Вьетнамның жеке деректерді қорғау жарлығы мен заңы: 2026 жылға арналған cookie келісімі мен баспагер сәйкестігі бойынша нұсқаулық
Вьетнам үш жылдан сәл астам уақыт ішінде жеке деректер бойынша бірыңғай негіз болмаудан Оңтүстік-Шығыс Азиядағы ең талапты келісім режимдерінің біріне айналды. Жеке деректерді қорғау жарлығы (PDPD), 13/2023/ND-CP жарлығы, 2023 жылдың шілдесінде күшіне енді. Жеке деректерді қорғау туралы заң (PDPL), 2025 жылы Ұлттық ассамблея қабылдаған, 2026 жылдың 1 қаңтарынан күшіне енді және жарлықтың принциптерінің басым бөлігін күшейтілген орындау мен кеңейтілген ауқымы бар бастапқы заңнамаға айналдырды. Вьетнам пайдаланушыларының деректерін өңдейтін кез келген баспагер, жарнама беруші немесе платформа үшін — Вьетнамда немесе басқа жерде орналасқанына қарамастан — 2026 жылғы орта бір жыл бұрынғыдан мүлдем өзгеше. Бұл нұсқаулық заңның нақты не талап ететінін, cookie келісімін қалай конфигурациялау керектігін, шекараларалық тасымалдаулардың қалай жұмыс істейтінін және орындаудың іс жүзінде қалай көрінетінін талдайды.
2026 жылғы Вьетнам деректерді қорғау заңының құрылымы
Вьетнамның режимі қазір екі деңгейлі жүйе: 2023 жылғы PDPD және 2026 жылғы PDPL. Екеуі де қолданыста, ал баспагерлер қай деңгей қай міндетті реттейтінін түсінуі керек.
PDPD — 13/2023/ND-CP жарлығы
Жарлық Вьетнамның бірінші жан-жақты жеке деректер анықтамасын, деректер субъектілерінің құқықтар каталогын, келісімге қатысты талаптарды, шекараларалық деректер тасымалдауы ережелерін және негізгі Жеке деректерді өңдеуге әсерін бағалау (DPIA) міндетін енгізді. Ол қолданыста қалады және операциялық мәліметтерді реттеуді жалғастырады.
PDPL — 2026 жылдан бастап қолданыста
PDPL жоғарырақ санкциялар мен кеңейтілген ауқымы бар бастапқы заңнамаға негіздерді жеткізеді. Ол келісімге бағытталған үлгіні күшейтеді, деректер субъектілерінің құқықтарын нығайтады және негізгі реттеуші болып қалатын Қоғамдық қауіпсіздік министрлігінің (MPS) орындау өкілеттіктерін кеңейтеді. PDPL сонымен қатар сезімтал жеке деректерге, автоматтандырылған шешім қабылдауға және кәмелетке толмағандардың деректерін өңдеуге арналған неғұрлым айқын ережелерді енгізеді.
Кімдер реттелуге жатады
Заң өңдеушінің орналасқан жеріне қарамастан Вьетнам жеке деректерінің кез келген өңделуіне қолданылады. Жергілікті сайт арқылы вьетнам пайдаланушыларына қызмет көрсететін АҚШ-та орналасқан баспагер немесе вьетнам инвентарын бидинг жасайтын бағдарламалық сатып алушы ауқымда. Бұл экстерриториялық қолдану GDPR үлгісін қайталайды және вьетнамдық негіздің неғұрлым агрессивті элементтерінің бірі болып табылады.
Не жеке деректер ретінде есептеледі
Вьетнамның жеке деректер анықтамасы кең және халықаралық стандартты мүлтіксіз сақтайды. Жеке деректер — нақты жеке тұлғаны анықтайтын немесе анықтай алатын кез келген ақпарат, және cookie келісімі үшін маңызды екі санатқа бөлінеді.
Негізгі жеке деректер
Негізгі жеке деректерге аты-жөні, туған күні, сәйкестендіру нөмірлері, байланыс деректемелері, құрылғы идентификаторлары, IP мекенжайлары және онлайн-белсенділік деректері жатады. Cookie жинайтын деректердің басым бөлігі мұнда жатады, оның ішінде жарнамалық идентификаторлар, сессия идентификаторлары және шолу тарихынан жасалған мінез-құлық профильдері.
Сезімтал жеке деректер
Сезімтал жеке деректерге саяси және діни көзқарастар, денсаулық туралы ақпарат, генетикалық деректер, биометриялық деректер, жыныстық бағдар, қылмыстық жазбалар, қаржылық деректер және — сыни тұрғыдан — нақты жеке тұлғаны анықтау үшін пайдаланылатын орналасу деректері жатады. Сезімтал деректер ең қатаң келісім талаптарын іске қосады, оның ішінде нақты, бөлек және кейбір жағдайларда жазбаша немесе электронды түрде расталатын келісімді.
Бұл cookie үшін неге маңызды
Тек негізгі сессия идентификаторын жинайтын cookie — негізгі жеке деректер. Орналасуға негізделген жарнама аудиториясын қоректендіретін cookie — ретаргетинг пен геотаргетингтік науқандарда жиі кездеседі — орналасу идентификациялық болған кезде сезімтал жеке деректерге тиіп жатуы мүмкін. CMP конфигурациясы осы мақсаттарды бөлуі тиіс.
Вьетнам заңы бойынша cookie келісімі
Вьетнам opt-in келісім үлгісін ұстанады. Жеке деректерді жинайтын cookie үшін хабарлама және таңдау резервтік нұсқасы жоқ, ал жарамды келісімнің деңгейі GDPR стандартына ұқсас.
Төрт келісім талабы
Вьетнам заңы бойынша келісім:
- Нақты болуы керек — жалпы кешенді келісімге емес, нақты анықталған өңдеу мақсатына байланысты
- Ақпараттандырылған болуы керек — деректер субъектісі қандай деректер өңделетінін, неге, кім алатынын және қанша уақытқа түсінеді
- Ерікті болуы керек — алдын ала белгіленген жолақшалар жоқ, маңызды емес өңдеу үшін келісу немесе кету қабырғалары жоқ
- Білдіре алатын және қайтара алатын болуы керек — пайдаланушы нақты механизм арқылы келісімді бере және қайтара алады
Сәйкес CMP қандай болу керек
2026 жылы Вьетнам трафигіне конфигурацияланған CMP мыналарды ұсынуы керек:
- Маңызды емес cookie немесе трекер іске қосылмас бұрын, вьетнамдық пайдаланушылар үшін әдепкі бойынша вьетнам тілінде (Tiếng Việt) көрінетін баннер
- Тең визуалдық ерекшелігі бар бөлек Қабылдау, Бас тарту және Реттеу әрекеттері — қараңғы үлгілерсіз
- Кем дегенде мынадай мақсаттарға арналған егжей-тегжейлі басқару элементтері: аналитика, жарнама, жекелендіру, шекараларалық тасымалдау және нақты орналасу сияқты сезімтал санат өңдеуі
- Алғашқы таңдаудан кейін келісімді өзгертуге немесе қайтаруға арналған тұрақты, оңай табылатын механизм
- Өңдеушілерді, деректер санаттарын, сақтауды және пайдаланушы құқықтарын нақты ашатын вьетнам тіліндегі құпиялылық саясаты
Келісім жазбалары
Өңдеушілер келісімнің жазбаларын жүргізуі тиіс — кім келісті, қашан, нені, қандай интерфейс арқылы. Вьетнамның орындау шаралары жоқ немесе расталмайтын келісім журналдарына сілтеме жасады, ал PDPL осы міндетті ресімдейді. Экспортталатын, уақыт белгісі бар келісім журналдарын жасамайтын CMP сәйкес емес.
Шекараларалық деректер тасымалдауы — Ең қиын бөлік
Вьетнамның шекараларалық тасымалдау режимі аймақтағы ең талапты режимдердің бірі болып табылады және шетелдік баспагерлердің басым бөлігі күреседі.
Тасымалдауға әсерді бағалау
Вьетнам жеке деректерін шетелге тасымалдамас бұрын — бұл cookie-ден алынған идентификаторларды шетелдік жарнама биржасына немесе аналитика жеткізушісіне жіберуді қамтиды — бақылаушы Тасымалдауға әсерді бағалауды дайындауы тиіс. Бағалауда мақсат, деректер санаттары, қабылдаушы ел мен қабылдаушы, техникалық және ұйымдастырушылық қорғаулар және тасымалдаудың заңи негізі құжатталуы тиіс.
MPS-ке тапсыру
Бағалау өңдеу басталғаннан кейін 60 күн ішінде Қоғамдық қауіпсіздік министрлігіне тапсырылуы тиіс. MPS бағалау жеткіліксіз болса немесе тағайындалған юрисдикция жеткіліксіз деп есептелсе, шекараларалық тасымалдаулардың алдын алу өкілеттігіне ие.
Баспагерлер үшін практикалық салдары
Әдеттегі бағдарламалық жарнама стегі пайдаланушы деректерін миллисекундтарда ондаған шетелдік жеткізушілер арқылы маршруттайды. Сол ағындардың әрқайсысы, қатаң айтқанда, Вьетнам жеке деректерінің шекараларалық тасымалдауы болып табылады. 2026 жылғы шынайылық — шетелдік баспагерлердің басым бөлігі бүкіл жеткізуші тізімі бойынша шоғырландырылған бағалаулар тапсыруда немесе бағалау ауыртпалығын азайту үшін жеткізуші жиынын қысқартуда. Екеуі де маңызды емес, ал MPS 2026 жылы шекараларалық ағындар бойынша неғұрлым белсенді орындауды бастайтынын сигнал берді.
Деректер субъектілерінің құқықтары
PDPL жарлық бойынша берілген құқықтарды шоғырландырады және нығайтады. Вьетнамдық деректер субъектілерінің мынадай құқықтары бар:
- Деректерінің өңделуі туралы хабардар ету
- Өңделетін деректерге қол жеткізу
- Қате деректерді түзету
- Өңдеу артық негізделмеген жерлерде деректерді жою
- Белгіленген жағдайларда өңдеуді шектеу
- Берілгендей оңай келісімді кері алу
- Айтарлықтай салдарлар тудыратын автоматтандырылған шешім қабылдауға қарсылық білдіру
- Қоғамдық қауіпсіздік министрлігіне шағым беру
Жауап беру мерзімдері
Бақылаушылар деректер субъектілерінің өтінімдеріне көп жағдайда 72 сағат ішінде жауап беруі тиіс — GDPR-дің 30 күндік стандартынан айтарлықтай тар терезе. Осы мерзімге операциялық дайындық шетелдік баспагерлер үшін ең жиі кездесетін сәйкессіздік олқылықтарының бірі болып табылады және басқа аймақтарда әдеттегіден жылдамырақ аспаптар мен нұсқаулықтарды қажет етеді.
Кәмелетке толмағандарға арналған арнайы ережелер
PDPL кәмелетке толмағандардың жеке деректерін өңдеуге арналған арнайы қорғауды енгізеді. 15 жасқа толмаған адамның деректерін өңдеуге арналған келісімді ата-ана немесе заңды қамқоршы беруі тиіс. 15-ден 18 жасқа дейінгі адамдардың деректерін өңдеу кәмелетке толмағанның өзінің келісімін талап етеді, бірақ мөлдірлік пен мұқияттылықтың жоғарылатылған міндеттерімен. 18 жасқа толмаған елеулі аудиторияны тартатын сайттардағы cookie келісімі интерфейстерінде жасқа сезімтал ағындар қажет, оларды шетелдік баспагерлердің аздап бөлігі әдепкі бойынша жасаған.
Санкциялар және орындау
PDPL әкімшілік айыппұлдардың шегін айтарлықтай арттырады. Санкциялар мыналарды қамтиды:
- Сезімтал жеке деректерді немесе жүйелі сәтсіздіктерді қамтитын ауыр бұзушылықтар үшін жылдық жаһандық кірістің 5 пайызына дейінгі айыппұлдар
- Өңдеу қызметінің тоқтатылуы
- Шекараларалық тасымалдаулардың міндетті тоқтатылуы
- Бұзушылықтың жалпыға жарияланымы
- Жеке деректерді заңсыз сатуды қоса алғандағы ауыр жағдайлар үшін қылмыстық жауапкершілік
Орындау тенденциясы
MPS жарлық қалыптасып жатқан 2023 жылы және 2024 жылдың басында салыстырмалы түрде тыныш болды, бірақ орындау 2025 жылы және 2026 жылға өте жеделдеді. Шетелдік баспагерлер бірнеше жарияланған іс-шараларда аталды, дерлік әрқашан үш мәселенің бірін орталыққа ала отырып: жоқ немесе жеткіліксіз келісім, тапсырылмаған шекараларалық тасымалдаулар бағалаулары немесе деректер субъектілерінің өтінімдеріне 72 сағаттық терезе ішінде жауап беруге сәтсіздік.
2026 жылғы Вьетнам трафигіне арналған аудит тізімі
- CMP баннері Вьетнам пайдаланушылары үшін вьетнам тілінде берілетін, Қабылдау, Бас тарту және Реттеу тең ерекшелікте
- Келісім мақсаттары егжей-тегжейлі және нақты орналасу сияқты сезімтал өңдеуді бөледі
- Келісім журналдары уақыт белгісі бар, экспортталатын және өңдеу ұзақтығы плюс тексерілетін жиек үшін сақталған
- Құпиялылық саясаты вьетнам тілінде өңдеушілерді, сақтауды және құқықтарды толық ашып, қолжетімді
- Тасымалдауға әсерді бағалау барлық жалғасушы шекараларалық ағын үшін MPS-ке тапсырылған
- Деректер субъектісінің сұрау жұмыс ағыны бастан аяқ 72 сағат ішінде жауап бере алады
- Кәмелетке толмағандарды қамтитын аудиториялар үшін жасқа сезімтал келісім ағыны орнында
- Жеткізуші тізімі қажеттілік бойынша қарастырылып, шекараларалық бет аумағын азайту үшін пайдаланылмаған немесе артық жеткізушілер жойылды
2026 жылғы болжам
Вьетнамның реттеушілік траекториясы айқын. PDPD негізді белгіледі. PDPL оны нығайтады. Орындау кеңейуде. Вьетнамды жеңіл рынок ретінде қарастырған баспагерлер мен жарнама берушілер үшін 2026 — бұл тәсілдің қымбатқа түсетін жылы. Жақсы жаңалық — заманауи GDPR деңгейіндегі келісім стегі қажеттіліктің басым бөлігі; олқылықтар, әдетте, 72 сағаттық жауап терезесі, Тасымалдауға әсерді бағалаулары тапсырулары және CMP пен құпиялылық саясатының вьетнамдық оқшаулауы. Бұл олқылықтар операциялық, сәулеттік емес, оларды тоқсандар емес, апталар ішінде жабуға болады. MPS есігіне келгенше оларды жабатын баспагерлер ауысуды байқамайды. Күтетіндер байқайды.