فرمان و قانون حمایت از دادههای شخصی ویتنام: راهنمای رضایت کوکی و انطباق ناشران برای ۲۰۲۶
ویتنام در کمی بیش از سه سال از داشتن تقریباً هیچ چارچوب یکپارچهای برای دادههای شخصی به داشتن یکی از سختترین رژیمهای رضایت در جنوب شرقی آسیا رسیده است. فرمان حمایت از دادههای شخصی (PDPD)، فرمان ۱۳/۲۰۲۳/ND-CP، در جولای ۲۰۲۳ لازمالاجرا شد. قانون حمایت از دادههای شخصی (PDPL) که مجمع ملی در سال ۲۰۲۵ تصویب کرد، در اول ژانویه ۲۰۲۶ لازمالاجرا شد و اکثر اصول فرمان را با اجرای قویتر و دامنه گستردهتر به قانون اصلی ارتقا میدهد. برای هر ناشر، تبلیغکننده یا پلتفرمی که دادههای کاربران ویتنامی را پردازش میکند — چه در ویتنام مستقر باشد چه نه — محیط ۲۰۲۶ به طور قابل توجهی با یک سال پیش متفاوت است. این راهنما توضیح میدهد که قانون واقعاً چه چیزی را الزامی میکند، چگونه باید رضایت کوکی پیکربندی شود، انتقال داده بینالمللی چگونه کار میکند و اجرا در عمل چگونه است.
ساختار قانون حمایت از دادههای ویتنام در ۲۰۲۶
رژیم ویتنام اکنون یک پشته دو لایهای است: PDPD از ۲۰۲۳ و PDPL از ۲۰۲۶. هر دو لازمالاجرا هستند و ناشران باید بدانند کدام لایه کدام تعهد را اداره میکند.
PDPD — فرمان ۱۳/۲۰۲۳/ND-CP
فرمان اولین تعریف جامع دادههای شخصی ویتنام، فهرست حقوق موضوعات داده، الزامات رضایت، قوانین انتقال دادههای بینالمللی و تعهد پایهای ارزیابی تأثیر پردازش دادههای شخصی (DPIA) را معرفی کرد. همچنان لازمالاجرا است و به اداره جزئیات عملیاتی ادامه میدهد.
PDPL — از ۲۰۲۶ لازمالاجرا
PDPL چارچوب را با جریمههای بیشتر و دامنه گستردهتر به قانون اصلی ارتقا میدهد. مدل محور رضایت را تقویت میکند، حقوق موضوعات داده را محکمتر میکند و اختیارات اجرایی وزارت امنیت عمومی (MPS) را گسترش میدهد که همچنان نهاد نظارتی اصلی است. PDPL همچنین قوانین روشنتری برای دادههای شخصی حساس، تصمیمگیری خودکار و پردازش دادههای اقلیتها معرفی میکند.
چه کسانی تنظیم میشوند
قانون برای هر پردازش دادههای شخصی ویتنامی اعمال میشود، صرف نظر از اینکه پردازنده کجا مستقر است. یک ناشر مستقر در آمریکا که از طریق یک سایت بومیسازیشده به کاربران ویتنامی خدمات میدهد یا یک خریدار برنامهای که برای موجودی ویتنامی پیشنهاد میدهد، در دامنه قرار دارد. این دسترسی فرامرزی الگوی GDPR را منعکس میکند و یکی از عناصر تهاجمیتر چارچوب ویتنامی است.
چه چیزی داده شخصی محسوب میشود
تعریف ویتنامی دادههای شخصی گسترده است و استاندارد بینالمللی را به دقت دنبال میکند. دادههای شخصی هر اطلاعاتی است که یک شخص حقیقی خاص را شناسایی میکند یا میتواند شناسایی کند، و به دو دستهای تقسیم میشود که برای رضایت کوکی بسیار مهم هستند.
دادههای شخصی پایه
دادههای شخصی پایه شامل نام، تاریخ تولد، شمارههای شناسایی، اطلاعات تماس، شناسههای دستگاه، آدرسهای IP و دادههای فعالیت آنلاین میشود. اکثر دادههای جمعآوریشده از طریق کوکی اینجا قرار میگیرند، از جمله شناسههای تبلیغاتی، شناسههای جلسه و پروفایلهای رفتاری ساختهشده از تاریخچه مرور.
دادههای شخصی حساس
دادههای شخصی حساس شامل دیدگاههای سیاسی و مذهبی، اطلاعات بهداشتی، دادههای ژنتیکی، دادههای بیومتریک، گرایش جنسی، سوابق کیفری، دادههای مالی و — به طور بحرانی — دادههای مکانی که میتوانند برای شناسایی یک فرد خاص استفاده شوند میشود. دادههای حساس سختترین الزامات رضایت را فعال میکنند، از جمله رضایت خاص، جداگانه و در برخی موارد کتبی یا قابل تأیید الکترونیکی.
چرا این برای کوکیها مهم است
یک کوکی که فقط یک شناسه جلسه پایه جمعآوری میکند دادههای شخصی پایه است. یک کوکی که به یک مخاطبان تبلیغاتی مبتنی بر مکان تغذیه میکند — رایج در کمپینهای بازاریابی مجدد و هدفگذاری جغرافیایی — به احتمال زیاد لحظهای که مکان قابل شناسایی میشود با دادههای شخصی حساس در تماس است. پیکربندی CMP باید این اهداف را جدا کند.
رضایت کوکی طبق قانون ویتنام
ویتنام از مدل رضایت opt-in پیروی میکند. هیچ گزینه اطلاعرسانی-و-انتخاب جایگزینی برای کوکیهایی که دادههای شخصی جمعآوری میکنند وجود ندارد و سطح رضایت معتبر مشابه استاندارد GDPR است.
چهار الزام رضایت
رضایت طبق قانون ویتنام باید:
- خاص — مرتبط با یک هدف پردازش به وضوح مشخصشده، نه یک رضایت کلی
- آگاهانه — موضوع داده میفهمد چه دادهای پردازش میشود، چرا، چه کسی دریافت میکند و برای چه مدت
- داوطلبانه — بدون کادرهای از قبل تیکزده، بدون دیوارهای رضایت-یا-برو برای پردازش غیرضروری
- قابل اعطا و قابل پسگیری — کاربر میتواند از طریق یک مکانیسم واضح رضایت بدهد و پس بگیرد
یک CMP سازگار چگونه است
یک CMP پیکربندیشده برای ترافیک ویتنامی در ۲۰۲۶ باید ارائه دهد:
- یک بنر قابل مشاهده قبل از فعال شدن هر کوکی یا ردیاب غیرضروری، به زبان ویتنامی (Tiếng Việt) به طور پیشفرض برای کاربران ویتنامی
- اقدامات پذیرش، رد و سفارشیسازی جداگانه با برجستگی بصری برابر — بدون الگوهای تاریک
- کنترلهای دقیق برای حداقل اهداف زیر: تجزیه و تحلیل، تبلیغات، شخصیسازی، انتقال بینالمللی و هر پردازش دسته حساس مانند مکان دقیق
- یک مکانیسم پایدار و آسانیاب برای تغییر یا پسگیری رضایت پس از انتخاب اولیه
- سیاست حفظ حریم خصوصی به زبان ویتنامی با افشای روشن پردازندهها، دستههای داده، نگهداری و حقوق کاربر
سوابق رضایت
پردازندهها باید سوابق رضایت را نگهداری کنند — چه کسی رضایت داد، چه وقت، به چه چیزی، از طریق چه رابطی. اقدامات اجرایی ویتنام قبلاً گزارشهای رضایت مفقود یا غیرقابل تأیید را ذکر کردهاند و PDPL این تعهد را رسمی میکند. یک CMP که گزارشهای رضایت قابل صادرات و دارای مهر زمانی تولید نمیکند سازگار نیست.
انتقال داده بینالمللی — سختترین بخش
رژیم انتقال بینالمللی ویتنام یکی از سختترینها در منطقه است و عنصری است که اکثر ناشران خارجی با آن دست و پنجه نرم میکنند.
ارزیابی تأثیر انتقال
قبل از انتقال دادههای شخصی ویتنامی به خارج از کشور — که شامل ارسال شناسههای مشتق از کوکی به یک بورس تبلیغاتی خارجی یا فروشنده تجزیه و تحلیل میشود — کنترلکننده باید یک ارزیابی تأثیر انتقال تهیه کند. ارزیابی باید هدف، دستههای داده، کشور و گیرنده دریافتکننده، تدابیر حفاظتی فنی و سازمانی و پایه قانونی انتقال را مستند کند.
تسلیم به MPS
ارزیابی باید در عرض ۶۰ روز از شروع پردازش به وزارت امنیت عمومی تسلیم شود. MPS اختیار دارد انتقالهای بینالمللی را اگر ارزیابی ناکافی باشد یا حوزه قضایی مقصد ناکافی در نظر گرفته شود، معلق کند.
تأثیر عملی برای ناشران
یک پشته تبلیغاتی برنامهای معمولی دادههای کاربر را از طریق دهها فروشنده خارجی در میلیثانیهها مسیریابی میکند. هریک از آن جریانها به طور دقیق یک انتقال بینالمللی دادههای شخصی ویتنامی است. واقعیت ۲۰۲۶ این است که اکثر ناشران خارجی یا ارزیابیهای تجمیعی برای کل فهرست فروشندگانشان تسلیم میکنند یا مجموعه فروشندگانشان را برای کاهش بار ارزیابی کاهش میدهند. هیچیک آسان نیست و MPS اشاره کرده که اجرای فعالتر بر جریانهای بینالمللی را در طول ۲۰۲۶ آغاز خواهد کرد.
حقوق موضوعات داده
PDPL حقوق اعطاشده تحت فرمان را تجمیع و تقویت میکند. موضوعات داده ویتنامی حق دارند:
- از پردازش دادههایشان مطلع شوند
- به دادههای در حال پردازش دسترسی داشته باشند
- دادههای نادرست را تصحیح کنند
- در صورتی که پردازش دیگر توجیهی ندارد دادهها را حذف کنند
- پردازش را در شرایط مشخص محدود کنند
- رضایت را به همان آسانی که داده شد پس بگیرند
- به تصمیمگیری خودکاری که تأثیرات قابل توجهی تولید میکند اعتراض کنند
- به وزارت امنیت عمومی شکایت کنند
مهلتهای پاسخ
کنترلکنندهها باید در اکثر موارد در عرض ۷۲ ساعت به درخواستهای موضوعات داده پاسخ دهند — پنجرهای به طور قابل توجهی محدودتر از استاندارد ۳۰ روزه GDPR. آمادگی عملیاتی برای این مهلت یکی از شکافهای رایجتر انطباق برای ناشران خارجی است و نیاز به ابزارها و راهنماها دارد که سریعتر از آنچه در مناطق دیگر معمول است باشند.
قوانین خاص برای اقلیتها
PDPL حمایتهای اختصاصی برای پردازش دادههای شخصی اقلیتها معرفی میکند. رضایت برای پردازش دادههای متعلق به شخص زیر ۱۵ سال باید توسط والدین یا قیم قانونی داده شود. پردازش دادههای افراد ۱۵ تا ۱۸ ساله نیاز به رضایت خود اقلیت دارد، اما با وظایف بالاتر شفافیت و مراقبت. رابطهای کاربری رضایت کوکی در سایتهایی که مخاطبان قابل توجهی زیر ۱۸ سال را جذب میکنند به جریانهای آگاه از سن نیاز دارند که ناشران خارجی کمی به طور پیشفرض آن را ساختهاند.
جریمهها و اجرا
PDPL سقف جریمههای اداری را به طور قابل توجهی بالا میبرد. تحریمها شامل:
- جریمه تا ۵ درصد درآمد سالانه جهانی برای نقضهای جدی مربوط به دادههای شخصی حساس یا خرابیهای سیستماتیک
- تعلیق فعالیتهای پردازش
- توقف اجباری انتقال بینالمللی
- افشای عمومی تخلف
- مسئولیت کیفری برای موارد فاحش، از جمله فروش غیرقانونی دادههای شخصی
روند اجرا
MPS در طول ۲۰۲۳ و اوایل ۲۰۲۴ در حالی که فرمان جا میافتاد نسبتاً ساکت بود، اما اجرا در طول ۲۰۲۵ و وارد ۲۰۲۶ شدن شتاب گرفته است. ناشران خارجی در چندین اقدام علنی ذکر شدهاند، تقریباً همیشه با محوریت یکی از سه موضوع: رضایت مفقود یا ناکافی، ارزیابیهای انتقال بینالمللی تسلیمنشده، یا ناتوانی در پاسخ به درخواستهای موضوعات داده در پنجره ۷۲ ساعته.
چکلیست حسابرسی برای ترافیک ویتنامی در ۲۰۲۶
- بنر CMP برای کاربران ویتنامی به زبان ویتنامی ارائه میشود، با پذیرش، رد و سفارشیسازی با برجستگی برابر
- اهداف رضایت دقیق هستند و پردازش حساس مانند مکان دقیق را جدا میکنند
- گزارشهای رضایت دارای مهر زمانی، قابل صادرات و برای مدت پردازش به علاوه حاشیه قابل حسابرسی نگهداری میشوند
- سیاست حفظ حریم خصوصی به زبان ویتنامی با افشای کامل پردازندهها، نگهداری و حقوق در دسترس است
- ارزیابی تأثیر انتقال برای هر جریان مداوم بینالمللی به MPS تسلیم شده است
- جریان کاری درخواست موضوع داده میتواند از ابتدا تا انتها در ۷۲ ساعت پاسخ دهد
- جریان رضایت آگاه از سن برای مخاطبانی که شامل اقلیتها هستند در جای خود قرار دارد
- فهرست فروشنده برای ضرورت بررسی شده، با حذف فروشندگان استفادهنشده یا اضافی برای کاهش سطح بینالمللی
چشمانداز ۲۰۲۶
مسیر نظارتی ویتنام روشن است. PDPD چارچوب را ایجاد کرد. PDPL آن را سختتر میکند. اجرا در حال گسترش است. برای ناشران و تبلیغکنندگانی که ویتنام را به عنوان بازاری با لمس سبکتر تلقی کردهاند، ۲۰۲۶ سالی است که این رویکرد هزینهبر میشود. خبر خوب این است که یک پشته رضایت GDPR-grade مدرن بیشتر آنچه مورد نیاز است را فراهم میکند — شکافها معمولاً پنجره پاسخ ۷۲ ساعته، تسلیمهای ارزیابی تأثیر انتقال و بومیسازی ویتنامیزبان CMP و سیاست حفظ حریم خصوصی هستند. این شکافها عملیاتی هستند، نه معماری، و میتوان آنها را در هفتهها به جای فصلها بست. ناشرانی که آنها را قبل از رسیدن MPS به در خود میبندند انتقال را متوجه نخواهند شد. کسانی که منتظر میمانند خواهند شد.