行为规定了严厉的处罚。例如,草案规定,对不采取技术措施和制定有关个人数据保护的规定的行为;违反有关注册敏感个人数据的规定;违反有关跨境传输个人数据的规定,将处以80,000,000越南盾至100,000,000越南盾(约合3,478美元至4,347美元)的罚款。具体而言,除了规定的处罚外,如果个人数据处理者多次违规并造成严重后果,可能会被处以个人数据处理者在越南总收入的5%的罚款。

 

根据越南公安部,保护个人数据是社会经济发展的基础,确保了机构和组织的运作; 从而保护越南组织和个人的合法权益。

德恩瑞法律咨询始终关心客户的权益。德恩瑞法律咨询与我们在网络安全、调查、劳动关系、企业等各个领域的国际和多语种专家可以为您提供支持。不要错过我们网站上无数关于投资越南的文章,或通过info@dandreapartners.com与我们联系。