企业数据保护影响评估与报告责任指南

根据此前通知 "越南将于2026年1月起正式生效的新法规概要"，自2026年1月1日起，一项强制性合规义务是依据《2025年个人数据保护法》规定实施个人数据处理影响评估。

为有效协助企业进行准备，ALTAS特此提供有关要求、截止日期及适用对象的详细信息，以便客户进行评估与实施：

• 要求：处理敏感数据、大规模数据、应用新兴技术、跨境传输数据或进行监控/画像分析等特定情形的组织机构和企业，必须进行数据保护影响评估。

• 截止日期：影响评估档案需自数据处理开始之日起60天内提交至公安部。后续报告须每六个月提交一次。首次报告的最终截止日期为2026年3月1日。

• 适用对象：本要求适用于所有涉及强制性类别个人数据处理活动的组织机构和企业。特别需要注意的是，跨境数据传输需单独进行影响评估，且机构须承担同等的半年度报告义务。

详细内容如下：

自2026年1月1日起，《2025年个人数据保护法》正式生效，要求所有从事个人数据处理的组织机构和企业遵守新的法律义务。以下情形必须进行强制性数据保护影响评估（DPIA）：处理敏感个人数据（如健康、财务、生物识别或地理位置数据）、大规模数据处理、应用新兴技术（如人工智能、面部识别、行为追踪）、跨境数据传输，或涉及个人监控与画像分析的活动。

属于上述情形的组织机构和企业，须编制DPIA档案并在个人数据处理启动后60天内向公安部（网络安全与高科技犯罪预防局）提交报告。档案需完整描述处理流程、数据类型、使用目的、潜在风险及保护措施。此后，机构须每六个月更新并提交关于数据保护状况、新出现风险及应对措施的定期报告。据此，提交首次DPIA报告的最终截止日期为2026年3月1日。

针对跨境个人数据传输——例如（1）使用位于海外的云存储服务，或（2）与可访问个人数据的海外合作伙伴开展业务——机构必须进行独立的影响评估，并在首次数据传输启动后60天内向公安部提交报告。同时，机构须持续履行每六个月报告一次的义务，说明与跨境数据传输相关的数据保护状况、风险及管控措施。这些要求旨在确保国际数据处理全过程的透明度、安全性与合规性。

该法律还为中小型和初创企业制定了过渡性条款。具体而言，这些实体可自法律生效之日起五年内（即截至2030年12月31日）选择是否遵守第21条（国内处理DPIA）、第22条（跨境传输DPIA）及第33条第2款（半年度报告）的规定。但以下情形的中小型或初创企业除外：（i）从事个人数据处理服务业务，（ii）直接处理敏感个人数据，或（iii）处理大量数据主体数据——此类企业仍需自始完全遵守法律规定。

中小企业依据《2017年中小企业扶持法》界定，主要基于三项关键标准：员工数量、年收入及资本规模。具体如下：

 微型企业：
o 商业、服务业：员工少于10人，年收入≤1000亿越南盾或资本≤30亿越南盾
o 农业、工业、建筑业：员工少于10人，年收入≤30亿越南盾或资本≤30亿越南盾
 小型企业：
o 商业、服务业：员工10–50人，年收入100–1000亿越南盾或资本30–500亿越南盾
o 农业、工业、建筑业：员工10–100人，年收入30–500亿越南盾或资本30–200亿越南盾
 初创企业：通常指运营时间不足五年、具有创新商业模式，且受国家创业扶持计划认可的企业。

尽管在五年过渡期内（2026年1月1日至2030年12月31日）部分义务得以豁免，中小型和初创企业仍须遵循个人数据保护核心原则。具体包括：获取数据主体明确同意、确保数据机密性、禁止未授权共享以及在处理目的实现后删除数据。

总而言之，尽管法律为过渡期的中小型和初创企业提供了灵活性，所有机构都需主动审查其数据处理活动以明确适用法律责任。合规操作不仅能降低法律风险，更有助于在日益重视隐私的数字环境中建立与客户和合作伙伴间的信任。