Декрет и закон за защита на личните данни на Виетнам: Ръководство за съгласие за бисквитки и съответствие на издателите за 2026 г.
Виетнам премина за малко повече от три години от почти никаква унифицирана рамка за лични данни към един от най-взискателните режими на съгласие в Югоизточна Азия. Декретът за защита на личните данни (PDPD), Декрет 13/2023/ND-CP, влезе в сила през юли 2023 г. Законът за защита на личните данни (PDPL), приет от Народното събрание през 2025 г., влезе в сила на 1 януари 2026 г. и издигна повечето принципи на Декрета до ниво на първично законодателство с по-силно прилагане и по-широк обхват. За всеки издател, рекламодател или платформа, обработваща данни на виетнамски потребители — независимо дали са базирани във Виетнам или не — средата от 2026 г. е съществено различна от тази преди само година. Това ръководство разглежда какво всъщност изисква законът, как трябва да бъде конфигурирано съгласието за бисквитки, как работят трансграничните преводи и как изглежда правоприлагането на практика.
Структурата на виетнамското законодателство за защита на данните през 2026 г.
Режимът на Виетнам сега е двупластова структура: PDPD от 2023 г. и PDPL от 2026 г. И двата са в сила и издателите трябва да разберат кой пласт урежда кое задължение.
PDPD — Декрет 13/2023/ND-CP
Декретът въведе първата изчерпателна дефиниция на лични данни на Виетнам, каталог на правата на субектите на данни, изисквания за съгласие, правила за трансгранично прехвърляне на данни и основополагащото задължение за Оценка на въздействието на обработването на лични данни (DPIA). Той остава в сила и продължава да урежда оперативните детайли.
PDPL — В сила от 2026 г.
PDPL издига рамката до ниво на първично законодателство с по-високи санкции и по-широк обхват. Той укрепва модела, центриран върху съгласието, засилва правата на субектите на данни и разширява правомощията за правоприлагане на Министерството на обществената сигурност (MPS), което остава основния регулатор. PDPL въвежда и по-ясни правила за чувствителни лични данни, автоматизираното вземане на решения и обработката на данни на непълнолетни.
Кой се регулира
Законът се прилага към всяка обработка на виетнамски лични данни, независимо от местонахождението на обработващия. Базиран в САЩ издател, обслужващ виетнамски потребители чрез локализиран сайт, или програматичен купувач, наддаващ за виетнамски инвентар, попада в обхвата. Това екстериториално действие отразява модела на GDPR и е един от по-агресивните елементи на виетнамската рамка.
Какво се счита за лични данни
Виетнамската дефиниция на лични данни е широка и тясно следва международния стандарт. Личните данни са всяка информация, която идентифицира или може да идентифицира конкретно физическо лице, и се разделя на две категории, които са от голямо значение за съгласието за бисквитки.
Основни лични данни
Основните лични данни включват имена, дата на раждане, идентификационни номера, данни за контакт, идентификатори на устройства, IP адреси и данни за онлайн активност. Повечето данни, събирани чрез бисквитки, попадат тук, включително рекламни идентификатори, идентификатори на сесии и поведенчески профили, изградени от историята на сърфиране.
Чувствителни лични данни
Чувствителните лични данни включват политически и религиозни възгледи, здравна информация, генетични данни, биометрични данни, сексуална ориентация, криминални досиета, финансови данни и — критично — данни за местоположение, които могат да бъдат използвани за идентифициране на конкретно лице. Чувствителните данни задействат най-строгите изисквания за съгласие, включително конкретно, отделно и в някои случаи писмено или електронно проверимо съгласие.
Защо това има значение за бисквитките
Бисквитка, която събира само основен идентификатор на сесия, представлява основни лични данни. Бисквитка, която захранва рекламна аудитория, базирана на местоположение — обичайна при ретаргетинг и геонасочени кампании — вероятно докосва чувствителни лични данни в момента, когато местоположението стане идентифициращо. Конфигурацията на CMP трябва да разделя тези цели.
Съгласие за бисквитки съгласно виетнамското право
Виетнам следва модела на изрично съгласие (opt-in). Няма резервен вариант за известие и избор за бисквитки, събиращи лични данни, и прагът за валидно съгласие е подобен на стандарта на GDPR.
Четирите изисквания за съгласие
Съгласието съгласно виетнамското право трябва да бъде:
- Конкретно — обвързано с ясно идентифицирана цел на обработката, а не общо рамково съгласие
- Информирано — субектът на данните разбира какви данни се обработват, защо, кой ги получава и за колко дълго
- Доброволно — без предварително отметнати квадратчета, без стени „съгласи се или напусни“ за несъществена обработка
- Изразимо и оттегляемо — потребителят може да даде и да оттегли съгласие чрез ясен механизъм
Как изглежда съответстваща CMP
CMP, конфигурирана за виетнамски трафик през 2026 г., трябва да представи:
- Видим банер преди изстрелването на каквато и да е несъществена бисквитка или тракер, на виетнамски (Tiếng Việt) по подразбиране за виетнамски потребители
- Отделни действия Приемане, Отхвърляне и Персонализиране с равна визуална значимост — без тъмни модели
- Детайлни контроли за поне следните цели: анализи, реклама, персонализиране, трансгранично прехвърляне и всяка обработка от чувствителна категория, като точно местоположение
- Постоянен, лесно намираем механизъм за промяна или оттегляне на съгласие след първоначалния избор
- Политика за поверителност на виетнамски език с ясни разкривания на обработващите, категориите данни, срока на съхранение и правата на потребителя
Записи за съгласие
Обработващите трябва да поддържат записи за съгласие — кой е дал съгласие, кога, за какво, чрез какъв интерфейс. Виетнамските действия за правоприлагане вече са цитирали липсващи или непроверими журнали за съгласие, а PDPL формализира това задължение. CMP, която не произвежда експортируеми, времево маркирани журнали за съгласие, не е в съответствие.
Трансгранично прехвърляне на данни — Най-трудната част
Режимът на Виетнам за трансгранично прехвърляне е един от най-взискателните в региона и е елементът, с който повечето чуждестранни издатели имат трудности.
Оценката на въздействието на прехвърлянето
Преди прехвърляне на виетнамски лични данни в чужбина — което включва изпращане на идентификатори, получени от бисквитки, до задгранична рекламна борса или доставчик на анализи — администраторът трябва да изготви Оценка на въздействието на прехвърлянето. Оценката трябва да документира целта, категориите данни, страната получател и получателя, техническите и организационни мерки и правното основание за прехвърлянето.
Подаване до MPS
Оценката трябва да бъде подадена до Министерството на обществената сигурност в рамките на 60 дни от началото на обработката. MPS има правомощието да спре трансграничните прехвърляния, ако оценката е недостатъчна или ако юрисдикцията на местоназначение се счита за неподходяща.
Практически последствия за издателите
Типичен програматичен рекламен стек насочва потребителски данни през десетки задгранични доставчици за милисекунди. Всеки от тези потоци е, строго погледнато, трансгранично прехвърляне на виетнамски лични данни. Реалността на 2026 г. е, че повечето чуждестранни издатели или подават консолидирани оценки за целия си списък от доставчици, или намаляват броя си на доставчици, за да намалят тежестта на оценката. Нито едното, нито другото е тривиално, и MPS е сигнализирало, че ще започне по-активно правоприлагане на трансграничните потоци през 2026 г.
Права на субектите на данни
PDPL консолидира и укрепва правата, предоставени по Декрета. Виетнамските субекти на данни имат право да:
- Бъдат информирани за обработката на техните данни
- Получат достъп до обработваните данни
- Коригират неточни данни
- Изтрият данни, когато обработката вече не е обоснована
- Ограничат обработката при определени обстоятелства
- Оттеглят съгласие толкова лесно, колкото е дадено
- Се противопоставят на автоматизирано вземане на решения, което произвежда значителни ефекти
- Подадат жалба до Министерството на обществената сигурност
Срокове за отговор
Администраторите трябва да отговарят на исканията на субектите на данни в рамките на 72 часа в повечето случаи — значително по-тесен прозорец от 30-дневния стандарт на GDPR. Оперативната готовност за този срок е една от по-честите пропуски в съответствието за чуждестранни издатели и изисква инструменти и наръчници, по-бързи от типичното за другите региони.
Специални правила за непълнолетни
PDPL въвежда специални защити за обработката на лични данни на непълнолетни. Съгласието за обработката на данни на лице под 15 години трябва да бъде дадено от родител или законен настойник. Обработката на данни на лица на 15-18 години изисква собственото съгласие на непълнолетния, но с повишени задължения за прозрачност и грижа. Потребителските интерфейси за съгласие за бисквитки на сайтове, привличащи значителна аудитория под 18 години, се нуждаят от потоци, осъзнаващи възрастта, което малко чуждестранни издатели са изградили по подразбиране.
Санкции и правоприлагане
PDPL значително повишава тавана на административните глоби. Санкциите включват:
- Глоби до 5 процента от глобалния годишен приход за сериозни нарушения, включващи чувствителни лични данни или системни пропуски
- Спиране на дейностите по обработка
- Задължително спиране на трансграничните прехвърляния
- Публично разкриване на нарушението
- Наказателна отговорност за груби случаи, включително незаконна продажба на лични данни
Тенденция в правоприлагането
MPS беше относително тихо в продължение на 2023 г. и началото на 2024 г., докато Декретът се установяваше, но правоприлагането се ускори в продължение на 2025 г. и навлизаше в 2026 г. Чуждестранни издатели са цитирани в няколко публикувани действия, почти винаги центрирани върху един от три проблема: липсващо или недостатъчно съгласие, неподадени оценки за трансгранично прехвърляне или неотговаряне на исканията на субектите на данни в рамките на 72-часовия прозорец.
Одитен контролен списък за виетнамски трафик през 2026 г.
- Банерът на CMP се показва на виетнамски за виетнамски потребители с равна значимост на Приемане, Отхвърляне и Персонализиране
- Целите на съгласието са детайлни и разделят чувствителната обработка като точното местоположение
- Журналите за съгласие са времево маркирани, експортируеми и съхранявани за продължителността на обработката плюс одитируем марж
- Политиката за поверителност е достъпна на виетнамски с пълно разкриване на обработващите, срока на съхранение и правата
- Оценката на въздействието на прехвърлянето е подадена до MPS за всеки текущ трансграничен поток
- Работният процес за искания на субекти на данни може да отговори в рамките на 72 часа от началото до края
- Потокът за съгласие, осъзнаващ възрастта, е въведен за аудитории, включващи непълнолетни
- Списъкът от доставчици е прегледан за необходимост, като неизползваните или излишни доставчици са премахнати, за да се намали трансграничната повърхност
Перспективата за 2026 г.
Регулаторната траектория на Виетнам е ясна. PDPD установи рамката. PDPL я затвърди. Правоприлагането се разширява. За издателите и рекламодателите, които са третирали Виетнам като пазар с по-леки изисквания, 2026 г. е годината, когато този подход става скъп. Добрата новина е, че модерен стек за съгласие от класа на GDPR е по-голямата част от необходимото — пропуските обикновено са 72-часовият прозорец за отговор, подаванията на Оценки на въздействието на прехвърлянето и локализацията на виетнамски на CMP и политиката за поверителност. Тези пропуски са оперативни, не архитектурни, и могат да бъдат запълнени за седмици, а не за тримесечия. Издателите, които ги запълнят преди MPS да се появи на прага им, няма да забележат прехода. Тези, които чакат, ще забележат.