Ang Istraktura ng Vietnamese Data Protection Law sa 2026

Ang rehimen ng Vietnam ay ngayon ay isang dalawang layer na stack: ang PDPD mula 2023 at ang PDPL mula 2026. Pareho ay ipinatupad, at kailangan ng mga publisher na maunawaan kung aling layer ang namamahala sa kung aling obligasyon.

Ang PDPD — Decree 13/2023/ND-CP

Ipinakilala ng Decree ang unang komprehensibong kahulugan ng personal na data ng Vietnam, isang katalogo ng mga karapatan ng data subject, mga kinakailangan para sa consent, mga patakaran sa cross-border na paglipat ng data, at ang pundasyon na obligasyon ng Personal Data Processing Impact Assessment (DPIA). Nananatili itong ipinatupad at patuloy na namamahala ng detalye ng operasyon.

Ang PDPL — Ipinatupad Mula 2026

Itinaas ng PDPL ang balangkas sa pangunahing batas na may mas mataas na parusa at mas malawak na saklaw. Pinalakas nito ang consent-centric na modelo, pinalakasi ang mga karapatan para sa mga data subject, at pinalawak ang mga kapangyarihan sa pagpapatupad para sa Ministry of Public Security (MPS), na nananatiling pangunahing regulator. Nagpapakilala rin ang PDPL ng mas malinaw na mga patakaran para sa sensitibong personal na data, automated na paggawa ng desisyon, at ang pagpoproseso ng data ng mga menor de edad.

Sino ang Pinamamahalaan

Naaangkop ang batas sa anumang pagpoproseso ng Vietnamese personal na data, anuman ang lokasyon ng processor. Isang publisher na nakabase sa US na nagsisilbi sa mga Vietnamese user sa pamamagitan ng isang localized na site o isang programmatic na mamimili na nag-bid sa Vietnamese inventory ay nasa saklaw. Ang extraterritorial na abot na ito ay sumasalamin sa pattern ng GDPR at isa sa mga mas agresibong elemento ng Vietnamese framework.

Ano ang Binibilang bilang Personal na Data

Ang kahulugan ng personal na data ng Vietnam ay malawak at malapit na sinusundan ang internasyonal na pamantayan. Ang personal na data ay anumang impormasyon na nagtatukoy o makakatukoy ng isang tiyak na natural na tao, at ito ay nahahati sa dalawang kategorya na lubos na mahalaga para sa cookie consent.

Basic na Personal na Data

Kasama sa basic na personal na data ang pangalan, petsa ng kapanganakan, mga numero ng pagkakakilanlan, mga detalye ng pakikipag-ugnayan, mga identifier ng device, mga IP address, at data ng online na aktibidad. Karamihan sa data na nakolekta ng cookie ay nahuhulog dito, kabilang ang mga identifier ng advertising, session ID, at mga profile ng gawi na binuo mula sa kasaysayan ng pagba-browse.

Sensitibong Personal na Data

Kasama sa sensitibong personal na data ang mga pampulitika at relihiyosong pananaw, impormasyon sa kalusugan, genetic na data, biometric na data, sekswal na oryentasyon, mga rekord ng krimen, pinansiyal na data, at — kritikal — data ng lokasyon na maaaring gamitin upang matukoy ang isang tiyak na indibidwal. Ang sensitibong data ay nagti-trigger ng pinakamahigpit na mga kinakailangan sa consent, kabilang ang tiyak, hiwalay, at sa ilang mga kaso ay nakasulat o elektronikong nave-verify na consent.

Bakit Ito Mahalaga para sa Cookies

Ang cookie na nangongolekta lamang ng isang basic na session identifier ay basic na personal na data. Ang cookie na nagpapakain ng isang audience ng advertising na batay sa lokasyon — karaniwan sa retargeting at geo-targeted na mga kampanya — ay malamang na humahawak ng sensitibong personal na data sa sandaling ang lokasyon ay nagiging nakikilala. Ang configuration ng CMP ay dapat paghiwalayin ang mga layuning ito.

Cookie Consent sa Ilalim ng Vietnamese Law

Sinusundan ng Vietnam ang opt-in na modelo ng consent. Walang fallback na notice-and-choice para sa mga cookie na nangongolekta ng personal na data, at ang bar para sa valid na consent ay katulad ng pamantayan ng GDPR.

Ang Apat na Kinakailangan ng Consent

Ang consent sa ilalim ng Vietnamese law ay dapat:

• Tiyak — nakatali sa isang malinaw na natukoy na layunin ng pagpoproseso, hindi isang pangkalahatang payong consent
• May Kaalaman — naiintindihan ng data subject kung anong data ang pinoproseso, bakit, sino ang tumatanggap nito, at kung gaano katagal
• Boluntaryo — walang mga pre-ticked na kahon, walang mga dinding ng consent-or-leave para sa hindi mahalagang pagpoproseso
• Maibibigay at Mababawi — ang user ay maaaring magbigay at mag-withdraw ng consent sa pamamagitan ng isang malinaw na mekanismo

Ano ang Hitsura ng Compliant na CMP

Ang isang CMP na na-configure para sa Vietnamese na trapiko sa 2026 ay dapat ipakita:

• Isang nakikitang banner bago mag-fire ang anumang hindi mahalagang cookie o tracker, sa Vietnamese (Tiếng Việt) bilang default para sa mga Vietnamese user
• Hiwalay na mga aksyon ng Tanggapin, Tanggihan, at I-customize, na may pantay na visual na prominensya — walang mga dark pattern
• Granular na mga kontrol para sa hindi bababa sa mga sumusunod na layunin: analytics, advertising, personalization, cross-border na paglipat, at anumang pagpoproseso ng sensitibong kategorya tulad ng tiyak na lokasyon
• Isang patuloy, madaling mahanap na mekanismo upang baguhin o bawiin ang consent pagkatapos ng paunang pagpili
• Patakaran sa privacy sa wikang Vietnamese na may malinaw na mga pagsisiwalat ng mga processor, kategorya ng data, pagpapanatili, at mga karapatan ng user

Mga Rekord ng Consent

Ang mga processor ay dapat magpanatili ng mga rekord ng consent — sino ang pumayag, kailan, sa kung ano, sa pamamagitan ng kung anong interface. Ang mga aksyon sa pagpapatupad ng Vietnam ay nabanggit na ng mga nawawalang o hindi nave-verify na log ng consent, at pino-formalize ng PDPL ang obligasyong ito. Ang isang CMP na hindi gumagawa ng nai-export, may timestamp na mga log ng consent ay hindi sumusunod.

Cross-Border na Paglipat ng Data — Ang Pinakamahirap na Bahagi

Ang rehimen ng cross-border na paglipat ng Vietnam ay isa sa mga pinaka-demanding sa rehiyon at ang elemento na pinaka-nagpapahirap sa karamihan ng mga dayuhang publisher.

Ang Transfer Impact Assessment

Bago ilipat ang Vietnamese personal na data sa ibang bansa — na kinabibilangan ng pagpapadala ng mga identifier na nagmula sa cookie sa isang overseas na ad exchange o analytics vendor — ang controller ay dapat maghanda ng isang Transfer Impact Assessment. Ang assessment ay dapat mag-dokumento ng layunin, mga kategorya ng data, bansang tatanggap at tatanggap, mga teknikal at organisasyonal na pag-iingat, at ang legal na batayan para sa paglipat.

Pag-file sa MPS

Ang assessment ay dapat i-file sa Ministry of Public Security sa loob ng 60 araw mula sa simula ng pagpoproseso. Ang MPS ay may kapangyarihang suspindihin ang mga cross-border na paglipat kung ang assessment ay hindi sapat o kung ang jurisdiction ng destinasyon ay itinuturing na hindi sapat.

Praktikal na Implikasyon para sa mga Publisher

Ang isang tipikal na programmatic na ad stack ay nag-reroute ng data ng user sa pamamagitan ng dose-dosenang mga overseas vendor sa mga millisecond. Ang bawat isa sa mga daloy na iyon ay, mahigpit, isang cross-border na paglipat ng Vietnamese personal na data. Ang katotohanan ng 2026 ay karamihan sa mga dayuhang publisher ay nag-fi-file ng mga consolidated na assessment para sa kanilang buong listahan ng vendor o nagpupunas ng kanilang set ng vendor upang mabawasan ang pasanin ng assessment. Wala sa dalawa ang walang halaga, at sinenyasan ng MPS na magsisimulang mag-enforce nang mas aktibo sa mga cross-border na daloy sa panahon ng 2026.

Mga Karapatan ng Data Subject

Pinagsama at pinaalakas ng PDPL ang mga karapatang ipinagkaloob sa ilalim ng Decree. Ang mga Vietnamese data subject ay may karapatang:

• Maabisuhan tungkol sa pagpoproseso ng kanilang data
• Ma-access ang data na pinoproseso
• Iwasto ang hindi tamang data
• Burahin ang data kung ang pagpoproseso ay hindi na makatwiran
• Paghigpitan ang pagpoproseso sa mga tinukoy na pangyayari
• I-withdraw ang consent nang kasing dali ng pagbibigay nito
• Tumutol sa automated na paggawa ng desisyon na gumagawa ng mga makabuluhang epekto
• Magreklamo sa Ministry of Public Security

Mga Timeline ng Pagtugon

Ang mga controller ay dapat tumugon sa mga kahilingan ng data subject sa loob ng 72 oras sa karamihan ng mga kaso — isang kapansin-pansing mas mahigpit na window kaysa sa 30-araw na pamantayan ng GDPR. Ang operational na pagiging handa para sa timeline na ito ay isa sa mga mas karaniwang agwat ng pagsunod para sa mga dayuhang publisher at nangangailangan ng tooling at mga runbook na mas mabilis kaysa sa tipikal sa ibang mga rehiyon.

Mga Espesyal na Patakaran para sa mga Menor de Edad

Nagpapakilala ang PDPL ng mga nakatuon na proteksyon para sa pagpoproseso ng personal na data ng mga menor de edad. Ang consent para sa pagpoproseso ng data na pag-aari ng isang taong wala pang 15 taong gulang ay dapat ibigay ng magulang o legal na guardian. Ang pagpoproseso ng data para sa mga taong 15 hanggang 18 taong gulang ay nangangailangan ng sariling consent ng menor de edad, ngunit may mga mas mataas na tungkulin ng transparency at pag-iingat. Ang mga UI ng cookie consent sa mga site na nakakaakit ng malaking audience na wala pang 18 taong gulang ay nangangailangan ng mga age-aware na daloy, na kakaunting dayuhang publisher ang nagtatayo bilang default.

Mga Parusa at Pagpapatupad

Lubos na itinaas ng PDPL ang kisame sa mga administratibong multa. Kasama sa mga parusa:

• Mga multa ng hanggang 5 porsyento ng taunang kita sa buong mundo para sa mga seryosong paglabag na kinabibilangan ng sensitibong personal na data o sistematikong mga kabiguan
• Suspensyon ng mga aktibidad sa pagpoproseso
• Sapilitang paghinto ng cross-border na paglipat
• Pampublikong pagsisiwalat ng paglabag
• Kriminal na pananagutan para sa mga matinding kaso, kabilang ang iligal na pagbebenta ng personal na data

Trend sa Pagpapatupad

Ang MPS ay medyo tahimik sa buong 2023 at maaga 2024 habang ang Decree ay nag-uugat, ngunit ang pagpapatupad ay bumilis sa buong 2025 at papasok sa 2026. Ang mga dayuhang publisher ay binanggit sa ilang mga nailathala na aksyon, halos palaging nakasentro sa isa sa tatlong isyu: nawawala o hindi sapat na consent, hindi na-file na mga cross-border na transfer assessment, o kabiguan na tumugon sa mga kahilingan ng data subject sa loob ng 72-oras na window.

Checklist ng Audit para sa Vietnamese na Trapiko sa 2026

• Ang banner ng CMP ay inihahatid sa Vietnamese para sa mga Vietnamese user, na may Tanggapin, Tanggihan, at I-customize sa pantay na prominensya
• Ang mga layunin ng consent ay granular at hinahatid ang sensitibong pagpoproseso tulad ng tiyak na lokasyon
• Ang mga log ng consent ay may timestamp, nai-export, at napanatili para sa tagal ng pagpoproseso kasama ang isang naaaudit na margin
• Ang patakaran sa privacy ay makukuha sa Vietnamese na may kumpletong pagsisiwalat ng mga processor, pagpapanatili, at mga karapatan
• Ang Transfer Impact Assessment ay na-file sa MPS para sa bawat patuloy na cross-border na daloy
• Ang daloy ng trabaho ng kahilingan ng data subject ay makakapagtugon sa loob ng 72 oras mula simula hanggang katapusan
• Ang age-aware na daloy ng consent ay nasa lugar para sa mga audience na kinabibilangan ng mga menor de edad
• Ang listahan ng vendor ay nasuri para sa pangangailangan, na tinanggal ang mga hindi ginagamit o redundant na vendor upang mabawasan ang cross-border na lugar ng ibabaw

Ang Outlook para sa 2026

Ang trajectory ng regulasyon ng Vietnam ay malinaw. Ang PDPD ay nagtatag ng balangkas. Ang PDPL ay nagpapatigas nito. Ang pagpapatupad ay lumalawak. Para sa mga publisher at advertiser na nagtrato sa Vietnam bilang isang mas magaang na merkado, ang 2026 ay ang taon na ang diskarteng iyon ay nagiging mahal. Ang magandang balita ay ang isang modernong GDPR-grade na consent stack ay karamihan sa kailangan — ang mga agwat ay karaniwang ang 72-oras na window ng pagtugon, ang mga pag-file ng Transfer Impact Assessment, at ang lokalisasyon sa wikang Vietnamese ng CMP at patakaran sa privacy. Ang mga agwat na iyon ay operasyonal, hindi arkitektura, at maaari silang isara sa loob ng mga linggo kaysa sa mga quarter. Ang mga publisher na isinasara ang mga ito bago dumating ang MPS sa kanilang pintuan ay hindi mapapansin ang paglipat. Ang mga naghihintay ay mapapansin.