越南社会主义共和国
独立 – 自由 – 幸福

第13/2023/NĐ-CP号个人数据保护令

(2023年4月17日由越南政府颁布,2023年7月1日生效)

根据2015年6月19日《政府组织法》;2019年11月22日《政府组织法》及《地方政权组织法》部分条款修改补充法;
根据2015年11月24日《民法典》;
根据2004年12月3日《国家安全法》;
根据2018年6月12日《网络安全法》;
依据公安部部长的提议;
政府颁布本个人数据保护令。

第一章 一般规定

第一条 调整范围及适用对象
  1. 本令规定个人数据保护相关事宜及相关机关、组织、个人的个人数据保护责任。
  2. 本令适用于:
    a) 越南机关、组织、个人;
    b) 在越南的外国机关、组织、个人;
    c) 在国外活动的越南机关、组织、个人;
    d) 直接参与或涉及越南境内个人数据处理活动的外国机关、组织、个人。
第二条 术语解释

本令中,下列术语定义如下:

  1. 个人数据:指以符号、文字、数字、图像、声音或类似形式存储在电子环境中,与特定个人相关联或可用于识别特定个人的信息。个人数据包括基本个人数据和敏感个人数据。
  2. 可识别特定个人的信息:指由个人活动产生的信息,当与其他存储的数据、信息结合时可识别特定个人的信息。
  3. 基本个人数据包括:
    a) 姓名、曾用名(如有);
    b) 出生年月日、死亡或失踪年月日;
    c) 性别;
    d) 出生地、出生登记地、常住地、暂住地、现居住地、籍贯、联系地址;
    e) 国籍;
    f) 个人肖像;
    g) 电话号码、身份证号、个人识别号、护照号、驾驶证号、车牌号、个人税号、社会保险号、医保卡号;
    h) 婚姻状况;
    i) 家庭关系信息(父母、子女);
    j) 个人账号信息;反映个人在网络空间活动及活动历史的个人数据;
    k) 其他与特定个人相关联或可识别特定个人且不属于本条第4款规定的信息。
  4. 敏感个人数据:指与个人隐私相关联,一旦遭到侵犯将直接影响个人合法权益的个人数据,包括:
    a) 政治观点、宗教信仰;
    b) 病历中记载的健康状况和隐私(不含血型信息);
    c) 与种族、民族渊源相关的信息;
    d) 个人遗传特征相关信息;
    e) 个人生理特征、生物特征相关信息;
    f) 个人性生活、性取向相关信息;
    g) 执法机关收集、存储的犯罪记录、违法行为相关数据;
    h) 信贷机构、外国银行分行、支付中介服务机构及其他获准设立的机构的客户信息,包括法律规定的客户身份信息、账户信息、存款信息、质押财产信息、交易信息、信贷机构、银行分行、支付中介服务机构的担保人组织或个人信息;
    i) 通过定位服务获取的个人位置数据;
    j) 法律规定为特殊数据且需采取必要安全保护措施的其他个人数据。
  5. 个人数据保护:指根据法律规定,预防、发现、制止、处理与个人数据相关的违法行为的活动。
  6. 数据主体:指个人数据所反映的个人。
  7. 个人数据处理:指对个人数据实施的一项或多项操作,如收集、记录、分析、确认、存储、修改、公开、合并、访问、检索、回收、加密、解密、复制、共享、传输、提供、转移、删除、销毁个人数据或其他相关操作。
  8. 数据主体同意:指数据主体明确、自愿表示同意对其个人数据进行处理的行为。
  9. 个人数据控制者:指决定个人数据处理目的和方式的组织、个人。
  10. 个人数据处理者:指根据与个人数据控制者签订的合同或协议,代表个人数据控制者实施数据处理的组织、个人。
  11. 个人数据控制及处理者:指同时决定数据处理目的、方式并直接实施个人数据处理的组织、个人。
  12. 第三方:指数据主体、个人数据控制者、个人数据处理者、个人数据控制及处理者以外获准处理个人数据的组织、个人。
  13. 自动化个人数据处理:指通过电子手段实施的个人数据处理形式,用于评估、分析、预测特定个人的活动,如习惯、偏好、可信度、行为、地点、趋势、能力等情况。
  14. 个人数据跨境传输:指通过网络空间、电子设备、电子手段或其他形式,将越南公民的个人数据传输至越南社会主义共和国领土以外的地点,或利用越南社会主义共和国领土以外的地点处理越南公民个人数据的活动,包括:
    a) 组织、企业、个人将越南公民的个人数据传输给国外的组织、企业、管理部门,用于经数据主体同意的目的;
    b) 个人数据控制者、个人数据控制及处理者、个人数据处理者利用位于越南社会主义共和国领土以外的自动化系统,处理经数据主体同意的越南公民个人数据。
第三条 个人数据保护原则
  1. 个人数据应依法处理。
  2. 数据主体有权知晓与其个人数据处理相关的活动,法律另有规定的除外。
  3. 个人数据处理应仅符合个人数据控制者、个人数据处理者、个人数据控制及处理者、第三方已登记、声明的个人数据处理目的。
  4. 收集的个人数据应与处理目的相符且限定在必要范围。禁止以任何形式买卖个人数据,法律另有规定的除外。
  5. 个人数据应根据处理目的及时更新、补充。
  6. 在个人数据处理全过程中应采取保护、安全措施,包括防范违反个人数据保护规定的行为,以及防范因事故导致的数据丢失、损坏或损害,并采取技术措施。
  7. 个人数据的存储期限应与数据处理目的相适应,法律另有规定的除外。
  8. 个人数据控制者、个人数据控制及处理者应遵守本条第1款至第7款规定的处理原则,并证明其遵守该等处理原则。
第四条 违反个人数据保护规定的处理

机关、组织、个人违反个人数据保护规定的,根据情节轻重,可依法受到纪律处分、行政处罚或刑事处罚。

第五条 个人数据保护的国家管理

政府统一行使个人数据保护的国家管理权。
个人数据保护的国家管理内容包括:

  1. 向有权国家机关提出立法建议或依法颁布个人数据保护相关法规文件,并指导、组织实施该等法规文件。
  2. 制定并组织实施个人数据保护相关战略、政策、规划、项目、计划。
  3. 指导机关、组织、个人按照法律规定采取个人数据保护措施、遵循个人数据保护程序及标准。
  4. 宣传、教育个人数据保护相关法律;普及个人数据保护知识、技能。
  5. 培养、培训负责个人数据保护工作的干部、公务员、工作人员及相关人员。
  6. 检查、监督个人数据保护相关法律的执行情况;按照法律规定处理与个人数据保护相关的申诉、举报及违法行为。
  7. 统计、汇总个人数据保护情况及相关法律执行情况,并向有权国家机关报告。
  8. 开展个人数据保护相关国际合作。
第六条 个人数据保护令、相关法律及国际条约的适用

个人数据保护应依据越南社会主义共和国加入的国际条约、其他相关法律规定及本令执行。

第七条 个人数据保护国际合作
  1. 建立国际合作机制,为有效执行个人数据保护相关法律创造条件。
  2. 与其他国家开展个人数据保护司法协助,包括通报、申诉请求、调查协助及信息交流,并采取适当保护措施保障个人数据安全。
  3. 组织会议、研讨会、科学研究,推动个人数据保护相关法律执行的国际合作活动。
  4. 组织双边、多边会晤,交流个人数据保护相关立法及实践经验。
  5. 转让服务于个人数据保护的技术。
第八条 禁止行为
  1. 违反个人数据保护相关法律规定处理个人数据。
  2. 处理个人数据以制作反对越南社会主义共和国的信息、数据。
  3. 处理个人数据以制作危害国家安全、社会秩序、其他组织或个人合法权益的信息、数据。
  4. 阻碍有权机关的个人数据保护活动。
  5. 利用个人数据保护活动从事违法犯罪行为。

第二章 个人数据保护活动

第一节 数据主体的权利与义务
第九条 数据主体的权利
  1. 知情权:数据主体有权知晓与其个人数据处理相关的活动,法律另有规定的除外。
  2. 同意权:数据主体有权同意或不同意对其个人数据进行处理,本令第十七条规定的情形除外。
  3. 访问权:数据主体有权访问、查阅、修改或要求修改其个人数据,法律另有规定的除外。
  4. 撤回同意权:数据主体有权撤回其同意,法律另有规定的除外。
  5. 数据删除权:数据主体有权删除或要求删除其个人数据,法律另有规定的除外。
  6. 数据处理限制权:
    a) 数据主体有权要求限制对其个人数据的处理,法律另有规定的除外;
    b) 除法律另有规定外,数据处理限制应在收到数据主体请求后的72小时内,对数据主体要求限制的全部个人数据实施。
  7. 数据获取权:数据主体有权要求个人数据控制者、个人数据控制及处理者向其提供本人的个人数据,法律另有规定的除外。
  8. 反对数据处理权:
    a) 数据主体有权反对个人数据控制者、个人数据控制及处理者处理其个人数据,以防止或限制个人数据泄露或用于广告、营销目的,法律另有规定的除外;
    b) 除法律另有规定外,个人数据控制者、个人数据控制及处理者应在收到数据主体请求后的72小时内满足其要求。
  9. 申诉、举报、起诉权:数据主体有权依法申诉、举报或提起诉讼。
  10. 损害赔偿请求权:当个人数据保护规定遭到违反时,数据主体有权依法要求损害赔偿,当事人另有约定或法律另有规定的除外。
  11. 自我保护权:数据主体有权根据《民法典》、其他相关法律及本令规定进行自我保护,或要求有权机关、组织按照2015年《民法典》第十一条规定的民事权利保护方式提供保护。
第十条 数据主体的义务
  1. 自我保护本人的个人数据;要求相关其他组织、个人保护本人的个人数据。
  2. 尊重、保护他人的个人数据。
  3. 同意个人数据处理时,提供完整、准确的个人数据。
  4. 参与个人数据保护技能的宣传、普及活动。
  5. 遵守个人数据保护相关法律规定,参与防范、打击违反个人数据保护规定的行为。
第二节 个人数据处理过程中的个人数据保护
第十一条 数据主体的同意
  1. 除法律另有规定外,数据主体的同意适用于个人数据处理全过程的所有活动。
  2. 数据主体的同意仅在其自愿且明确知晓以下内容时有效:
    a) 拟处理的个人数据类型;
    b) 个人数据处理目的;
    c) 获准处理个人数据的组织、个人;
    d) 数据主体的权利和义务。
  3. 数据主体的同意应通过书面形式、口头形式、勾选同意框、短信同意格式、选择技术同意设置或其他可体现同意的行为明确、具体地作出。
  4. 同意应针对同一目的作出。若存在多个目的,个人数据控制者、个人数据控制及处理者应列出各项目的,由数据主体选择同意其中一项或多项。
  5. 数据主体的同意应采用可打印、复制的书面形式(包括电子形式或可验证格式)。
  6. 数据主体的沉默或不回应不得视为同意。
  7. 数据主体可部分同意或附加条件同意。
  8. 处理敏感个人数据时,应告知数据主体拟处理的数据为敏感个人数据。
  9. 数据主体的同意在其作出其他决定或有权国家机关书面要求前持续有效。
  10. 发生争议时,个人数据控制者、个人数据控制及处理者有责任证明数据主体已作出同意。
  11. 根据《民法典》规定的授权,经数据主体明确知晓并按照本条第3款规定同意后,组织、个人可代表数据主体与个人数据控制者、个人数据控制及处理者办理与个人数据处理相关的手续,法律另有规定的除外。
第十二条 同意的撤回
  1. 撤回同意不影响撤回前已获同意的个人数据处理行为的合法性。
  2. 撤回同意应采用可打印、复制的书面形式(包括电子形式或可验证格式)。
  3. 收到数据主体撤回同意的请求后,个人数据控制者、个人数据控制及处理者应告知数据主体撤回同意可能产生的后果和损害。
  4. 完成本条第2款规定后,个人数据控制者、个人数据处理者、个人数据控制及处理者、第三方应停止处理,并要求相关其他组织、个人停止处理已撤回同意的数据主体的个人数据。
第十三条 个人数据处理通知
  1. 个人数据处理活动实施前,应向数据主体进行一次通知。
  2. 向数据主体发出的个人数据处理通知应包含以下内容:
    a) 处理目的;
    b) 与本条第2款a项规定的处理目的相关的拟使用的个人数据类型;
    c) 处理方式;
    d) 与本条第2款a项规定的处理目的相关的其他组织、个人信息;
    e) 可能产生的意外后果和损害;
    f) 数据处理的起止时间。
  3. 向数据主体发出的通知应采用可打印、复制的书面形式(包括电子形式或可验证格式)。
  4. 存在下列情形之一的,个人数据控制者、个人数据控制及处理者无需遵守本条第1款规定:
    a) 数据主体在同意个人数据控制者、个人数据控制及处理者收集其个人数据前,已明确知晓并完全同意本条第1款和第2款规定的全部内容,且符合本令第九条规定;
    b) 有权国家机关为履行其法定职责而处理个人数据。
第十四条 个人数据提供
  1. 数据主体有权要求个人数据控制者、个人数据控制及处理者向其提供本人的个人数据。
  2. 个人数据控制者、个人数据控制及处理者:
    a) 经数据主体同意后,可向其他组织、个人提供该数据主体的个人数据,法律另有规定的除外;
    b) 经数据主体同意授权后,可代表数据主体向其他组织、个人提供该数据主体的个人数据,法律另有规定的除外。
  3. 除法律另有规定外,个人数据控制者、个人数据控制及处理者应在收到数据主体请求后的72小时内提供个人数据。
  4. 存在下列情形之一的,个人数据控制者、个人数据控制及处理者不得提供个人数据:
    a) 危害国防、国家安全、社会秩序;
    b) 可能影响他人的安全、身体健康或精神健康;
    c) 数据主体不同意提供,或未同意授权他人接收个人数据。
  5. 个人数据提供请求的形式:
    a) 数据主体直接或授权他人到个人数据控制者、个人数据控制及处理者的办公场所提出个人数据提供请求。
    接收请求的人员有责任指导请求的组织、个人填写《个人数据提供请求表》。
    若请求提供信息的组织、个人不识字或因残疾无法书写请求,接收信息提供请求的人员有责任协助填写《个人数据提供请求表》;
    b) 通过电子网络、邮政服务、传真等方式,向个人数据控制者、个人数据控制及处理者提交本令附件规定的01号、02号格式《个人数据提供请求表》。
  6. 《个人数据提供请求表》应以越南语填写,主要包含以下内容:
    a) 请求人的姓名、居住地、地址;身份证号、公民身份证号或护照号;传真号、电话号码、电子邮箱(如有);
    b) 拟请求提供的个人数据(需注明相关文件、档案、资料名称);
    c) 个人数据提供形式;
    d) 请求提供个人数据的理由和目的。
  7. 若为本条第2款规定的个人数据提供请求,应附上相关个人、组织的同意文件。
  8. 个人数据提供请求的接收:
    a) 个人数据控制者、个人数据控制及处理者有责任接收个人数据提供请求,并跟踪、记录根据请求提供个人数据的过程及清单;
    b) 若请求提供的个人数据不属于其职权范围,收到请求的个人数据控制者、个人数据控制及处理者应告知并指导请求的组织、个人向有权机关提出请求,或明确说明无法提供该个人数据。
  9. 个人数据提供请求的处理:
    收到合法的个人数据提供请求后,个人数据控制者、个人数据控制及处理者有责任告知数据提供的期限、地点、形式;打印、复制、拍摄、通过邮政服务或传真发送信息的实际费用(如有)及支付方式、期限;并按照本条规定的程序处理个人数据提供请求。
第十五条 个人数据修改
  1. 数据主体:
    a) 经个人数据控制者、个人数据控制及处理者根据其同意收集个人数据后,有权访问、查阅、修改本人的个人数据,法律另有规定的除外;
    b) 若因技术原因或其他原因无法直接修改,数据主体有权要求个人数据控制者、个人数据控制及处理者修改本人的个人数据。
  2. 个人数据控制者、个人数据控制及处理者应在获得数据主体同意后,尽快或按照相关专业法律规定修改数据主体的个人数据。若无法修改,应在收到数据主体个人数据修改请求后的72小时内告知数据主体。
  3. 经个人数据控制者、个人数据控制及处理者书面同意,并明确知晓已获得数据主体同意后,个人数据处理者、第三方方可修改数据主体的个人数据。
第十六条 个人数据的存储、删除、销毁
  1. 存在下列情形之一的,数据主体有权要求个人数据控制者、个人数据控制及处理者删除本人的个人数据:
    a) 发现该个人数据已无必要用于已同意的收集目的,并接受删除数据可能产生的损害;
    b) 撤回同意;
    c) 反对数据处理,且个人数据控制者、个人数据控制及处理者无正当理由继续处理;
    d) 个人数据的处理不符合已同意的目的或违反法律规定;
    e) 法律规定应删除该个人数据。
  2. 存在下列情形之一的,数据主体提出的删除数据请求不适用:
    a) 法律规定不得删除该数据;
    b) 有权国家机关为履行其法定职责而处理该个人数据;
    c) 该个人数据已根据法律规定公开;
    d) 该个人数据用于满足法律规定的司法、科学研究、统计需求;
    e) 发生国防、国家安全、社会秩序紧急状态、重大灾害、重大传染病疫情;存在危害国防、国家安全风险但尚未达到宣布紧急状态的程度;防范、打击暴乱、恐怖主义、犯罪及违法行为;
    f) 应对危及数据主体或他人生命、健康或安全的紧急情况。
  3. 企业分立、分拆、合并、兼并、解散的,个人数据应按照法律规定转移。
  4. 机关、组织、行政单位分立、分拆、合并及重组,国有企业所有权形式转换的,个人数据应按照法律规定转移。
  5. 除法律另有规定外,个人数据控制者、个人数据控制及处理者应在收到数据主体请求后的72小时内,删除其收集的全部相关个人数据。
  6. 个人数据控制者、个人数据控制及处理者、个人数据处理者、第三方应按照其业务活动的适当形式存储个人数据,并采取符合法律规定的个人数据保护措施。
  7. 存在下列情形之一的,个人数据控制者、个人数据控制及处理者、个人数据处理者、第三方应永久删除个人数据:
    a) 数据处理不符合目的或已完成数据主体同意的个人数据处理目的;
    b) 个人数据存储对个人数据控制者、个人数据控制及处理者、个人数据处理者、第三方的业务活动已无必要;
    c) 个人数据控制者、个人数据控制及处理者、个人数据处理者、第三方解散或停止运营、宣告破产或按照法律规定终止经营活动。
第十七条 无需数据主体同意的个人数据处理情形
  1. 紧急情况下,需立即处理相关个人数据以保护数据主体或他人的生命、健康安全。个人数据控制者、个人数据处理者、个人数据控制及处理者、第三方有责任证明该紧急情形。
  2. 根据法律规定公开个人数据。
  3. 有权国家机关在发生国防、国家安全、社会秩序紧急状态、重大灾害、重大传染病疫情;存在危害国防、国家安全风险但尚未达到宣布紧急状态的程度;防范、打击暴乱、恐怖主义、犯罪及违法行为等情形时,按照法律规定处理个人数据。
  4. 为履行数据主体与相关机关、组织、个人根据法律规定签订的合同义务。
  5. 为满足经专业法律规定的国家机关的活动需求。
第十八条 公共场所录音、录像获取的个人数据处理

有权机关、组织可根据法律规定,为保护国家安全、社会秩序、组织或个人合法权益,对公共场所进行录音、录像并处理由此获取的个人数据,无需获得数据主体同意。实施录音、录像时,有权机关、组织有责任告知数据主体其正在被录音、录像,法律另有规定的除外。

第十九条 失踪人员、已故人员的个人数据处理
  1. 处理与失踪人员、已故人员相关的个人数据,需获得其配偶或成年子女的同意;若无配偶或成年子女,需获得其父母的同意,但本令第十七条、第十八条规定的情形除外。
  2. 若无本条第1款规定的相关人员,视为未获得同意。
第二十条 未成年人的个人数据处理
  1. 未成年人个人数据的处理应始终遵循保护未成年人权利及为其最大利益的原则。
  2. 处理未成年人个人数据的,需获得未成年人(7周岁及以上)的同意及父母或监护人的同意,但本令第十七条规定的情形除外。个人数据控制者、个人数据处理者、个人数据控制及处理者、第三方在处理未成年人个人数据前,应核实未成年人的年龄。
  3. 存在下列情形之一的,应停止处理未成年人个人数据,并永久删除或销毁该未成年人个人数据:
    a) 数据处理不符合目的或已完成数据主体同意的个人数据处理目的,法律另有规定的除外;
    b) 未成年人的父母或监护人撤回同意,法律另有规定的除外;
    c) 有权职能机关有充分证据证明该数据处理影响未成年人合法权益,并提出相关要求,法律另有规定的除外。
第二十一条 营销、产品广告推广服务中的个人数据保护
  1. 经营营销、产品广告推广服务的组织、个人,仅可使用通过自身经营活动收集的客户个人数据开展营销、产品广告推广服务,且需获得数据主体同意。
  2. 为经营营销、产品广告推广服务而处理客户个人数据的,需获得客户同意,且客户应明确知晓产品推广的内容、方式、形式、频率。
  3. 经营营销、产品广告推广服务的组织、个人有责任证明其使用客户个人数据进行产品推广的行为符合本条第1款和第2款规定。
第二十二条 非法收集、转移、买卖个人数据
  1. 参与个人数据处理的组织、个人应采取个人数据保护措施,防止从自身系统、服务设备中非法收集个人数据。
  2. 未经数据主体同意,设立软件系统、采取技术措施或组织开展收集、转移、买卖个人数据活动的,属违法行为。
第二十三条 个人数据保护违规行为报告
  1. 发现个人数据保护违规行为后,个人数据控制者、个人数据控制及处理者应在违规行为发生后最迟72小时内,按照本令附件03号格式向公安部(网络安全与高科技犯罪防范局)报告。若超过72小时报告,应附上延迟报告的理由。
  2. 个人数据处理者发现个人数据保护违规行为后,应尽快告知个人数据控制者。
  3. 个人数据保护违规行为报告应包含以下内容:
    a) 个人数据保护违规行为的性质描述,包括时间、地点、行为、相关组织、个人、涉及的个人数据类型及数量;
    b) 数据保护负责人或负责个人数据保护的组织、个人的详细联系方式;
    c) 个人数据保护违规行为可能产生的后果和损害描述;
    d) 为解决、减轻个人数据保护违规行为危害而采取的措施描述。
  4. 若无法一次性完整报告本条第3款规定的全部内容,可分阶段报告。
  5. 个人数据控制者、个人数据控制及处理者应制作个人数据保护违规行为确认书,并配合公安部(网络安全与高科技犯罪防范局)处理该违规行为。
  6. 发现下列情形之一的,组织、个人应向公安部(网络安全与高科技犯罪防范局)报告:
    a) 发现针对个人数据的违法行为;
    b) 个人数据的处理不符合目的、与数据主体和个人数据控制者、个人数据控制及处理者最初的约定不一致或违反法律规定;
    c) 未保障或未依法保障数据主体的权利;
    d) 法律规定的其他情形。
第三节 个人数据处理影响评估及个人数据跨境传输
第二十四条 个人数据处理影响评估
  1. 个人数据控制者、个人数据控制及处理者应自开始处理个人数据之日起,制定并保存自身的个人数据处理影响评估档案。
    个人数据控制者、个人数据控制及处理者的个人数据处理影响评估档案应包含:
    a) 个人数据控制者、个人数据控制及处理者的信息及详细联系方式;
    b) 负责个人数据保护的指定组织及个人数据控制者、个人数据控制及处理者的个人数据保护人员的姓名及详细联系方式;
    c) 个人数据处理目的;
    d) 拟处理的个人数据类型;
    e) 接收个人数据的组织、个人(包括越南境外的组织、个人);
    f) 个人数据跨境传输情形;
    g) 个人数据处理期限;拟删除、销毁个人数据的期限(如有);
    h) 所采取的个人数据保护措施描述;
    i) 个人数据处理影响程度评估;可能产生的意外后果和损害,以及减轻或消除该等风险、损害的措施。
  2. 个人数据处理者在与个人数据控制者签订合同的情况下,应制定并保存个人数据处理影响评估档案。个人数据处理者的个人数据处理影响评估档案应包含:
    a) 个人数据处理者的信息及详细联系方式;
    b) 负责个人数据处理的指定组织及个人数据处理者的个人数据处理人员的姓名及详细联系方式;
    c) 根据与个人数据控制者签订的合同,拟开展的处理活动及拟处理的个人数据类型描述;
    d) 个人数据处理期限;拟删除、销毁个人数据的期限(如有);
    e) 个人数据跨境传输情形;
    f) 所采取的个人数据保护措施概述;
    g) 可能产生的意外后果和损害,以及减轻或消除该等风险、损害的措施。
  3. 本条第1款和第2款规定的个人数据处理影响评估档案,应以个人数据控制者、个人数据控制及处理者或个人数据处理者的具有法律效力的书面形式制定。
  4. 个人数据处理影响评估档案应随时可供公安部检查、评估,并应在开始处理个人数据后的60日内,按照本令附件04号格式向公安部(网络安全与高科技犯罪防范局)提交1份正本。
  5. 若档案内容不完整或不符合规定,公安部(网络安全与高科技犯罪防范局)应评估并要求个人数据控制者、个人数据控制及处理者、个人数据处理者完善个人数据处理影响评估档案。
  6. 当已提交给公安部(网络安全与高科技犯罪防范局)的档案内容发生变化时,个人数据控制者、个人数据控制及处理者、个人数据处理者应按照本令附件05号格式更新、补充个人数据处理影响评估档案。
第二十五条 个人数据跨境传输
  1. 越南公民的个人数据跨境传输,需由数据跨境传输方制定个人数据跨境传输影响评估档案,并按照本条第3款、第4款、第5款规定办理相关手续。数据跨境传输方包括个人数据控制者、个人数据控制及处理者、个人数据处理者、第三方。
  2. 个人数据跨境传输影响评估档案应包含:
    a) 数据传输方及越南公民个人数据接收方的信息及详细联系方式;
    b) 数据传输方负责越南公民个人数据跨境传输及接收相关工作的组织、个人的姓名及详细联系方式;
    c) 越南公民个人数据跨境传输后的处理活动目标描述及说明;
    d) 跨境传输的个人数据类型描述及说明;
    e) 遵守本令个人数据保护规定的说明,所采取的个人数据保护措施详细说明;
    f) 个人数据处理影响程度评估;可能产生的意外后果和损害,以及减轻或消除该等风险、损害的措施;
    g) 数据主体根据本令第十一条规定作出的同意,且数据主体明确知晓发生故障或产生新请求时的反馈、申诉机制;
    h) 越南公民个人数据跨境传输方与接收方之间关于个人数据处理的约束及责任文件。
  3. 个人数据跨境传输影响评估档案应随时可供公安部检查、评估。
    数据跨境传输方应在开始处理个人数据后的60日内,按照本令附件06号格式向公安部(网络安全与高科技犯罪防范局)提交1份档案正本。
  4. 数据跨境传输成功后,数据传输方应以书面形式向公安部(网络安全与高科技犯罪防范局)报告数据传输情况及负责人员的详细联系方式。
  5. 若档案内容不完整或不符合规定,公安部(网络安全与高科技犯罪防范局)应评估并要求数据跨境传输方完善个人数据跨境传输影响评估档案。
  6. 当已提交给公安部(网络安全与高科技犯罪防范局)的档案内容发生变化时,数据跨境传输方应按照本令附件05号格式更新、补充个人数据跨境传输影响评估档案。数据跨境传输方应在收到完善要求后的10日内完成档案完善工作。
  7. 根据具体情况,公安部每年应至少对个人数据跨境传输情况进行1次检查,但若发现违反本令个人数据保护规定的行为或发生越南公民个人数据泄露、丢失事件的除外。
  8. 存在下列情形之一的,公安部可决定要求数据跨境传输方停止个人数据跨境传输:
    a) 发现跨境传输的数据被用于危害越南社会主义共和国国家利益、国家安全的活动;
    b) 数据跨境传输方未遵守本条第5款、第6款规定;
    c) 发生越南公民个人数据泄露、丢失事件。
第四节 个人数据保护的措施与保障条件
第二十六条 个人数据保护措施
  1. 个人数据保护措施应自个人数据处理开始之日起实施,并贯穿于个人数据处理全过程。
  2. 个人数据保护措施包括:
    a) 参与个人数据处理的组织、个人实施的管理措施;
    b) 参与个人数据处理的组织、个人实施的技术措施;
    c) 有权国家管理机关根据本令及相关法律规定实施的措施;
    d) 有权国家机关实施的调查、追诉措施;
    e) 法律规定的其他措施。
第二十七条 基本个人数据保护
  1. 适用本令第二十六条第2款规定的措施。
  2. 制定、颁布个人数据保护相关规定,明确本令要求的各项实施事项。
  3. 鼓励根据个人数据处理相关的领域、行业、活动特点,采用适当的个人数据保护标准。
  4. 处理个人数据前,对用于个人数据处理的系统、设备、工具进行网络安全检查;对存储个人数据的设备进行永久删除或销毁。
第二十八条 敏感个人数据保护
  1. 适用本令第二十六条第2款及第二十七条规定的措施。
  2. 指定个人数据保护职能部门、个人数据保护负责人,并向个人数据保护主管机关通报该部门及负责人信息。若个人数据控制者、个人数据控制及处理者、个人数据处理者、第三方为个人,则由该个人通报相关信息。
  3. 告知数据主体其敏感个人数据正在被处理,但本令第十三条第4款、第十七条、第十八条规定的情形除外。
第二十九条 个人数据保护主管机关及国家个人数据保护信息门户
  1. 个人数据保护主管机关为公安部网络安全与高科技犯罪防范局,负责协助公安部履行个人数据保护的国家管理职责。
  2. 国家个人数据保护信息门户的职责:
    a) 提供党和国家关于个人数据保护的方针、政策、法律信息;
    b) 宣传、普及个人数据保护相关政策、法律;
    c) 更新个人数据保护相关信息及动态;
    d) 通过网络接收个人数据保护相关信息、档案、数据;
    e) 提供相关机关、组织、个人的个人数据保护工作评估结果信息;
    f) 接收个人数据保护违规行为报告;
    g) 按照法律规定,预警、协同预警个人数据侵犯风险及行为;
    h) 按照法律规定处理个人数据保护违规行为;
    i) 按照法律规定开展其他个人数据保护相关活动。
第三十条 个人数据保护活动的保障条件
  1. 个人数据保护人力保障:
    a) 在个人数据保护主管机关配备专职个人数据保护人员;
    b) 在机关、组织、企业内部指定负责个人数据保护的部门及人员,确保本令个人数据保护规定的实施;
    c) 动员相关组织、个人参与个人数据保护工作;
    d) 公安部制定具体计划,发展个人数据保护人力资源。
  2. 机关、组织、个人有责任宣传、普及个人数据保护知识、技能,提高机关、组织、个人的个人数据保护意识。
  3. 为个人数据保护主管机关提供必要的物质条件及工作保障。
第三十一条 个人数据保护经费保障
  1. 个人数据保护经费来源包括国家财政拨款;国内外机关、组织、个人的资助;个人数据保护服务收入;国际援助及其他合法收入。
  2. 国家机关的个人数据保护经费由国家财政保障,列入年度国家财政预算。国家财政经费的管理、使用应按照国家财政相关法律规定执行。
  3. 组织、企业的个人数据保护经费由组织、企业自行安排,并按照规定执行。

第三章 机关、组织、个人的责任

第三十二条 公安部的责任
  1. 协助政府统一实施个人数据保护的国家管理。
  2. 指导、开展个人数据保护活动,保护数据主体的权利免受违反个人数据保护法律规定行为的侵害,提出个人数据保护标准制定建议及适用建议。
  3. 建设、管理、运营国家个人数据保护信息门户。
  4. 评估相关机关、组织、个人的个人数据保护工作成效。
  5. 按照本令规定接收个人数据保护相关档案、表格、信息。
  6. 推动个人数据保护领域的措施创新及研究,开展个人数据保护国际合作。
  7. 按照法律规定,对个人数据保护相关法律规定的执行情况进行检查、监督,处理申诉、举报及违规行为。
第三十三条 信息与通信部的责任
  1. 指导本部门管理范围内的新闻媒体、组织及企业,按照本令规定实施个人数据保护。
  2. 根据职责分工,制定、指导并开展个人数据保护措施,保障信息通信活动中个人数据的网络安全。
  3. 配合公安部对个人数据保护相关法律违规行为进行检查、处理。
第三十四条 国防部的责任

按照法律规定及职责分工,对本部门管理范围内的机关、组织、个人,实施个人数据保护相关规定的管理、检查、监督、违规处理。

第三十五条 科学技术部的责任
  1. 配合公安部制定个人数据保护标准及适用建议。
  2. 与公安部交流、研究符合科技发展的个人数据保护措施。
第三十六条 各部委、部级机关、政府直属机关的责任
  1. 按照个人数据保护相关法律规定,对本行业、本领域的个人数据保护实施国家管理。
  2. 制定并开展本令规定的个人数据保护相关内容及任务。
  3. 在本部门、本行业的工作制定及开展过程中,补充个人数据保护相关规定。
  4. 按照现行财政分级管理体制,安排个人数据保护工作经费。
  5. 制定符合个人数据保护规定的开放数据清单。
第三十七条 省、直辖市人民委员会的责任
  1. 按照个人数据保护相关法律规定,对本地区各行业、各领域的个人数据保护实施国家管理。
  2. 开展本令规定的个人数据保护相关工作。
  3. 按照现行财政分级管理体制,安排个人数据保护工作经费。
  4. 制定符合个人数据保护规定的开放数据清单。
第三十八条 个人数据控制者的责任
  1. 采取适当的组织、技术措施及安全、保障措施,证明个人数据处理活动符合个人数据保护相关法律规定,并根据需要审查、更新该等措施。
  2. 记录并保存个人数据处理过程的系统日志。
  3. 按照本令第二十三条规定,报告个人数据保护违规行为。
  4. 选择符合要求且具有适当保护措施的个人数据处理者,并仅与该等个人数据处理者合作。
  5. 按照本令第九条规定,保障数据主体的各项权利。
  6. 对因个人数据处理过程造成的损害,向数据主体承担责任。
  7. 配合公安部及其他有权国家机关开展个人数据保护工作,提供调查、处理个人数据保护违规行为所需的信息。
第三十九条 个人数据处理者的责任
  1. 仅在与个人数据控制者签订数据处理合同或协议后,方可接收个人数据。
  2. 严格按照与个人数据控制者签订的合同或协议处理个人数据。
  3. 严格执行本令及其他相关法律规定的各项个人数据保护措施。
  4. 对因个人数据处理过程造成的损害,向数据主体承担责任。
  5. 数据处理结束后,删除或向个人数据控制者返还全部个人数据。
  6. 配合公安部及其他有权国家机关开展个人数据保护工作,提供调查、处理个人数据保护违规行为所需的信息。
第四十条 个人数据控制及处理者的责任

全面履行本令规定的个人数据控制者及个人数据处理者的责任。

第四十一条 第三方的责任

全面履行本令规定的个人数据处理相关责任。

第四十二条 相关组织、个人的责任
  1. 采取措施保护自身的个人数据,对自身提供的个人数据的准确性负责。
  2. 严格执行本令规定的个人数据保护相关要求。
  3. 及时向公安部报告与个人数据保护活动相关的违规行为。
  4. 配合公安部处理与个人数据保护活动相关的违规行为。

第四章 实施条款

第四十三条 生效日期
  1. 本令自2023年7月1日起生效。
  2. 微型企业、小型企业、中型企业、初创企业自成立之日起2年内,可选择豁免指定个人数据保护人员及部门的相关规定。
  3. 直接从事个人数据处理业务的微型企业、小型企业、中型企业、初创企业,不适用本条第2款规定。
第四十四条 实施责任
  1. 公安部部长负责组织、检查、指导本令的实施。
  2. 各部委部长、部级机关负责人、政府直属机关负责人、省、直辖市人民委员会主席,对本令的实施承担责任。

(以下为附件表格,包含01号至06号格式文件名称,原文表格内容略)

附件:
(附2023年4月17日政府第13/2023/NĐ-CP号令)

格式编号文件名称
01号个人数据提供请求表(个人用)
02号个人数据提供请求表(组织、企业用)
03号个人数据保护违规行为报告
04号个人数据处理影响评估档案报送报告
05号档案内容变更报告
06号个人数据跨境传输影响评估档案

(附件各格式文件的具体内容原文略)

(政府盖章)
总理 签字:陈流光
(注:”Trần Lưu Quang” 标准译名)