Vietnams forordning og lov om beskyttelse af personoplysninger: Vejledning i cookiesamtykke og udgiveroverensstemmelse for 2026
Vietnam har på lidt over tre år bevæget sig fra at have næsten ingen samlet ramme for personoplysninger til at have et af de mest krævende samtykkeregimet i Sydøstasien. Forordningen om beskyttelse af personoplysninger (PDPD), Dekret 13/2023/ND-CP, trådte i kraft i juli 2023. Loven om beskyttelse af personoplysninger (PDPL), vedtaget af nationalforsamlingen i 2025, trådte i kraft den 1. januar 2026 og løfter de fleste af forordningens principper op i primær lovgivning med stærkere håndhævelse og bredere rækkevidde. For enhver udgiver, annoncør eller platform, der behandler data om vietnamesiske brugere — uanset om de er baseret i Vietnam eller ej — er 2026-miljøet væsentligt anderledes end for blot et år siden. Denne vejledning gennemgår, hvad loven faktisk kræver, hvordan cookiesamtykke skal konfigureres, hvordan grænseoverskridende overførsler fungerer, og hvordan håndhævelse ser ud i praksis.
Strukturen i vietnamesisk databeskyttelseslovgivning i 2026
Vietnams regime er nu en to-lags stak: PDPD fra 2023 og PDPL fra 2026. Begge er i kraft, og udgivere skal forstå, hvilken lag der regulerer hvilken forpligtelse.
PDPD — Dekret 13/2023/ND-CP
Dekretet introducerede Vietnams første omfattende definition af personoplysninger, et katalog over registreredes rettigheder, krav til samtykke, regler for grænseoverskridende dataoverførsler og den grundlæggende forpligtelse til konsekvensanalyse af behandling af personoplysninger (DPIA). Det forbliver i kraft og regulerer fortsat driftsdetaljer.
PDPL — I kraft fra 2026
PDPL hæver rammen til primær lovgivning med højere sanktioner og bredere rækkevidde. Den styrker den samtykkecentrerede model, styrker de registreredes rettigheder og udvider håndhævelsesbeføjelserne for Ministeriet for Offentlig Sikkerhed (MPS), som forbliver den primære tilsynsmyndighed. PDPL introducerer også klarere regler for følsomme personoplysninger, automatiseret beslutningstagning og behandling af mindreåriges data.
Hvem er reguleret
Loven gælder for enhver behandling af vietnamesiske personoplysninger, uanset hvor behandleren befinder sig. En USA-baseret udgiver, der betjener vietnamesiske brugere via et lokaliseret websted, eller en programmatisk køber, der byder på vietnamesisk beholdning, er inden for anvendelsesområdet. Denne ekstraterritoriale rækkevidde afspejler GDPR-mønsteret og er et af de mere aggressive elementer i det vietnamesiske rammesystem.
Hvad der tæller som personoplysninger
Den vietnamesiske definition af personoplysninger er bred og følger nøje den internationale standard. Personoplysninger er enhver information, der identificerer eller kan identificere en bestemt fysisk person, og den opdeles i to kategorier, der er meget vigtige for cookiesamtykke.
Grundlæggende personoplysninger
Grundlæggende personoplysninger inkluderer navn, fødselsdato, identifikationsnumre, kontaktoplysninger, enhedsidentifikatorer, IP-adresser og data om onlineaktivitet. De fleste cookie-indsamlede data falder her, herunder reklameidentifikatorer, sessions-id'er og adfærdsprofiler bygget ud fra browserhistorik.
Følsomme personoplysninger
Følsomme personoplysninger inkluderer politiske og religiøse holdninger, helbredsoplysninger, genetiske data, biometriske data, seksuel orientering, strafferegistre, finansielle data og — kritisk — lokaliseringsdata, der kan bruges til at identificere en bestemt person. Følsomme data udløser de strengeste samtykkekrav, herunder specifikt, separat og i nogle tilfælde skriftligt eller elektronisk verificerbart samtykke.
Hvorfor dette er vigtigt for cookies
En cookie, der kun indsamler en grundlæggende sessionsidentifikator, er grundlæggende personoplysninger. En cookie, der fodrer en lokationsbaseret reklamemålgruppe — almindelig i retargeting og geomålrettede kampagner — rører sandsynligvis følsomme personoplysninger i det øjeblik, lokation bliver identificerende. CMP-konfigurationen skal adskille disse formål.
Cookiesamtykke i henhold til vietnamesisk lov
Vietnam følger opt-in-samtykkmodellen. Der er ingen fallback med underretning og valg for cookies, der indsamler personoplysninger, og barren for gyldigt samtykke ligner GDPR-standarden.
De fire samtykkekrav
Samtykke i henhold til vietnamesisk lov skal være:
- Specifikt — knyttet til et klart identificeret behandlingsformål, ikke et generelt paraplyksamtykke
- Informeret — den registrerede forstår, hvilke data der behandles, hvorfor, hvem der modtager dem, og i hvor lang tid
- Frivilligt — ingen forudmarkerede afkrydsningsfelter, ingen samtyk-eller-forlad-mure for ikke-essentiel behandling
- Udtrykkelig og tilbagekaldelig — brugeren kan give og trække samtykke tilbage via en klar mekanisme
Hvordan en kompatibel CMP ser ud
En CMP konfigureret til vietnamesisk trafik i 2026 bør præsentere:
- Et synligt banner, inden nogen ikke-essentiel cookie eller sporer aktiveres, på vietnamesisk (Tiếng Việt) som standard for vietnamesiske brugere
- Separate Accepter, Afvis og Tilpas handlinger med lige visuel fremtrædelse — ingen mørke mønstre
- Granulerede kontroller for mindst følgende formål: analyse, reklame, personalisering, grænseoverskridende overførsel og enhver følsom-kategori-behandling som præcis lokation
- En vedvarende, let at finde mekanisme til at ændre eller trække samtykke tilbage efter det indledende valg
- Privatlivspolitik på vietnamesisk med klare oplysninger om databehandlere, datakategorier, opbevaring og brugerens rettigheder
Samtykkeposter
Behandlere skal føre samtykkeregistre — hvem der har givet samtykke, hvornår, til hvad, via hvilken grænseflade. Vietnamesiske håndhævelseshandlinger har allerede citeret manglende eller ikke-verificerbare samtykkelogfiler, og PDPL formaliserer denne forpligtelse. En CMP, der ikke producerer eksporterbare, tidsstemplede samtykkelogfiler, er ikke i overensstemmelse.
Grænseoverskridende dataoverførsler — Den sværeste del
Vietnams grænseoverskridende overførselsregime er et af de mest krævende i regionen og er det element, som de fleste udenlandske udgivere kæmper med.
Konsekvensanalysen af overførslen
Inden overførsel af vietnamesiske personoplysninger til udlandet — hvilket inkluderer at sende cookie-afledte identifikatorer til en oversøisk reklamebørs eller analyseleverandør — skal den dataansvarlige udarbejde en Konsekvensanalyse af Overførslen. Analysen skal dokumentere formålet, datakategorierne, modtagerlandet og modtageren, tekniske og organisatoriske sikkerhedsforanstaltninger og det juridiske grundlag for overførslen.
Indgivelse til MPS
Analysen skal indgives til Ministeriet for Offentlig Sikkerhed inden for 60 dage efter behandlingens start. MPS har beføjelse til at suspendere grænseoverskridende overførsler, hvis analysen er utilstrækkelig, eller hvis destinationsjurisdiktionen anses for utilstrækkelig.
Praktisk implikation for udgivere
En typisk programmatisk reklamastak ruter brugerdata gennem snesevis af oversøiske leverandører på millisekunder. Hvert af disse flows er strengt taget en grænseoverskridende overførsel af vietnamesiske personoplysninger. 2026-realiteten er, at de fleste udenlandske udgivere enten indgiver konsoliderede analyser for hele deres leverandørliste eller beskærer deres leverandørsæt for at reducere analysebyrden. Ingen af delene er trivielt, og MPS har signaleret, at det vil begynde mere aktiv håndhævelse af grænseoverskridende flows i løbet af 2026.
De registreredes rettigheder
PDPL konsoliderer og styrker de rettigheder, der er givet i henhold til Dekretet. Vietnamesiske registrerede har ret til:
- At blive informeret om behandlingen af deres data
- At få adgang til de data, der behandles
- At rette unøjagtige data
- At slette data, hvor behandlingen ikke længere er berettiget
- At begrænse behandlingen under specificerede omstændigheder
- At trække samtykke tilbage lige så let, som det blev givet
- At gøre indsigelse mod automatiseret beslutningstagning, der producerer betydelige virkninger
- At klage til Ministeriet for Offentlig Sikkerhed
Svarfrister
Dataansvarlige skal i de fleste tilfælde besvare de registreredes anmodninger inden for 72 timer — et betydeligt snævrere vindue end GDPR's 30-dages standard. Operationel beredskab til denne tidslinje er en af de mere almindelige overensstemmelseshuller for udenlandske udgivere og kræver værktøj og driftsvejledninger, der er hurtigere end det typiske i andre regioner.
Særlige regler for mindreårige
PDPL introducerer dedikeret beskyttelse for behandling af mindreåriges personoplysninger. Samtykke til behandling af data tilhørende en person under 15 år skal gives af en forælder eller juridisk værge. Behandling af data for dem i alderen 15 til 18 år kræver den mindreåriges eget samtykke, men med skærpede pligter om åbenhed og omhu. Cookie-samtykke-brugergrænseflader på websteder, der tiltrækker et betydeligt under-18-publikum, har brug for aldersbevidste flows, som få udenlandske udgivere har bygget som standard.
Sanktioner og håndhævelse
PDPL hæver loftet over administrative bøder betydeligt. Sanktioner inkluderer:
- Bøder på op til 5 procent af den globale årlige omsætning for alvorlige overtrædelser, der involverer følsomme personoplysninger eller systemiske fejl
- Suspension af behandlingsaktiviteter
- Obligatorisk stop for grænseoverskridende overførsler
- Offentlig offentliggørelse af overtrædelsen
- Strafferetligt ansvar for grove tilfælde, herunder ulovligt salg af personoplysninger
Håndhævelsestrend
MPS var relativt stille i løbet af 2023 og begyndelsen af 2024, mens Dekretet blev indlejret, men håndhævelsen er accelereret i løbet af 2025 og ind i 2026. Udenlandske udgivere er blevet citeret i adskillige offentliggjorte sager, næsten altid centreret om et af tre problemer: manglende eller utilstrækkeligt samtykke, ikke-indgivne grænseoverskridende overførselsanalyser eller manglende svar på de registreredes anmodninger inden for 72-timers vinduet.
Revisionscheckliste for vietnamesisk trafik i 2026
- CMP-banneret vises på vietnamesisk for vietnamesiske brugere med Accepter, Afvis og Tilpas med lige fremtrædelse
- Samtykkemål er granulerede og adskiller følsom behandling som præcis lokation
- Samtykkelogfiler er tidsstemplede, eksporterbare og opbevaret i behandlingens varighed plus en reviderbar margen
- Privatlivspolitikken er tilgængelig på vietnamesisk med fuld oplysning om behandlere, opbevaring og rettigheder
- Konsekvensanalysen af overførslen er indgivet til MPS for hvert igangværende grænseoverskridende flow
- Arbejdsgangen for de registreredes anmodninger kan svare inden for 72 timer fra start til slut
- Aldersbevidst samtykkeinflow er på plads for målgrupper, der inkluderer mindreårige
- Leverandørlisten er gennemgået for nødvendighed, med ubrugte eller redundante leverandører fjernet for at indskrænke den grænseoverskridende overflade
Udsigterne for 2026
Vietnams regulatoriske bane er klar. PDPD etablerede rammen. PDPL skærper den. Håndhævelsen udvider sig. For udgivere og annoncører, der har behandlet Vietnam som et marked med lettere regulering, er 2026 det år, hvor denne tilgang bliver kostbar. Den gode nyhed er, at en moderne GDPR-klasse samtykkestak er det meste af det, der er brug for — hullerne er typisk 72-timers svarvinduet, indgivelsen af konsekvensanalyser af overførslen og den vietnamesiske-sproglige lokalisering af CMP og privatlivspolitikken. Disse huller er driftsmæssige, ikke arkitektoniske, og de kan lukkes på uger frem for kvartaler. De udgivere, der lukker dem, inden MPS banker på deres dør, vil ikke lægge mærke til overgangen. De, der venter, vil.