越南个人数据保护从 Decree 13 时代进入更系统的法律和实施细则阶段。对外资企业、SaaS 服务商、电商平台、招聘系统、CRM、支付与客服外包来说,真正的难点不只是隐私政策,而是哪些数据能出境、谁是控制者或处理者、是否需要 DPIA/CTIA、合同和留痕如何做,以及越南员工、客户和消费者数据能否放在境外云服务上。
为什么这不是一份隐私政策就能解决的问题
很多外资企业在越南处理个人数据时,第一反应是翻译一份隐私政策。但越南数据合规的重点正在从“告知用户”扩展到数据分类、处理角色、影响评估、跨境传输、合同安排、留存记录和监管提交。
如果企业使用境外总部的 HR 系统、CRM、营销自动化、客服系统、支付风控或云存储,只要涉及越南个人数据,就可能进入跨境传输和影响评估框架。
哪些业务最容易触发风险
- 外资公司把越南员工档案、工资、绩效和社保资料放入境外 HR 系统。
- 电商、会员、客服和营销系统把越南消费者数据同步到境外服务器。
- SaaS 或集团共享服务中心为越南实体处理客户、员工或供应商联系人数据。
- 跨境支付、风控、反欺诈和广告投放使用自动化画像或第三方数据处理服务。
DPIA 与 CTIA 应该怎么理解
DPIA 可以理解为个人数据处理影响评估,关注数据类别、处理目的、处理主体、风险控制、数据主体权利和安全措施。CTIA 则更聚焦跨境传输,企业需要解释数据为什么出境、传给谁、去哪里、如何保护、发生事故如何处理。
它们不是形式文件。真正有用的做法是把业务系统、数据字段、供应商、合同、访问权限和保留期限列成台账,再判断每一类数据是否有合法基础和必要性。
外资企业的落地清单
- 先画出数据流:员工、客户、供应商、网站访客、会员、支付和客服数据分别流向哪里。
- 确认角色:越南实体、集团总部、SaaS 供应商、外包客服和支付服务商分别是控制者、处理者还是共同处理者。
- 检查合同:数据处理、保密、安全事件通知、删除、转移和审计条款是否足够。
- 建立留痕:同意记录、告知文本、访问权限、跨境传输依据、DPIA/CTIA 版本和更新记录。
不要把合规做成一次性文件
数据保护要求会随系统、供应商、业务国家、数据字段和处理目的变化而变化。企业在越南扩张时,新增招聘渠道、会员系统、广告平台、支付服务或集团数据仓库,都可能改变原来的评估结论。
因此,越南数据合规更适合纳入季度或半年度的系统变更审查,而不是只在公司注册或网站上线时做一次。
公开来源
- Vietnam Law Magazine: New legal framework on personal data protection in Vietnam
- Mori Hamada: Vietnam new decree guiding the Personal Data Protection Law
- Hogan Lovells: Vietnam enacts landmark law on personal data protection
- DLA Piper Data Protection Laws of the World: Vietnam
本文为公开资料整理与合规风险教育,不构成法律、税务、投资、外汇、支付或交易建议。涉及公司注册、银行开户、数字资产、税务、海关、投资、消防、数据保护或反洗钱事项,应以越南主管机关、银行、平台和专业顾问的最新要求为准。
