越南个人数据保护法草案（PDPL）正在不断发展，且对在该地区运营的企业具有重要影响。2025年3月发布的最新草案与之前的版本相比，包含了若干值得注意的变化，企业在制定数据保护战略和合规框架时应予以关注。该草案预计将在2025年5月提交全国人民代表大会投票表决，并计划于2026年1月1日正式生效。

最新草案个人数据保护法（PDPL）中的关键变化

1. 个人数据分类的重新定义

个人数据保护法草案对个人数据的分类作出了重要修订：

• 基本个人数据：个人影像不再被归类为基本个人数据。
• 敏感个人数据：银行账户信息已被移除该分类（现视为基本个人数据），但新增了两个类别：
  (i) 工资、津贴及其他收入来源；
  (ii) 土地使用者信息及包含该类信息的土地信息。

组织应审查其数据分类方案，并相应更新保护措施，特别是对于工资和薪酬信息的保护。

1. 数据加密要求

草案个人数据保护法明确规定，加密数据仍被视为个人数据。此外，草案要求敏感个人数据在存储、传输、接收或在网络空间共享时必须进行加密。组织和个人可以自由选择一种或多种适合其个人数据管理和行政活动的加密解决方案和加密/解密过程。

1. 生物识别数据处理

最新草案个人数据保护法增加了对生物识别数据的新保护要求。处理生物识别数据（如指纹）的组织必须：

• 实施针对存储和传输生物识别数据设备的物理安全措施；
• 在传输和存储过程中使用强加密方法；
• 限制对生物识别数据的访问；
• 配备早期检测监控系统，以检测生物识别数据保护规定的违规行为；
• 遵守相关法律和国际标准。

1. 合规宽限期

草案个人数据保护法维持了对个人数据保护组织（PDPO）和个人数据保护专家（PDPE）的要求，但现在为这些特定义务的合规提供了一年宽限期，给予企业准备的时间。

需要注意的未更改要求

尽管越南个人数据保护法草案的多个方面已作更新，但一些关键要求与之前的草案保持一致，仍需企业在制定数据合规策略时予以关注。

1. 员工监控

雇主仍需：

• 获得员工对监控活动的明确同意；
• 在合同中包含个人数据保护条款；
• 在合同中明确监控技术和措施。

这可能需要对现有劳动合同或相关文件进行修订。

1. 影响评估报告提交要求

数据处理影响评估（DPIA）和转移影响评估（TIA）义务保持不变，要求：

• 在发生变化时每六个月进行一次更新；
• 在组织变更、PDPO/PDPE变更或业务服务修改时立即更新。

尽管这些评估的详细要求将在未来的政府法令中规定，组织应建立定期评估和报告的流程。

展望

尽管这些要求仍处于草案阶段，组织应制定策略，为立法变更做好准备。提前进行合规规划不仅能降低监管风险，还能增强客户信任和运营安全。