Dekri dan Undang-Undang Perlindungan Data Peribadi Vietnam: Panduan Persetujuan Kuki dan Pematuhan Penerbit untuk 2026
Vietnam telah bergerak, dalam tempoh sedikit lebih tiga tahun, daripada hampir tiada rangka kerja data peribadi yang bersatu kepada salah satu rejim persetujuan yang paling menuntut di Asia Tenggara. Dekri Perlindungan Data Peribadi (PDPD), Dekri 13/2023/ND-CP, berkuat kuasa pada Julai 2023. Undang-Undang Perlindungan Data Peribadi (PDPL), yang diluluskan oleh Perhimpunan Kebangsaan pada 2025, berkuat kuasa pada 1 Januari 2026 dan mengangkat kebanyakan prinsip Dekri ke dalam perundangan utama dengan penguatkuasaan yang lebih kukuh dan skop yang lebih luas. Bagi mana-mana penerbit, pengiklan, atau platform yang memproses data pengguna Vietnam — sama ada berpangkalan di Vietnam atau tidak — persekitaran 2026 berbeza secara ketara berbanding setahun yang lalu. Panduan ini menjelaskan apa yang sebenarnya dikehendaki oleh undang-undang, bagaimana persetujuan kuki mesti dikonfigurasi, bagaimana pemindahan rentas sempadan berfungsi, dan bagaimana penguatkuasaan berlaku dalam amalan.
Struktur Undang-Undang Perlindungan Data Vietnam pada 2026
Rejim Vietnam kini merupakan susunan dua lapisan: PDPD dari 2023 dan PDPL dari 2026. Kedua-duanya berkuat kuasa, dan penerbit perlu memahami lapisan mana yang mengawal kewajipan yang mana.
PDPD — Dekri 13/2023/ND-CP
Dekri ini memperkenalkan definisi data peribadi komprehensif pertama Vietnam, katalog hak subjek data, keperluan untuk persetujuan, peraturan mengenai pemindahan data rentas sempadan, dan kewajipan asas Penilaian Impak Pemprosesan Data Peribadi (DPIA). Ia kekal berkuat kuasa dan terus mengawal butiran operasi.
PDPL — Berkuat Kuasa dari 2026
PDPL mengangkat rangka kerja ke dalam perundangan utama dengan penalti yang lebih tinggi dan skop yang lebih luas. Ia mengukuhkan model berpusatkan persetujuan, memperkukuh hak subjek data, dan meluaskan kuasa penguatkuasaan bagi Kementerian Keselamatan Awam (MPS), yang kekal sebagai pengawal selia utama. PDPL juga memperkenalkan peraturan yang lebih jelas untuk data peribadi sensitif, membuat keputusan automatik, dan pemprosesan data kanak-kanak bawah umur.
Siapa yang Dikawal Selia
Undang-undang ini terpakai kepada mana-mana pemprosesan data peribadi Vietnam, tanpa mengira di mana pemproses berada. Penerbit yang berpangkalan di AS yang melayani pengguna Vietnam melalui laman web setempat atau pembeli programatik yang membida pada inventori Vietnam adalah dalam skop. Jangkauan ekstrateritorial ini mencerminkan corak GDPR dan merupakan salah satu elemen yang lebih agresif dalam rangka kerja Vietnam.
Apa yang Dikira sebagai Data Peribadi
Definisi data peribadi Vietnam adalah luas dan hampir mengikuti piawaian antarabangsa. Data peribadi ialah sebarang maklumat yang mengenal pasti atau boleh mengenal pasti seseorang individu tertentu, dan ia terbahagi kepada dua kategori yang amat penting untuk persetujuan kuki.
Data Peribadi Asas
Data peribadi asas merangkumi nama, tarikh lahir, nombor pengenalan, butiran hubungan, pengenal peranti, alamat IP, dan data aktiviti dalam talian. Kebanyakan data yang dikumpul melalui kuki termasuk di sini, termasuk pengenal pengiklanan, ID sesi, dan profil tingkah laku yang dibina daripada sejarah penyemakan imbas.
Data Peribadi Sensitif
Data peribadi sensitif merangkumi pandangan politik dan agama, maklumat kesihatan, data genetik, data biometrik, orientasi seksual, rekod jenayah, data kewangan, dan — secara kritikal — data lokasi yang boleh digunakan untuk mengenal pasti individu tertentu. Data sensitif mencetuskan keperluan persetujuan yang paling ketat, termasuk persetujuan yang khusus, berasingan, dan dalam sesetengah kes bertulis atau boleh disahkan secara elektronik.
Mengapa Ini Penting untuk Kuki
Kuki yang hanya mengumpul pengenal sesi asas adalah data peribadi asas. Kuki yang memberi makan kepada audiens pengiklanan berasaskan lokasi — biasa dalam kempen retargeting dan geo-targeted — berkemungkinan menyentuh data peribadi sensitif sebaik sahaja lokasi menjadi pengenal. Konfigurasi CMP mesti memisahkan tujuan-tujuan ini.
Persetujuan Kuki di Bawah Undang-Undang Vietnam
Vietnam mengikuti model persetujuan opt-in. Tiada sandaran notis-dan-pilihan untuk kuki yang mengumpul data peribadi, dan tahap untuk persetujuan yang sah adalah serupa dengan piawaian GDPR.
Empat Keperluan Persetujuan
Persetujuan di bawah undang-undang Vietnam mestilah:
- Spesifik — dikaitkan dengan tujuan pemprosesan yang jelas dikenal pasti, bukan persetujuan payung umum
- Bermaklumat — subjek data memahami data apa yang diproses, mengapa, siapa yang menerimanya, dan untuk berapa lama
- Sukarela — tiada kotak yang ditanda terlebih dahulu, tiada dinding persetujuan-atau-pergi untuk pemprosesan bukan penting
- Boleh dinyatakan dan ditarik balik — pengguna boleh memberikan dan menarik balik persetujuan melalui mekanisme yang jelas
Rupa Sebuah CMP yang Patuh
CMP yang dikonfigurasi untuk trafik Vietnam pada 2026 hendaklah memaparkan:
- Sepanduk yang kelihatan sebelum mana-mana kuki atau penjejak bukan penting diaktifkan, dalam bahasa Vietnam (Tiếng Việt) secara lalai untuk pengguna Vietnam
- Tindakan Terima, Tolak, dan Sesuaikan yang berasingan, dengan keutamaan visual yang sama — tiada corak gelap
- Kawalan terperinci untuk sekurang-kurangnya tujuan berikut: analitik, pengiklanan, pemperibadian, pemindahan rentas sempadan, dan mana-mana pemprosesan kategori sensitif seperti lokasi tepat
- Mekanisme yang kekal dan mudah ditemui untuk menukar atau menarik balik persetujuan selepas pilihan awal
- Dasar privasi dalam bahasa Vietnam dengan pendedahan jelas tentang pemproses, kategori data, pengekalan, dan hak pengguna
Rekod Persetujuan
Pemproses mesti mengekalkan rekod persetujuan — siapa yang bersetuju, bila, kepada apa, melalui antara muka apa. Tindakan penguatkuasaan Vietnam telah pun menyebut log persetujuan yang hilang atau tidak dapat disahkan, dan PDPL memformalkan kewajipan ini. CMP yang tidak menghasilkan log persetujuan yang boleh dieksport dan bertanda masa tidak mematuhi peraturan.
Pemindahan Data Rentas Sempadan — Bahagian yang Paling Sukar
Rejim pemindahan rentas sempadan Vietnam adalah salah satu yang paling menuntut di rantau ini dan merupakan elemen yang paling banyak dihadapi oleh penerbit asing.
Penilaian Impak Pemindahan
Sebelum memindahkan data peribadi Vietnam ke luar negara — yang merangkumi penghantaran pengenal yang diperoleh daripada kuki ke bursa iklan luar negara atau vendor analitik — pengawal mesti menyediakan Penilaian Impak Pemindahan. Penilaian itu mesti mendokumentasikan tujuan, kategori data, negara penerima dan penerima, perlindungan teknikal dan organisasi, serta asas undang-undang untuk pemindahan.
Pemfailan dengan MPS
Penilaian itu mesti difailkan dengan Kementerian Keselamatan Awam dalam tempoh 60 hari dari permulaan pemprosesan. MPS mempunyai kuasa untuk menggantung pemindahan rentas sempadan jika penilaian tidak mencukupi atau jika bidang kuasa destinasi dianggap tidak mencukupi.
Implikasi Praktikal untuk Penerbit
Susunan iklan programatik yang tipikal menghalakan data pengguna melalui berpuluh-puluh vendor luar negara dalam milisaat. Setiap aliran itu adalah, secara ketat, pemindahan rentas sempadan data peribadi Vietnam. Realiti 2026 ialah kebanyakan penerbit asing sama ada memfailkan penilaian konsolidasi untuk keseluruhan senarai vendor mereka atau memangkas set vendor mereka untuk mengurangkan beban penilaian. Tidak satu pun adalah mudah, dan MPS telah memberi isyarat bahawa ia akan memulakan penguatkuasaan yang lebih aktif terhadap aliran rentas sempadan sepanjang 2026.
Hak Subjek Data
PDPL menyatukan dan mengukuhkan hak yang diberikan di bawah Dekri. Subjek data Vietnam mempunyai hak untuk:
- Dimaklumkan tentang pemprosesan data mereka
- Mengakses data yang sedang diproses
- Membetulkan data yang tidak tepat
- Memadamkan data apabila pemprosesan tidak lagi dijustifikasi
- Menyekat pemprosesan dalam keadaan tertentu
- Menarik balik persetujuan semudah ia diberikan
- Membantah pembuatan keputusan automatik yang menghasilkan kesan yang signifikan
- Mengadu kepada Kementerian Keselamatan Awam
Tempoh Masa Respons
Pengawal mesti bertindak balas terhadap permintaan subjek data dalam tempoh 72 jam dalam kebanyakan kes — tetingkap yang jauh lebih ketat berbanding piawaian 30 hari GDPR. Kesediaan operasi untuk tempoh masa ini adalah salah satu jurang pematuhan yang lebih biasa bagi penerbit asing dan memerlukan alatan dan buku panduan yang lebih pantas daripada yang biasa di rantau lain.
Peraturan Khas untuk Kanak-Kanak Bawah Umur
PDPL memperkenalkan perlindungan khusus untuk pemprosesan data peribadi kanak-kanak bawah umur. Persetujuan untuk pemprosesan data milik seseorang yang berumur di bawah 15 tahun mesti diberikan oleh ibu bapa atau penjaga sah. Pemprosesan data bagi mereka yang berumur 15 hingga 18 tahun memerlukan persetujuan kanak-kanak bawah umur itu sendiri, tetapi dengan tanggungjawab ketelusan dan penjagaan yang lebih tinggi. UI persetujuan kuki di laman web yang menarik audiens bawah 18 tahun yang ketara memerlukan aliran yang menyedari usia, yang kebanyakan penerbit asing tidak bina secara lalai.
Penalti dan Penguatkuasaan
PDPL menaikkan siling denda pentadbiran dengan ketara. Sanksi termasuk:
- Denda sehingga 5 peratus daripada hasil tahunan global untuk pelanggaran serius yang melibatkan data peribadi sensitif atau kegagalan sistematik
- Penggantungan aktiviti pemprosesan
- Penangguhan pemindahan rentas sempadan wajib
- Pendedahan awam tentang pelanggaran
- Liabiliti jenayah untuk kes yang keterlaluan, termasuk jualan data peribadi yang menyalahi undang-undang
Trend Penguatkuasaan
MPS agak senyap sepanjang 2023 dan awal 2024 apabila Dekri mula ditubuhkan, tetapi penguatkuasaan telah dipercepatkan sepanjang 2025 dan ke dalam 2026. Penerbit asing telah disebut dalam beberapa tindakan yang dipublisitikan, hampir selalu berpusat pada salah satu daripada tiga isu: persetujuan yang hilang atau tidak mencukupi, penilaian pemindahan rentas sempadan yang tidak difailkan, atau kegagalan untuk bertindak balas terhadap permintaan subjek data dalam tempoh 72 jam.
Senarai Semak Audit untuk Trafik Vietnam pada 2026
- Sepanduk CMP dihidangkan dalam bahasa Vietnam untuk pengguna Vietnam, dengan Terima, Tolak, dan Sesuaikan pada keutamaan yang sama
- Tujuan persetujuan adalah terperinci dan berasingan daripada pemprosesan sensitif seperti lokasi tepat
- Log persetujuan bertanda masa, boleh dieksport, dan disimpan untuk tempoh pemprosesan ditambah margin yang boleh diaudit
- Dasar privasi tersedia dalam bahasa Vietnam dengan pendedahan penuh tentang pemproses, pengekalan, dan hak
- Penilaian Impak Pemindahan difailkan dengan MPS untuk setiap aliran rentas sempadan yang berterusan
- Aliran kerja permintaan subjek data boleh bertindak balas dalam masa 72 jam dari hujung ke hujung
- Aliran persetujuan yang menyedari usia sudah ada untuk audiens yang merangkumi kanak-kanak bawah umur
- Senarai vendor telah disemak untuk keperluan, dengan vendor yang tidak digunakan atau berlebihan dikeluarkan untuk mengurangkan kawasan permukaan rentas sempadan
Pandangan 2026
Trajektori kawal selia Vietnam adalah jelas. PDPD menubuhkan rangka kerja. PDPL mengukuhkannya. Penguatkuasaan semakin meluas. Bagi penerbit dan pengiklan yang telah menganggap Vietnam sebagai pasaran yang lebih ringan sentuhan, 2026 adalah tahun pendekatan itu menjadi mahal. Berita baiknya ialah susunan persetujuan gred GDPR moden adalah kebanyakan daripada apa yang diperlukan — jurangnya biasanya tetingkap respons 72 jam, pemfailan Penilaian Impak Pemindahan, dan penyetempatan CMP dan dasar privasi dalam bahasa Vietnam. Jurang tersebut adalah operasi, bukan senibina, dan boleh ditutup dalam minggu berbanding suku. Penerbit yang menutupnya sebelum MPS tiba di depan pintu mereka tidak akan menyedari peralihan itu. Yang menunggu akan menyedarinya.