[越南] 越南《個人資訊保護法》對各行業的影響——從銀行業到勞動領域

作者 - 阮氏青簪律師 

1. 背景

   2025年6月26日，越南正式通過了《個人資訊保護法》（編號 91/2025/QH15）（ “PDPL”或" “本法”），該法將於2026年1月1日起生效（“生效日”）。儘管PDPL的制定以2023年第13號法令為基礎，但作為越南首部提升至法律層級的個人資訊保護立法，它確立了一個更為健全、全面的個人資料保護法律框架。

2. 適用範圍

   本法適用於：

   (i) 越南國家機關以及境內的一切組織和個人；

   (ii) 在越南開展經營活動的外國自然人和法人；

   (iii) 即便在越南境外處理，但涉及越南資訊主體個人資訊的外國自然人和法人。

此跨境適用範圍對跨國公司及其他處理越南資訊主體個人資訊的境外實體施加了法律義務，要求無論資訊處理行為發生於何地，均須全面遵守本法。

3. 對重點行業的強化合規要求

本法的實施，將在以下行業產生顯著影響：

• 銀行與金融業：PDPL禁止在未經資訊主體明確同意的情況下，將信用資訊用於評分或排名。銀行、信貸機構及金融科技公司必須重構內部流程，確保取得同意的透明度，並在資訊安全基礎設施方面加大投入，以保護帳戶及信用資訊的安全。

• 新興技術（人工智慧、大數據、區塊鏈等）：使用人工智慧、大數據、區塊鏈、元宇宙或雲端運算的企業，必須對個人資訊進行負責任的處理，僅能出於必要且正當的目的使用。相關系統與服務應配備嚴格的資訊保護措施，包括身份認證與存取控制。個人資訊應按風險等級分類，以確保採取相應保護。上述技術不得用於危害國家安全、社會公共秩序，或侵犯個人合法權益。所有實踐應遵循倫理規範，並尊重越南的文化價值。

• 數位平台：社群媒體與線上服務提供者不得使用身份證件（如身份證、護照）進行帳戶驗證，亦不得在未經資訊主體明確同意的情況下攔截或監控用戶通訊，除非法律另有明確授權。因此，自生效日起，全球科技公司及OTT服務商必須重組其帳戶驗證機制與商業模式，以符合新規要求。

• 勞動關係：企業在勞動契約終止後，必須刪除或銷毀員工個人資訊，除非另有約定或法律要求保留。同時，企業還須遵守現行的勞動、就業、資訊保護及其他相關法律法規。

4. 不遵守的處罰規定

該法引入了重大的行政處罰以確保合規：

• 對於涉及跨境資訊傳輸的違規行為，處以上一財年總營業額5%的罰款。

• 對於個人資訊保護領域的其他違規行為，處以高達300億越南盾的罰款。對個人的罰款金額為對組織罰款金額的一半。

• 額外的法律責任包括刑事起訴和民事損害賠償責任。

總結

通過全面理解《越南個人資訊保護法》所確立的義務與權利，並妥善因應相關監管要求，企業能夠有效管理個人資訊，同時將法律及聲譽風險降至最低。越南的個人資訊保護制度對資訊的收集、處理、儲存和傳輸（包括跨境傳輸及敏感資訊處理）設定了系統且嚴格的要求。儘管該法對中小企業和新創企業提供了一定的豁免與過渡安排，但所有涉及處理越南資訊主體個人資訊的組織，仍須建立並執行嚴謹的合規措施。德信律師事務所為企業就越南個人資訊保護法規提供全方位的法律服務與戰略諮詢，協助客戶確保合規營運、實施高實施高效的資訊治理，並在個人資訊的整個生命週期中有效降低風險。

作者小传

阮律師是德信律師事務所胡志明市辦公室的管理合夥人。阮律師擁有超過 15 年的經驗，曾任職於知名外資銀行及多家國際事務所。她專精於併購、銀行業務、外資投資、公司及公司及商業事務、勞資議題及爭議解決。她是越南律師協會委任的律師實習結業考試考官。