Декрет и Закон Вьетнама о защите персональных данных: руководство по согласию на файлы cookie и соответствию для издателей в 2026 году
Вьетнам всего за чуть более трёх лет прошёл путь от почти полного отсутствия единой системы защиты персональных данных до одного из самых требовательных режимов согласия в Юго-Восточной Азии. Декрет о защите персональных данных (PDPD), Декрет 13/2023/ND-CP, вступил в силу в июле 2023 года. Закон о защите персональных данных (PDPL), принятый Национальным собранием в 2025 году, вступил в силу 1 января 2026 года и возводит большинство принципов Декрета в ранг первичного законодательства с более жёстким правоприменением и более широким охватом. Для любого издателя, рекламодателя или платформы, обрабатывающей данные вьетнамских пользователей — будь то базирующейся во Вьетнаме или нет — среда 2026 года существенно отличается от того, что было всего год назад. Это руководство разбирает, что на самом деле требует закон, как должно быть настроено согласие на файлы cookie, как работают трансграничные передачи и как выглядит правоприменение на практике.
Структура вьетнамского права защиты данных в 2026 году
Режим Вьетнама теперь представляет собой двухуровневую систему: PDPD от 2023 года и PDPL от 2026 года. Оба действуют, и издателям необходимо понимать, какой уровень регулирует какое обязательство.
PDPD — Декрет 13/2023/ND-CP
Декрет ввёл первое всеобъемлющее определение персональных данных Вьетнама, каталог прав субъектов данных, требования к согласию, правила трансграничной передачи данных и основополагающее обязательство по оценке воздействия обработки персональных данных (DPIA). Он остаётся в силе и продолжает регулировать операционные детали.
PDPL — в силе с 2026 года
PDPL возводит систему в ранг первичного законодательства с более высокими штрафами и более широким охватом. Он усиливает модель, ориентированную на согласие, укрепляет права субъектов данных и расширяет полномочия правоприменения Министерства общественной безопасности (MPS), которое остаётся основным регулятором. PDPL также вводит более чёткие правила для чувствительных персональных данных, автоматизированного принятия решений и обработки данных несовершеннолетних.
Кто регулируется
Закон применяется к любой обработке вьетнамских персональных данных, независимо от того, где находится обработчик. Издатель из США, обслуживающий вьетнамских пользователей через локализованный сайт, или программатический покупатель, делающий ставки на вьетнамский инвентарь, попадают в сферу действия. Этот экстерриториальный охват повторяет паттерн GDPR и является одним из наиболее агрессивных элементов вьетнамской системы.
Что считается персональными данными
Вьетнамское определение персональных данных широко и тесно следует международному стандарту. Персональные данные — это любая информация, которая идентифицирует или может идентифицировать конкретное физическое лицо, и она делится на две категории, которые сильно влияют на согласие на файлы cookie.
Базовые персональные данные
Базовые персональные данные включают имя, дату рождения, идентификационные номера, контактные данные, идентификаторы устройств, IP-адреса и данные об онлайн-активности. Большая часть данных, собираемых файлами cookie, относится сюда, включая рекламные идентификаторы, идентификаторы сессий и поведенческие профили, построенные на основе истории просмотров.
Чувствительные персональные данные
Чувствительные персональные данные включают политические и религиозные взгляды, информацию о здоровье, генетические данные, биометрические данные, сексуальную ориентацию, судимости, финансовые данные и — что критично — данные о местоположении, которые могут использоваться для идентификации конкретного лица. Чувствительные данные запускают самые строгие требования к согласию, включая конкретное, отдельное и в некоторых случаях письменное или электронно проверяемое согласие.
Почему это важно для файлов cookie
Файл cookie, который собирает только базовый идентификатор сессии, — это базовые персональные данные. Файл cookie, который питает рекламную аудиторию на основе местоположения — распространён в ретаргетинге и гео-таргетированных кампаниях — вероятно, затрагивает чувствительные персональные данные в тот момент, когда местоположение становится идентифицирующим. Конфигурация CMP должна разделять эти цели.
Согласие на файлы cookie согласно вьетнамскому праву
Вьетнам следует модели согласия opt-in. Нет резервного варианта «уведомление и выбор» для файлов cookie, собирающих персональные данные, и планка действительного согласия аналогична стандарту GDPR.
Четыре требования к согласию
Согласие согласно вьетнамскому праву должно быть:
- Конкретным — привязанным к чётко определённой цели обработки, а не общим зонтичным согласием
- Информированным — субъект данных понимает, какие данные обрабатываются, зачем, кто их получает и на какой срок
- Добровольным — никаких предварительно отмеченных флажков, никаких стен «согласись или уходи» для несущественной обработки
- Выражаемым и отзываемым — пользователь может предоставить и отозвать согласие через понятный механизм
Как выглядит соответствующая требованиям CMP
CMP, настроенная для вьетнамского трафика в 2026 году, должна представлять:
- Видимый баннер перед срабатыванием любого несущественного файла cookie или трекера, на вьетнамском (Tiếng Việt) по умолчанию для вьетнамских пользователей
- Отдельные действия «Принять», «Отклонить» и «Настроить» с равной визуальной заметностью — без тёмных паттернов
- Детальные элементы управления как минимум для следующих целей: аналитика, реклама, персонализация, трансграничная передача и любая обработка чувствительной категории, такая как точное местоположение
- Постоянный, легко находимый механизм изменения или отзыва согласия после первоначального выбора
- Политику конфиденциальности на вьетнамском языке с чётким раскрытием обработчиков, категорий данных, сроков хранения и прав пользователя
Записи о согласии
Обработчики должны вести записи о согласии — кто дал согласие, когда, на что, через какой интерфейс. Вьетнамские действия по правоприменению уже ссылались на отсутствующие или непроверяемые журналы согласия, и PDPL формализует это обязательство. CMP, которая не производит экспортируемые журналы согласия с временными метками, не соответствует требованиям.
Трансграничная передача данных — самая сложная часть
Режим трансграничной передачи Вьетнама — один из самых требовательных в регионе и элемент, с которым большинство иностранных издателей испытывают трудности.
Оценка воздействия передачи
Перед передачей вьетнамских персональных данных за границу — что включает отправку идентификаторов, полученных из файлов cookie, на зарубежную рекламную биржу или поставщику аналитики — контролёр должен подготовить оценку воздействия передачи. Оценка должна документировать цель, категории данных, страну-получателя и получателя, технические и организационные гарантии и правовое основание для передачи.
Подача в MPS
Оценка должна быть подана в Министерство общественной безопасности в течение 60 дней с начала обработки. MPS имеет право приостанавливать трансграничные передачи, если оценка неадекватна или если юрисдикция назначения считается недостаточной.
Практическое следствие для издателей
Типичный программатический рекламный стек маршрутизирует данные пользователей через десятки зарубежных поставщиков за миллисекунды. Каждый из этих потоков, строго говоря, является трансграничной передачей вьетнамских персональных данных. Реальность 2026 года такова, что большинство иностранных издателей либо подают консолидированные оценки для всего списка поставщиков, либо сокращают набор поставщиков, чтобы уменьшить бремя оценки. Ни то, ни другое не тривиально, и MPS дало понять, что начнёт более активное правоприменение по трансграничным потокам в течение 2026 года.
Права субъектов данных
PDPL консолидирует и усиливает права, предоставленные Декретом. Вьетнамские субъекты данных имеют право:
- Быть проинформированными об обработке их данных
- Получать доступ к обрабатываемым данным
- Исправлять неточные данные
- Удалять данные, когда обработка более не оправдана
- Ограничивать обработку в определённых обстоятельствах
- Отзывать согласие так же легко, как оно было дано
- Возражать против автоматизированного принятия решений, имеющего значительные последствия
- Жаловаться в Министерство общественной безопасности
Сроки ответа
Контролёры должны отвечать на запросы субъектов данных в течение 72 часов в большинстве случаев — значительно более узкое окно, чем 30-дневный стандарт GDPR. Операционная готовность к этому сроку — один из наиболее распространённых пробелов в соответствии для иностранных издателей и требует инструментов и регламентов, которые быстрее, чем типичные в других регионах.
Особые правила для несовершеннолетних
PDPL вводит специальные меры защиты для обработки персональных данных несовершеннолетних. Согласие на обработку данных лица младше 15 лет должно быть дано родителем или законным опекуном. Обработка данных лиц в возрасте от 15 до 18 лет требует собственного согласия несовершеннолетнего, но с повышенными обязанностями по прозрачности и осторожности. Интерфейсы согласия на файлы cookie на сайтах, привлекающих значительную аудиторию младше 18 лет, нуждаются в потоках с учётом возраста, которые мало кто из иностранных издателей построил по умолчанию.
Штрафы и правоприменение
PDPL значительно повышает потолок административных штрафов. Санкции включают:
- Штрафы до 5 процентов глобального годового дохода за серьёзные нарушения, связанные с чувствительными персональными данными или системными сбоями
- Приостановку деятельности по обработке
- Обязательные остановки трансграничной передачи
- Публичное раскрытие нарушения
- Уголовную ответственность за вопиющие случаи, включая незаконную продажу персональных данных
Тенденция правоприменения
MPS было относительно тихим в течение 2023 года и начала 2024 года, пока Декрет приживался, но правоприменение ускорилось в течение 2025 года и в 2026 году. Иностранные издатели упоминались в нескольких опубликованных действиях, почти всегда сосредоточенных на одной из трёх проблем: отсутствующее или неадекватное согласие, неподанные оценки трансграничной передачи или неспособность ответить на запросы субъектов данных в течение 72-часового окна.
Чек-лист аудита для вьетнамского трафика в 2026 году
- Баннер CMP отображается на вьетнамском для вьетнамских пользователей, с «Принять», «Отклонить» и «Настроить» при равной заметности
- Цели согласия детальны и отделяют чувствительную обработку, такую как точное местоположение
- Журналы согласия имеют временные метки, экспортируемы и сохраняются на протяжении обработки плюс аудируемый запас
- Политика конфиденциальности доступна на вьетнамском с полным раскрытием обработчиков, сроков хранения и прав
- Оценка воздействия передачи подана в MPS для каждого текущего трансграничного потока
- Рабочий процесс запросов субъектов данных может ответить в течение 72 часов от начала до конца
- Поток согласия с учётом возраста имеется для аудиторий, включающих несовершеннолетних
- Список поставщиков пересмотрен на предмет необходимости, с удалением неиспользуемых или избыточных поставщиков для сокращения площади трансграничной поверхности
Прогноз на 2026 год
Регуляторная траектория Вьетнама ясна. PDPD установил систему. PDPL ужесточает её. Правоприменение расширяется. Для издателей и рекламодателей, которые рассматривали Вьетнам как рынок с более мягким подходом, 2026 год — это год, когда такой подход становится дорогостоящим. Хорошая новость в том, что современный стек согласия уровня GDPR — это бóльшая часть того, что нужно; пробелы обычно — это 72-часовое окно ответа, подачи оценок воздействия передачи и локализация CMP и политики конфиденциальности на вьетнамском языке. Эти пробелы операционные, а не архитектурные, и их можно закрыть за недели, а не за кварталы. Издатели, которые закроют их до того, как MPS появится на их пороге, не заметят перехода. Те, кто будут ждать, — заметят.