Декрет та Закон В'єтнаму про захист персональних даних: Посібник із згоди на файли cookie та відповідності для видавців у 2026 році
В'єтнам за трохи більше ніж три роки пройшов шлях від практичної відсутності єдиної системи захисту персональних даних до одного з найвимогливіших режимів згоди в Південно-Східній Азії. Декрет про захист персональних даних (PDPD), Декрет 13/2023/ND-CP, набрав чинності у липні 2023 року. Закон про захист персональних даних (PDPL), прийнятий Національними зборами у 2025 році, набрав чинності 1 січня 2026 року і піднімає більшість принципів Декрету до рівня первинного законодавства з посиленим правозастосуванням та ширшою сферою охоплення. Для будь-якого видавця, рекламодавця або платформи, що обробляє дані в'єтнамських користувачів — незалежно від місця розташування — середовище 2026 року суттєво відрізняється від того, що було лише рік тому. Цей посібник розглядає реальні вимоги закону, порядок налаштування згоди на файли cookie, механізм транскордонних передач даних та практику правозастосування.
Структура в'єтнамського законодавства про захист даних у 2026 році
Режим В'єтнаму тепер являє собою дворівневу систему: PDPD 2023 року та PDPL 2026 року. Обидва діють, і видавцям необхідно розуміти, який рівень регулює яке зобов'язання.
PDPD — Декрет 13/2023/ND-CP
Декрет запровадив першу комплексну дефініцію персональних даних у В'єтнамі, каталог прав суб'єктів даних, вимоги щодо згоди, правила транскордонних передач даних та основоположне зобов'язання щодо Оцінки впливу на захист персональних даних (DPIA). Він залишається чинним і продовжує регулювати операційні деталі.
PDPL — Чинний з 2026 року
PDPL піднімає систему до рівня первинного законодавства з вищими штрафами та ширшою сферою застосування. Він зміцнює модель, що ґрунтується на згоді, посилює права суб'єктів даних та розширює повноваження Міністерства громадської безпеки (MPS), яке залишається основним регулятором. PDPL також запроваджує чіткіші правила щодо чутливих персональних даних, автоматизованого прийняття рішень та обробки даних неповнолітніх.
Хто підпадає під регулювання
Закон поширюється на будь-яку обробку в'єтнамських персональних даних незалежно від місцезнаходження оператора. Видавець зі США, який обслуговує в'єтнамських користувачів через локалізований сайт, або програматичний покупець, що робить ставки на в'єтнамський інвентар, підпадає під дію закону. Цей екстериторіальний охоплення відображає модель GDPR і є одним із найагресивніших елементів в'єтнамської системи.
Що вважається персональними даними
В'єтнамське визначення персональних даних є широким і тісно узгоджується з міжнародним стандартом. Персональні дані — це будь-яка інформація, що ідентифікує або може ідентифікувати конкретну фізичну особу, і вона поділяється на дві категорії, що мають велике значення для згоди на файли cookie.
Основні персональні дані
Основні персональні дані включають ім'я, дату народження, ідентифікаційні номери, контактні дані, ідентифікатори пристроїв, IP-адреси та дані про онлайн-активність. Більшість даних, що збираються файлами cookie, належать до цієї категорії, включаючи рекламні ідентифікатори, ідентифікатори сеансів і поведінкові профілі, сформовані на основі історії перегляду.
Чутливі персональні дані
Чутливі персональні дані включають політичні та релігійні погляди, медичну інформацію, генетичні дані, біометричні дані, сексуальну орієнтацію, судимості, фінансові дані та — що принципово важливо — дані геолокації, що можуть бути використані для ідентифікації конкретної особи. Чутливі дані активують найсуворіші вимоги щодо згоди, включаючи специфічну, окрему, а в деяких випадках письмову або електронно верифіковану згоду.
Чому це важливо для файлів cookie
Файл cookie, що збирає лише базовий ідентифікатор сеансу, є основними персональними даними. Файл cookie, що формує аудиторію для реклами на основі геолокації — поширене явище в ретаргетингових та геотаргетованих кампаніях — скоріш за все торкається чутливих персональних даних у момент, коли геолокація стає ідентифікаційною. Конфігурація CMP повинна розмежовувати ці цілі.
Згода на файли cookie відповідно до в'єтнамського законодавства
В'єтнам дотримується моделі згоди opt-in. Для файлів cookie, що збирають персональні дані, немає альтернативи у вигляді лише повідомлення та вибору, а стандарт дійсної згоди подібний до стандарту GDPR.
Чотири вимоги до згоди
Згода відповідно до в'єтнамського законодавства повинна бути:
- Конкретною — пов'язаною з чітко визначеною метою обробки, а не загальною всеосяжною згодою
- Поінформованою — суб'єкт даних розуміє, які дані обробляються, чому, хто їх отримує та на який термін
- Добровільною — без попередньо встановлених прапорців, без стін «дай згоду або залиш» для необов'язкової обробки
- Такою, що може бути виражена та відкликана — користувач може надати та відкликати згоду через чіткий механізм
Як виглядає відповідний CMP
CMP, налаштований для в'єтнамського трафіку у 2026 році, повинен містити:
- Видимий банер до спрацювання будь-якого необов'язкового файлу cookie чи трекера, в'єтнамською мовою (Tiếng Việt) за замовчуванням для в'єтнамських користувачів
- Окремі дії «Прийняти», «Відхилити» та «Налаштувати» з рівнозначним візуальним виділенням — без темних патернів
- Детальне керування щонайменше такими цілями: аналітика, реклама, персоналізація, транскордонна передача та будь-яка обробка чутливих категорій, як-от точна геолокація
- Постійний, легкодоступний механізм для зміни або відкликання згоди після початкового вибору
- Політику конфіденційності в'єтнамською мовою з чітким розкриттям процесорів, категорій даних, строків зберігання та прав користувачів
Записи про згоду
Оператори повинні вести записи про згоду — хто надав згоду, коли, на що та через який інтерфейс. В'єтнамські правозастосовні дії вже посилалися на відсутні або неверифіковані журнали згоди, а PDPL формалізує це зобов'язання. CMP, що не генерує журналів згоди з можливістю експорту та позначеними часовими мітками, є невідповідним.
Транскордонна передача даних — Найскладніша частина
Режим транскордонних передач В'єтнаму є одним із найвимогливіших у регіоні і є елементом, з яким найбільше борються іноземні видавці.
Оцінка впливу передачі
Перш ніж передавати в'єтнамські персональні дані за кордон — що включає надсилання ідентифікаторів, отриманих з файлів cookie, до закордонної рекламної біржі або постачальника аналітики — контролер повинен підготувати Оцінку впливу передачі. Оцінка має документувати мету, категорії даних, країну та отримувача призначення, технічні та організаційні гарантії, а також правову підставу для передачі.
Подання до MPS
Оцінка має бути подана до Міністерства громадської безпеки протягом 60 днів з початку обробки. MPS має повноваження призупиняти транскордонні передачі, якщо оцінка є неналежною або якщо юрисдикція призначення вважається недостатньою.
Практичні наслідки для видавців
Типовий програматичний рекламний стек маршрутизує дані користувачів через десятки закордонних постачальників за мілісекунди. Кожен із цих потоків є, строго кажучи, транскордонною передачею в'єтнамських персональних даних. Реальність 2026 року така, що більшість іноземних видавців або подають консолідовані оцінки для всього списку постачальників, або скорочують список постачальників для зменшення навантаження з оцінки. Жодне з цього не є тривіальним, і MPS сигналізувало, що у 2026 році розпочне активніше правозастосування щодо транскордонних потоків.
Права суб'єктів даних
PDPL консолідує та зміцнює права, надані за Декретом. В'єтнамські суб'єкти даних мають право:
- Отримувати інформацію про обробку своїх даних
- Отримувати доступ до даних, що обробляються
- Виправляти неточні дані
- Видаляти дані, якщо їх обробка більше не є обґрунтованою
- Обмежувати обробку за певних обставин
- Відкликати згоду з такою самою легкістю, з якою вона була надана
- Заперечувати проти автоматизованого прийняття рішень, що тягне за собою суттєві наслідки
- Подавати скарги до Міністерства громадської безпеки
Строки реагування
Контролери повинні відповідати на запити суб'єктів даних протягом 72 годин у більшості випадків — значно стислий строк порівняно з 30-денним стандартом GDPR. Операційна готовність до цього часового вікна є одним із найпоширеніших прогалин у дотриманні вимог для іноземних видавців і вимагає інструментів та регламентів, швидших за типові в інших регіонах.
Спеціальні правила щодо неповнолітніх
PDPL запроваджує спеціальні засоби захисту щодо обробки персональних даних неповнолітніх. Згода на обробку даних особи, яка не досягла 15 років, повинна надаватись батьком або законним опікуном. Обробка даних осіб у віці від 15 до 18 років вимагає власної згоди неповнолітнього, але з підвищеними обов'язками прозорості та дбайливості. Інтерфейси згоди на файли cookie на сайтах, що приваблюють значну аудиторію до 18 років, потребують потоків з урахуванням віку, які лише деякі іноземні видавці реалізували за замовчуванням.
Штрафи та правозастосування
PDPL суттєво підвищує стелю адміністративних штрафів. Санкції включають:
- Штрафи до 5 відсотків глобального річного доходу за серйозні порушення, що стосуються чутливих персональних даних або системних збоїв
- Призупинення діяльності з обробки
- Обов'язкові заборони транскордонних передач
- Публічне розкриття порушення
- Кримінальна відповідальність за грубі порушення, включаючи незаконний продаж персональних даних
Тенденція правозастосування
MPS діяло відносно спокійно у 2023 році та на початку 2024 року, поки Декрет приживався, але правозастосування прискорилося протягом 2025 року та у 2026 році. Іноземні видавці фігурували в кількох оприлюднених справах, майже завжди з акцентом на одній із трьох проблем: відсутня або неналежна згода, неподані оцінки транскордонних передач або несвоєчасне реагування на запити суб'єктів даних у межах 72-годинного вікна.
Контрольний список аудиту для в'єтнамського трафіку у 2026 році
- Банер CMP відображається в'єтнамською мовою для в'єтнамських користувачів; «Прийняти», «Відхилити» та «Налаштувати» мають однакову візуальну виразність
- Цілі згоди є детальними і розмежовують чутливу обробку, як-от точна геолокація
- Журнали згоди мають часові мітки, доступні для експорту та зберігаються протягом усього часу обробки плюс придатний для аудиту відступ
- Політика конфіденційності доступна в'єтнамською мовою з повним розкриттям відомостей про процесорів, строки зберігання та права
- Оцінка впливу передачі подана до MPS для кожного поточного транскордонного потоку
- Робочий процес запитів суб'єктів даних може реагувати протягом 72 годин від початку до кінця
- Потік згоди з урахуванням віку налаштований для аудиторій, що включають неповнолітніх
- Список постачальників переглянуто на предмет необхідності; невикористовувані або надлишкові постачальники видалені для скорочення транскордонної поверхні
Перспективи 2026 року
Регуляторна траєкторія В'єтнаму очевидна. PDPD заклав систему. PDPL її посилив. Правозастосування розширюється. Для видавців і рекламодавців, які ставилися до В'єтнаму як до ринку з м'якіший регулюванням, 2026 рік — це рік, коли такий підхід стає дорогим. Добра новина полягає в тому, що сучасний стек згоди рівня GDPR — це більша частина того, що потрібно. Прогалини, як правило, — це 72-годинне вікно реагування, подання Оцінок впливу передачі та в'єтнамська локалізація CMP і політики конфіденційності. Ці прогалини є операційними, а не архітектурними, і можуть бути усунені за тижні, а не квартали. Видавці, які усунуть їх до того, як MPS постукає у двері, не відчують переходу. Ті, хто зволікатиме, — відчують.