Дэкрэт і Закон В'етнама аб абароне персанальных даных: кіраўніцтва па згодзе на файлы cookie і адпаведнасці для выдаўцоў у 2026 годзе
В'етнам усяго за крыху больш за тры гады прайшоў шлях ад амаль поўнай адсутнасці адзінай сістэмы абароны персанальных даных да аднаго з самых патрабавальных рэжымаў згоды ў Паўднёва-Усходняй Азіі. Дэкрэт аб абароне персанальных даных (PDPD), Дэкрэт 13/2023/ND-CP, уступіў у сілу ў ліпені 2023 года. Закон аб абароне персанальных даных (PDPL), прыняты Нацыянальным сходам у 2025 годзе, уступіў у сілу 1 студзеня 2026 года і ўзводзіць большасць прынцыпаў Дэкрэта ў ранг першаснага заканадаўства з больш жорсткім правапрымяненнем і больш шырокім ахопам. Для любога выдаўца, рэкламадаўца або платформы, якая апрацоўвае даныя в'етнамскіх карыстальнікаў — няхай гэта будзе базіраванай у В'етнаме ці не — асяроддзе 2026 года істотна адрозніваецца ад таго, што было ўсяго год таму. Гэтае кіраўніцтва разбірае, што на самой справе патрабуе закон, як павінна быць наладжана згода на файлы cookie, як працуюць трансгранічныя перадачы і як выглядае правапрымяненне на практыцы.
Структура в'етнамскага права абароны даных у 2026 годзе
Рэжым В'етнама цяпер уяўляе сабой двухузроўневую сістэму: PDPD ад 2023 года і PDPL ад 2026 года. Абодва дзейнічаюць, і выдаўцам неабходна разумець, які ўзровень рэгулюе якое абавязацельства.
PDPD — Дэкрэт 13/2023/ND-CP
Дэкрэт увёў першае ўсёабдымнае вызначэнне персанальных даных В'етнама, каталог правоў суб'ектаў даных, патрабаванні да згоды, правілы трансгранічнай перадачы даных і асноватворнае абавязацельства па ацэнцы ўплыву апрацоўкі персанальных даных (DPIA). Ён застаецца ў сіле і працягвае рэгуляваць аперацыйныя дэталі.
PDPL — у сіле з 2026 года
PDPL узводзіць сістэму ў ранг першаснага заканадаўства з больш высокімі штрафамі і больш шырокім ахопам. Ён узмацняе мадэль, арыентаваную на згоду, умацоўвае правы суб'ектаў даных і пашырае паўнамоцтвы правапрымянення Міністэрства грамадскай бяспекі (MPS), якое застаецца асноўным рэгулятарам. PDPL таксама ўводзіць больш дакладныя правілы для адчувальных персанальных даных, аўтаматызаванага прыняцця рашэнняў і апрацоўкі даных непаўналетніх.
Хто рэгулюецца
Закон прымяняецца да любой апрацоўкі в'етнамскіх персанальных даных, незалежна ад таго, дзе знаходзіцца апрацоўшчык. Выдавец з ЗША, які абслугоўвае в'етнамскіх карыстальнікаў праз лакалізаваны сайт, або праграматычны пакупнік, які робіць стаўкі на в'етнамскі інвентар, трапляюць у сферу дзеяння. Гэты экстэрытарыяльны ахоп паўтарае патэрн GDPR і з'яўляецца адным з найбольш агрэсіўных элементаў в'етнамскай сістэмы.
Што лічыцца персанальнымі данымі
В'етнамскае вызначэнне персанальных даных шырокае і цесна следуе міжнароднаму стандарту. Персанальныя даныя — гэта любая інфармацыя, якая ідэнтыфікуе або можа ідэнтыфікаваць канкрэтную фізічную асобу, і яна дзеліцца на дзве катэгорыі, якія моцна ўплываюць на згоду на файлы cookie.
Базавыя персанальныя даныя
Базавыя персанальныя даныя ўключаюць імя, дату нараджэння, ідэнтыфікацыйныя нумары, кантактныя даныя, ідэнтыфікатары прылад, IP-адрасы і даныя аб анлайн-актыўнасці. Большая частка даных, якія збіраюцца файламі cookie, адносіцца сюды, уключаючы рэкламныя ідэнтыфікатары, ідэнтыфікатары сесій і паводніцкія профілі, пабудаваныя на аснове гісторыі праглядаў.
Адчувальныя персанальныя даныя
Адчувальныя персанальныя даныя ўключаюць палітычныя і рэлігійныя погляды, інфармацыю аб здароўі, генетычныя даныя, біяметрычныя даныя, сексуальную арыентацыю, судзімасці, фінансавыя даныя і — што крытычна — даныя аб месцазнаходжанні, якія могуць выкарыстоўвацца для ідэнтыфікацыі канкрэтнай асобы. Адчувальныя даныя запускаюць самыя строгія патрабаванні да згоды, уключаючы канкрэтную, асобную і ў некаторых выпадках пісьмовую або электронна правяральную згоду.
Чаму гэта важна для файлаў cookie
Файл cookie, які збірае толькі базавы ідэнтыфікатар сесіі, — гэта базавыя персанальныя даныя. Файл cookie, які жывіць рэкламную аўдыторыю на аснове месцазнаходжання — распаўсюджаны ў рэтаргетынгу і гео-таргетаваных кампаніях — верагодна, закранае адчувальныя персанальныя даныя ў той момант, калі месцазнаходжанне становіцца ідэнтыфікуючым. Канфігурацыя CMP павінна падзяляць гэтыя мэты.
Згода на файлы cookie згодна з в'етнамскім правам
В'етнам следуе мадэлі згоды opt-in. Няма рэзервовага варыянту «апавяшчэнне і выбар» для файлаў cookie, якія збіраюць персанальныя даныя, і планка сапраўднай згоды аналагічная стандарту GDPR.
Чатыры патрабаванні да згоды
Згода згодна з в'етнамскім правам павінна быць:
- Канкрэтнай — прывязанай да дакладна вызначанай мэты апрацоўкі, а не агульнай парасонавай згодай
- Інфармаванай — суб'ект даных разумее, якія даныя апрацоўваюцца, навошта, хто іх атрымлівае і на які тэрмін
- Добраахвотнай — ніякіх папярэдне адзначаных сцяжкоў, ніякіх сцен «згадзіся або сыходзь» для несутнаснай апрацоўкі
- Выказвальнай і адзыўнай — карыстальнік можа прадаставіць і адклікаць згоду праз зразумелы механізм
Як выглядае CMP, якая адпавядае патрабаванням
CMP, наладжаная для в'етнамскага трафіку ў 2026 годзе, павінна прадстаўляць:
- Бачны банер перад спрацоўваннем любога несутнаснага файла cookie або трэкера, на в'етнамскай (Tiếng Việt) па змаўчанні для в'етнамскіх карыстальнікаў
- Асобныя дзеянні «Прыняць», «Адхіліць» і «Наладзіць» з роўнай візуальнай прыкметнасцю — без цёмных патэрнаў
- Дэталёвыя элементы кіравання як мінімум для наступных мэт: аналітыка, рэклама, персаналізацыя, трансгранічная перадача і любая апрацоўка адчувальнай катэгорыі, такая як дакладнае месцазнаходжанне
- Пастаянны, лёгка знаходны механізм змены або адзыву згоды пасля першапачатковага выбару
- Палітыку канфідэнцыяльнасці на в'етнамскай мове з дакладным раскрыццём апрацоўшчыкаў, катэгорый даных, тэрмінаў захоўвання і правоў карыстальніка
Запісы аб згодзе
Апрацоўшчыкі павінны весці запісы аб згодзе — хто даў згоду, калі, на што, праз які інтэрфейс. В'етнамскія дзеянні па правапрымяненні ўжо спасылаліся на адсутныя або неправерныя журналы згоды, і PDPL фармалізуе гэтае абавязацельства. CMP, якая не вырабляе экспартуемыя журналы згоды з часавымі меткамі, не адпавядае патрабаванням.
Трансгранічная перадача даных — самая складаная частка
Рэжым трансгранічнай перадачы В'етнама — адзін з самых патрабавальных у рэгіёне і элемент, з якім большасць замежных выдаўцоў адчуваюць цяжкасці.
Ацэнка ўплыву перадачы
Перад перадачай в'етнамскіх персанальных даных за мяжу — што ўключае адпраўку ідэнтыфікатараў, атрыманых з файлаў cookie, на замежную рэкламную біржу або пастаўшчыку аналітыкі — кантралёр павінен падрыхтаваць ацэнку ўплыву перадачы. Ацэнка павінна дакументаваць мэту, катэгорыі даных, краіну-атрымальніка і атрымальніка, тэхнічныя і арганізацыйныя гарантыі і прававую падставу для перадачы.
Падача ў MPS
Ацэнка павінна быць пададзена ў Міністэрства грамадскай бяспекі на працягу 60 дзён з пачатку апрацоўкі. MPS мае права прыпыняць трансгранічныя перадачы, калі ацэнка неадэкватная або калі юрысдыкцыя прызначэння лічыцца недастатковай.
Практычнае следства для выдаўцоў
Тыповы праграматычны рэкламны стэк маршрутызуе даныя карыстальнікаў праз дзясяткі замежных пастаўшчыкоў за мілісекунды. Кожны з гэтых патокаў, строга кажучы, з'яўляецца трансгранічнай перадачай в'етнамскіх персанальных даных. Рэальнасць 2026 года такая, што большасць замежных выдаўцоў альбо падаюць кансалідаваныя ацэнкі для ўсяго спісу пастаўшчыкоў, альбо скарачаюць набор пастаўшчыкоў, каб паменшыць цяжар ацэнкі. Ні тое, ні іншае не трывіяльна, і MPS дало зразумець, што пачне больш актыўнае правапрымяненне па трансгранічных патоках на працягу 2026 года.
Правы суб'ектаў даных
PDPL кансалідуе і ўзмацняе правы, прадастаўленыя Дэкрэтам. В'етнамскія суб'екты даных маюць права:
- Быць праінфармаванымі аб апрацоўцы іх даных
- Атрымліваць доступ да апрацоўваных даных
- Выпраўляць недакладныя даныя
- Выдаляць даныя, калі апрацоўка больш не апраўдана
- Абмяжоўваць апрацоўку ў пэўных абставінах
- Адклікаць згоду так жа лёгка, як яна была дадзена
- Пярэчыць супраць аўтаматызаванага прыняцця рашэнняў, якое мае значныя наступствы
- Скардзіцца ў Міністэрства грамадскай бяспекі
Тэрміны адказу
Кантралёры павінны адказваць на запыты суб'ектаў даных на працягу 72 гадзін у большасці выпадкаў — значна больш вузкае акно, чым 30-дзённы стандарт GDPR. Аперацыйная гатоўнасць да гэтага тэрміну — адзін з найбольш распаўсюджаных прабелаў у адпаведнасці для замежных выдаўцоў і патрабуе інструментаў і рэгламентаў, якія хутчэйшыя, чым тыповыя ў іншых рэгіёнах.
Асаблівыя правілы для непаўналетніх
PDPL уводзіць спецыяльныя меры абароны для апрацоўкі персанальных даных непаўналетніх. Згода на апрацоўку даных асобы маладзей за 15 гадоў павінна быць дадзена бацькам або законным апекуном. Апрацоўка даных асоб ва ўзросце ад 15 да 18 гадоў патрабуе ўласнай згоды непаўналетняга, але з павышанымі абавязкамі па празрыстасці і асцярожнасці. Інтэрфейсы згоды на файлы cookie на сайтах, якія прыцягваюць значную аўдыторыю маладзей за 18 гадоў, маюць патрэбу ў патоках з улікам узросту, якія мала хто з замежных выдаўцоў пабудаваў па змаўчанні.
Штрафы і правапрымяненне
PDPL значна павышае столь адміністрацыйных штрафаў. Санкцыі ўключаюць:
- Штрафы да 5 працэнтаў глабальнага гадавога даходу за сур'ёзныя парушэнні, звязаныя з адчувальнымі персанальнымі данымі або сістэмнымі збоямі
- Прыпыненне дзейнасці па апрацоўцы
- Абавязковыя спыненні трансгранічнай перадачы
- Публічнае раскрыццё парушэння
- Крымінальную адказнасць за вопіюшчыя выпадкі, уключаючы незаконны продаж персанальных даных
Тэндэнцыя правапрымянення
MPS было адносна ціхім на працягу 2023 года і пачатку 2024 года, пакуль Дэкрэт прыжываўся, але правапрымяненне паскорылася на працягу 2025 года і ў 2026 годзе. Замежныя выдаўцы ўпаміналіся ў некалькіх апублікаваных дзеяннях, амаль заўсёды засяроджаных на адной з трох праблем: адсутная або неадэкватная згода, непададзеныя ацэнкі трансгранічнай перадачы або няздольнасць адказаць на запыты суб'ектаў даных на працягу 72-гадзіннага акна.
Чэк-ліст аўдыту для в'етнамскага трафіку ў 2026 годзе
- Банер CMP адлюстроўваецца на в'етнамскай для в'етнамскіх карыстальнікаў, з «Прыняць», «Адхіліць» і «Наладзіць» пры роўнай прыкметнасці
- Мэты згоды дэталёвыя і аддзяляюць адчувальную апрацоўку, такую як дакладнае месцазнаходжанне
- Журналы згоды маюць часавыя меткі, экспартуемыя і захоўваюцца на працягу апрацоўкі плюс аўдыруемы запас
- Палітыка канфідэнцыяльнасці даступная на в'етнамскай з поўным раскрыццём апрацоўшчыкаў, тэрмінаў захоўвання і правоў
- Ацэнка ўплыву перадачы пададзена ў MPS для кожнага бягучага трансгранічнага патоку
- Працоўны працэс запытаў суб'ектаў даных можа адказаць на працягу 72 гадзін ад пачатку да канца
- Паток згоды з улікам узросту маецца для аўдыторый, якія ўключаюць непаўналетніх
- Спіс пастаўшчыкоў перагледжаны на прадмет неабходнасці, з выдаленнем невыкарыстоўваных або лішніх пастаўшчыкоў для скарачэння плошчы трансгранічнай паверхні
Прагноз на 2026 год
Рэгулятарная траекторыя В'етнама ясная. PDPD устанавіў сістэму. PDPL узмацняе яе. Правапрымяненне пашыраецца. Для выдаўцоў і рэкламадаўцаў, якія разглядалі В'етнам як рынак з больш мяккім падыходам, 2026 год — гэта год, калі такі падыход становіцца дарагім. Добрая навіна ў тым, што сучасны стэк згоды ўзроўню GDPR — гэта бóльшая частка таго, што патрэбна; прабелы звычайна — гэта 72-гадзіннае акно адказу, падачы ацэнак уплыву перадачы і лакалізацыя CMP і палітыкі канфідэнцыяльнасці на в'етнамскай мове. Гэтыя прабелы аперацыйныя, а не архітэктурныя, і іх можна закрыць за тыдні, а не за кварталы. Выдаўцы, якія закрыюць іх да таго, як MPS з'явіцца на іх парозе, не заўважаць пераходу. Тыя, хто будуць чакаць, — заўважаць.