Vietnamo duomenų apsaugos teisės struktūra 2026 m.

Vietnamo sistema dabar yra dviejų lygmenų struktūra: 2023 m. PDPD ir 2026 m. PDPL. Abu galioja, o leidėjai turi suprasti, kuris lygmuo reglamentuoja kurią pareigą.

PDPD — Dekretas 13/2023/ND-CP

Dekretas įvedė pirmąjį išsamų asmens duomenų apibrėžimą Vietname, duomenų subjektų teisių katalogą, sutikimo reikalavimus, tarpvalstybinio duomenų perdavimo taisykles ir pagrindinę Asmens duomenų tvarkymo poveikio vertinimo (DPIA) pareigą. Jis lieka galioti ir toliau reglamentuoja veiklos detales.

PDPL — Galioja nuo 2026 m.

PDPL pakelia sistemą į pirminę teisę su didesnėmis sankcijomis ir platesne apimtimi. Jis sustiprina sutikimu grįstą modelį, stiprina duomenų subjektų teises ir plečia Viešojo saugumo ministerijos (MPS), kuri lieka pagrindine reguliavimo institucija, vykdymo įgaliojimus. PDPL taip pat įveda aiškesnes taisykles jautriems asmens duomenims, automatizuotam sprendimų priėmimui ir nepilnamečių duomenų tvarkymui.

Kas yra reguliuojamas

Įstatymas taikomas bet kokiam Vietnamo asmens duomenų tvarkymui, nepriklausomai nuo to, kur yra tvarkytojas. JAV veikiantis leidėjas, aptarnaujantis Vietnamo vartotojus per lokalizuotą svetainę, arba programatinis pirkėjas, dalyvaujantis aukcione dėl Vietnamo inventoriaus, patenka į taikymo sritį. Šis eksteritorinis pasiekimas atspindi GDPR modelį ir yra vienas iš agresyvesnių Vietnamo sistemos elementų.

Kas laikoma asmens duomenimis

Vietnamo asmens duomenų apibrėžimas yra platus ir glaudžiai atitinka tarptautinį standartą. Asmens duomenys — tai bet kokia informacija, identifikuojanti ar galinti identifikuoti konkretų fizinį asmenį, ir ji skirstoma į dvi kategorijas, kurios yra labai svarbios slapukų sutikimui.

Pagrindiniai asmens duomenys

Pagrindiniai asmens duomenys apima vardą, gimimo datą, tapatybės numerius, kontaktinę informaciją, įrenginio identifikatorius, IP adresus ir internetinės veiklos duomenis. Dauguma slapukų surinktų duomenų patenka čia, įskaitant reklamos identifikatorius, sesijos ID ir elgsenos profilius, sukurtus iš naršymo istorijos.

Jautrūs asmens duomenys

Jautrūs asmens duomenys apima politines ir religines pažiūras, sveikatos informaciją, genetinius duomenis, biometrinius duomenis, seksualinę orientaciją, teistumą, finansinius duomenis ir — svarbiausia — buvimo vietos duomenis, kuriuos galima naudoti konkretaus asmens identifikavimui. Jautrūs duomenys sukelia griežčiausius sutikimo reikalavimus, įskaitant konkretų, atskirą ir kai kuriais atvejais rašytinį arba elektroniškai patikrinamu sutikimą.

Kodėl tai svarbu slapukams

Slapukas, renkantis tik pagrindinį sesijos identifikatorių, yra pagrindiniai asmens duomenys. Slapukas, tiekiantis vietos pagrindu sukurtą reklamos auditoriją — paplitęs retargeting ir geografiškai nukreiptose kampanijose — greičiausiai liečia jautrius asmens duomenis tą akimirką, kai vieta tampa identifikuojama. CMP konfigūracija turi atskirti šiuos tikslus.

Slapukų sutikimas pagal Vietnamo teisę

Vietnamas laikosi opt-in sutikimo modelio. Nėra pranešimo ir pasirinkimo atsarginės galimybės slapukams, renkamtiems asmens duomenis, o galiojančio sutikimo kartelė yra panaši į GDPR standartą.

Keturi sutikimo reikalavimai

Sutikimas pagal Vietnamo teisę turi būti:

• Konkretus — susietas su aiškiai identifikuotu tvarkymo tikslu, o ne bendru visaapimančiu sutikimu
• Informuotas — duomenų subjektas supranta, kokie duomenys tvarkomi, kodėl, kas juos gauna ir kiek laiko
• Savanoriškas — nėra iš anksto pažymėtų langelių, nėra sutikimo arba išėjimo sienų neesminiam tvarkymui
• Išreiškiamas ir atšaukiamas — vartotojas gali suteikti ir atšaukti sutikimą per aiškų mechanizmą

Kaip atrodo atitinkantis CMP

2026 m. Vietnamo srautui sukonfigūruotas CMP turėtų pateikti:

• Matomą banerį prieš suaktyvėjant bet kokiam neesminiam slapukui ar stebėjimo priemonei, vietnamiečiams vartotojams pagal nutylėjimą vietnamiečių kalba (Tiếng Việt)
• Atskirus Priimti, Atmesti ir Tinkinti veiksmus su vienodu vizualiniu išryškinimu — be tamsiųjų šablonų
• Išsamias valdymo priemones bent šiems tikslams: analitika, reklama, personalizavimas, tarpvalstybinis perdavimas ir bet koks jautrių kategorijų tvarkymas, pavyzdžiui, tiksli vieta
• Nuolatinį, lengvai randamą mechanizmą sutikimui keisti ar atšaukti po pradinio pasirinkimo
• Privatumo politiką vietnamiečių kalba su aiškiu tvarktojų, duomenų kategorijų, saugojimo ir vartotojo teisių atskleidzimu

Sutikimo įrašai

Tvarkytojai turi tvarkyti sutikimo įrašus — kas sutiko, kada, su kuo, per kokią sąsają. Vietnamo vykdymo veiksmai jau rėmėsi trūkstamais arba nepatikrinimais sutikimo žurnalais, o PDPL formalizuoja šią pareigą. CMP, negenerujantis eksportuojamų, su laiko žymomis sutikimo žurnalų, neatitinka reikalavimų.

Tarpvalstybinis duomenų perdavimas — Sunkiausia dalis

Vietnamo tarpvalstybinio perdavimo sistema yra viena reikliausių regione ir yra elementas, su kuriuo daugiausia sunkumų turi užsienio leidėjai.

Perdavimo poveikio vertinimas

Prieš perduodant Vietnamo asmens duomenis į užsienį — įskaitant slapukų išvestų identifikatorių siuntimą užsienio reklamos biržai ar analitikos tiekėjui — valdytojas turi parengti Perdavimo poveikio vertinimą. Vertinime turi būti dokumentuotas tikslas, duomenų kategorijos, gavėjo šalis ir gavėjas, techninės bei organizacinės apsaugos priemonės ir perdavimo teisinis pagrindas.

Teikimas MPS

Vertinimas turi būti pateiktas Viešojo saugumo ministerijai per 60 dienų nuo tvarkymo pradžios. MPS turi įgaliojimus sustabdyti tarpvalstybinius perdavimus, jei vertinimas yra netinkamas arba jei paskirties vietos jurisdikcija laikoma nepakankama.

Praktinė reikšmė leidėjams

Tipinis programatinis reklamos steksas nukreipia vartotojo duomenis per dešimtis užsienio tiekėjų per milisekundes. Kiekvienas iš šių srautų, griežtai kalbant, yra Vietnamo asmens duomenų tarpvalstybinis perdavimas. 2026 m. realybė yra ta, kad dauguma užsienio leidėjų arba teikia konsoliduotus vertinimus visam savo tiekėjų sąrašui, arba mažina tiekėjų rinkinį, kad sumažintų vertinimo naštą. Nei viena iš jų nėra nereikšminga, o MPS paskelbė, kad 2026 m. pradės aktyviau vykdyti tarpvalstybinių srautų kontrolę.

Duomenų subjektų teisės

PDPL konsoliduoja ir stiprina Dekretu suteiktas teises. Vietnamo duomenų subjektai turi teisę:

• Būti informuoti apie jų duomenų tvarkymą
• Susipažinti su tvarkomais duomenimis
• Ištaisyti netikslius duomenis
• Ištrinti duomenis, kai tvarkymas nebėra pagrįstas
• Apriboti tvarkymą nurodytomis aplinkybėmis
• Atšaukti sutikimą taip pat lengvai, kaip jis buvo suteiktas
• Nesutikti su automatizuotu sprendimų priėmimu, turinčiu reikšmingų pasekmių
• Pateikti skundą Viešojo saugumo ministerijai

Atsakymo terminai

Valdytojai turi atsakyti į duomenų subjektų prašymus per 72 valandas daugeliu atvejų — gerokai trumpesnis langas nei GDPR 30 dienų standartas. Veiklos pasirengimas šiam terminui yra vienas iš dažniausiai pasitaikančių atitikties trūkumų užsienio leidėjams ir reikalauja įrankių ir gairių, kurie yra greitesni nei įprasta kitose regionuose.

Specialios taisyklės nepilnamečiams

PDPL įveda specialią nepilnamečių asmens duomenų tvarkymo apsaugą. Sutikimas tvarkyti asmens, jaunesnio nei 15 metų, duomenis turi būti duotas tėvų arba teisėto globėjo. Norint tvarkyti 15–18 metų asmenų duomenis, reikia paties nepilnamečio sutikimo, tačiau su padidintomis skaidrumo ir atidumo pareigomis. Slapukų sutikimo naudotojo sąsajos svetainėse, traukiančiose reikšmingą jaunesni nei 18 metų auditoriją, reikalauja amžių jaučiančio srauto, kurį nedaugelis užsienio leidėjų sukūrė pagal nutylėjimą.

Sankcijos ir vykdymas

PDPL žymiai padidina administracinių baudų ribą. Sankcijos apima:

• Baudas iki 5 procentų metinių pasaulinių pajamų už rimtus pažeidimus, susijusius su jautriais asmens duomenimis arba sisteminiais gedimais
• Tvarkymo veiklos sustabdymą
• Privalomus tarpvalstybinių perdavimų sustabdymus
• Viešą pažeidimo atskleidimą
• Baudžiamąją atsakomybę už sunkius atvejus, įskaitant neteisėtą asmens duomenų pardavimą

Vykdymo tendencija

MPS buvo palyginti ramus 2023 m. ir 2024 m. pradžioje, kai Dekretas įsitvirtino, tačiau vykdymas paspartėjo 2025 m. ir 2026 m. Užsienio leidėjai buvo minimi keliuose viešai paskelbuose veiksmuose, beveik visada susijusiuose su vienu iš trijų klausimų: trūkstamas arba nepakankamas sutikimas, nepateikti tarpvalstybinių perdavimų vertinimai arba nesugebėjimas atsakyti į duomenų subjektų prašymus per 72 valandų langą.

2026 m. Vietnamo srauto audito kontrolinis sąrašas

• CMP baneris Vietnamo vartotojams teikiamas vietnamiečių kalba, su Priimti, Atmesti ir Tinkinti vienodai išryškintais
• Sutikimo tikslai yra išsamūs ir atskiria jautrų tvarkymą, pvz., tikslią vietą
• Sutikimo žurnalai yra su laiko žymomis, eksportuojami ir saugomi tvarkymo trukmės ir audituojamos paraštės laikotarpiui
• Privatumo politika prieinama vietnamiečių kalba su visišku tvarktojų, saugojimo ir teisių atskleidimu
• Perdavimo poveikio vertinimas pateiktas MPS kiekvienam vykstančiam tarpvalstybiniam srautui
• Duomenų subjekto prašymų darbo eiga gali atsakyti per 72 valandas nuo galo iki galo
• Amžių jaučiantis sutikimo srautas yra parengtas auditorijai, įskaitančiai nepilnamečius
• Tiekėjų sąrašas buvo patikrintas dėl būtinumo, pašalinant nenaudojamus ar perteklinius tiekėjus, siekiant sumažinti tarpvalstybinį paviršių

2026 m. perspektyva

Vietnamo reguliavimo trajektorija yra aiški. PDPD nustatė sistemą. PDPL ją sustiprina. Vykdymas plečiasi. Leidėjams ir reklamuotojams, kurie traktavo Vietnamą kaip lengvą rinką, 2026 m. yra metai, kai tas požiūris tampa brangus. Geroji naujiena yra ta, kad šiuolaikinis GDPR lygio sutikimo steksas yra didžioji dalis to, kas reikalinga — trūkumai paprastai yra 72 valandų atsakymo langas, Perdavimo poveikio vertinimų teikimai ir CMP bei privatumo politikos vietnamiečių kalbos lokalizacija. Šie trūkumai yra veiklos, o ne architektūros, ir juos galima pašalinti per savaites, o ne ketvirčius. Leidėjai, pašalinantys juos prieš MPS atsistojant prie jų durų, nepastebės perėjimo. Laukiantieji pastebės.