Vietnams forordning og lov om personvern: veiledning for informasjonskapsler og publiseroverholdelse i 2026
Vietnam har på litt over tre år gått fra å ha nesten ingen enhetlig ramme for persondata til å ha et av de mest krevende samtykkeregimene i Sørøst-Asia. Forordningen om personvern (PDPD), Forordning 13/2023/ND-CP, trådte i kraft i juli 2023. Loven om personvern (PDPL), vedtatt av nasjonalforsamlingen i 2025, trådte i kraft 1. januar 2026 og hever de fleste av forordningens prinsipper til primærlovgivning med sterkere håndheving og bredere rekkevidde. For enhver utgiver, annonsør eller plattform som behandler data om vietnamesiske brukere — enten de er basert i Vietnam eller ikke — er 2026-miljøet vesentlig annerledes enn for bare ett år siden. Denne veiledningen går gjennom hva loven faktisk krever, hvordan samtykke til informasjonskapsler må konfigureres, hvordan grenseoverskridende overføringer fungerer, og hvordan håndheving ser ut i praksis.
Strukturen i vietnamesisk personvernlovgivning i 2026
Vietnams regime er nå en to-lags struktur: PDPD fra 2023 og PDPL fra 2026. Begge er i kraft, og utgivere trenger å forstå hvilket lag som regulerer hvilken forpliktelse.
PDPD — Forordning 13/2023/ND-CP
Forordningen introduserte Vietnams første omfattende definisjon av persondata, en katalog over datasubjektrettigheter, krav til samtykke, regler om grenseoverskridende dataoverføringer og den grunnleggende forpliktelsen til konsekvensutredning for personopplysningsbehandling (DPIA). Den forblir i kraft og regulerer fortsatt operasjonelle detaljer.
PDPL — I kraft fra 2026
PDPL hever rammeverket til primærlovgivning med høyere straffer og bredere rekkevidde. Den styrker den samtykkesentrerte modellen, styrker rettighetene for datasubjekter og utvider håndhevingsmulighetene for Ministeriet for offentlig sikkerhet (MPS), som forblir den primære regulatoren. PDPL introduserer også klarere regler for sensitive persondata, automatisert beslutningstaking og behandling av mindreåriges data.
Hvem som reguleres
Loven gjelder for enhver behandling av vietnamesiske persondata, uavhengig av hvor behandleren er lokalisert. En US-basert utgiver som betjener vietnamesiske brukere gjennom et lokalisert nettsted eller en programmatisk kjøper som byr på vietnamesisk beholdning, er innenfor virkeområdet. Denne eksterritorielle rekkevidden speiler GDPR-mønsteret og er ett av de mer aggressive elementene i det vietnamesiske rammeverket.
Hva som regnes som persondata
Den vietnamesiske definisjonen av persondata er bred og følger nært den internasjonale standarden. Persondata er enhver informasjon som identifiserer eller kan identifisere en bestemt fysisk person, og den deles inn i to kategorier som er svært viktige for samtykke til informasjonskapsler.
Grunnleggende persondata
Grunnleggende persondata inkluderer navn, fødselsdato, identifikasjonsnumre, kontaktopplysninger, enhets-ID-er, IP-adresser og data om nettaktivitet. De fleste data samlet inn via informasjonskapsler faller her, inkludert reklameid-er, sesjons-ID-er og atferdsprofiler bygget fra nettleserhistorikk.
Sensitive persondata
Sensitive persondata inkluderer politiske og religiøse synspunkter, helseinformasjon, genetiske data, biometriske data, seksuell orientering, strafferegistre, finansielle data og — kritisk — lokasjonsdata som kan brukes til å identifisere en bestemt person. Sensitive data utløser de strengeste samtykkekravene, inkludert spesifikt, separat og i noen tilfeller skriftlig eller elektronisk verifiserbart samtykke.
Hvorfor dette er viktig for informasjonskapsler
En informasjonskapsel som kun samler inn en grunnleggende sesjons-ID er grunnleggende persondata. En informasjonskapsel som mater et lokasjonsbasert reklamepublikum — vanlig i retargeting og geo-målrettede kampanjer — berører sannsynligvis sensitive persondata i det øyeblikket lokasjon blir identifiserende. CMP-konfigurasjonen må skille disse formålene.
Samtykke til informasjonskapsler under vietnamesisk lov
Vietnam følger opt-in samtykkemodellen. Det finnes ingen varsel-og-valg-reserve for informasjonskapsler som samler inn persondata, og terskelen for gyldig samtykke ligner på GDPR-standarden.
De fire samtykkekravene
Samtykke under vietnamesisk lov må være:
- Spesifikt — knyttet til et klart identifisert behandlingsformål, ikke et generelt paraply-samtykke
- Informert — datasubjektet forstår hvilke data som behandles, hvorfor, hvem som mottar dem og for hvor lenge
- Frivillig — ingen forhåndsavkryssede bokser, ingen samtykke-eller-forlat-murer for ikke-essensiell behandling
- Uttrykksbart og tilbakekallebart — brukeren kan gi og trekke tilbake samtykke gjennom en tydelig mekanisme
Hvordan en kompatibel CMP ser ut
En CMP konfigurert for vietnamesisk trafikk i 2026 bør presentere:
- Et synlig banner før noen ikke-essensiell informasjonskapsel eller sporingsenhet aktiveres, som standard på vietnamesisk (Tiếng Việt) for vietnamesiske brukere
- Separate handlinger for Godta, Avvis og Tilpass, med lik visuell fremtredenhet — ingen mørke mønstre
- Granulære kontroller for minst følgende formål: analyse, annonsering, personalisering, grenseoverskridende overføring og enhver behandling av sensitiv kategori som presis lokasjon
- En vedvarende, lett tilgjengelig mekanisme for å endre eller trekke tilbake samtykke etter det første valget
- Personvernpolicy på vietnamesisk med tydelig informasjon om behandlere, datakategorier, oppbevaringstid og brukerens rettigheter
Samtykkeregistre
Behandlere må opprettholde registre over samtykke — hvem som samtykket, når, til hva, gjennom hvilket grensesnitt. Vietnamesiske håndhevingshandlinger har allerede sitert manglende eller uverifiserbare samtykkelogger, og PDPL formaliserer denne forpliktelsen. En CMP som ikke produserer eksporterbare, tidsstemplede samtykkelogger er ikke i samsvar.
Grenseoverskridende dataoverføring — den vanskeligste delen
Vietnams regime for grenseoverskridende overføringer er et av de mest krevende i regionen og er elementet de fleste utenlandske utgivere sliter med.
Overføringskonsekvensvurderingen
Før vietnamesiske persondata overføres til utlandet — noe som inkluderer sending av informasjonskapsel-avledede identifikatorer til en utenlandsk annonsebørs eller analyseprogramleverandør — må behandlingsansvarlig utarbeide en overføringskonsekvensvurdering. Vurderingen må dokumentere formålet, datakategoriene, mottakerlandet og mottakeren, tekniske og organisatoriske sikkerhetstiltak og det rettslige grunnlaget for overføringen.
Innlevering til MPS
Vurderingen må leveres til Ministeriet for offentlig sikkerhet innen 60 dager etter behandlingsstart. MPS har myndighet til å suspendere grenseoverskridende overføringer dersom vurderingen er utilstrekkelig eller dersom destinasjonsjurisdiksjonen anses som utilstrekkelig.
Praktiske konsekvenser for utgivere
En typisk programmatisk annonsestabel ruter brukerdata gjennom dusinvis av utenlandske leverandører i millisekunder. Hver av disse flytsene er, strengt tatt, en grenseoverskridende overføring av vietnamesiske persondata. 2026-realiteten er at de fleste utenlandske utgivere enten leverer konsoliderte vurderinger for hele leverandørlisten sin, eller beskjærer leverandørsettet for å redusere vurderingsbyrden. Ingen av dem er trivielle, og MPS har signalisert at det vil begynne mer aktiv håndheving av grenseoverskridende strømmer i løpet av 2026.
Datasubjektrettigheter
PDPL konsoliderer og styrker rettighetene gitt under forordningen. Vietnamesiske datasubjekter har rett til å:
- Bli informert om behandlingen av deres data
- Få tilgang til dataene som behandles
- Korrigere unøyaktige data
- Slette data der behandling ikke lenger er berettiget
- Begrense behandling under spesifiserte omstendigheter
- Trekke tilbake samtykke like enkelt som det ble gitt
- Protestere mot automatisert beslutningstaking som produserer betydelige effekter
- Klage til Ministeriet for offentlig sikkerhet
Svarfrister
Behandlingsansvarlige må svare på forespørsler fra datasubjekter innen 72 timer i de fleste tilfeller — et betydelig strengere vindu enn GDPR's 30-dagers standard. Operasjonell beredskap for denne tidsrammen er ett av de mer vanlige samsvarshullene for utenlandske utgivere og krever verktøy og runbooks som er raskere enn det som er typisk i andre regioner.
Spesielle regler for mindreårige
PDPL introduserer dedikerte beskyttelser for behandling av mindreåriges persondata. Samtykke for behandling av data tilhørende en person under 15 år må gis av en forelder eller juridisk verge. Behandling av data for de mellom 15 og 18 år krever den mindreåriges eget samtykke, men med høyere krav til åpenhet og omhu. Brukergrensesnitt for samtykke til informasjonskapsler på nettsteder som tiltrekker seg betydelige målgrupper under 18 år, trenger aldersbevisste flyter, noe få utenlandske utgivere har bygget som standard.
Straffer og håndheving
PDPL hever taket for administrative bøter betydelig. Sanksjoner inkluderer:
- Bøter på opptil 5 prosent av global årlig omsetning for alvorlige brudd som involverer sensitive persondata eller systematiske feil
- Suspensjon av behandlingsaktiviteter
- Obligatoriske stopp på grenseoverskridende overføringer
- Offentliggjøring av overtredelsen
- Strafferettslig ansvar for grove tilfeller, inkludert ulovlig salg av persondata
Håndhevingstrend
MPS var relativt stille gjennom 2023 og tidlig 2024 da forordningen ble innarbeidet, men håndhevingen har akselerert gjennom 2025 og inn i 2026. Utenlandske utgivere har blitt sitert i flere offentliggjorte handlinger, nesten alltid sentrert rundt ett av tre problemer: manglende eller utilstrekkelig samtykke, uinnleverte vurderinger av grenseoverskridende overføringer, eller unnlatelse av å svare på forespørsler fra datasubjekter innen 72-timersvinduet.
Revisjonssjekkliste for vietnamesisk trafikk i 2026
- CMP-banner vises på vietnamesisk for vietnamesiske brukere, med Godta, Avvis og Tilpass med lik fremtredenhet
- Samtykkeformål er granulære og skiller sensitiv behandling som presis lokasjon
- Samtykkelogger er tidsstemplet, eksporterbare og oppbevart for behandlingens varighet pluss en revisjonsbar margin
- Personvernpolicy er tilgjengelig på vietnamesisk med fullstendig avsløring av behandlere, oppbevaring og rettigheter
- Overføringskonsekvensvurdering er levert til MPS for alle pågående grenseoverskridende strømmer
- Arbeidsflyt for forespørsler fra datasubjekter kan svare innen 72 timer fra ende til ende
- Aldersbevisst samtykkeflyt er på plass for målgrupper som inkluderer mindreårige
- Leverandørlisten er gjennomgått for nødvendighet, med ubrukte eller overflødige leverandører fjernet for å redusere det grenseoverskridende overflatearealet
Utsiktene for 2026
Vietnams regulatoriske retning er klar. PDPD etablerte rammeverket. PDPL forsterker det. Håndheving utvides. For utgivere og annonsører som har behandlet Vietnam som et lettere marked, er 2026 året da den tilnærmingen blir kostbar. Den gode nyheten er at en moderne GDPR-grade samtykkestabel er det meste av det som trengs — hullene er typisk 72-timers svarvinduet, innleveringene av overføringskonsekvensvurderinger og vietnamesisk lokalisering av CMP og personvernpolicyen. Disse hullene er operasjonelle, ikke arkitektoniske, og de kan lukkes i løpet av uker i stedet for kvartaler. Utgiverne som lukker dem før MPS ankommer, vil ikke merke overgangen. De som venter, vil.