การปฏิบัติตามกฎหมาย1 พ.ค. 2026 | FlexyConsent

พระราชกฤษฎีกาและกฎหมายคุ้มครองข้อมูลส่วนบุคคลของเวียดนาม: คู่มือการยินยอมใช้คุกกี้และการปฏิบัติตามกฎหมายสำหรับผู้เผยแพร่ปี 2026

เวียดนามผ่านการเปลี่ยนแปลงในเวลาเพียงกว่าสามปี จากการแทบไม่มีกรอบข้อมูลส่วนบุคคลที่เป็นหนึ่งเดียว จนกลายเป็นหนึ่งในระบอบการยินยอมที่เข้มงวดที่สุดในเอเชียตะวันออกเฉียงใต้ พระราชกฤษฎีกาคุ้มครองข้อมูลส่วนบุคคล (PDPD) ฉบับที่ 13/2023/ND-CP มีผลบังคับใช้ในเดือนกรกฎาคม 2566 กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPL) ที่รัฐสภาแห่งชาติผ่านในปี 2568 มีผลบังคับใช้ตั้งแต่ วันที่ 1 มกราคม 2569 และยกระดับหลักการส่วนใหญ่ของพระราชกฤษฎีกาขึ้นสู่กฎหมายหลักที่มีการบังคับใช้ที่แข็งแกร่งกว่าและมีขอบเขตที่กว้างขวางกว่า สำหรับผู้เผยแพร่ ผู้ลงโฆษณา หรือแพลตฟอร์มที่ประมวลผลข้อมูลของผู้ใช้เวียดนาม ไม่ว่าจะตั้งอยู่ในเวียดนามหรือไม่ก็ตาม สภาพแวดล้อมปี 2569 แตกต่างอย่างมีนัยสำคัญจากเมื่อปีที่แล้ว คู่มือนี้จะอธิบายสิ่งที่กฎหมายกำหนดอย่างแท้จริง วิธีการกำหนดค่าการยินยอมใช้คุกกี้ กลไกการโอนข้อมูลข้ามพรมแดน และลักษณะการบังคับใช้ในทางปฏิบัติ

โครงสร้างกฎหมายคุ้มครองข้อมูลเวียดนามในปี 2569

ระบอบกฎหมายของเวียดนามปัจจุบันเป็นระบบสองชั้น ได้แก่ PDPD จากปี 2566 และ PDPL จากปี 2569 ทั้งสองมีผลบังคับใช้และผู้เผยแพร่จำเป็นต้องเข้าใจว่าชั้นใดกำกับดูแลภาระผูกพันใด

PDPD — พระราชกฤษฎีกา 13/2023/ND-CP

พระราชกฤษฎีกานี้ได้แนะนำคำจำกัดความที่ครอบคลุมฉบับแรกของข้อมูลส่วนบุคคลของเวียดนาม รายการสิทธิ์ของเจ้าของข้อมูล ข้อกำหนดสำหรับการยินยอม กฎสำหรับการโอนข้อมูลข้ามพรมแดน และภาระผูกพันพื้นฐานในการประเมินผลกระทบการประมวลผลข้อมูลส่วนบุคคล (DPIA) ยังคงมีผลบังคับใช้และยังคงกำกับดูแลรายละเอียดการดำเนินงาน

PDPL — มีผลบังคับใช้ตั้งแต่ปี 2569

PDPL ยกระดับกรอบการทำงานขึ้นสู่กฎหมายหลักที่มีบทลงโทษที่สูงขึ้นและขอบเขตที่กว้างขวางกว่า เสริมสร้างแบบจำลองที่เน้นการยินยอม เพิ่มความเข้มแข็งให้แก่สิทธิ์ของเจ้าของข้อมูล และขยายอำนาจการบังคับใช้สำหรับ กระทรวงความมั่นคงสาธารณะ (MPS) ซึ่งยังคงเป็นหน่วยงานกำกับดูแลหลัก PDPL ยังแนะนำกฎเกณฑ์ที่ชัดเจนยิ่งขึ้นสำหรับข้อมูลส่วนบุคคลที่ละเอียดอ่อน การตัดสินใจอัตโนมัติ และการประมวลผลข้อมูลของผู้เยาว์

ผู้ที่ต้องปฏิบัติตาม

กฎหมายใช้กับการประมวลผลข้อมูลส่วนบุคคลของเวียดนามใด ๆ โดยไม่คำนึงถึงที่ตั้งของผู้ประมวลผล ผู้เผยแพร่ที่มีฐานอยู่ในสหรัฐอเมริกาที่ให้บริการผู้ใช้เวียดนามผ่านเว็บไซต์ที่แปลเป็นภาษาท้องถิ่น หรือผู้ซื้อแบบโปรแกรมมาติกที่ประมูลสินค้าคงคลังของเวียดนามอยู่ในขอบเขตของกฎหมาย การครอบคลุมนอกอาณาเขตนี้สะท้อนรูปแบบ GDPR และเป็นหนึ่งในองค์ประกอบที่เข้มงวดที่สุดของกรอบกฎหมายเวียดนาม

อะไรที่นับเป็นข้อมูลส่วนบุคคล

คำจำกัดความของเวียดนามเกี่ยวกับข้อมูลส่วนบุคคลนั้นกว้างและสอดคล้องกับมาตรฐานสากลอย่างใกล้ชิด ข้อมูลส่วนบุคคลคือข้อมูลใด ๆ ที่ระบุหรือสามารถระบุตัวบุคคลธรรมดาที่เฉพาะเจาะจงได้ และแบ่งออกเป็นสองประเภทที่มีความสำคัญอย่างมากต่อการยินยอมใช้คุกกี้

ข้อมูลส่วนบุคคลพื้นฐาน

ข้อมูลส่วนบุคคลพื้นฐานรวมถึงชื่อ วันเกิด หมายเลขบัตรประจำตัว ข้อมูลติดต่อ ตัวระบุอุปกรณ์ ที่อยู่ IP และข้อมูลกิจกรรมออนไลน์ ข้อมูลส่วนใหญ่ที่เก็บรวบรวมโดยคุกกี้อยู่ในหมวดหมู่นี้ รวมถึงตัวระบุโฆษณา รหัสเซสชัน และโปรไฟล์พฤติกรรมที่สร้างจากประวัติการเรียกดู

ข้อมูลส่วนบุคคลที่ละเอียดอ่อน

ข้อมูลส่วนบุคคลที่ละเอียดอ่อนรวมถึงมุมมองทางการเมืองและศาสนา ข้อมูลสุขภาพ ข้อมูลพันธุกรรม ข้อมูลไบโอเมตริก รสนิยมทางเพศ ประวัติอาชญากรรม ข้อมูลทางการเงิน และที่สำคัญที่สุด — ข้อมูลตำแหน่งที่สามารถใช้ระบุตัวบุคคลได้ ข้อมูลที่ละเอียดอ่อนกระตุ้นข้อกำหนดการยินยอมที่เข้มงวดที่สุด รวมถึงการยินยอมที่เฉพาะเจาะจง แยกต่างหาก และในบางกรณีต้องเป็นลายลักษณ์อักษรหรือสามารถตรวจสอบได้ทางอิเล็กทรอนิกส์

เหตุใดสิ่งนี้จึงสำคัญต่อคุกกี้

คุกกี้ที่รวบรวมเพียงตัวระบุเซสชันพื้นฐานถือเป็นข้อมูลส่วนบุคคลพื้นฐาน คุกกี้ที่ป้อนข้อมูลกลุ่มโฆษณาตามตำแหน่งที่ตั้ง ซึ่งพบได้ทั่วไปในแคมเปญ retargeting และเป้าหมายทางภูมิศาสตร์ มีแนวโน้มที่จะสัมผัสกับข้อมูลส่วนบุคคลที่ละเอียดอ่อนทันทีที่ตำแหน่งที่ตั้งสามารถระบุตัวตนได้ การกำหนดค่า CMP จะต้องแยกวัตถุประสงค์เหล่านี้

การยินยอมใช้คุกกี้ตามกฎหมายเวียดนาม

เวียดนามใช้แบบจำลองการยินยอมแบบ opt-in ไม่มีทางเลือกสำรองแบบแจ้งและเลือกสำหรับคุกกี้ที่รวบรวมข้อมูลส่วนบุคคล และมาตรฐานสำหรับการยินยอมที่ถูกต้องใกล้เคียงกับมาตรฐาน GDPR

ข้อกำหนดการยินยอมสี่ประการ

การยินยอมตามกฎหมายเวียดนามต้องเป็น:

CMP ที่สอดคล้องมีลักษณะอย่างไร

CMP ที่กำหนดค่าสำหรับการเข้าชมของเวียดนามในปี 2569 ควรนำเสนอ:

บันทึกการยินยอม

ผู้ประมวลผลต้องเก็บรักษาบันทึกการยินยอม ได้แก่ ใครยินยอม เมื่อใด กับสิ่งใด และผ่านอินเทอร์เฟซใด การดำเนินการบังคับใช้ของเวียดนามได้อ้างอิงถึงบันทึกการยินยอมที่ขาดหายหรือตรวจสอบไม่ได้แล้ว และ PDPL ทำให้ภาระผูกพันนี้เป็นทางการ CMP ที่ไม่สร้างบันทึกการยินยอมที่ส่งออกได้และมีการประทับเวลาไม่สอดคล้องกับกฎหมาย

การโอนข้อมูลข้ามพรมแดน — ส่วนที่ยากที่สุด

ระบอบการโอนข้อมูลข้ามพรมแดนของเวียดนามเป็นหนึ่งในระบอบที่เข้มงวดที่สุดในภูมิภาคและเป็นองค์ประกอบที่ผู้เผยแพร่ต่างประเทศส่วนใหญ่ประสบปัญหา

การประเมินผลกระทบการโอนข้อมูล

ก่อนที่จะโอนข้อมูลส่วนบุคคลของเวียดนามไปต่างประเทศ ซึ่งรวมถึงการส่งตัวระบุที่ได้จากคุกกี้ไปยังตลาดโฆษณาในต่างประเทศหรือผู้ให้บริการวิเคราะห์ ผู้ควบคุมต้องจัดทำ การประเมินผลกระทบการโอนข้อมูล การประเมินต้องบันทึกวัตถุประสงค์ หมวดหมู่ข้อมูล ประเทศปลายทางและผู้รับ มาตรการป้องกันทางเทคนิคและองค์กร และพื้นฐานทางกฎหมายสำหรับการโอนข้อมูล

การยื่นต่อ MPS

การประเมินต้องยื่นต่อกระทรวงความมั่นคงสาธารณะภายใน 60 วันนับจากเริ่มต้นการประมวลผล MPS มีอำนาจในการระงับการโอนข้อมูลข้ามพรมแดนหากการประเมินไม่เพียงพอหรือหากเขตอำนาจปลายทางถือว่าไม่เพียงพอ

ผลกระทบทางปฏิบัติสำหรับผู้เผยแพร่

สแต็กโฆษณาแบบโปรแกรมมาติกทั่วไปจะส่งข้อมูลผู้ใช้ผ่านผู้ขายต่างประเทศหลายสิบรายในไม่กี่มิลลิวินาที แต่ละกระแสข้อมูลเหล่านั้นถือเป็นการโอนข้อมูลส่วนบุคคลของเวียดนามข้ามพรมแดนอย่างเคร่งครัด ความเป็นจริงของปี 2569 คือผู้เผยแพร่ต่างประเทศส่วนใหญ่ไม่ว่าจะยื่นการประเมินแบบรวมศูนย์สำหรับรายชื่อผู้ขายทั้งหมดหรือลดจำนวนผู้ขายเพื่อลดภาระการประเมิน ทั้งสองวิธีไม่ใช่เรื่องเล็กน้อย และ MPS ได้ส่งสัญญาณว่าจะเริ่มบังคับใช้อย่างแข็งขันมากขึ้นกับกระแสข้อมูลข้ามพรมแดนในช่วงปี 2569

สิทธิ์ของเจ้าของข้อมูล

PDPL รวบรวมและเสริมสร้างสิทธิ์ที่ให้ภายใต้พระราชกฤษฎีกา เจ้าของข้อมูลชาวเวียดนามมีสิทธิ์:

ระยะเวลาการตอบสนอง

ผู้ควบคุมต้องตอบสนองต่อคำขอของเจ้าของข้อมูลภายใน 72 ชั่วโมง ในกรณีส่วนใหญ่ ซึ่งเป็นระยะเวลาที่แคบกว่ามาตรฐาน 30 วันของ GDPR อย่างมีนัยสำคัญ ความพร้อมในการดำเนินงานสำหรับระยะเวลานี้เป็นหนึ่งในช่องว่างการปฏิบัติตามกฎหมายที่พบบ่อยที่สุดสำหรับผู้เผยแพร่ต่างประเทศ และต้องการเครื่องมือและขั้นตอนการทำงานที่เร็วกว่าที่เป็นอยู่ในภูมิภาคอื่น

กฎพิเศษสำหรับผู้เยาว์

PDPL แนะนำการคุ้มครองเฉพาะสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ การยินยอมสำหรับการประมวลผลข้อมูลของบุคคลที่อายุต่ำกว่า 15 ปีต้องได้รับจากผู้ปกครองหรือผู้ปกครองตามกฎหมาย การประมวลผลข้อมูลสำหรับผู้ที่มีอายุ 15 ถึง 18 ปีต้องได้รับการยินยอมจากผู้เยาว์เอง แต่มีหน้าที่ความโปร่งใสและความระมัดระวังที่สูงขึ้น อินเทอร์เฟซการยินยอมใช้คุกกี้บนไซต์ที่ดึงดูดผู้ชมอายุต่ำกว่า 18 ปีจำนวนมากต้องมีขั้นตอนที่คำนึงถึงอายุ ซึ่งผู้เผยแพร่ต่างประเทศน้อยรายที่สร้างตามค่าเริ่มต้น

บทลงโทษและการบังคับใช้

PDPL ยกระดับเพดานค่าปรับทางปกครองอย่างมีนัยสำคัญ บทลงโทษรวมถึง:

แนวโน้มการบังคับใช้

MPS ค่อนข้างเงียบตลอดปี 2566 และต้นปี 2567 ขณะที่พระราชกฤษฎีกาถูกนำมาใช้ แต่การบังคับใช้ได้เพิ่มความเร็วขึ้นตลอดปี 2568 และต่อเนื่องถึงปี 2569 ผู้เผยแพร่ต่างประเทศถูกอ้างถึงในหลายการดำเนินการที่เผยแพร่ต่อสาธารณะ โดยมักจะมุ่งเน้นที่ปัญหาใดปัญหาหนึ่งในสาม ได้แก่ การยินยอมที่ขาดหายหรือไม่เพียงพอ การประเมินการโอนข้อมูลข้ามพรมแดนที่ยังไม่ได้ยื่น หรือความล้มเหลวในการตอบสนองต่อคำขอของเจ้าของข้อมูลภายใน 72 ชั่วโมง

รายการตรวจสอบการตรวจสอบสำหรับการเข้าชมของเวียดนามในปี 2569

แนวโน้มปี 2569

เส้นทางกฎระเบียบของเวียดนามชัดเจน PDPD ได้กำหนดกรอบ PDPL ทำให้มันแข็งแกร่งขึ้น การบังคับใช้กำลังขยายตัว สำหรับผู้เผยแพร่และผู้ลงโฆษณาที่ปฏิบัติต่อเวียดนามว่าเป็นตลาดที่มีกฎเกณฑ์ผ่อนปรน ปี 2569 คือปีที่แนวทางนั้นกลายเป็นสิ่งที่มีค่าใช้จ่ายสูง ข่าวดีคือสแต็กการยินยอมระดับ GDPR สมัยใหม่เป็นส่วนใหญ่ของสิ่งที่ต้องการ ช่องว่างมักจะเป็นระยะเวลาตอบสนอง 72 ชั่วโมง การยื่นการประเมินผลกระทบการโอนข้อมูล และการแปลเป็นภาษาท้องถิ่นภาษาเวียดนามของ CMP และนโยบายความเป็นส่วนตัว ช่องว่างเหล่านั้นเป็นเรื่องของการดำเนินงาน ไม่ใช่สถาปัตยกรรม และสามารถปิดได้ในไม่กี่สัปดาห์แทนที่จะเป็นไตรมาส ผู้เผยแพร่ที่ปิดช่องว่างเหล่านี้ก่อนที่ MPS จะมาถึงประตูจะไม่สังเกตเห็นการเปลี่ยนแปลง ส่วนผู้ที่รอจะสังเกตเห็น

← บล็อก อ่านทั้งหมด →