越南《个人数据保护法令》与数据跨境传输机制丨数据出境合规解读系列文章(七)
越南《个人数据保护法令》与数据跨境传输机制丨数据出境合规解读系列文章(七)
随着越来越多的企业“出海”越南,在越南开展生产经营活动难以避免涉及越南当地的个人信息处理活动及个人信息跨境传输活动。2023年4月17日,越南政府正式发布No: 13/2023/ND-CP法令,即《个人数据保护法令》(Personal Data Protection Decree)(以下简称“越南个保法”),于2023年7月1日起正式生效。本文旨在从比较研究的视角,介绍越南个保法与我国《个人信息保护法》(以下简称“中国个保法”)的主要差异,并介绍越南的个人数据跨境传输要求,以期为中国企业“出海”越南提供最新指引。
一、越南个保法要点解读
(一)管辖范围及适用豁免
根据规定,越南个保法适用于:(1)越南的机构、组织和个人;(2)在越南的外国机构、组织和个人;(3)在国外经营的越南机构、组织和个人;(4)直接参与或涉及越南的个人数据处理活动的外国机构、组织和个人。其中,上述(3)(4)项明确了越南个保法具有域外效力,在越南境外直接参与或涉及越南个人数据处理活动的外国机构、组织和个人同样受越南个保法管辖。
在法规的适用方面,越南个保法第43条特别指出,微型企业、小型企业、中型企业、初创公司在其成立之日起的两年内有权选择豁免任命数据保护负责人和负责部门的义务,但上述企业中直接从事个人数据处理活动的除外。
(二)主要监管机构
根据越南个保法,越南与个人数据保护相关的主要监管机构包括公安部、信息和通信部、国防部和科技部等,其中最主要的监管机构是公安部。
(三)主体角色划分
越南个保法对各方主体的角色划分采用了与欧盟《通用数据保护条例》(GDPR)类似的概念和结构,将数据相关主体角色划分为“数据主体”、“个人数据控制者”、“个人数据处理者”、“个人数据控制者兼处理者”,其中(1)“数据主体”(Data subject)是指与数据相关的个人;(2)“个人数据控制者”(Personal Data Controller)是指决定个人数据处理目的和方式的组织或个人;(3)“个人数据处理者”(Personal Data Processor)是指通过与数据控制者签订的合同或协议,代表数据控制者处理数据的组织或个人;(4)“个人数据控制者兼处理者”(Personal Data Controller-cum-Processor)是指共同决定处理目的和方式,并直接处理数据个人数据的组织或个人。根据该定义,越南个保法下的“个人数据控制者”与中国个保法项下的“个人信息处理者”概念类似,越南个保法下的“个人数据处理者”与中国个保法项下的“接受委托处理个人信息的受托人”概念类似。
(四)敏感个人信息范围
越南个保法将个人数据划分为一般个人数据与敏感个人数据,同时分别就两类数据的具体类型进行了列举,详见下表1。就敏感个人数据的界定而言,越南个保法与中国个保法存在不少差异,例如,虽然越南个保法与中国个保法均将个人因生病医治等产生的相关记录列为敏感个人信息,但是越南个保法明确将与血型有关的信息排除在外,而中国个保法并无相关规定。又例如,驾驶证、社保卡、网页浏览记录、婚史等个人信息在中国个保法体系下被认定为敏感个人信息,而在越南个保法下仅为一般个人数据。
表1:越南个保法关于个人数据类型的划分
(五)个人信息主体权利
越南个保法规定数据主体享有11项权利,包括知情权,同意权,访问权,撤回同意权,删除权,限制数据处理的权利,获得数据的权利,反对数据处理的权利,投诉、检举和提起诉讼的权利,索赔权,自我保护权。
相较中国个保法,越南个保法列举的个人信息主体权利类型更为多样、明确,将诉讼、索赔、自我保护等个人信息主体寻求救济的权利列入法条的明文规定之中。但是,中国个人信息主体在侵权等法律框架下同样享有这些寻求救济的权利,因此我们理解,越南个保法与中国个保法在个人信息主体权利方面并无实质性差别。
(六)告知同意机制
在告知同意机制的设计方面,越南个保法对告知同意的内容、方式等具体要求给出了较为细致的规定。越南个保法明确规定:(1)数据主体的沉默或不回应不被视为同意;(2)数据主体可以给予部分或有条件的同意;(3)在发生争议的情况下,个人数据的控制者、个人数据控制者兼处理者应该证明已获得数据主体的同意。
(七)将个人数据用于广告营销服务
针对将个人数据用于广告营销的行为,越南个保法就提供营销和广告服务的组织和个人明确提出如下要求:(1)只有在征得数据主体同意的情况下,才能将通过其业务活动收集的客户个人数据用于提供营销和广告服务;(2)为提供营销和广告服务而处理客户的个人数据必须得到客户在知晓广告服务的内容、方法、形式和频率基础上的同意;(3)提供营销、广告服务的组织和个人,应当证明其对客户个人数据的使用符合前述规定。
相较之下,中国个保法也规制了个人信息处理者向个人进行信息推送、商业营销的行为,但主要集中在“利用个人信息进行自动化决策”方面,明确“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。”可以看出,针对广告营销行为,越南个保法对于商家的合规要求更高。
(八)特殊主体保护
1. 宣告失踪或死亡人员的数据处理
越南个保法规定,处理与被宣告失踪或死亡人员相关的个人数据,必须得到其配偶或成年子女的同意,如果其没有配偶或子女,则必须得到其父母的同意,但法律规定无需取得同意的情况除外。如前述人员均不存在,则视为未表示同意。
相较之下,中国个保法并未涉及对宣告失踪人员个人信息处理的规制,对于死者的个人信息处理,仅规定死者近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使查阅、复制、更正、删除等权利;死者生前另有安排的除外。
2. 儿童个人数据处理
根据越南《儿童法》(Children Law No: 102/2016/QH13)的规定,儿童是指16岁以下的未成年人。越南个保法规定,儿童个人数据的处理应以保护儿童权利和最佳利益的方式进行。除法律规定豁免同意的情形,如果儿童年满七岁或以上,则处理儿童个人数据必须征得其本人的同意,以及其父母或监护人的同意。个人数据控制者、个人数据处理者、个人数据控制者兼处理者及第三方在处理儿童的个人数据前,应核实其年龄。
中国个保法上与之类似的概念是“不满十四周岁的未成年人”,且将其个人信息均纳入敏感个人信息的范畴,此外还要求个人信息处理者在处理不满十四周岁的未成年人的个人信息时应取得其父母或其他监护人的同意,且应当为其制定专门的个人信息处理规则。
(九)跨境传输
根据越南个保法,“个人数据跨境传输”是指通过网络空间、电子设备、装备或其他形式将越南公民的个人数据传输到越南境外,或者在越南境外处理越南公民的个人数据的行为。越南个保法就企业如何开展个人数据跨境传输制定了较为独特的合规机制,详见本文第二部分关于越南数据跨境传输机制的介绍。
(十)罚则
就违反个人数据保护规定行为的处理而言,越南个保法仅规定“机构、组织和个人违反个人数据保护规定的,视情节轻重,可以给予纪律处分,或依照规定给予行政处罚或提起刑事诉讼。”并未就处罚的数额与上限作出明确规定,这也是越南个保法中一块待填补的空白。
相较之下,中国个保法第七章对于个人信息处理者违法处理个人信息行为的法律责任规定明确且处罚力度相对较强,特别是对于违法处理个人信息且情节严重的,可处以5000万元以下或上一年度营业额5%以下罚款,直接负责的主管人员和其他直接责任人员可处以10-100万元罚款,并在一定期限内禁止担任相关企业的“董监高”和个人信息保护负责人。
二、越南数据跨境传输机制介绍
对于“出海”越南的企业而言,个人信息跨境传输的规则尤为重要。根据越南个保法规定,越南实体从越南向境外传输数据,须同时满足下述条件:
(1)数据传输方就个人数据跨境传输开展影响评估,评估需包括以下内容:
a) 个人数据传输方和接收方的详细信息和联系方式;
b) 个人数据传输方旗下参与传输和接收越南公民个人数据的组织或个人的全名和联系方式;
c) 描述和解释个人数据跨境传输后对越南公民个人数据处理活动的目的;
d) 描述并阐明跨境传输的个人数据的类型;
e) 描述并说明跨境传输活动遵守越南个保法中关于个人数据保护规定的情况,以及所采取的具体个人数据保护措施;
f) 评估个人数据处理的影响,跨境传输可能造成的负面后果和损害,以及减少或消除此类后果和损害的措施;
g) 越南个保法第11条规定的个人数据主体(越南公民)在已得知出现问题/需求时的反馈/投诉机制的基础上,给予同意;
h) 数据传输方和接收方之间的关于处理越南公民个人数据的保护义务和责任的相关文件。
(2)个人数据跨境传输影响评估档案应当随时备存,以供越南公安部检查和评估。此外,数据输出方应在处理个人数据之日起60天内,根据越南个保法附件第06号表格,向越南公安部(网络安全和高科技犯罪预防司)发送一份真实的评估副本;
(3)数据输出方应在个人数据传输完成后,将数据传输的相关信息及负责传输的组织或个人的联系方式以书面形式通知越南公安部(网络安全和高科技犯罪预防司);
(4)越南公安部(网络安全和高科技犯罪预防司)应当进行评估,并在数据跨境传输影响评估根据相关法规不完整、不准确的情况下,要求数据输出方完善个人数据跨境传输影响评估档案。
此外,数据输出方应在提交公安部(网络安全和高科技犯罪预防司)的个人数据跨境传输影响评估档案内容发生变化时,对其进行更新和修改。数据输出方应在内容发生变化之日起10天完成对评估档案的更新。
(5)除特殊情况外,越南公安部可根据具体情形,决定每年对个人数据跨境传输活动进行一次检查。此外,有下列情形之一的,越南公安部可以决定要求数据输出方停止向境外传输个人数据:
a) 被传输的个人数据用于危害越南国家利益和国家安全的活动;
b) 数据输出方未遵守前述在数据跨境传输影响评估档案不完整、不准确的情况下完善评估档案和内容发生变化时更新和修改评估档案的规定;
c) 越南公民的个人数据被泄露或丢失。
基于上述规定可知,越南个保法针对个人数据跨境传输所制定的合规要求和合规机制具有一定独特性,与欧盟、中国等针对数据出境开展强监管的法域有显著不同,与周边的泰国、马来西亚等国家所采取的合规机制也有较大差别。越南个保法并未像GDPR(或受其影响较大的泰国、马来西亚个人信息保护法规)一样基于传输目的地的数据保护充分性情况制定数据传输地域“白名单”,也并未将数据传输双方订立具备监管机构发布的“标准合同条款”的数据传输合同作为可行的数据跨境保护措施之一。此外,与中国相比,越南个保法并未将个人信息主体的同意作为个人信息跨境传输的必需要求;其合规机制的实现主要依赖于企业自身开展个人数据跨境传输影响评估,且仅需将影响评估评估档案报送越南公安部,并接受越南公安部的事后监管,这与中国的数据出境安全评估及/或个人信息出境标准合同备案机制也有显著不同。
总体而言,越南个保法对于个人信息传输出境所制定的合规水平略低于欧盟及中国,略高于周边的泰国和马来西亚,对企业还是提出了一定程度的要求和挑战。至于这套具有独特性的合规机制在实践中落地情况和效果如何,我们将持续跟踪。
结语
越南个保法的生效实施应当引起中国出海越南企业的注意。它对出海越南企业提出了针对个人数据处理的合规要求;对于有数据回传需求的企业来说,尤其需要关注其确立的越南数据出境合规机制和要求。我们建议出海越南企业加强对越南个保法的理解与认识,密切关注越南后续的立法与执法动态,有针对性地采取适当措施以不断提升越南分、子公司的数据合规水平,保障涉越业务的顺利开展。