越南数据法规:第一部分——《数据法》实施法令草案

Posted by Written by Vu Nguyen Hanh Reading Time: < 1 minute
Available language

在本系列关于越南数据监管体系的文章中,我们将深入分析拟议法规的核心要素及其对越南数据相关行业的潜在影响。本文重点探讨实施法令草案的内容,该草案旨在对《数据法》中的一般性规定进行细化和明确。

202411月,越南《第60/2024/QH15号数据法》(以下简称《数据法》)正式颁布。然而,越南政府尚未出台具体的实施细则以指导这部具有里程碑意义的法律的实际执行。不过,一系列旨在填补这一空白的监管文件草案已于20251月发布,包括:

Ø  《数据法详细规定及实施措施草案》(实施法令);

Ø  《关于科学、技术、创新活动及数据相关服务的法令》(数据相关活动法令);

Ø  《国家数据发展基金法令》(“NDDF法令);以及

Ø  关于核心和重要数据分类的决定草案

越南政府当前正在制定四项法律文件,旨在为将于202571日生效的《数据法》提供具体的实施指导。在本系列关于越南数据监管体系的研究中,我们将深入分析这些拟议法规的核心内容及其对越南数据相关行业的潜在影响。

重要数据与核心数据的识别

该实施条例草案详细规定了重要数据与核心数据的识别标准。具体而言,重要数据是指那些可能对国防、国家安全、外交事务、宏观经济稳定性、社会秩序、公共卫生以及社区安全产生潜在影响的信息;而核心数据则是指直接作用于上述领域并对其产生实质性影响的信息。 

数据分类标准

类别

分类标准

受影响领域

重要数据

影响国家安全、主权和领土完整

国防安全、政治稳定、经济安全、社会秩序、公共卫生与公共安全(不涉及国家机密)。

影响对外关系和国际合作

战略伙伴关系、海外项目、能源安全、海上航线。

影响经济发展

宏观经济稳定、关键基础设施和重要产业。

影响个人和组织

生命、健康、财产、法律权利以及名誉风险。

核心数据

党派及国家政策

国内/国外政策、领导活动、民族/宗教战略。

国防与国家安全

军事行动、关键基础设施、武器系统、密码学。

战略经济及工业数据

货币政策、稀有资源与国家储备。

科学技术的发展

国防相关专利、核/原子研究以及稀有药物。

人口与法律监管

人口普查数据统计、反腐败机制建设以及法律调查程序。

国际协定和条约

依据具有法律约束力的国际条约与外国实体进行数据交换的相关内容。

数据传输义务

跨境数据传输

根据该法令草案的规定,数据管理者在向境外传输重要及核心数据时,需全面评估相关风险,并据此强制性编制影响评估报告,其内容涵盖以下方面:

Ø  跨境数据传输;以及

Ø  处理影响评估档案的编制。

数据管理员应在数据转移前至少五天向相关数据监管机构准备并提交必要的文件及通知,其内容包括:

Ø  属于军事、国防或密码学领域相关的数据,由国防部负责管理;或

Ø  其他领域的数据,则由公安部负责管理。

然而,相较于重要数据的转移审批,核心数据的转移审批要求更为严格,具体如下:

Ø  重要数据:若在五个工作日内未收到负面评估意见,数据管理员可继续实施数据的跨境传输与处理。

Ø  核心数据:数据监管机构应在收到完整且有效的申报材料之日起十个工作日内完成影响评估。数据管理员仅在取得数据监管机构出具的正面评估结果后,方可开展数据的跨境传输与处理工作。

数据管理员应每年针对重要数据的传输与处理相关风险开展自我评估工作,并每半年对核心数据的风险状况进行一次评估。上述评估结果需及时报送至公安部。

此外,无论国际转移的数据属于何种类别,数据转移方均应确保维护数据主体的合法权益,以及国防、国家安全和公共利益不受损害。同时,数据转移方还需与接收方签订具有法律效力的协议,协议内容须包含依法明确规定的强制性条款。

企业合并、重组或破产过程中的数据转移

该实施条例草案明确,数据管理员如因企业合并、重组或破产的情形下转移数据,应通过电话、短信、电子邮件或公告等形式告知受影响用户,并向相关部门提交数据转移计划。

数据安全保障措施

该法令草案明确了数据访问与提取的管理原则,并对核心数据和重要数据的处理提出了具体要求。

数据的验证

依据该法令草案,数据验证的责任由数据库所有者与数据主体共同承担。然而,数据库所有者需对确保其数据库内数据的质量承担最终责任。数据库所有者、数据库运营方或数字验证服务提供方有权执行数据验证工作。经验证的数据在主管机构规定的特定期限内,与原始数据具有同等的法律效力。

数据披露的限制

禁止披露的数据

该法令草案规定了以下类型的数据,不得公开披露:

Ø  未经个人同意的敏感数据;

Ø  涉及国家机密或可能对国防与国家安全造成影响的数据;以及

Ø  若披露,可能导致损害的数据,包括但不限于:
损害越南共产党、政府或国家主权的利益;
影响对外关系、破坏社会公德或威胁公众健康;
对个人或组织造成不良后果(例如声誉受损或财务损失)。

满足特定条件可披露的数据

在满足特定条件的情况下,以下信息可予以披露:

Ø  与业务相关的信息,经数据所有者同意后可对外公开发布;

Ø  涉及私人生活或个人隐私的信息,需获得数据主体的明确授权方可共享;涉及家庭秘密的信息,则须征得全体家庭成员的一致同意后方可披露;以及

Ø  某些敏感信息,在符合公共利益、保障公众健康或满足法律强制性要求的前提下,可由相关主管部门依据法定程序在无须取得个人同意的情况下予以披露。

数据安全

为确保数据安全,该法令草案明确规定,在数据管理过程中应实施一项或多项加密保护措施,具体措施包括:

Ø  数据传输加密;

Ø  数据存储加密;

Ø  设备加密;以及

Ø  硬件安全协议,旨在防止未经授权的访问,并确保加密与解密操作在受保护的安全环境中执行。

同时,解密协议应明确规定对解密数据的人员进行身份验证,并确保其具备对加密信息的授权访问权限。此外,所有加密与解密活动均需详细记录,以保障其有效性、透明性及责任可追溯性。

值得注意的是,当前所实施的多项措施均参考了个人数据保护领域的最佳实践(例如,数据处理活动记录、访问权限控制、员工培训机制、合规的数据删除与销毁程序等)。尽管可以理解这些措施对于核心及重要数据管理的必要性,但对于普通数据处理而言,相关要求可能带来较大的合规负担。《数据法》及其后续配套指导性法令的适用范围将覆盖所有参与或涉及数字数据活动的组织。鉴于数字数据泛指以数字化形式存在的各类信息,其适用范围极为广泛,且由此衍生的法律义务亦具有深远影响。

向国家机关提交数据的程序规范

该法令草案详细规定了国家机关向组织及个人获取数据的程序。国家机关在请求数据访问权限时,原则上应以书面形式提出正式申请。仅在紧急情况下可采用口头请求方式,但须在事后及时补充书面确认。

每个数据请求均应明确列明数据类型、所需细节层级、数据规模、访问频率以及提供方式。此类请求须兼顾数据管理方与数据所有者的合法利益,并确保在保护商业秘密及个人隐私的前提下进行。

在特定情形下,数据请求可能会被驳回,例如:

Ø  违反《数据法》或相关适用的法律法规的要求;

Ø  未能满足数据提供条件;或

Ø  因合理原因导致所请求的数据已无法获取。

该法令草案明确,数据所有者、法定代表人或依法管理与使用数据的相关个人,在既定的数据提供截止日期前,可向相关国家机关提出对数据请求的修改或撤销申请。

给企业带来的启示

该实施条例草案旨在通过制定清晰的数据分类标准以及建立严格的跨境数据传输机制,进一步完善即将施行的数据法,从而有效保障国家安全与公共利益。

随着企业逐步为上述变革做好准备,遵守新规定以确保数据完整性并紧跟不断变化的法律要求变得至关重要。为顺利适应这些法律调整,企业应采取以下措施:

Ø  开展全面的数据盘点,明确其数据类别是否涵盖核心数据或重要数据;

Ø  审查并完善数据管理方针,重点针对跨境数据传输与处理环节,识别并解决潜在的合规性问题;

Ø  积极参与公共意见征询,针对法令草案提交专业反馈,助力塑造最终法规内容。

Vietnam Briefing协力管理咨询(Dezan Shira & Associates 制作。该公司通过遍布全球的办公室,包括越南的河内、胡志明市和岘港,协助外国投资者在亚洲开展业务。如需更多关于在越南开展业务的支持,请联系 vietnam@dezshira.com

此外,我们在印度尼西亚、印度、新加坡、菲律宾、马来西亚、泰国、意大利、德国和美国设有办公室或合作伙伴,并在孟加拉国和俄罗斯开展业务。