צו וחוק הגנת המידע האישי של וייטנאם: מדריך הסכמה לעוגיות ועמידה ברגולציה עבור מפרסמים לשנת 2026
וייטנאם עברה, בקצת יותר משלוש שנים, ממצב של כמעט ללא מסגרת מאוחדת של מידע אישי למצב של אחד ממשטרי ההסכמה הדורשניים ביותר בדרום מזרח אסיה. צו הגנת המידע האישי (PDPD), צו 13/2023/ND-CP, נכנס לתוקף ביולי 2023. חוק הגנת המידע האישי (PDPL), שאושר על ידי האסיפה הלאומית ב-2025, נכנס לתוקף ב-1 בינואר 2026 ומעלה את רוב עקרונות הצו לחקיקה ראשית עם אכיפה חזקה יותר ותחולה רחבה יותר. עבור כל מפרסם, פרסומאי או פלטפורמה המעבדת נתונים של משתמשים וייטנאמים — בין אם מבוססת בוייטנאם ובין אם לאו — סביבת 2026 שונה מהותית ממה שהייתה רק לפני שנה. מדריך זה עובר על מה שהחוק באמת דורש, כיצד יש להגדיר הסכמה לעוגיות, כיצד פועלות העברות חוצות-גבולות ומה נראית האכיפה בפועל.
מבנה חוק הגנת הנתונים הווייטנאמי ב-2026
המשטר של וייטנאם הוא כעת ערימה דו-שכבתית: ה-PDPD מ-2023 וה-PDPL מ-2026. שניהם בתוקף, ועל המפרסמים להבין איזו שכבה מסדירה איזה חובה.
ה-PDPD — צו 13/2023/ND-CP
הצו הציג את ההגדרה המקיפה הראשונה של מידע אישי בוייטנאם, קטלוג של זכויות נושאי הנתונים, דרישות הסכמה, כללים בנוגע להעברות נתונים חוצות-גבולות, וחובת הערכת השפעת עיבוד המידע האישי (DPIA) הבסיסית. הוא נשאר בתוקף וממשיך לנהל את הפרטים התפעוליים.
ה-PDPL — בתוקף מ-2026
ה-PDPL מעלה את המסגרת לחקיקה ראשית עם עונשים גבוהים יותר ותחולה רחבה יותר. הוא מחזק את המודל ממוקד ההסכמה, מבצר את הזכויות עבור נושאי הנתונים ומרחיב את סמכויות האכיפה של משרד הביטחון הפנימי (MPS), שנשאר הרגולטור הראשי. ה-PDPL מציג גם כללים ברורים יותר עבור מידע אישי רגיש, קבלת החלטות אוטומטית ועיבוד נתוני קטינים.
מי מוסדר
החוק חל על כל עיבוד של מידע אישי וייטנאמי, ללא קשר למיקום המעבד. מפרסם מבוסס בארה״ב המשרת משתמשים וייטנאמים דרך אתר מקומי, או קונה פרוגרמטי שמציע הצעות על מלאי וייטנאמי, נמצא בתחולה. טווח חוץ-טריטוריאלי זה משקף את דפוס ה-GDPR והוא אחד מהאלמנטים האגרסיביים יותר של המסגרת הווייטנאמית.
מה נחשב מידע אישי
ההגדרה הווייטנאמית של מידע אישי היא רחבה ועוקבת מקרוב אחר הסטנדרט הבינלאומי. מידע אישי הוא כל מידע המזהה או יכול לזהות אדם טבעי ספציפי, והוא מחולק לשתי קטגוריות החשובות מאוד להסכמת עוגיות.
מידע אישי בסיסי
מידע אישי בסיסי כולל שם, תאריך לידה, מספרי זיהוי, פרטי קשר, מזהי מכשירים, כתובות IP ונתוני פעילות מקוונת. רוב הנתונים שנאספו על ידי עוגיות נמצאים כאן, כולל מזהי פרסום, מזהי סשן ופרופילי התנהגות שנבנו מהיסטוריית הגלישה.
מידע אישי רגיש
מידע אישי רגיש כולל דעות פוליטיות ודתיות, מידע בריאותי, נתונים גנטיים, נתונים ביומטריים, נטייה מינית, רישומי עבר פלילי, נתונים פיננסיים, ו — באופן קריטי — נתוני מיקום שניתן להשתמש בהם לזיהוי אדם ספציפי. נתונים רגישים מפעילים את דרישות ההסכמה המחמירות ביותר, כולל הסכמה ספציפית, נפרדת ובמקרים מסוימים בכתב או ניתנת לאימות אלקטרוני.
מדוע זה חשוב לעוגיות
עוגייה שאוספת רק מזהה סשן בסיסי היא מידע אישי בסיסי. עוגייה המזינה קהל פרסום מבוסס מיקום — נפוצה בקמפיינים של ריטרגטינג ומיקוד גיאוגרפי — כנראה נוגעת במידע אישי רגיש ברגע שהמיקום הופך לזיהוי. הגדרת ה-CMP חייבת להפריד בין המטרות הללו.
הסכמת עוגיות תחת הדין הווייטנאמי
וייטנאם עוקבת אחר מודל ההסכמה opt-in. אין אפשרות גיבוי של הודעה-ובחירה לעוגיות שאוספות מידע אישי, ורמת ההסכמה התקפה דומה לסטנדרט ה-GDPR.
ארבעת דרישות ההסכמה
הסכמה תחת הדין הווייטנאמי חייבת להיות:
- ספציפית — קשורה למטרת עיבוד שזוהתה בבירור, לא הסכמת מטריה כללית
- מדעת — נושא הנתונים מבין אילו נתונים מעובדים, מדוע, מי מקבל אותם ולכמה זמן
- רצונית — ללא תיבות מסומנות מראש, ללא חומות של הסכמה-או-עזוב לעיבוד לא חיוני
- ניתנת להבעה ולביטול — המשתמש יכול לתת ולמשוך הסכמה דרך מנגנון ברור
כיצד נראה CMP תואם
CMP המוגדר לתנועה וייטנאמית ב-2026 צריך להציג:
- באנר גלוי לפני שכל עוגייה או עוקב לא חיוניים נורים, בווייטנאמית (Tiếng Việt) כברירת מחדל עבור משתמשים וייטנאמים
- פעולות נפרדות של קבל, דחה והתאם אישית, עם בולטות ויזואלית שווה — ללא דפוסים אפלים
- פקדים גרנולריים לפחות עבור המטרות הבאות: אנליטיקה, פרסום, התאמה אישית, העברה חוצת-גבולות וכל עיבוד קטגוריה רגישה כגון מיקום מדויק
- מנגנון קבוע וקל למציאה לשינוי או לביטול הסכמה לאחר הבחירה הראשונית
- מדיניות פרטיות בשפה הווייטנאמית עם גילויים ברורים של מעבדים, קטגוריות נתונים, שמירה וזכויות המשתמש
רשומות הסכמה
על המעבדים לשמור רשומות של הסכמות — מי הסכים, מתי, למה, דרך איזה ממשק. פעולות אכיפה בוייטנאם כבר ציינו יומני הסכמה חסרים או שאינם ניתנים לאימות, וה-PDPL מסדיר חובה זו. CMP שאינו מייצר יומני הסכמה הניתנים לייצוא ומוחתמים בזמן אינו תואם.
העברת נתונים חוצת-גבולות — החלק הקשה ביותר
משטר ההעברות חוצות-גבולות של וייטנאם הוא אחד הדורשניים ביותר באזור, והוא האלמנט שרוב המפרסמים הזרים מתקשים איתו.
הערכת השפעת ההעברה
לפני העברת מידע אישי וייטנאמי לחו״ל — הכולל שליחת מזהים שמקורם בעוגיות לבורסת מודעות חיצונית או ספק אנליטיקה — על הבקר להכין הערכת השפעת העברה. ההערכה חייבת לתעד את המטרה, קטגוריות הנתונים, מדינת ומקבל ההעברה, אמצעי הגנה טכניים וארגוניים, והבסיס המשפטי להעברה.
הגשה ל-MPS
ההערכה חייבת להיות מוגשת למשרד הביטחון הפנימי תוך 60 יום מתחילת העיבוד. ל-MPS יש סמכות להשעות העברות חוצות-גבולות אם ההערכה בלתי מספקת או אם שיפוט היעד נחשב בלתי מספק.
השלכה מעשית עבור מפרסמים
ערימת מודעות פרוגרמטית טיפוסית מנתבת נתוני משתמשים דרך עשרות ספקים מחו״ל במילישניות. כל אחד מהזרמים הללו הוא, בהקפדה, העברה חוצת-גבולות של מידע אישי וייטנאמי. מציאות 2026 היא שרוב המפרסמים הזרים מגישים הערכות מאוחדות עבור כל רשימת הספקים שלהם, או מצמצמים את מערכת הספקים שלהם כדי להפחית את עומס ההערכה. אף אחת מהן אינה טריוויאלית, וה-MPS איתת שיתחיל אכיפה פעילה יותר על זרמים חוצי-גבולות במהלך 2026.
זכויות נושאי הנתונים
ה-PDPL מאחד ומחזק את הזכויות שניתנו תחת הצו. לנושאי נתונים וייטנאמים יש זכות:
- להיות מודיעים על עיבוד נתוניהם
- לגשת לנתונים המעובדים
- לתקן נתונים שגויים
- למחוק נתונים כשהעיבוד אינו מוצדק עוד
- להגביל עיבוד בנסיבות מוגדרות
- לבטל הסכמה בקלות כמו שניתנה
- להתנגד לקבלת החלטות אוטומטית המייצרת השפעות משמעותיות
- להגיש תלונה למשרד הביטחון הפנימי
לוחות זמנים לתגובה
על הבקרים להגיב לבקשות נושאי נתונים תוך 72 שעות ברוב המקרים — חלון צר משמעותית מסטנדרט 30 הימים של ה-GDPR. מוכנות תפעולית ללוח זמנים זה היא אחת מפערי הציות הנפוצים יותר עבור מפרסמים זרים ומצריכה כלים ומדריכים מהירים יותר ממה שאופייני באזורים אחרים.
כללים מיוחדים לקטינים
ה-PDPL מציג הגנות ייעודיות לעיבוד מידע אישי של קטינים. הסכמה לעיבוד נתונים השייכים לאדם מתחת לגיל 15 חייבת להינתן על ידי הורה או אפוטרופוס חוקי. עיבוד נתונים עבור בני 15 עד 18 מחייב הסכמת הקטין עצמו, אך עם חובות שקיפות ואכפתיות מוגברות. ממשקי הסכמת עוגיות באתרים המושכים קהל משמעותי מתחת לגיל 18 זקוקים לזרימות מודעות-גיל, שמעט מפרסמים זרים בנו כברירת מחדל.
עונשים ואכיפה
ה-PDPL מעלה משמעותית את תקרת הקנסות המנהליים. הסנקציות כוללות:
- קנסות של עד 5 אחוז מהכנסות השנתיות הגלובליות עבור הפרות חמורות הכוללות מידע אישי רגיש או כשלים שיטתיים
- השעיית פעילויות עיבוד
- הפסקות חובה של העברות חוצות-גבולות
- גילוי ציבורי של ההפרה
- אחריות פלילית במקרים חמורים, כולל מכירה בלתי חוקית של מידע אישי
מגמת האכיפה
ה-MPS היה שקט יחסית לאורך 2023 ותחילת 2024 כשהצו התבסס, אך האכיפה האיצה לאורך 2025 ולתוך 2026. מפרסמים זרים הוזכרו במספר פעולות שפורסמו, כמעט תמיד ממוקדות באחד משלושה בעיות: הסכמה חסרה או בלתי מספקת, הערכות העברות חוצות-גבולות שלא הוגשו, או כשל בהגבה לבקשות נושאי נתונים בתוך חלון ה-72 שעות.
רשימת בדיקה לביקורת עבור תנועה וייטנאמית ב-2026
- באנר CMP מוגש בווייטנאמית למשתמשים וייטנאמים, עם קבל, דחה והתאם אישית בבולטות שווה
- מטרות ההסכמה הן גרנולריות ומפרידות עיבוד רגיש כגון מיקום מדויק
- יומני הסכמה מוחתמים בזמן, ניתנים לייצוא ונשמרים לאורך תקופת העיבוד בתוספת שוליים הניתנים לביקורת
- מדיניות הפרטיות זמינה בווייטנאמית עם גילוי מלא של מעבדים, שמירה וזכויות
- הערכת השפעת ההעברה הוגשה ל-MPS עבור כל זרם חוצה-גבולות שוטף
- זרימת העבודה של בקשות נושא הנתונים יכולה להגיב תוך 72 שעות מקצה לקצה
- זרימת הסכמה מודעת-גיל קיימת לקהל הכולל קטינים
- רשימת הספקים נבדקה לגבי הכרחיות, עם הסרת ספקים שאינם בשימוש או מיותרים לצמצום שטח חוצה-הגבולות
תחזית 2026
מסלול הרגולציה של וייטנאם ברור. ה-PDPD הקים את המסגרת. ה-PDPL מחמיר אותה. האכיפה מתרחבת. עבור מפרסמים ומפרסמי פרסומות שהתייחסו לוייטנאם כשוק קל-יד, 2026 הוא השנה שבה גישה זו נעשית יקרה. הבשורה הטובה היא שערימת הסכמה מודרנית בדרגת GDPR היא רוב מה שנחוץ — הפערים הם בדרך כלל חלון התגובה של 72 שעות, הגשות הערכת השפעת ההעברה, ולוקליזציה של ה-CMP ומדיניות הפרטיות לשפה הווייטנאמית. הפערים הללו הם תפעוליים, לא ארכיטקטוניים, וניתן לסגור אותם בשבועות ולא ברבעונים. המפרסמים שסוגרים אותם לפני שה-MPS מגיע לדלתם לא ישימו לב למעבר. אלה שימתינו — ישימו.