自2026年1月1日起,2025年个人数据保护法 (PDPL) 预计将正式进入法律实践,标志着越南企业管理的一个重大转折点。
Alt Text: 2025年PDPL下的30亿罚款风险警告及企业数据安全合规解决方案。
保护客户和员工的信息不再仅仅是建议或导向,而是一项关乎生存的强制性义务。主管部门正针对任何非法收集信息的行为紧缩法律包围圈。
行政罚款最高可达 30亿越南盾或总收入的5%,组织和企业需要做些什么来安全应对?
以下来自 Altas Corp 法律专家团队的文章将详细分析个人数据保护议定,并提供最完善的合规路线图。
1. 什么是2025年个人数据保护法?必然的转变
在全球数字化时代,个人数据不仅仅是身份识别信息。它已被提升为每个国家不可或缺的“战略资源”和无价“资产”。
数据经济的爆发
电子商务平台、社交网络和在线公共服务的爆发式增长产生了海量数据,随之而来的是网络犯罪的增加。
非法买卖、交换客户信息的行为公开进行,引发了巨大的社会舆论不满,并威胁到社会安全秩序。
从第 13/2023/ND-CP 号议定迈向 2025 年法律
越南政府已颁布个人数据保护议定(第 13/2023/ND-CP 号议定)作为重要的过渡步骤。这是该领域首份全面的法律文件。
然而,为了顺应融入国际的趋势和接轨欧洲 GDPR 等国际标准,将议定升级为 2025 年《个人数据保护法》是必然之举。
新法律将修补现有漏洞,同时加大处罚力度,迫使企业必须真正投入到信息安全建设中。
2. 个人数据分类:企业合规的基础
为了正确执行个人数据合规路线图,企业首先需要明确自己掌握着哪类信息资产。
根据现行法律规定,信息分为两个核心组别,要求的保护程度完全不同。
基础个人数据
这是用于在社会中识别特定个人的信息。它们非常普遍,且企业每天都在频繁收集。
该组别包括:姓名、出生日期、性别、常住登记地址、现居地、电话号码和电子邮箱。
此外,身份证号、公民身份卡号、护照号、个人税务代码以及面部图像也被归为基础数据组。
敏感个人数据
这是法律的“禁区”。敏感数据的泄露可能严重损害个人的合法权益。
企业在收集此类数据时必须遵守极其严格的法律约束,包括必须建立 DPIA 影响评估档案。
敏感数据包括:政治观点、宗教信仰、健康状况(血型信息除外)、性生活和性取向。
此外,通过定位服务确定的个人位置数据、遗传数据、生物识别特征(指纹、虹膜)以及银行账户数据也属于该组别。
3. PDPL 2025 罚款标准:企业的“红色警报”
新法与以往规定最大的区别在于制裁措施的严厉性。PDPL 的违规处罚旨在对资产达数十亿美元的集团也具有足够的威慑力。
巨额现金罚款形式
非法收集、买卖、转让数据等严重违规行为将面临巨额现金罚款。
根据违规程度和后果,职能部门可对单次违规处以数亿至 20 亿到 30 亿越南盾(VNĐ)的罚款。
这是一种财务杠杆,迫使公司必须摒弃基于谋取客户信息私利的经营习惯。
按营收百分比处罚
这是一项对大型企业具有“毁灭性”的规定。参照 GDPR 标准,罚款金额可根据营收比例计算。
对于造成广泛后果的特别严重违规行为,罚款额最高可达上一财政年度总营收的 5%。
这意味着公司规模越大、利润越高,如果安全系统存在漏洞,需缴纳的罚款数额就越惊人。
Alt Text: 警告:违反个人数据保护法的罚款最高可达企业总收入的5%或30亿越南盾。
附加处罚与法律后果
企业不仅面临经济损失,还必须应对具有“封锁”经营性质的附加处罚。
主管机关可以做出决定,暂停企业个人数据处理活动 1 至 3 个月。
甚至,企业可能会被吊销与信息收集相关的行业经营许可证,或被强制销毁全部违规的数据库系统。
4. 受 PDPL 直接影响的对象
个人数据保护法律的调节范围极其广泛。所有在越南进行信息处理活动的组织和个人都必须遵守。
以下是受这场法律“风暴”影响最严重的行业组别和部门。
金融、银行与保险业
该群体拥有海量的大数据 (Big Data),且充满了敏感信息。从信用历史、收入到医疗健康档案。
银行和保险公司必须重组整个存储系统以及向第三方(如债务追讨合作伙伴、保险代理人)共享信息的流程。
电子商务与零售企业
电商平台、超市连锁店经常跟踪数百万人的购物行为、消费习惯并存储支付信息。
基于用户数据进行定向广告 (Targeted Ads) 投放将面临更多障碍。他们强制要求必须拥有来自客户的明确许可机制 (Consent)。
技术解决方案、云服务与 SaaS 供应商
提供云存储服务、企业管理软件 (SaaS) 的公司充当“数据处理方”或“数据控制与处理方”。
他们必须证明其系统达到国际信息安全标准,并承诺在发生数据泄露 (Data Breach) 时承担连带责任。
人力资源部 (HR) 的潜在风险
许多企业误以为 PDPL 仅适用于客户。实际上,劳动者的信息也受到严格保护。
人力资源部门经常收集身份证、受扶养人信息、体检结果和考勤指纹。这些全部属于个人数据。
如果 HR 没有签署保密协议附件,或者未经许可向第三方分享应聘者简历,企业完全可能面临重罚。
5. 全方位合规路线图:5个“生死攸关”的步骤
为了避免遗憾的法律风险,坐等职能部门上门检查是一种错误策略。
Altas Corp 提出了一份包含 5 个关键阶段的个人数据合规路线图,旨在帮助企业主动掌控合规流程。
第一步:清点与数据映射 (Data Mapping)
在保护“宝藏”之前,你必须知道自己拥有什么。企业需要重新审查系统中流转的所有数据源。
需要准确回答以下问题:这些数据从何处收集?哪个部门负责持有?真实的执行目的是什么?
数据映射能帮助企业剔除冗余信息,避免违反“仅收集真正必要信息”的原则。
第二步:委任数据保护官 (DPO)
新法的出台带来了对全新职位的紧迫需求:个人数据保护专员 (DPO)。
特别是对于处理敏感数据的单位,根据法律规定,委任 DPO 是强制性要求。
DPO 不一定非要是 IT 人员。这是一位精通法律的人士,担任内部监督枢纽,并在有要求时直接与网络安全局对接工作。
第三步:完善“同意”机制 (Consent)
目前所有的信息收集活动都必须基于自愿原则。客户的沉默不被视为同意。
企业必须重新设计网站/App 界面。应取代深藏在冗长条款中的预选复选框 (Tick box),让客户必须亲手点击“同意”按钮。
隐私政策 (Privacy Policy) 必须使用易读的语言编写,透明化告知数据将用于何处以及分享给谁。
第四步:建立 DPIA 档案并更新合同
在审查完流程后,企业必须着手编写 DPIA(影响评估)档案。这是证明系统合法性的文件。
与此同时,法务部门需对与员工签署的所有劳动合同以及与合作伙伴(运输、支付)签署的服务合同进行全面审查。
需要补充数据处理协议附件,明确规定若合作伙伴导致公司客户信息泄露时的赔偿责任。
第五步:内部培训与应急响应
人始终是安全系统中最薄弱的一环。误点一封含有恶意软件的邮件就可能导致整个防火墙倒塌。
企业需要从最高层管理者到执行员工建立信息安全文化。必须定期举行网络安全培训。
同时,需要制定应急响应计划 (Incident Response Plan)。如果发生泄露,公司按规定最多有 72 小时向国家机关报告。
Alt Text: PDPL 2025合规5步走:审计、数据分类、DPIA评估、人员培训及运营。
6. 法律焦点:什么是 DPIA 影响评估报告?
在整个合规流程中,DPIA(个人数据处理影响评估)档案是令许多企业最感困惑的概念。
这不仅仅是一份简单的承诺书,而是一套深度的法律文件,要求结合法学知识与信息技术。
DPIA 档案的强制性结构
一份规范的 DPIA 档案必须展示企业数据流转运行的全景图。
强制性内容包括:企业的详细信息、负责的 DPO(数据保护官)人员信息,以及所收集数据类型的详细描述。
企业必须阐明处理目的、预计存储时间,以及允许用户请求删除其数据的机制。
风险评估与缓解措施
DPIA 最重要的部分是风险评估报告。企业必须设定最坏的情况:如果遭到黑客攻击,后果会如何?
随后,档案必须列出正在采用的预防性技术措施和管理措施。例如:端到端数据加密、物理访问权限控制、安装防火墙。
目的是向职能部门证明,企业已尽最大努力保护公民信息。
向网络安全局 (A05) 申报档案的规定
法律明确规定,企业自开始数据处理活动之日起有 60 天时间完成 DPIA 档案。
该档案必须常备于企业总部,以配合突击检查和视察工作。
同时,企业必须按照规定格式向公安部下属的个人数据保护专业机构(目前为 A05 局)提交一份 DPIA 档案原件。
