面向越南用户提供 SaaS、电商、云存储、在线支付、社交、游戏或通信服务的企业,不能只看个人数据保护。Cybersecurity Law 与 Decree 53 还涉及特定数据本地存储、主管机关请求、代表处或分支机构要求、日志留存和执法协作。本文把 2026 年中国技术公司最该核对的事项拆成操作清单。
不要把 Decree 53 等同于普通隐私政策
个人数据保护关注的是告知、同意、处理目的、跨境传输和数据主体权利;网络安全法与 Decree 53 更关注网络空间服务、违法内容或行为、执法协作、数据本地存储和本地存在要求。两套规则会在 SaaS、电商、云存储、在线支付、社交平台、游戏、在线通信和数据中心项目中叠加出现。
对中国技术公司来说,最容易误判的是“我没有越南公司,所以不适用”。如果服务面向越南用户、收集或处理越南用户数据,并落入特定网络服务类型,企业仍应预先评估触发条件、数据类别、执法响应联系人和本地化方案,而不是等到收到正式请求后才临时找服务器和代表处。
需要识别的三类数据
- 越南服务用户的个人信息,例如用于识别个人身份的账号、联系方式或认证资料。
- 越南服务用户生成的数据,例如账号使用过程、登录退出、网络地址、设备和服务使用信息。
- 越南服务用户关系数据,例如好友、群组、互动关系或平台内连接关系。
哪些业务最需要提前评估
- 云存储、数据分享、协作办公、CRM、客服系统和企业 SaaS。
- 电商平台、跨境店铺工具、在线支付、支付中介和金融科技服务。
- 社交媒体、在线社区、游戏、直播、消息、语音、视频和在线聊天服务。
- 面向越南用户运营域名、数据中心、托管、CDN 或通信增值服务。
- 在越南有销售团队、代理商、本地客户或政府/大型企业客户的 B2B 软件。
合规不是马上把所有数据搬回越南
Decree 53 的关键在于触发条件、主管机关正式请求、数据类别和服务类型。企业不应把它机械理解为所有跨境 SaaS 都必须立即完全本地化,也不应完全忽视潜在义务。更合理的做法是先做数据地图:哪些数据来自越南用户,存在哪里,谁能访问,保留多久,是否能按用户、地区、产品模块和执法请求快速检索。
同时,企业应建立执法请求处理流程。收到来自主管机关、平台、客户或合作伙伴的网络安全要求时,谁判断真实性,谁批准披露,谁记录响应,谁评估对合同、隐私政策和跨境传输影响,都应在事前明确。没有流程时,团队往往会在销售、客服、技术和法务之间来回转发,错过回复窗口或过度披露数据。
给 SaaS 团队的自查清单
- 绘制越南用户数据地图,区分个人数据、生成数据、关系数据和业务内容数据。
- 确认数据存储地点、备份地点、日志保留周期、管理员权限和第三方处理方。
- 检查服务条款、隐私政策、DPA、跨境传输说明和客户合同是否一致。
- 准备主管机关请求的身份核验、内部审批、最小披露和留痕流程。
- 评估未来是否需要越南本地服务器、数据副本、代表处、分支机构或本地合作伙伴。
- 把网络安全、个人数据保护、税务/FCT、电子合同和消费者保护放在同一套越南市场进入清单中。
公开来源
- International Trade Administration: Vietnam Cybersecurity Data Localization Requirements
- PwC Vietnam: Decree 53 guiding Cybersecurity Law
- Tilleke & Gibbins: Decree 53 guidance on Cybersecurity Law
- DLA Piper Data Protection: Vietnam
本文为公开资料整理与合规风险教育,不构成法律、税务、投资或交易建议。实际操作应以越南主管机关、银行、平台和专业顾问的最新要求为准。
