越南《个人数据保护法》草案(“草案PDPL”)的第一稿于2024年9月24日发布,公开征求意见至2024年11月24日(详情见此处)。预计该草案将在2024年底前提交国会,并将在2025年5月提交通过,计划于2026年1月1日生效。由于草案PDPL包含了大部分《2023年第13号法令/ND-CP》(“PDPD”)的条款,而PDPD自2023年7月1日生效以来一直是个人数据保护的主要法律工具,因此草案PDPL生效后可能会取代PDPD。
请注意,在公众咨询期结束后,草案可能会有进一步的修改。草案PDPL对多项服务提出了新的具体要求。当前版本的一些亮点包括:
- 营销服务:尽管营销服务已经在PDPD下受到监管,但草案PDPL现在承认,使用个人数据进行营销必须遵守反垃圾邮件法规。当前草案并未明确规定在反垃圾邮件制度下,组织是否可以在初次通话或消息中免于获得同意。营销服务提供商不得将服务外包给其他组织来执行或支持营销业务的实施,这可能会阻止个人数据的共享。
- 行为广告:行为广告(基于用户活动或个人数据的定向个性化广告)需要数据主体的同意,并且这种同意必须是可修改的,允许数据主体在不同的情境下拒绝共享数据。与营销服务一样,广告服务提供商只能使用通过其业务活动收集的个人数据来提供其广告服务。
- 大数据处理:组织可以自由利用数据主体在平台上公开的个人数据(这似乎允许处理任何公开可用的数据,只要数据主体不限制使用),只要收集的数据仅用于符合法律规定的业务活动。草案《个人数据保护法》规定,社交网络账户或OTT服务注册的信息不被视为公共数据,未经同意不得处理。
- 人工智能:组织有权将个人数据用于机器学习算法、人工智能及其他自动化系统的研究与开发,但须向数据主体告知(包括解释算法、人工智能或自动化系统对数据主体合法权益的影响),并应提供数据主体选择退出的权利。
- 云计算:根据《个人数据保护法》(草案),现要求云服务提供商的客户在云计算合同中包含某些内容,特别是云服务提供商仅为客户的利益并代表客户处理其数据(这与数据处理者的定义非常接近);必须明确规定赔偿损害的条款;列出安全、技术和组织措施;并确保实施技术措施,以合理分散数据访问权。此外,云服务提供商必须遵守影响评估文件的要求,并遵守关于个人数据保护的相关规定;设立数据保护部门;要求分包商遵守个人数据保护法规;并根据处理的规模和水平采取适当的技术和组织措施。
- 劳动与招聘:当使用技术手段监控员工时,组织必须确保数据主体的权利和利益,特别是员工必须知情并同意此类监控,且监控不得违反法律。《个人数据保护法》(草案)确认,员工必须同意处理其个人数据——这一规定与欧盟的做法不同,并未采纳员工由于与雇主之间的权力不对等关系可能导致其同意不具有自愿性的观点。对于在全球员工数据库系统中的集团内部数据共享,法律实体必须证明个人数据的收集和处理是合法的,员工则需对其提供信息的合法性负责。此外,草案还指出,员工同意将个人数据共享给集团的一个实体并不代表同意共享给集团的其他实体,每个实体的情况将独立考虑。
- 金融、银行及信用信息服务:金融机构、信用机构与信用信息机构之间禁止买卖信用信息,亦禁止发送或传输与数据主体相关的未加密金融和信用数据。使用数据主体的信用信息进行信用评分时,必须获得其明确同意。信用信息评估的结果只能是二元形式(如通过或不通过;是或否;真或假等),或基于从金融机构、信用机构、银行或信用信息机构的客户直接收集的数据库的评分方式。在处理的特定阶段,必须采取去标识化措施。信用信息服务/产品仅可提供给金融机构、银行及信用机构,且需遵守法律规定。
- 健康与保险:在收集和处理健康及保险信息时,必须获得数据主体的同意。健康领域的组织不得向医疗服务提供者或保险提供者提供个人数据,除非数据主体以书面形式提出请求。这表明,仅依赖数据主体的同意可能不足以进行此类共享,健康信息的共享只能由数据主体的请求发起。在再保险背景下的健康信息共享,任何数据传输都必须在与数据主体的合同中明确说明。
- 一般B2C业务:合同中必须包含个人数据保护条款,明确规定各方的责任、权利和义务。
《个人数据保护法》(草案)还认可了以下新型服务:(i) 个人数据保护信任评级机构,(ii) 个人数据保护组织和专家(尤其是“数据保护官服务”即DPO-as-a-service),这明确表明外包数据保护部门和数据保护官(DPO)是被接受的。
个人数据保护信任评级机构
个人数据保护信任评级机构评估组织全面遵守个人数据保护法规的能力。该评估将分析风险因素及其对履行个人数据保护义务能力的影响,重点涵盖市场和商业环境风险、技术风险、治理风险、人员风险及财务风险。评估结果将分为四个等级——“高度信任”、“信任”、“通过”和“未通过”,并将结果报告给“信任评级委员会”(该术语在《个人数据保护法》(草案)中尚未定义)。
组织必须满足某些资格要求才能获得提供信任评级服务的证书,这些要求包括但不限于以下方面:
- 注册资本不少于 50 亿越南盾;
- 至少具备一年个人数据保护领域的工作经验;
- 至少雇佣三名合格的个人数据保护信任分析师。
根据《个人数据保护法》(草案),所有处理敏感个人数据的组织必须获得信任评级。鉴于敏感个人数据的广泛定义,其中包括在雇佣关系中必须处理的个人数据(例如用于工资支付的个人数据),这一要求实际上将适用于所有组织。
个人数据保护专家和组织
个人数据保护专家(“PDP专家”)被定义为具备技术和/或法律能力的人员,由特定的处理实体任命,担任个人数据保护专员(即数据保护官)。PDP专家必须从认证机构获得资格证书,认证机构的职责是确保PDP专家具备足够的能力胜任其角色。公安部(MPS)将依赖经许可的认证机构向合格的PDP专家颁发资格证书,合格的PDP专家至少应持有相关领域的大学学位,并完成数据保护认证课程。
个人数据保护组织(“PDPO”)是指可以由特定数据处理实体(包括数据控制者、数据控制处理者、第三方、数据转让者和数据接收者,但不包括数据处理者)指定为其个人数据保护部门的实体。PDPO为其指定的实体提供个人数据保护服务,以满足其数据保护需求。公安部(MPS)将负责向PDPO颁发许可证,前提是PDPO必须至少雇佣一名具备技术和/或法律能力的PDP专家;从事与技术和/或法律相关的职能、任务、业务领域或行业;并获得“通过”或以上的信任评级。
《个人数据保护法》(草案)对从事数据处理服务的企业提出了新的要求,该业务现在被定义为一种有条件的业务类型(包括任何为数据控制者处理数据的数据处理者)。这些要求尤其包括:至少拥有一名技术和法律专家(或分别拥有一名技术专家和一名法律专家);注册与技术或法律服务相关的业务,或与个人数据保护相关的技术或法律咨询业务;并获得“通过”或以上的信任评级等级。
展望
总而言之,《个人数据保护法》(草案)认可了新的数据保护服务,似乎旨在通过PDP专家和PDPO的认证机制及信任评级机构建立信任,并为各行业制定具体的个人数据保护规定。鉴于越南在个人数据保护方面的意识仍然较低,这些新服务及行业特定的规定可能有助于公安部(MPS)在能力建设方面的努力。
注意:本文为英文文章的中文翻译。原文请参见以下链接。
www.tilleke.com/insights/vietnams-draft-personal-data-protection-law-an-in-depth-look/
