提示：本文为公开资料整理与一般性经营、合规和风控信息，不构成法律意见、税务意见或部署建议。涉及越南个人数据保护法、跨境传输、云服务、客户资料、员工资料、外包处理、审计或监管沟通时，请以主管机关和专业顾问的最新要求为准。

一、为什么这篇文章现在比 2025 年更重要

过去很多企业把“越南数据是否能传回中国”当成 IT 或法务的边缘问题处理。真正到了 2026 年，这个判断已经不成立。因为越南个人数据保护法律框架更完整后，跨境传输不再只是“有没有把数据库放在海外”，而是连 CRM、海外客服工单、全球 HR 系统、集团 BI 看板、云备份和区域数据中台都可能落入监管视野。

这意味着，一个在胡志明市获客、在上海客服跟进、在香港财务汇总、在新加坡云端分析的典型区域化运营模型，已经不适合继续按“集团系统统一就行”来理解。企业真正要管理的，是数据路径、责任主体、同意链条、供应商合同、留档义务和事故通报时间。

二、最常见的误判：以为“没导出 Excel”就不算跨境传输

从经营现场看，最常见的错误不是故意违规，而是错误地低估了“跨境”的范围。很多团队以为只有手动导出名单、传文件、把客户表发给海外团队才算跨境传输。实际上，若越南收集的数据被存到境外服务器、被区域团队远程读取、进入海外 CRM、用于海外分析或被海外供应商继续处理，就已经不是一个纯本地场景。

对跨境电商、工业制造、SaaS、渠道销售和 HR 共用平台的中国企业来说，这几乎是默认存在的状态。因此，今天真正该问的不是“我们有没有跨境传输”，而是“我们的跨境传输在哪些节点发生、由谁发起、留了什么证明、出了事故谁先扛责任”。

三、2026 年最值得先管的四个对象

1. 客户与潜在客户数据：销售线索、合同联系人、付款联系人、售后工单和营销自动化名单。
2. 员工与候选人数据：工作许可证材料、护照、住址、银行信息、考勤、绩效和背景调查资料。
3. 渠道与供应商数据：经销商联系人、报价记录、佣金结算资料和第三方服务商后台账户。
4. 高敏感业务数据：定位、行为画像、金融评分、风控标签、生物识别和安防访问记录。

如果企业今天已经在用集团统一 CRM、工单平台、薪酬系统或海外工厂/区域共享数据库，就不应再把这些数据当作“自然可以跨境流转”。

四、企业真正会被卡住的，不是概念，而是文件

监管落地后，企业最容易出问题的环节通常不是技术能力，而是材料管理。越南规则越来越强调：谁收集数据、为什么收集、数据流向哪里、接收方有哪些控制措施、是否取得有效同意、是否做过影响评估、出现问题后如何在时限内通报。很多企业内部明明有流程，但无法形成一套能向审计、客户、投资人或监管解释的文件链。

对中国企业来说，这尤其容易发生在“总部统一模板”场景。总部习惯从集团角度写隐私政策和供应商合同，但越南现场真正被问到时，需要解释的是本地处理目的、本地收集口径、谁承担 controller / processor 责任、谁负责向主管机关提交或留存影响评估。模板一旦与本地操作不匹配，就会出现制度有了、证明不够的情况。

五、哪些经营动作最容易触发高风险

• 越南销售名单进入中国或区域总部 CRM，由海外团队直接跟进。
• 员工资料、签证资料和薪酬信息放进集团 HR SaaS，由境外 HR 或共享服务中心远程处理。
• 客服录音、聊天记录和设备日志进入海外 AI 分析或云归档工具。
• 把营销像素、广告归因和行为分析完全交给海外第三方，而没有补本地同意与供应商控制条款。
• 发生泄露或异常后，只在集团内部报备，没有按越南要求完成对外通报与留档。

这些动作本身未必都被禁止，但企业不能再用“业内都这么做”来替代合规判断。真正的经营风险不是某一条工具，而是数据链条无人对全局负责。

六、对 SaaS、CRM 与云供应商，采购时先问这六个问题

1. 数据实际存放和备份在哪些国家或区域？是否存在 onward transfer？
2. 服务商是否明确其处理角色、子处理商名单和事故协作义务？
3. 企业能否证明越南数据主体已被清楚告知处理目的、范围与接收方？
4. 系统是否支持权限分层、最小化访问、日志留痕与导出/删除控制？
5. 一旦出现泄露，企业是否能在法定时限内拿到事故信息并完成通报？
6. 集团若要做 AI、画像、评分或自动化决策，是否能向个人解释逻辑与影响？

如果以上问题中有两三个答不上来，说明问题已经不是“法务补一份条款”这么简单，而是系统治理和经营流程需要一起重做。

七、给中国管理层的一页动作表

1. 先画出越南客户、员工和渠道数据的真实流向图，不要只看合同系统名。
2. 把 CRM、HR SaaS、客服工单、云备份和广告分析列入第一批复核对象。
3. 对跨境传输补齐同意文本、影响评估和供应商责任分工，不要只依赖集团模板。
4. 建立 72 小时事故响应机制，明确越南本地负责人、总部接口人与供应商联系人。
5. 在投融资、审计和大客户尽调前，先准备可展示的数据治理材料包。

八、FAQ

1. 只要服务器不在越南，就一定违规吗？

不是。风险不在“境外”三个字本身，而在于企业是否能证明传输目的、同意、保障措施、文件留存和事故响应是完整的。

2. 中国总部远程查看越南 CRM，会被视为跨境处理吗？

大概率不能再按“纯内部访问”轻描淡写处理。只要越南收集的数据被境外团队访问、存储、分析或继续处理，就应按跨境场景审视。

3. 先上线业务、以后再补文件可以吗？

这是最容易出大问题的做法。因为真正出事时，监管、客户或投资人追问的是“上线时你凭什么认为自己已可控”。

相关阅读

• 越南 SaaS 市场还在“外包附属”阶段吗？
• 越南 AI 人才供给够用吗？
• 越南企业在本地银行融资难在哪？

来源链接

• LuatVietnam: Law on Personal Data Protection No. 91/2025/QH15
• LuatVietnam: New features of Decree 356/2025
• Vietnam Briefing: Vietnam personal data protection regulation Decree 356