2026年越南數據保護法律體系架構

越南現行制度由兩層框架構成：2023年嘅PDPD同2026年嘅PDPL。兩者均已生效，發布商需要了解各層框架分別管轄哪些義務。

PDPD — 第13/2023/ND-CP號法令

該法令引入咗越南首個全面嘅個人數據定義、數據主體權利目錄、同意要求、跨境數據傳輸規則，以及基礎性嘅個人數據處理影響評估（DPIA）義務。該法令仍然有效，並繼續規範操作層面嘅具體事項。

PDPL — 2026年起施行

PDPL將該框架提升為主要立法，處罰力度更高，覆蓋範圍更廣。佢強化咗以同意為核心嘅模式，加強咗數據主體嘅權利，並擴大咗公安部（MPS）嘅執法權力，後者仍為主要監管機構。PDPL亦對敏感個人數據、自動化決策及未成年人數據處理引入咗更明確嘅規則。

監管對象

該法律適用於任何處理越南個人數據嘅行為，無論處理方位於何處。喺越南本地化網站上為越南用戶提供服務嘅美國發布商，或喺越南廣告資源上出價嘅程序化買家，均在監管範圍之內。呢種域外效力與GDPR模式一致，係越南監管框架中較為強勢嘅元素之一。

個人數據嘅界定範圍

越南對個人數據嘅定義寬泛，與國際標準高度一致。個人數據係指任何可識別或能夠識別特定自然人嘅信息，並分為兩類，對Cookie同意具有重要影響。

基本個人數據

基本個人數據包括姓名、出生日期、身份證件號碼、聯繫方式、設備標識符、IP地址同在線活動數據。大多數Cookie收集嘅數據均屬於此類，包括廣告標識符、會話ID以及根據瀏覽歷史構建嘅行為畫像。

敏感個人數據

敏感個人數據包括政治同宗教觀點、健康信息、基因數據、生物特徵數據、性取向、犯罪記錄、財務數據，以及——至關重要嘅——可用於識別特定個人嘅位置數據。敏感數據觸發最嚴格嘅同意要求，包括具體、單獨，喺某些情況下需要書面或可電子核驗嘅同意。

對Cookie嘅影響

僅收集基本會話標識符嘅Cookie屬於基本個人數據。而向基於位置嘅廣告受眾推送數據嘅Cookie——喺再營銷同地理定向廣告中十分常見——一旦位置數據具有識別性，則極可能涉及敏感個人數據。CMP配置必須將呢啲目的分開處理。

越南法律下嘅Cookie同意

越南採用選擇加入嘅同意模式。對於收集個人數據嘅Cookie，不存在通知與選擇嘅退而求其次方案，有效同意嘅標準與GDPR相近。

四項同意要求

根據越南法律，同意必須滿足以下條件：

• 具體 — 與明確標識嘅處理目的相關聯，而非籠統嘅總括式同意
• 知情 — 數據主體了解處理嘅數據內容、原因、接收方及保留期限
• 自願 — 唔得預先勾選選框，對於非必要處理唔得設置「同意或離開」嘅強制性選項
• 可表達且可撤回 — 用戶可透過清晰嘅機制提供同撤回同意

合規CMP嘅標準

針對越南流量配置嘅CMP應喺2026年呈現以下內容：

• 在任何非必要Cookie或追蹤器觸發之前，為越南用戶預設顯示越南語（Tiếng Việt）橫幅
• 分別設置接受、拒絕同自定義操作，視覺權重相當，不得使用暗黑模式
• 至少對以下目的提供精細化控制：分析、廣告、個性化、跨境傳輸，以及任何敏感類別處理（如精準位置）
• 提供持久且易於找到嘅機制，以便用戶喺初次選擇後更改或撤回同意
• 提供越南語隱私政策，明確披露處理方、數據類別、保留期限及用戶權利

同意記錄

數據處理方必須保存同意記錄——邊個喺幾時透過咩界面同意咗咩嘢。越南嘅執法行動已多次援引缺失或無法核實嘅同意日誌，PDPL將呢一義務正式化。無法生成可導出、帶時間戳同意日誌嘅CMP唔符合合規要求。

跨境數據傳輸 — 最具挑戰嘅環節

越南嘅跨境傳輸制度係該地區最嚴苛嘅之一，亦係大多數境外發布商面臨困難嘅主要原因。

傳輸影響評估

喺將越南個人數據傳輸至境外之前——包括將Cookie衍生標識符發送至境外廣告交易平台或數據分析供應商——數據控制方必須準備傳輸影響評估。評估須記錄目的、數據類別、接收國及接收方、技術與組織保障措施，以及傳輸嘅法律依據。

向公安部備案

評估報告須喺處理開始後60日內向公安部提交。公安部有權喺評估不充分或目標司法管轄區被認定不合格時暫停跨境傳輸。

對發布商嘅實際影響

典型嘅程序化廣告技術棧會喺毫秒內將用戶數據路由至數十家境外供應商。嚴格意義上，每一個數據流都構成越南個人數據嘅跨境傳輸。2026年嘅現實係，大多數境外發布商要麼針對其全部供應商列表提交綜合評估，要麼精簡供應商集合以減少評估負擔。兩種方式都非易事，公安部已發出信號，將喺2026年加強對跨境數據流嘅主動執法。

數據主體權利

PDPL整合並強化咗法令賦予嘅權利。越南數據主體享有以下權利：

• 知悉其數據處理情況嘅權利
• 訪問正在處理嘅數據嘅權利
• 更正不準確數據嘅權利
• 在處理不再有正當依據時刪除數據嘅權利
• 在特定情況下限制處理嘅權利
• 以與提供同意同樣便捷嘅方式撤回同意嘅權利
• 對產生重大影響嘅自動化決策提出異議嘅權利
• 向公安部投訴嘅權利

響應時限

喺大多數情況下，數據控制方必須喺72小時內響應數據主體請求——呢個比GDPR嘅30日標準要嚴格得多。滿足呢一時限嘅運營準備係境外發布商最常見嘅合規差距之一，需要比其他地區更快速嘅工具同操作手冊。

未成年人嘅特殊規定

PDPL專門引入咗針對未成年人個人數據處理嘅保護措施。對15歲以下未成年人數據處理嘅同意須由父母或法定監護人給出。對15至18歲未成年人數據嘅處理需要未成年人本人同意，但須履行更高嘅透明度同注意義務。面向大量18歲以下用戶群體嘅網站需要具備年齡感知功能嘅同意流程，而大多數境外發布商預設情況下尚未構建呢類流程。

處罰與執法

PDPL大幅提高咗行政罰款上限。處罰措施包括：

• 對涉及敏感個人數據或系統性違規嘅嚴重違規，處以最高全球年收入5%嘅罰款
• 暫停數據處理活動
• 強制暫停跨境傳輸
• 公開披露違規行為
• 對嚴重違規案件追究刑事責任，包括非法出售個人數據

執法趨勢

公安部喺2023年及2024年初相對沉寂，等待法令落地，但執法力度喺2025年及2026年明顯加速。境外發布商已喺多宗公開案件中被點名，幾乎都集中喺三個問題之一：缺失或不充分嘅同意、未提交嘅跨境傳輸評估，或未能喺72小時內響應數據主體請求。

2026年越南流量審計清單

• 對越南用戶以越南語提供CMP橫幅，接受、拒絕同自定義選項視覺權重相當
• 同意目的細化，並將敏感處理（如精準位置）單獨列出
• 同意日誌帶時間戳、可導出，並喺處理期間及可審計嘅額外時限內保留
• 隱私政策提供越南語版本，完整披露處理方、保留期限同用戶權利
• 已向公安部提交每項持續跨境數據流嘅傳輸影響評估
• 數據主體請求工作流可端到端喺72小時內響應
• 面向包含未成年人嘅受眾已部署年齡感知同意流程
• 已審查供應商列表嘅必要性，移除未使用或冗餘供應商以縮小跨境數據面

2026年展望

越南嘅監管走向已十分明確。PDPD奠定咗框架，PDPL將其強化。執法力度正在擴大。對於將越南視為輕監管市場嘅發布商同廣告商而言，2026年將係呢種做法代價高昂嘅一年。好消息係，一套現代化嘅符合GDPR標準嘅同意技術棧基本能夠滿足需求——差距通常在於72小時響應窗口、傳輸影響評估備案，以及CMP同隱私政策嘅越南語本地化。呢啲差距係運營層面嘅，而非架構層面嘅，數週之內即可彌補，而非需要數個季度。喺公安部登門之前完成整改嘅發布商唔會感到任何壓力。而嗰啲等待觀望嘅發布商，將會為此付出代價。