ვიეტნამის პერსონალური მონაცემების დაცვის დეკრეტი და კანონი: Cookie-ის თანხმობისა და გამომცემლის შესაბამისობის სახელმძღვანელო 2026 წლისთვის
ვიეტნამი სამ წელზე ოდნავ მეტ ხანში გადავიდა პერსონალური მონაცემების თითქმის არანაირი ერთიანი ჩარჩოს არ ქონიდან სამხრეთ-აღმოსავლეთ აზიაში ერთ-ერთ ყველაზე მოთხოვნად თანხმობის რეჟიმამდე. პერსონალური მონაცემების დაცვის დეკრეტი (PDPD), დეკრეტი 13/2023/ND-CP, 2023 წლის ივლისში ამოქმედდა. პერსონალური მონაცემების დაცვის კანონი (PDPL), რომელიც ეროვნულმა ასამბლეამ 2025 წელს მიიღო, 2026 წლის 1 იანვარს ამოქმედდა და დეკრეტის პრინციპების უმეტესობა პირველადი კანონმდებლობის დონეზე ამაღლებს უფრო მკაცრი აღსრულებით და ფართო მოქმედების სფეროთი. ნებისმიერი გამომცემლის, რეკლამის განმთავსებლის ან პლატფორმისთვის, რომელიც ვიეტნამელი მომხმარებლების მონაცემებს ამუშავებს — მიუხედავად იმისა, ვიეტნამში ან სხვაგან არიან განლაგებული — 2026 წლის გარემო არსებითად განსხვავდება მხოლოდ ერთი წლის წინანდელი მდგომარეობისაგან. ეს სახელმძღვანელო განიხილავს კანონის ფაქტობრივ მოთხოვნებს, cookie-ს თანხმობის კონფიგურაციის წესს, სასაზღვრო გადაცემების მუშაობის პრინციპს და პრაქტიკაში აღსრულების სახეს.
ვიეტნამის მონაცემთა დაცვის კანონის სტრუქტურა 2026 წელს
ვიეტნამის რეჟიმი ახლა ორ-დონიანი სტრუქტურაა: 2023 წლის PDPD და 2026 წლის PDPL. ორივე მოქმედებს და გამომცემლებმა უნდა გაიგონ, რომელი დონე რომელ ვალდებულებას არეგულირებს.
PDPD — დეკრეტი 13/2023/ND-CP
დეკრეტმა შემოიღო ვიეტნამის პირველი ყოვლისმომცველი პერსონალური მონაცემების განმარტება, მონაცემთა სუბიექტების უფლებათა კატალოგი, თანხმობის მოთხოვნები, სასაზღვრო მონაცემთა გადაცემის წესები და ძირეული პერსონალური მონაცემების დამუშავების გავლენის შეფასების (DPIA) ვალდებულება. ის ძალაში რჩება და კვლავ არეგულირებს საოპერაციო დეტალებს.
PDPL — ძალაში 2026 წლიდან
PDPL ჩარჩოს პირველადი კანონმდებლობის დონეზე ამაღლებს უფრო მაღალი ჯარიმებითა და ფართო მოქმედების სფეროთი. ის აძლიერებს თანხმობაზე ორიენტირებულ მოდელს, ამყარებს მონაცემთა სუბიექტების უფლებებს და აფართოებს საზოგადოებრივი უსაფრთხოების სამინისტროს (MPS) სააღსრულებო უფლებამოსილებებს, რომელიც პირველადი მარეგულირებლად რჩება. PDPL ასევე შემოაქვს უფრო მკაფიო წესები მგრძნობიარე პერსონალური მონაცემებისთვის, ავტომატური გადაწყვეტილების მიღებისთვის და არასრულწლოვანთა მონაცემების დამუშავებისთვის.
ვინ ექვემდებარება რეგულაციას
კანონი მოქმედებს ვიეტნამელი პერსონალური მონაცემების ნებისმიერ დამუშავებაზე, მიუხედავად იმისა, სად არის განლაგებული დამამუშავებელი. ამერიკული გამომცემელი, რომელიც ვიეტნამელ მომხმარებლებს ლოკალიზებული საიტის მეშვეობით ემსახურება, ან პროგრამული მყიდველი, რომელიც ვიეტნამის სარეკლამო ინვენტარზე ბიდინგს ახორციელებს, მოქმედების სფეროში მოხვდება. ეს ექსტრატერიტორიული მოქმედება GDPR-ის შაბლონს ასახავს და ვიეტნამის ჩარჩოს ერთ-ერთ უფრო აგრესიულ ელემენტს წარმოადგენს.
რა ითვლება პერსონალური მონაცემებად
ვიეტნამის პერსონალური მონაცემების განმარტება ფართოა და მჭიდროდ მიჰყვება საერთაშორისო სტანდარტს. პერსონალური მონაცემები არის ნებისმიერი ინფორმაცია, რომელიც ახდენს ან შეუძლია გარკვეული ფიზიკური პირის იდენტიფიცირება, და ორ კატეგორიად იყოფა, რომლებიც cookie-ს თანხმობისთვის ძალიან მნიშვნელოვანია.
ძირითადი პერსონალური მონაცემები
ძირითადი პერსონალური მონაცემები მოიცავს სახელს, დაბადების თარიღს, საიდენტიფიკაციო ნომრებს, საკონტაქტო დეტალებს, მოწყობილობის იდენტიფიკატორებს, IP-მისამართებს და ონლაინ-საქმიანობის მონაცემებს. cookie-ების მიერ შეგროვებული მონაცემების უმეტესობა აქ ხვდება, მათ შორის სარეკლამო იდენტიფიკატორები, სესიის ID-ები და დათვალიერების ისტორიიდან შექმნილი ქცევის პროფილები.
მგრძნობიარე პერსონალური მონაცემები
მგრძნობიარე პერსონალური მონაცემები მოიცავს პოლიტიკურ და რელიგიურ შეხედულებებს, ჯანმრთელობის ინფორმაციას, გენეტიკურ მონაცემებს, ბიომეტრულ მონაცემებს, სექსუალურ ორიენტაციას, სისხლისსამართლებრივ ჩანაწერებს, ფინანსურ მონაცემებს და — კრიტიკულია — ადგილმდებარეობის მონაცემებს, რომლებიც შეიძლება გამოყენებულ იქნეს კონკრეტული ინდივიდის იდენტიფიცირებისთვის. მგრძნობიარე მონაცემები ყველაზე მკაცრ თანხმობის მოთხოვნებს ააქტიურებს, მათ შორის კონკრეტულ, ცალ-ცალკე და ზოგ შემთხვევაში წერილობით ან ელექტრონულად დადასტურებად თანხმობას.
რატომ არის ეს მნიშვნელოვანი cookie-ებისთვის
cookie, რომელიც მხოლოდ ძირეულ სესიის იდენტიფიკატორს აგროვებს, ძირეული პერსონალური მონაცემია. cookie, რომელიც ადგილმდებარეობაზე დაფუძნებული სარეკლამო აუდიტორიას კვებავს — გავრცელებულია რეტარგეტინგისა და გეოტარგეტირებულ კამპანიებში — სავარაუდოდ შეეხება მგრძნობიარე პერსონალური მონაცემებს იმ მომენტში, როდესაც ადგილმდებარეობა ხდება საიდენტიფიკაციო. CMP-ის კონფიგურაცია უნდა განასხვავებდეს ამ მიზნებს.
Cookie-ს თანხმობა ვიეტნამის კანონის მიხედვით
ვიეტნამი opt-in თანხმობის მოდელს მიჰყვება. cookie-ებისთვის, რომლებიც პერსონალურ მონაცემებს აგროვებს, შეტყობინება-და-არჩევანის სარეზერვო ვარიანტი არ არსებობს, და მოქმედი თანხმობის ზღვარი GDPR-ის სტანდარტს ჰგავს.
ოთხი თანხმობის მოთხოვნა
ვიეტნამის კანონის მიხედვით თანხმობა უნდა იყოს:
- სპეციფიკური — დაკავშირებული მკაფიოდ განსაზღვრულ დამუშავების მიზანთან, არა ზოგადი ყოვლისმომცველი თანხმობა
- ინფორმირებული — მონაცემთა სუბიექტი ესმის, რა მონაცემები მუშავდება, რატომ, ვინ იღებს და რამდენი ხნით
- ნებაყოფლობითი — წინასწარ მონიშნული ველები არ არის, სავალდებულო გამყოფი კედლები არ არის არაარსებითი დამუშავებისათვის
- გამოხატვადი და გამოტანადი — მომხმარებელს შეუძლია თანხმობა მიცეს და გამოიტანოს მკაფიო მექანიზმის მეშვეობით
როგორ გამოიყურება შესაბამისი CMP
2026 წელს ვიეტნამის ტრაფიკისთვის კონფიგურირებული CMP უნდა წარადგინოს:
- თვალსაჩინო ბანერი ნებისმიერი არაარსებითი cookie-ს ან ტრეკერის გამოყენებამდე, ვიეტნამელი მომხმარებლებისთვის ნაგულისხმევად ვიეტნამურ (Tiếng Việt) ენაზე
- ცალ-ცალკე „მიღება”, „უარყოფა” და „მორგება” ქმედებები, თანაბარი ვიზუალური გამოჩენილობით — ბნელი ნიმუშების გარეშე
- დეტალური კონტროლი სულ მცირე შემდეგი მიზნებისთვის: ანალიტიკა, რეკლამა, პერსონალიზაცია, სასაზღვრო გადაცემა და ნებისმიერი მგრძნობიარე კატეგორიის დამუშავება, როგორიცაა ზუსტი ადგილმდებარეობა
- მდგრადი და ადვილად მოსაძებნი მექანიზმი პირველი არჩევანის შემდეგ თანხმობის შეცვლის ან გამოტანის შესაძლებლობით
- ვიეტნამურ ენაზე კონფიდენციალობის პოლიტიკა დამამუშავებლების, მონაცემთა კატეგორიების, შენახვისა და მომხმარებლის უფლებების მკაფიო გამჟღავნებით
თანხმობის ჩანაწერები
დამამუშავებლებმა უნდა შეინახონ თანხმობის ჩანაწერები — ვინ დათანხმდა, როდის, რაზე, რომელი ინტერფეისის მეშვეობით. ვიეტნამის სააღსრულებო ქმედებებმა უკვე მიუთითა დაკარგული ან შეუმოწმებელი თანხმობის ჟურნალებზე, და PDPL ამ ვალდებულებას ფორმალიზებს. CMP, რომელიც არ ქმნის ექსპორტირებად, დროთა ნიშნიან თანხმობის ჟურნალებს, შეუსაბამოა.
სასაზღვრო მონაცემთა გადაცემა — ყველაზე რთული ნაწილი
ვიეტნამის სასაზღვრო გადაცემის რეჟიმი რეგიონში ერთ-ერთი ყველაზე მოთხოვნადია და ეს არის ელემენტი, რომელსაც უმეტეს უცხოელ გამომცემლებს სჭირდებათ.
გადაცემის გავლენის შეფასება
ვიეტნამის პერსონალური მონაცემების საზღვარგარეთ გადაცემამდე — რაც მოიცავს cookie-ს წარმოებული იდენტიფიკატორების გაგზავნას საზღვარგარეთულ სარეკლამო ბირჟაზე ან ანალიტიკის მომწოდებელთან — კონტროლერმა უნდა მოამზადოს გადაცემის გავლენის შეფასება. შეფასებაში უნდა იყოს დოკუმენტირებული მიზანი, მონაცემთა კატეგორიები, მიმღები ქვეყანა და მიმღები, ტექნიკური და ორგანიზაციული დაცვა და გადაცემის სამართლებრივი საფუძველი.
MPS-ში შეტანა
შეფასება დამუშავების დაწყებიდან 60 დღის განმავლობაში უნდა შეტანილ იქნეს საზოგადოებრივი უსაფრთხოების სამინისტროში. MPS-ს გააჩნია სასაზღვრო გადაცემების შეჩერების უფლებამოსილება, თუ შეფასება არაადეკვატურია ან თუ დანიშნულების იურისდიქცია არასაკმარისად ითვლება.
პრაქტიკული შედეგები გამომცემლებისთვის
ტიპური პროგრამული სარეკლამო სტეკი მომხმარებელთა მონაცემებს ათეულობით საზღვარგარეთელი მომწოდებლის მეშვეობით ახდენს მილიწამებში. ამ ნაკადების თითოეული, სტრიქტულად, ვიეტნამის პერსონალური მონაცემების სასაზღვრო გადაცემაა. 2026 წლის რეალობა ისაა, რომ უმეტეს უცხოელ გამომცემლებს ან კონსოლიდირებული შეფასებები შეაქვთ მათი მომწოდებლის მთელ სიაზე, ან ამცირებენ მომწოდებლის ნაკრებს შეფასების ტვირთის შემცირებისთვის. არც ერთი და არც მეორე არ არის მარტივი, და MPS-მა მიანიშნა, რომ 2026 წლის განმავლობაში სასაზღვრო ნაკადებზე უფრო აქტიურ აღსრულებას დაიწყებს.
მონაცემთა სუბიექტების უფლებები
PDPL კონსოლიდაციას უწევს და აძლიერებს დეკრეტის მიხედვით მინიჭებულ უფლებებს. ვიეტნამელ მონაცემთა სუბიექტებს აქვთ უფლება:
- ეცნობოთ მათი მონაცემების დამუშავების შესახებ
- გაეცნონ დამუშავებულ მონაცემებს
- შეასწორონ არაზუსტი მონაცემები
- წაშალონ მონაცემები, სადაც დამუშავება აღარ არის გამართლებული
- შეზღუდონ დამუშავება განსაზღვრულ გარემოებებში
- გამოიტანონ თანხმობა ისეთივე მარტივად, როგორც ის გაიცა
- წინ აღუდგნენ ავტომატური გადაწყვეტილების მიღებას, რომელიც მნიშვნელოვან ეფექტებს ქმნის
- საჩივარი შეიტანონ საზოგადოებრივი უსაფრთხოების სამინისტროში
პასუხის ვადები
კონტროლერები მონაცემთა სუბიექტების მოთხოვნებს უმეტეს შემთხვევაში 72 საათის განმავლობაში უნდა პასუხობდნენ — მნიშვნელოვნად მჭიდრო ვინდოუ, ვიდრე GDPR-ის 30 დღის სტანდარტი. ამ ვადის ოპერაციული მზადყოფნა უცხოელი გამომცემლების ყველაზე გავრცელებული შესაბამისობის ხარვეზია და საჭიროებს ინსტრუმენტებს და სახელმძღვანელო წიგნებს, რომლებიც სხვა რეგიონებში ჩვეულებრივზე სწრაფია.
სპეციალური წესები არასრულწლოვანებისთვის
PDPL შემოაქვს სპეციალური დაცვა არასრულწლოვანთა პერსონალური მონაცემების დამუშავებისთვის. 15 წლამდე პირის მონაცემების დამუშავებისთვის საჭირო თანხმობა მშობელმა ან კანონიერმა მეურვემ უნდა მოგვცეს. 15-დან 18 წლამდე პირთა მონაცემების დამუშავება საჭიროებს თავად არასრულწლოვნის თანხმობას, მაგრამ გამჭვირვალობისა და ზრუნვის გაძლიერებული მოვალეობებით. cookie-ს თანხმობის UI-ები საიტებზე, რომლებიც 18 წლამდე ასაკის მნიშვნელოვან აუდიტორიას იზიდავს, საჭიროებს ასაკის მიმართ სენსიტიურ ნაკადებს, რომლებიც ცოტა უცხოელ გამომცემელს ნაგულისხმევად აქვს შექმნილი.
სანქციები და აღსრულება
PDPL ადმინისტრაციული ჯარიმების ჭერს მნიშვნელოვნად ამაღლებს. სანქციები მოიცავს:
- ჯარიმები გლობალური წლიური შემოსავლის 5 პროცენტამდე მგრძნობიარე პერსონალური მონაცემების ჩართვით ან სისტემატური ჩავარდნების გამო მძიმე დარღვევებისთვის
- დამუშავების საქმიანობის შეჩერება
- სავალდებულო სასაზღვრო გადაცემების შეჩერება
- დარღვევის საჯარო გამჟღავნება
- სისხლისსამართლებრივი პასუხისმგებლობა უხეში შემთხვევებისთვის, მათ შორის პერსონალური მონაცემების უკანონო გაყიდვა
აღსრულების ტენდენცია
MPS შედარებით ჩუმი იყო 2023 წელსა და 2024 წლის დასაწყისში, სანამ დეკრეტი ამოქმედდებოდა, მაგრამ აღსრულება 2025 წელს გაძლიერდა და 2026 წელს გრძელდება. უცხოელი გამომცემლები რამდენიმე საჯაროდ გაჟღერებულ ქმედებაში იქნა ნახსენები, თითქმის ყოველთვის სამი პრობლემის ერთ-ერთთან კავშირში: დაკარგული ან არაადეკვატური თანხმობა, შეუტანი სასაზღვრო გადაცემის შეფასებები, ან 72-საათიანი ვინდოუში მონაცემთა სუბიექტების მოთხოვნებზე პასუხის გაცემის ვალდებულების შეუსრულებლობა.
ვიეტნამის ტრაფიკის სხვადასხვა შემოწმების ჩამონათვალი 2026 წლისთვის
- CMP ბანერი ვიეტნამელი მომხმარებლებისთვის ვიეტნამურ ენაზე მოიწოდება, „მიღება”, „უარყოფა” და „მორგება” თანაბარი გამოჩენილობით
- თანხმობის მიზნები დეტალურია და გამოყოფს მგრძნობიარე დამუშავებას, როგორიცაა ზუსტი ადგილმდებარეობა
- თანხმობის ჟურნალები დროთა ნიშნიანია, ექსპორტირებადი და შენახულია დამუშავების ხანგრძლივობის განმავლობაში პლიუს სამოდელე მარჟა
- კონფიდენციალობის პოლიტიკა ვიეტნამურ ენაზეა ხელმისაწვდომი დამამუშავებლების, შენახვისა და უფლებების სრული გამჟღავნებით
- გადაცემის გავლენის შეფასება MPS-ში შეტანილია ყველა მიმდინარე სასაზღვრო ნაკადისთვის
- მონაცემთა სუბიექტის მოთხოვნის სამუშაო ნაკადი შეუძლია 72 საათის განმავლობაში პასუხი გასცეს ბოლოდან ბოლომდე
- ასაკის მიმართ სენსიტიური თანხმობის ნაკადი გამოიყენება არასრულწლოვანების მოიცავი აუდიტორიებისთვის
- მომწოდებლის სია სავალდებულობის მიხედვით გადასინჯულია, გამოუყენებელი ან ზედმეტი მომწოდებლები ამოღებულია სასაზღვრო ზედაპირის შემცირების მიზნით
2026 წლის პერსპექტივა
ვიეტნამის სარეგულაციო ტრაექტორია მკაფიოა. PDPD-მა ჩარჩო ჩამოაყალიბა. PDPL მას ამტკიცებს. აღსრულება ფართოვდება. გამომცემლებისა და რეკლამის განმთავსებლებისთვის, რომლებიც ვიეტნამს უფრო „მსუბუქ” ბაზრად განიხილავდნენ, 2026 არის წელი, როდესაც ეს მიდგომა ძვირი უჯდება. კარგი ამბავია, რომ თანამედროვე GDPR-დონის თანხმობის სტეკი საჭიროების უმეტეს ნაწილს შეადგენს — ხარვეზები, ჩვეულებრივ, 72-საათიანი პასუხის ვინდოუა, გადაცემის გავლენის შეფასების შეტანა და CMP-სა და კონფიდენციალობის პოლიტიკის ვიეტნამური ლოკალიზაცია. ეს ხარვეზები ოპერაციულია, არა არქიტექტურული, და შეიძლება კვარტალების ნაცვლად კვირებში ლიკვიდირებულ იქნეს. გამომცემლები, რომლებიც MPS-ის კართან მოახლოებამდე ახდენენ ამ ხარვეზების ლიკვიდაციას, გარდამავალ პროცესს ვერ შეამჩნევენ. ის, ვინც ლოდინობს, შეამჩნევს.