2024年9月24日，越南政府发布了新《个人数据保护法（“PDPL”）》的第一份草案，征求公众反馈。该草案比个人数据保护法令更为严格，预计将于2026年1月1日生效。

目前，越南在个人信息保护方面的法律为《关于个人数据保护的第 13/2023/ND-CP 号法令》（Decree 13/2023/ND-CP on Personal Data Protection，简称“PDPD”），该法令与2023年4月17日通过，2023年7月1日生效。

在此之后，今年2月29日，越南公共安全部（MPS）宣布其正在制定个人数据保护法，9月末新草案发布。草案目前开放公众咨询，截止日期为2024年11月24日，允许各方提供反馈。

PDPL草案包含68条条款，分为七章。有如下值得关注的点：
1.生效时间：预计PDPL草案将在2025年5月由国会通过。除了微型企业、中小企业和初创公司（直接处理个人数据的除外）在成立后两年内不需要任命数据保护部门外，不提供合规过渡期。
2.适用范围：PDPL草案适用于所有在国内外运营的越南机构、组织和个人，以及参与越南数据处理的外国实体。广泛的适用范围确保法律涵盖国内数据处理活动及越南数据主体在海外的数据处理。
3.个人数据定义：草案PDPL清晰区分“基本个人数据”和“敏感个人数据”。敏感数据类别扩展至包括土地使用信息、位置信息和信用记录。此外，新增了“个人数据保护专家”、“个人数据保护信用评级”和“用于营销的个人数据使用”等定义，进一步明确数据保护责任。
4.严格的同意要求：同意仍然是处理个人数据的主要法律基础，草案新增了关于跨境数据转移的规定。数据控制者和处理者需获得数据主体的明确知情同意，特别是对于健康记录、政治观点和生物识别数据等敏感个人数据。草案规定，沉默或不回应不能视为同意，进一步强化越南在数据隐私方面的严格立场。
5.特定场景数据处理规定：与去年的PDPD法令相比，草案更为全面，且涵盖了特定场景，包括市场营销服务、行为广告、大数据处理、人工智能、云计算、员工监控与招聘、金融与信用数据、医疗保健、保险等。
与PDPD法令相比，PDPL法案在很多地方保持了严格的要求，比如对于数据泄露，要求企业必须在72小时内通知当局任何数据泄露事件等。但是，PDPL法案的执行细节也还需未来观察明确。值得一提的是，与中国的《个人信息保护法》一样，越南的PDPD并未将GDPR下的“合法利益（legitimate interest）”作为法定个人数据处理依据的一种。

对在越企业的启示：
PDPL预计将在2025年5月潜在通过，并于2026年1月1日开始执行。毫无疑问，整体来说，这部法案在通过之后，会给越南企业，包括在越的中资企业，增加合规义务。
草案PDPL对企业提出了严格的数据保护合规义务。例如，企业必须为基本和敏感数据处理任命数据保护部门。该部门可以外包给外部服务提供商，为企业提供更多灵活性。草案还规定，企业必须在这些部门中至少有一名个人数据保护专家，并提供详细的人员招聘要求。微型企业、中小企业和初创公司在成立后两年内仅免于要求设立数据保护部门，所有其他义务必须在与大型企业相同的时间框架内遵守。然而，直接参与个人数据处理活动的微型企业、中小企业和初创公司不适用豁免。

因此，企业应当对其经营模式进行评估，以符合PDPL的合规要求。

而对于涉及特定场景的企业，例如银行、特定广告公司、健康医疗公司等，更应当针对其业务重点引起关注，进行必要的调整，以符合对敏感个人数据处理的严格要求。