2026年越南数据保护法律体系架构

越南现行制度由两层框架构成：2023年的PDPD和2026年的PDPL。两者均已生效，发布商需要了解各层框架分别管辖哪些义务。

PDPD — 第13/2023/ND-CP号法令

该法令引入了越南首个全面的个人数据定义、数据主体权利目录、同意要求、跨境数据传输规则，以及基础性的个人数据处理影响评估（DPIA）义务。该法令仍然有效，并继续规范操作层面的具体事项。

PDPL — 2026年起施行

PDPL将该框架提升为主要立法，处罚力度更高，覆盖范围更广。它强化了以同意为核心的模式，加强了数据主体的权利，并扩大了公安部（MPS）的执法权力，后者仍为主要监管机构。PDPL还对敏感个人数据、自动化决策及未成年人数据处理引入了更明确的规则。

监管对象

该法律适用于任何处理越南个人数据的行为，无论处理方位于何处。在越南本地化网站上为越南用户提供服务的美国发布商，或在越南广告资源上出价的程序化买家，均在监管范围之内。这种域外效力与GDPR模式一致，是越南监管框架中较为强势的元素之一。

个人数据的界定范围

越南对个人数据的定义宽泛，与国际标准高度一致。个人数据是指任何可识别或能够识别特定自然人的信息，并分为两类，对Cookie同意具有重要影响。

基本个人数据

基本个人数据包括姓名、出生日期、身份证件号码、联系方式、设备标识符、IP地址和在线活动数据。大多数Cookie收集的数据均属于此类，包括广告标识符、会话ID以及根据浏览历史构建的行为画像。

敏感个人数据

敏感个人数据包括政治和宗教观点、健康信息、基因数据、生物特征数据、性取向、犯罪记录、财务数据，以及——至关重要的——可用于识别特定个人的位置数据。敏感数据触发最严格的同意要求，包括具体、单独，在某些情况下需要书面或可电子核验的同意。

对Cookie的影响

仅收集基本会话标识符的Cookie属于基本个人数据。而向基于位置的广告受众推送数据的Cookie——在再营销和地理定向广告中十分常见——一旦位置数据具有识别性，则极可能涉及敏感个人数据。CMP配置必须将这些目的分开处理。

越南法律下的Cookie同意

越南采用选择加入的同意模式。对于收集个人数据的Cookie，不存在通知与选择的退而求其次方案，有效同意的标准与GDPR相近。

四项同意要求

根据越南法律，同意必须满足以下条件：

• 具体 — 与明确标识的处理目的相关联，而非笼统的总括式同意
• 知情 — 数据主体了解处理的数据内容、原因、接收方及保留期限
• 自愿 — 不得预先勾选选框，对于非必要处理不得设置"同意或离开"的强制性选项
• 可表达且可撤回 — 用户可通过清晰的机制提供和撤回同意

合规CMP的标准

针对越南流量配置的CMP应在2026年呈现以下内容：

• 在任何非必要Cookie或追踪器触发之前，为越南用户默认显示越南语（Tiếng Việt）横幅
• 分别设置接受、拒绝和自定义操作，视觉权重相当，不得使用暗黑模式
• 至少对以下目的提供精细化控制：分析、广告、个性化、跨境传输，以及任何敏感类别处理（如精准位置）
• 提供持久且易于找到的机制，以便用户在初次选择后更改或撤回同意
• 提供越南语隐私政策，明确披露处理方、数据类别、保留期限及用户权利

同意记录

数据处理方必须保存同意记录——谁在何时通过何种界面同意了何事。越南的执法行动已多次援引缺失或无法核实的同意日志，PDPL将这一义务正式化。无法生成可导出、带时间戳同意日志的CMP不符合合规要求。

跨境数据传输 — 最具挑战的环节

越南的跨境传输制度是该地区最严苛的之一，也是大多数境外发布商面临困难的主要原因。

传输影响评估

在将越南个人数据传输至境外之前——包括将Cookie衍生标识符发送至境外广告交易平台或数据分析供应商——数据控制方必须准备传输影响评估。评估须记录目的、数据类别、接收国及接收方、技术与组织保障措施，以及传输的法律依据。

向公安部备案

评估报告须在处理开始后60天内向公安部提交。公安部有权在评估不充分或目标司法管辖区被认定不合格时暂停跨境传输。

对发布商的实际影响

典型的程序化广告技术栈会在毫秒内将用户数据路由至数十家境外供应商。严格意义上，每一个数据流都构成越南个人数据的跨境传输。2026年的现实是，大多数境外发布商要么针对其全部供应商列表提交综合评估，要么精简供应商集合以减少评估负担。两种方式都非易事，公安部已发出信号，将在2026年加强对跨境数据流的主动执法。

数据主体权利

PDPL整合并强化了法令赋予的权利。越南数据主体享有以下权利：

• 知悉其数据处理情况的权利
• 访问正在处理的数据的权利
• 更正不准确数据的权利
• 在处理不再有正当依据时删除数据的权利
• 在特定情况下限制处理的权利
• 以与提供同意同样便捷的方式撤回同意的权利
• 对产生重大影响的自动化决策提出异议的权利
• 向公安部投诉的权利

响应时限

在大多数情况下，数据控制方必须在72小时内响应数据主体请求——这比GDPR的30天标准要严格得多。满足这一时限的运营准备是境外发布商最常见的合规差距之一，需要比其他地区更快速的工具和操作手册。

未成年人的特殊规定

PDPL专门引入了针对未成年人个人数据处理的保护措施。对15岁以下未成年人数据处理的同意须由父母或法定监护人给出。对15至18岁未成年人数据的处理需要未成年人本人同意，但须履行更高的透明度和注意义务。面向大量18岁以下用户群体的网站需要具备年龄感知功能的同意流程，而大多数境外发布商默认情况下尚未构建这类流程。

处罚与执法

PDPL大幅提高了行政罚款上限。处罚措施包括：

• 对涉及敏感个人数据或系统性违规的严重违规，处以最高全球年收入5%的罚款
• 暂停数据处理活动
• 强制暂停跨境传输
• 公开披露违规行为
• 对严重违规案件追究刑事责任，包括非法出售个人数据

执法趋势

公安部在2023年及2024年初相对沉默，等待法令落地，但执法力度在2025年及2026年明显加速。境外发布商已在多起公开案件中被点名，几乎都集中在三个问题之一：缺失或不充分的同意、未提交的跨境传输评估，或未能在72小时内响应数据主体请求。

2026年越南流量审计清单

• 对越南用户以越南语提供CMP横幅，接受、拒绝和自定义选项视觉权重相当
• 同意目的细化，并将敏感处理（如精准位置）单独列出
• 同意日志带时间戳、可导出，并在处理期间及可审计的额外时限内保留
• 隐私政策提供越南语版本，完整披露处理方、保留期限和用户权利
• 已向公安部提交每项持续跨境数据流的传输影响评估
• 数据主体请求工作流可端到端在72小时内响应
• 面向包含未成年人的受众已部署年龄感知同意流程
• 已审查供应商列表的必要性，移除未使用或冗余供应商以缩小跨境数据面

2026年展望

越南的监管走向已十分明确。PDPD奠定了框架，PDPL将其强化。执法力度正在扩大。对于将越南视为轻监管市场的发布商和广告商而言，2026年将是这种做法代价高昂的一年。好消息是，一套现代化的符合GDPR标准的同意技术栈基本能够满足需求——差距通常在于72小时响应窗口、传输影响评估备案，以及CMP和隐私政策的越南语本地化。这些差距是运营层面的，而非架构层面的，数周之内即可弥补，而非需要数季度。在公安部登门之前完成整改的发布商不会感到任何压力。而那些等待观望的发布商，将会为此付出代价。