مرسوم وقانون حماية البيانات الشخصية في فيتنام: دليل موافقة ملفات تعريف الارتباط والامتثال للناشرين لعام 2026
انتقلت فيتنام في أقل من ثلاث سنوات من شبه غياب لأي إطار موحد لحماية البيانات الشخصية إلى امتلاك واحد من أشد أنظمة الموافقة متطلباتٍ في جنوب شرق آسيا. دخل مرسوم حماية البيانات الشخصية (PDPD)، المرسوم رقم 13/2023/ND-CP، حيز التنفيذ في يوليو 2023. أما قانون حماية البيانات الشخصية (PDPL)، الذي أقرّه الجمعية الوطنية في 2025، فقد دخل حيز التنفيذ في 1 يناير 2026، ورفع معظم مبادئ المرسوم إلى مستوى التشريع الأولي مع تعزيز التطبيق وتوسيع النطاق. بالنسبة لأي ناشر أو معلن أو منصة تعالج بيانات المستخدمين الفيتناميين — سواء أكانت مقرّها في فيتنام أم خارجها — فإن بيئة 2026 تختلف اختلافاً جوهرياً عمّا كانت عليه قبل عام واحد فقط. يستعرض هذا الدليل ما يتطلبه القانون فعلياً، وكيفية ضبط إعدادات ملفات تعريف الارتباط، وآلية نقل البيانات عبر الحدود، وما يبدو عليه التطبيق في الواقع العملي.
هيكل قانون حماية البيانات الفيتنامي في 2026
يقوم النظام الفيتنامي الآن على طبقتين: PDPD من 2023 و PDPL من 2026. كلاهما ساري المفعول، ويحتاج الناشرون إلى فهم أيهما يحكم أي التزام.
PDPD — المرسوم 13/2023/ND-CP
قدّم المرسوم أول تعريف شامل للبيانات الشخصية في فيتنام، وقائمةً بحقوق أصحاب البيانات، واشتراطات الموافقة، وقواعد نقل البيانات عبر الحدود، والتزام تقييم أثر معالجة البيانات الشخصية (DPIA) التأسيسي. ولا يزال سارياً ويستمر في تنظيم التفاصيل التشغيلية.
PDPL — ساري المفعول منذ 2026
يرفع PDPL الإطار إلى مستوى التشريع الأولي بعقوبات أشد وبنطاق أوسع. يُعزّز نموذج الموافقة المحوري، ويُقوّي حقوق أصحاب البيانات، ويوسّع صلاحيات التطبيق لدى وزارة الأمن العام (MPS)، التي تظل الجهة التنظيمية الرئيسية. يُقدّم PDPL أيضاً قواعد أكثر وضوحاً بشأن البيانات الشخصية الحساسة، وصنع القرار الآلي، ومعالجة بيانات القاصرين.
من يخضع للتنظيم
يسري القانون على أي معالجة للبيانات الشخصية الفيتنامية، بصرف النظر عن مكان وجود المعالج. يقع ناشر أمريكي يخدم مستخدمين فيتناميين عبر موقع محلّي أو مشترٍ برنامجي يتقدم بعروض على مخزون فيتنامي ضمن نطاق التطبيق. هذا الامتداد الإقليمي يعكس نمط GDPR، وهو من أكثر العناصر قوةً في الإطار الفيتنامي.
ما يُحسب بياناتٍ شخصية
التعريف الفيتنامي للبيانات الشخصية واسع النطاق ويتوافق بشكل وثيق مع المعيار الدولي. البيانات الشخصية هي أي معلومات تُعرّف بشخص طبيعي محدد أو تتيح التعرف عليه، وتنقسم إلى فئتين ذواتَي أهمية كبرى في ما يخص موافقة ملفات تعريف الارتباط.
البيانات الشخصية الأساسية
تشمل البيانات الشخصية الأساسية الاسم، وتاريخ الميلاد، وأرقام التعريف، وبيانات الاتصال، ومعرّفات الأجهزة، وعناوين IP، وبيانات النشاط عبر الإنترنت. معظم البيانات المجمّعة بملفات تعريف الارتباط تقع ضمن هذه الفئة، بما في ذلك معرّفات الإعلانات، ومعرّفات الجلسة، والملفات التعريفية السلوكية المبنية من سجل التصفح.
البيانات الشخصية الحساسة
تشمل البيانات الشخصية الحساسة الآراء السياسية والدينية، والمعلومات الصحية، والبيانات الجينية، والبيانات البيومترية، والتوجه الجنسي، والسجلات الجنائية، والبيانات المالية، و— بشكل حاسم — بيانات الموقع الجغرافي التي يمكن استخدامها للتعرف على شخص محدد. تستدعي البيانات الحساسة أشد اشتراطات الموافقة صرامةً، بما في ذلك موافقة محددة ومنفصلة، وفي بعض الحالات مكتوبة أو قابلة للتحقق إلكترونياً.
لماذا يهم ذلك بالنسبة لملفات تعريف الارتباط
ملف تعريف ارتباط يجمع معرّف جلسة أساسياً فقط هو بيانات شخصية أساسية. أما ملف تعريف ارتباط يُغذّي جمهور إعلانات مبنياً على الموقع الجغرافي — الشائع في حملات إعادة الاستهداف والحملات الجغرافية المستهدفة — فمن المرجح أن يمسّ البيانات الشخصية الحساسة فور أن يصبح الموقع الجغرافي عاملاً معرِّفاً. يجب أن يفصل إعداد CMP بين هذه الأغراض.
موافقة ملفات تعريف الارتباط بموجب القانون الفيتنامي
تتبع فيتنام نموذج الموافقة الصريحة (opt-in). لا يوجد خيار احتياطي قائم على الإشعار والاختيار لملفات تعريف الارتباط التي تجمع بيانات شخصية، والمعيار الواجب استيفاؤه للحصول على موافقة صالحة مماثل لمعيار GDPR.
اشتراطات الموافقة الأربعة
يجب أن تكون الموافقة بموجب القانون الفيتنامي:
- محددة — مرتبطة بغرض معالجة محدد بوضوح، لا موافقة عامة شاملة
- مستنيرة — يفهم صاحب البيانات أي البيانات تُعالج، ولماذا، ومن يتلقاها، ولأي مدة
- طوعية — لا مربعات اختيار مسبقة، ولا جدران "وافق أو غادر" للمعالجة غير الضرورية
- قابلة للتعبير عنها والسحب — يستطيع المستخدم تقديم موافقته وسحبها عبر آلية واضحة
كيف يبدو CMP المتوافق
ينبغي أن يعرض CMP المُهيَّأ لحركة المرور الفيتنامية في 2026:
- لافتة مرئية قبل أن يُشغَّل أي ملف تعريف ارتباط أو متتبع غير ضروري، باللغة الفيتنامية (Tiếng Việt) افتراضياً للمستخدمين الفيتناميين
- إجراءات منفصلة للقبول والرفض والتخصيص، بأهمية بصرية متساوية — لا أنماط مظلمة
- ضوابط دقيقة لما لا يقل عن الأغراض التالية: التحليلات، والإعلانات، والتخصيص، والنقل عبر الحدود، وأي معالجة ذات فئة حساسة كالموقع الجغرافي الدقيق
- آلية دائمة وسهلة الوصول لتغيير الموافقة أو سحبها بعد الاختيار الأولي
- سياسة خصوصية باللغة الفيتنامية مع إفصاح واضح عن المعالجين وفئات البيانات والاحتفاظ وحقوق المستخدم
سجلات الموافقة
يجب على المعالجين الاحتفاظ بسجلات الموافقة — من وافق، ومتى، وعلى ماذا، ومن خلال أي واجهة. وقد استشهدت إجراءات التطبيق الفيتنامية بالفعل بغياب سجلات موافقة أو عدم إمكانية التحقق منها، ويُرسّخ PDPL هذا الالتزام. CMP لا ينتج سجلات موافقة قابلة للتصدير ومختومة بالوقت لا يُعدّ متوافقاً.
نقل البيانات عبر الحدود — الجزء الأصعب
يُعدّ نظام نقل البيانات عبر الحدود في فيتنام من أشد الأنظمة متطلباتٍ في المنطقة، وهو العنصر الذي يواجه فيه معظم الناشرين الأجانب أكبر التحديات.
تقييم أثر النقل
قبل نقل البيانات الشخصية الفيتنامية إلى الخارج — بما في ذلك إرسال معرّفات مشتقة من ملفات تعريف الارتباط إلى بورصة إعلانات خارجية أو مورد تحليلات — يجب على المتحكم إعداد تقييم أثر النقل. يجب أن تُوثّق التقييم الغرض وفئات البيانات والبلد المستقبِل والمستلم والضمانات التقنية والتنظيمية والأساس القانوني للنقل.
التسجيل لدى MPS
يجب تقديم التقييم إلى وزارة الأمن العام خلال 60 يوماً من بدء المعالجة. تملك MPS صلاحية تعليق عمليات النقل عبر الحدود إذا كان التقييم غير كافٍ أو إذا رُئيت الولاية القضائية الوجهة غير ملائمة.
التداعي العملي على الناشرين
تُوجِّه مجموعة إعلانات برنامجية نموذجية بيانات المستخدمين عبر عشرات الموردين الخارجيين في أجزاء من الثانية. كل واحد من تلك التدفقات هو، بصورة دقيقة، نقل عابر للحدود للبيانات الشخصية الفيتنامية. الواقع في 2026 هو أن معظم الناشرين الأجانب إما يقدمون تقييمات موحّدة لقائمة مورديهم بالكامل، أو يُقلّصون عدد مورديهم للحدّ من عبء التقييم. لا هذا ولا ذاك أمر يسير، وقد أشارت MPS إلى أنها ستبدأ تطبيقاً أكثر نشاطاً على تدفقات البيانات عبر الحدود خلال 2026.
حقوق أصحاب البيانات
يُوحّد PDPL الحقوق الممنوحة بموجب المرسوم ويُعززها. يتمتع أصحاب البيانات الفيتناميون بالحق في:
- الإخطار بمعالجة بياناتهم
- الاطلاع على البيانات المُعالَجة
- تصحيح البيانات غير الدقيقة
- حذف البيانات حيث لم تعد المعالجة مبررة
- تقييد المعالجة في حالات محددة
- سحب الموافقة بالسهولة ذاتها التي مُنحت بها
- الاعتراض على صنع القرار الآلي الذي يُنتج آثاراً جوهرية
- تقديم شكوى إلى وزارة الأمن العام
المهل الزمنية للرد
يجب على المتحكمين الرد على طلبات أصحاب البيانات خلال 72 ساعة في معظم الحالات — وهو إطار زمني أضيق بكثير من معيار GDPR البالغ 30 يوماً. الجاهزية التشغيلية لهذا الإطار الزمني هي من أكثر الثغرات الامتثالية شيوعاً لدى الناشرين الأجانب، وتستلزم أدوات وكتيبات تشغيل أسرع مما هو معتاد في مناطق أخرى.
قواعد خاصة بالقاصرين
يُقدّم PDPL حمايات مخصصة لمعالجة البيانات الشخصية للقاصرين. يجب أن تصدر الموافقة على معالجة بيانات من هو دون الخامسة عشرة من العمر عن أحد الوالدين أو الوصي القانوني. تتطلب معالجة بيانات من هم في سن 15 إلى 18 عاماً موافقة القاصر نفسه، لكن مع التزامات مشددة بالشفافية والرعاية. واجهات موافقة ملفات تعريف الارتباط على المواقع التي تجذب جمهوراً واسعاً من الأقل من 18 عاماً تحتاج إلى تدفقات مراعية للسن، وهو ما لم يبنِه كثير من الناشرين الأجانب بصورة افتراضية.
العقوبات والتطبيق
يرفع PDPL سقف الغرامات الإدارية بشكل ملحوظ. تشمل العقوبات:
- غرامات تصل إلى 5 بالمئة من إيرادات السنة المالية العالمية للانتهاكات الجسيمة المتعلقة بالبيانات الشخصية الحساسة أو الإخفاقات المنهجية
- تعليق أنشطة المعالجة
- وقف إلزامي لعمليات النقل عبر الحدود
- الإفصاح العلني عن المخالفة
- المسؤولية الجنائية في الحالات الصارخة، بما في ذلك البيع غير المشروع للبيانات الشخصية
اتجاه التطبيق
كانت MPS هادئة نسبياً خلال 2023 ومطلع 2024 حين كان المرسوم يُرسّخ نفسه، لكن التطبيق تسارع طوال 2025 وامتد إلى 2026. وقد استُشهد بالناشرين الأجانب في عدة إجراءات منشورة، تمحورت دائماً تقريباً حول واحدة من ثلاث مسائل: موافقة ناقصة أو غير كافية، أو تقييمات نقل عبر الحدود غير مقدَّمة، أو إخفاق في الرد على طلبات أصحاب البيانات خلال نافذة 72 ساعة.
قائمة تدقيق لحركة المرور الفيتنامية في 2026
- تُقدَّم لافتة CMP باللغة الفيتنامية للمستخدمين الفيتناميين، مع قبول ورفض وتخصيص بأهمية بصرية متساوية
- أغراض الموافقة دقيقة وتفصل المعالجة الحساسة كالموقع الجغرافي الدقيق
- سجلات الموافقة مختومة بالوقت وقابلة للتصدير ومحتفظ بها طوال مدة المعالجة مع هامش قابل للتدقيق
- سياسة الخصوصية متاحة باللغة الفيتنامية مع إفصاح كامل عن المعالجين والاحتفاظ والحقوق
- تقييم أثر النقل مقدَّم إلى MPS لكل تدفق عابر للحدود مستمر
- سير عمل طلبات أصحاب البيانات قادر على الرد خلال 72 ساعة من البداية إلى النهاية
- تدفق موافقة مراعٍ للسن متوفر للجماهير التي تضم قاصرين
- تمت مراجعة قائمة الموردين من حيث الضرورة، مع إزالة الموردين غير المستخدمين أو المكررين للحد من مساحة النقل عبر الحدود
آفاق 2026
المسار التنظيمي لفيتنام واضح. أرسى PDPD الإطار. يُصلّبه PDPL. التطبيق في توسع. بالنسبة للناشرين والمعلنين الذين تعاملوا مع فيتنام بوصفها سوقاً أخف متطلبات، 2026 هو العام الذي يصبح فيه هذا النهج مُكلفاً. البشرى السارة هي أن مجموعة موافقة حديثة بمستوى GDPR هي معظم ما هو مطلوب — الثغرات عادةً هي نافذة الرد البالغة 72 ساعة، وتقديم تقييمات أثر النقل، وتوطين CMP وسياسة الخصوصية باللغة الفيتنامية. هذه الثغرات تشغيلية لا معمارية، ويمكن سدّها في أسابيع لا أرباع سنة. الناشرون الذين يسدّونها قبل أن تطرق MPS بابهم لن يلحظوا التحول. أما من ينتظرون فسيندمون.