Uppbygging víetnömskra persónuverndarlaga árið 2026

Kerfi Víetnam er nú tvílagsstaflinn: PDPD frá 2023 og PDPL frá 2026. Bæði eru í gildi og útgefendur þurfa að skilja hvaða lag stjórnar hvaða skyldunni.

PDPD — Tilskipun 13/2023/ND-CP

Tilskipunin kynnti fyrstu heildstæðu persónugagnaskilgreiningu Víetnam, skrá yfir réttindi skráðra einstaklinga, kröfur um samþykki, reglur um þverþjóðlegar gagnaflutningar og grundvallarskylduna um mat á áhrifum persónuuppljóstrana (DPIA). Hún er áfram í gildi og stýrir áfram rekstrarlegum smáatriðum.

PDPL — Í gildi frá 2026

PDPL hækkar ramma yfir í aðallagasetningar með hærri viðurlögum og víðara gildissviði. Það styrkir samþykki-miðlæga líkanið, styrkir réttindi skráðra einstaklinga og víkkar framfylgnivald Ríkislögreglustjórans (MPS), sem er áfram aðaleftirlitsmaður. PDPL kynnir einnig skýrari reglur um viðkvæm persónuupplýsingar, sjálfvirka ákvarðanatöku og meðferð gagna barna.

Hverjir eru undir regluverki

Lögin gilda um hvers konar meðferð víetnömskra persónuupplýsinga, óháð staðsetningu vinnslunnar. Bandarískur útgefandi sem þjónar víetnömskum notendum í gegnum staðfært vefsvæði eða forritunarlegur kaupandi sem bauð á víetnömsk birgðir er innan gildissviðsins. Þetta ytri gildissvið speglar GDPR mynsturið og er eitt af þróttmeiri þáttum víetnömska ramma.

Hvað telst sem persónuupplýsingar

Víetnömsk skilgreining á persónuupplýsingum er víð og fylgir alþjóðlegum stöðlum náið. Persónuupplýsingar eru hvaða upplýsingar sem er sem auðkenna eða geta auðkent tiltekinn náttúrulegan einstakling og skiptast í tvær flokkar sem skipta miklu máli fyrir samþykki vafrakaka.

Grunnar persónuupplýsingar

Grunnar persónuupplýsingar fela í sér nafn, fæðingardag, auðkennisnúmer, tengiliðaupplýsingar, tækjauðkenni, IP-tölur og gögn um netstarfsemi. Flest gögn sem vafrakökur safna falla hér undir, þar á meðal auglýsingauðkenni, setningauðkenni og hegðunarsnið byggð á vafsögusögu.

Viðkvæmar persónuupplýsingar

Viðkvæmar persónuupplýsingar fela í sér pólitískar og trúarlegar skoðanir, heilsufarsupplýsingar, erfðagögn, lífríðisfræðileg gögn, kynhneigð, sakaskrár, fjárhagsgögn og — sem er mikilvægt — staðsetningargögn sem hægt er að nota til að auðkenna tiltekinn einstakling. Viðkvæm gögn kveikja á strangasta samþykkiskilyrðinu, þar á meðal sértækt, aðskilið og í sumum tilvikum skriflegt eða rafrænt staðfestanlegt samþykki.

Af hverju þetta skiptir máli fyrir vafrakökur

Vafrakaka sem safnar aðeins grunnsetninguauðkenni eru grunnar persónuupplýsingar. Vafrakaka sem fæðir staðsetningarmiðaðar auglýsingahópa — algengar í endurmiðlun og landfræðilega miðuðum herferðum — er líklega að snerta viðkvæmar persónuupplýsingar á þeirri stundu sem staðsetning verður auðkenning. CMP uppsetningin verður að aðskilja þessi markmið.

Samþykki vafrakaka samkvæmt víetnömskum lögum

Víetnam fylgir opt-in samþykkislíkaninu. Það er engin tilkynning-og-val varamöguleiki fyrir vafrakökur sem safna persónuupplýsingum, og kröfurnar um gilt samþykki eru svipaðar GDPR staðlinum.

Fjórar samþykkiskröfurnar

Samþykki samkvæmt víetnömskum lögum verður að vera:

• Sértækt — bundið við skýrt auðkennt vinnslumarkmið, ekki almennt yfirgripsmikið samþykki
• Upplýst — skráður einstaklingur skilur hvaða gögn eru unnin, hvers vegna, hverjir fá þær og hve lengi
• Frjálst — engar fyrirfram hakkaðar reiti, engar samþykki-eða-fara veggar fyrir óþarfar vinnslur
• Gefanlegt og afturkallanlegt — notandinn getur gefið og afturkallað samþykki í gegnum skýran búnað

Hvernig lögfylgt CMP lítur út

CMP stillt fyrir víetnömska umferð árið 2026 ætti að kynna:

• Sýnilegt borða áður en nokkur óþörf vafrakaka eða rekjari keyrir, á víetnömsku (Tiếng Việt) að sjálfgefnu fyrir víetnömska notendur
• Aðskildar aðgerðir Samþykkja, Hafna og Sérsníða, með jafnt sjónrænt forgang — engir dökku mynstrar
• Nákvæmar stjórnstöðvar fyrir að minnsta kosti eftirfarandi tilgangi: greiningu, auglýsingar, persónumiðlun, þverþjóðlegar flutningar og hvers kyns viðkvæmar flokkavinnslu eins og nákvæma staðsetningu
• Varanlegur, auðfundinn búnaður til að breyta eða afturkalla samþykki eftir upphafsvalið
• Persónuverndarstefna á víetnömsku með skýrum upplýsingum um vinnslumenn, gagnaflokkka, varðveislu og réttindi notandans

Samþykki skrár

Vinnslumenn verða að halda skrár um samþykki — hverjir samþykktu, hvenær, hverju, í gegnum hvaða viðmót. Framfylgniráðstafanir Víetnam hafa þegar vísað til vantar eða ósannanlegar samþykkisskrár og PDPL formfestir þessa skyldu. CMP sem framleiðir ekki útflutningshæfar, tímastimplar samþykkisskrár er ekki lögfylgt.

Þverþjóðlegar gagnaflutningar — Erfiðasta hlutinn

Þverþjóðlegt flutningskerfi Víetnam er eitt af strangestu á svæðinu og er þátturinn sem flestir erlendir útgefendur eiga í erfiðleikum með.

Mat á áhrifum flutnings

Áður en víetnömskum persónuupplýsingum er flutt til útlanda — sem felur í sér sendingu vafrakaka-afleiddra auðkenna til erlends auglýsingamarkaðar eða greinandabirgis — verður stýrandi að búa til mat á áhrifum flutnings. Matið verður að skjalfesta tilgang, gagnaflokkka, móttakendamann og móttakanda, tæknilegar og skipulagslegar verndarráðstafanir og lagagrundvöll flutningsins.

Skil til MPS

Matið verður að skila til Ríkislögreglustjórans innan 60 daga frá upphafi vinnslunnar. MPS hefur vald til að fresta þverþjóðlegum flutningum ef matið er ófullnægjandi eða ef ákvörðunarlögsaga er talin ófullnægjandi.

Hagnýt afleiðing fyrir útgefendur

Dæmigerð forritunarleg auglýsingastafla leiðir notendagögn í gegnum tugi erlendra birgja á millisekúndum. Sérhvert þessara straumanna er, í strangum skilningi, þverþjóðlegur flutningur víetnömskra persónuupplýsinga. Veruleiki 2026 er sá að flestir erlendir útgefendur eru annaðhvort að leggja fram sameinuð mat fyrir alla birgjalista sína eða eru að styttni birgjasetið sitt til að draga úr matsálaginu. Hvorugt er léttvægt og MPS hefur gefið til kynna að það muni hefja virkari framfylgni á þverþjóðlegum straumum á árinu 2026.

Réttindi skráðra einstaklinga

PDPL sameinar og styrkir réttindin sem veitt eru samkvæmt tilskipuninni. Víetnömskir skráðir einstaklingar hafa rétt til að:

• Vera upplýstir um vinnslu gagna sinna
• Fá aðgang að gögnum sem eru unnin
• Leiðrétta ónákvæm gögn
• Eyða gögnum þar sem vinnsla er ekki lengur réttlætt
• Takmarka vinnslu við tilgreindar aðstæður
• Afturkalla samþykki eins auðveldlega og það var gefið
• Ganga gegn sjálfvirkri ákvarðanatöku sem hefur veruleg áhrif
• Kvarta til Ríkislögreglustjórans

Svartímar

Stýrandi verður að svara beiðnum skráðra einstaklinga innan 72 klukkustunda í flestum tilvikum — verulega þrengra glugga en 30 daga staðall GDPR. Rekstrarlegar undirbúningur fyrir þennan tímaramm er eitt af algengasta samræmisgabba erlendra útgefenda og krefst verkfæra og runbóka sem eru hraðvirkari en það sem er dæmigert á öðrum svæðum.

Sérreglur fyrir börn

PDPL kynnir sérstaka vernd við vinnslu persónuupplýsinga barna. Samþykki fyrir vinnslu gagna tilheyrandi einstaklingi yngri en 15 ára verður að vera gefið af foreldri eða löglegum forráðamanni. Vinnsla gagna þeirra sem eru á aldrinum 15 til 18 ára krefst eigin samþykki barnsins, en með auknum skyldum um gagnsæi og umhyggju. Samþykki vafrakaka notendaviðmót á vefsvæðum sem laða að verulega undir 18 ára markhópa þarfnast aldursvitundarlegra flæðis, sem fáir erlendir útgefendur hafa byggt upp sjálfgefið.

Viðurlög og framfylgni

PDPL hækkar þak á stjórnsýslufyrirætlan verulega. Viðurlög fela í sér:

• Sektir allt að 5 prósent af árlegum heimstekjum fyrir alvarlegar brot sem fela í sér viðkvæmar persónuupplýsingar eða kerfisbundnar bilanir
• Frestun vinnslustarfsemi
• Skylduleg stöðvun þverþjóðlegra flutningar
• Opinber birting brotsins
• Refsivarsla fyrir gróf tilvik, þar á meðal ólöglegar sölu persónuupplýsinga

Framfylgnið stefna

MPS var tiltölulega hljóður á árinu 2023 og snemma árs 2024 þegar tilskipunin var að festa sig í sessi, en framfylgni hefur hraðað á árinu 2025 og inn í 2026. Erlendir útgefendur hafa verið vitnir í nokkrar birtar aðgerðir, næstum alltaf miðaðar við eitt af þremur vandamálum: vantandi eða ófullnægjandi samþykki, óskil þverþjóðlegs flutningsmat, eða bilun til að svara beiðnum skráðra einstaklinga innan 72 klukkustunda gluggans.

Endurskoðunarlisti fyrir víetnömska umferð árið 2026

• CMP borðinn er þjónaður á víetnömsku fyrir víetnömska notendur, með Samþykkja, Hafna og Sérsníða jafnt áberandi
• Samþykki markmið eru nákvæm og aðskilja viðkvæmar vinnslur eins og nákvæma staðsetningu
• Samþykki skrár eru tímastimplaðar, útflutningshæfar og geymdar á meðan vinnsla stendur auk rekjanlegs margins
• Persónuverndarstefna er tiltæk á víetnömsku með fullnægjandi upplýsingum um vinnslumenn, varðveislu og réttindi
• Mat á áhrifum flutnings hefur verið skilað til MPS fyrir hvert þverþjóðlegt straumflæði sem er í gangi
• Verkflæði beiðni skráðs einstaklings getur svarað innan 72 klukkustunda frá enda til enda
• Aldursvitundarleg samþykkisflæði eru til staðar fyrir markhópa sem fela í sér börn
• Birgjalisti hefur verið farinn yfir fyrir nauðsyn, með ónotaðar eða ofauknar birgjar fjarlægðar til að draga saman þverþjóðlegt yfirborðssvæði

Horfur 2026

Reglugerðarlegt braut Víetnam er skýr. PDPD setti ramma. PDPL harðnar hann. Framfylgni er að stækka. Fyrir útgefendur og auglýsendur sem hafa litið á Víetnam sem léttara markaðinn er 2026 árið þar sem þessi nálgun verður dýr. Góðu fréttirnar eru þær að nútímalegur GDPR-hliðstæður samþykki-stafli er megnið af því sem þarf — eyðurnar eru venjulega 72 klukkustunda svarglugginn, mat á áhrifum flutningsskila og víetnömsk staðfærsla CMP og persónuverndarstefnu. Þessar eyður eru rekstrarlegar, ekki uppbyggingarlegar, og hægt er að loka þeim á vikum frekar en ársfjórðungum. Útgefendurnir sem loka þeim áður en MPS kemur að dyrunum munu ekki taka eftir umbreytingunni. Þeir sem bíða munu gera það.