Dekrit dan Undang-Undang Perlindungan Data Pribadi Vietnam: Panduan Persetujuan Cookie dan Kepatuhan Penerbit untuk 2026
Vietnam telah bergerak, dalam sedikit lebih dari tiga tahun, dari hampir tidak memiliki kerangka data pribadi yang terpadu menjadi salah satu rezim persetujuan paling ketat di Asia Tenggara. Dekrit Perlindungan Data Pribadi (PDPD), Dekrit 13/2023/ND-CP, mulai berlaku pada Juli 2023. Undang-Undang Perlindungan Data Pribadi (PDPL), yang disahkan oleh Majelis Nasional pada tahun 2025, mulai berlaku pada 1 Januari 2026 dan mengangkat sebagian besar prinsip-prinsip Dekrit ke dalam undang-undang primer dengan penegakan yang lebih kuat dan jangkauan yang lebih luas. Bagi setiap penerbit, pengiklan, atau platform yang memproses data pengguna Vietnam — baik yang berbasis di Vietnam maupun tidak — lingkungan 2026 berbeda secara substansial dari kondisi setahun yang lalu. Panduan ini membahas apa yang sebenarnya disyaratkan oleh undang-undang, bagaimana persetujuan cookie harus dikonfigurasi, bagaimana transfer lintas batas bekerja, dan bagaimana penegakan hukum terlihat dalam praktik.
Struktur Hukum Perlindungan Data Vietnam pada 2026
Rezim Vietnam kini merupakan tumpukan dua lapisan: PDPD dari 2023 dan PDPL dari 2026. Keduanya berlaku, dan penerbit perlu memahami lapisan mana yang mengatur kewajiban mana.
PDPD — Dekrit 13/2023/ND-CP
Dekrit ini memperkenalkan definisi data pribadi komprehensif pertama Vietnam, katalog hak-hak subjek data, persyaratan persetujuan, aturan transfer data lintas batas, dan kewajiban Penilaian Dampak Pemrosesan Data Pribadi (DPIA) yang mendasar. Dekrit ini tetap berlaku dan terus mengatur detail operasional.
PDPL — Berlaku Sejak 2026
PDPL mengangkat kerangka kerja ke dalam undang-undang primer dengan sanksi yang lebih tinggi dan ruang lingkup yang lebih luas. Ini memperkuat model berbasis persetujuan, memperkuat hak-hak subjek data, dan memperluas kewenangan penegakan bagi Kementerian Keamanan Publik (MPS), yang tetap menjadi regulator utama. PDPL juga memperkenalkan aturan yang lebih jelas untuk data pribadi sensitif, pengambilan keputusan otomatis, dan pemrosesan data anak di bawah umur.
Siapa yang Diatur
Undang-undang ini berlaku untuk setiap pemrosesan data pribadi Vietnam, terlepas dari lokasi pemroses. Penerbit berbasis di AS yang melayani pengguna Vietnam melalui situs yang dilokalisasi atau pembeli programatik yang menawar inventaris Vietnam termasuk dalam ruang lingkup. Jangkauan ekstrateritorial ini mencerminkan pola GDPR dan merupakan salah satu elemen paling agresif dari kerangka Vietnam.
Apa yang Dihitung sebagai Data Pribadi
Definisi data pribadi Vietnam bersifat luas dan mengikuti standar internasional secara erat. Data pribadi adalah informasi apa pun yang mengidentifikasi atau dapat mengidentifikasi orang alami tertentu, dan dibagi menjadi dua kategori yang sangat penting untuk persetujuan cookie.
Data Pribadi Dasar
Data pribadi dasar mencakup nama, tanggal lahir, nomor identifikasi, detail kontak, pengidentifikasi perangkat, alamat IP, dan data aktivitas online. Sebagian besar data yang dikumpulkan oleh cookie termasuk di sini, termasuk pengidentifikasi iklan, ID sesi, dan profil perilaku yang dibangun dari riwayat penelusuran.
Data Pribadi Sensitif
Data pribadi sensitif mencakup pandangan politik dan agama, informasi kesehatan, data genetik, data biometrik, orientasi seksual, catatan kriminal, data keuangan, dan — yang sangat penting — data lokasi yang dapat digunakan untuk mengidentifikasi individu tertentu. Data sensitif memicu persyaratan persetujuan paling ketat, termasuk persetujuan yang spesifik, terpisah, dan dalam beberapa kasus tertulis atau dapat diverifikasi secara elektronik.
Mengapa Ini Penting untuk Cookie
Cookie yang hanya mengumpulkan pengidentifikasi sesi dasar adalah data pribadi dasar. Cookie yang memberi makan audiens iklan berbasis lokasi — umum dalam kampanye retargeting dan geo-targeted — kemungkinan menyentuh data pribadi sensitif pada saat lokasi menjadi identifikasi. Konfigurasi CMP harus memisahkan tujuan-tujuan ini.
Persetujuan Cookie di Bawah Hukum Vietnam
Vietnam mengikuti model persetujuan opt-in. Tidak ada fallback pemberitahuan-dan-pilihan untuk cookie yang mengumpulkan data pribadi, dan standar untuk persetujuan yang valid mirip dengan standar GDPR.
Empat Persyaratan Persetujuan
Persetujuan di bawah hukum Vietnam harus:
- Spesifik — terikat pada tujuan pemrosesan yang jelas teridentifikasi, bukan persetujuan umum yang luas
- Terinformasi — subjek data memahami data apa yang diproses, mengapa, siapa yang menerimanya, dan untuk berapa lama
- Sukarela — tidak ada kotak centang yang sudah ditandai, tidak ada dinding persetujuan-atau-tinggalkan untuk pemrosesan non-esensial
- Dapat dinyatakan dan ditarik — pengguna dapat memberikan dan menarik persetujuan melalui mekanisme yang jelas
Tampilan CMP yang Patuh
CMP yang dikonfigurasi untuk lalu lintas Vietnam pada 2026 harus menampilkan:
- Spanduk yang terlihat sebelum cookie atau pelacak non-esensial apa pun aktif, dalam bahasa Vietnam (Tiếng Việt) secara default untuk pengguna Vietnam
- Tindakan Terima, Tolak, dan Sesuaikan yang terpisah, dengan prominensi visual yang setara — tanpa pola gelap
- Kontrol granular untuk setidaknya tujuan-tujuan berikut: analitik, periklanan, personalisasi, transfer lintas batas, dan pemrosesan kategori sensitif apa pun seperti lokasi tepat
- Mekanisme yang persisten dan mudah ditemukan untuk mengubah atau menarik persetujuan setelah pilihan awal
- Kebijakan privasi berbahasa Vietnam dengan pengungkapan yang jelas tentang pemroses, kategori data, retensi, dan hak-hak pengguna
Catatan Persetujuan
Pemroses harus menyimpan catatan persetujuan — siapa yang menyetujui, kapan, untuk apa, melalui antarmuka apa. Tindakan penegakan Vietnam telah mengutip log persetujuan yang hilang atau tidak dapat diverifikasi, dan PDPL memformalkan kewajiban ini. CMP yang tidak menghasilkan log persetujuan yang dapat diekspor dan diberi cap waktu tidak patuh.
Transfer Data Lintas Batas — Bagian Paling Sulit
Rezim transfer lintas batas Vietnam adalah salah satu yang paling ketat di kawasan ini dan merupakan elemen yang paling banyak penerbit asing kesulitannya.
Penilaian Dampak Transfer
Sebelum mentransfer data pribadi Vietnam ke luar negeri — yang mencakup pengiriman pengidentifikasi turunan cookie ke bursa iklan luar negeri atau vendor analitik — pengontrol harus menyiapkan Penilaian Dampak Transfer. Penilaian tersebut harus mendokumentasikan tujuan, kategori data, negara penerima dan penerima, pengamanan teknis dan organisasi, serta dasar hukum transfer.
Pengajuan ke MPS
Penilaian harus diajukan ke Kementerian Keamanan Publik dalam 60 hari sejak dimulainya pemrosesan. MPS memiliki kewenangan untuk menangguhkan transfer lintas batas jika penilaian tidak memadai atau jika yurisdiksi tujuan dianggap tidak mencukupi.
Implikasi Praktis bagi Penerbit
Tumpukan iklan programatik yang khas merutekan data pengguna melalui lusinan vendor luar negeri dalam milidetik. Setiap aliran tersebut, secara ketat, merupakan transfer lintas batas data pribadi Vietnam. Realitas 2026 adalah bahwa sebagian besar penerbit asing baik mengajukan penilaian konsolidasi untuk seluruh daftar vendor mereka atau memangkas set vendor mereka untuk mengurangi beban penilaian. Keduanya tidak sepele, dan MPS telah memberi sinyal bahwa mereka akan memulai penegakan yang lebih aktif pada aliran lintas batas selama 2026.
Hak-Hak Subjek Data
PDPL mengkonsolidasikan dan memperkuat hak-hak yang diberikan di bawah Dekrit. Subjek data Vietnam memiliki hak untuk:
- Diberitahu tentang pemrosesan data mereka
- Mengakses data yang sedang diproses
- Mengoreksi data yang tidak akurat
- Menghapus data di mana pemrosesan tidak lagi dapat dibenarkan
- Membatasi pemrosesan dalam keadaan tertentu
- Menarik persetujuan semudah memberikannya
- Menolak pengambilan keputusan otomatis yang menghasilkan efek signifikan
- Mengajukan keluhan ke Kementerian Keamanan Publik
Batas Waktu Respons
Pengontrol harus merespons permintaan subjek data dalam 72 jam di sebagian besar kasus — jendela yang jauh lebih ketat daripada standar 30 hari GDPR. Kesiapan operasional untuk batas waktu ini adalah salah satu kesenjangan kepatuhan yang paling umum bagi penerbit asing dan membutuhkan alat dan runbook yang lebih cepat dari yang biasa dilakukan di wilayah lain.
Aturan Khusus untuk Anak di Bawah Umur
PDPL memperkenalkan perlindungan khusus untuk pemrosesan data pribadi anak di bawah umur. Persetujuan untuk pemrosesan data milik seseorang yang berusia di bawah 15 tahun harus diberikan oleh orang tua atau wali sah. Pemrosesan data bagi mereka yang berusia 15 hingga 18 tahun memerlukan persetujuan dari anak di bawah umur itu sendiri, tetapi dengan kewajiban transparansi dan kehati-hatian yang lebih tinggi. UI persetujuan cookie di situs yang menarik audiens yang signifikan di bawah 18 tahun memerlukan alur yang sadar usia, yang oleh sedikit penerbit asing telah dibangun secara default.
Sanksi dan Penegakan
PDPL menaikkan batas denda administratif secara signifikan. Sanksi meliputi:
- Denda hingga 5 persen dari pendapatan tahunan global untuk pelanggaran serius yang melibatkan data pribadi sensitif atau kegagalan sistematis
- Penangguhan kegiatan pemrosesan
- Penghentian transfer lintas batas wajib
- Pengungkapan publik tentang pelanggaran
- Tanggung jawab pidana untuk kasus-kasus berat, termasuk penjualan data pribadi yang melanggar hukum
Tren Penegakan
MPS relatif tenang sepanjang 2023 dan awal 2024 ketika Dekrit sedang diterapkan, tetapi penegakan telah dipercepat sepanjang 2025 dan memasuki 2026. Penerbit asing telah dikutip dalam beberapa tindakan yang dipublikasikan, hampir selalu berpusat pada salah satu dari tiga masalah: persetujuan yang hilang atau tidak memadai, penilaian transfer lintas batas yang tidak diajukan, atau kegagalan untuk merespons permintaan subjek data dalam jendela 72 jam.
Daftar Periksa Audit untuk Lalu Lintas Vietnam pada 2026
- Spanduk CMP disajikan dalam bahasa Vietnam untuk pengguna Vietnam, dengan Terima, Tolak, dan Sesuaikan pada prominensi yang setara
- Tujuan persetujuan bersifat granular dan memisahkan pemrosesan sensitif seperti lokasi tepat
- Log persetujuan diberi cap waktu, dapat diekspor, dan disimpan selama durasi pemrosesan ditambah margin yang dapat diaudit
- Kebijakan privasi tersedia dalam bahasa Vietnam dengan pengungkapan penuh tentang pemroses, retensi, dan hak-hak
- Penilaian Dampak Transfer diajukan ke MPS untuk setiap aliran lintas batas yang sedang berlangsung
- Alur kerja permintaan subjek data dapat merespons dalam 72 jam dari ujung ke ujung
- Alur persetujuan yang sadar usia tersedia untuk audiens yang mencakup anak di bawah umur
- Daftar vendor telah ditinjau untuk kebutuhan, dengan vendor yang tidak digunakan atau berlebihan dihapus untuk mempersempit permukaan lintas batas
Prospek 2026
Trajektori regulasi Vietnam jelas. PDPD menetapkan kerangka kerja. PDPL mengeraskannya. Penegakan sedang berkembang. Bagi penerbit dan pengiklan yang telah memperlakukan Vietnam sebagai pasar yang lebih ringan, 2026 adalah tahun di mana pendekatan tersebut menjadi mahal. Kabar baiknya adalah tumpukan persetujuan bermutu GDPR modern adalah sebagian besar dari apa yang dibutuhkan — kesenjangan biasanya adalah jendela respons 72 jam, pengajuan Penilaian Dampak Transfer, dan lokalisasi berbahasa Vietnam dari CMP dan kebijakan privasi. Kesenjangan tersebut bersifat operasional, bukan arsitektural, dan dapat ditutup dalam hitungan minggu daripada kuartal. Penerbit yang menutup kesenjangan tersebut sebelum MPS tiba di pintu mereka tidak akan merasakan transisi. Mereka yang menunggu akan merasakannya.