越南擬出台《個人數據保護法》，中越如何推動數據跨境流動合作_風聞

走出去智庫觀察

今年3月，越南政府通過《個人數據保護法》草案的第27/NQCP號決議，表明該草案距離通過又推進了一步。越南《個人數據保護法》草案於2021年2月發佈並徵求公眾意見，如果最終版本提交國會通過後**，將成為該國在個人數據跨境傳輸監管體系中的重要法律****。**

走出去智庫(CGGT)特約研究員楊耀源****指出，雖然中國與越南是兩個獨立國家，屬於兩個法域，法律不能適用，但是在商事領域的合同可以約定爭議時適用哪國的法律，而且兩國在經濟領域的互補性遠遠大於競爭性，合作共贏前景可期。目前，兩國決策層在政治領域上致力於打造具有戰略意義的中越命運共同體的戰略考量，因此在“一帶一路”和“兩廊一圈”合作基礎上推動兩國在數據跨境互聯互通，是一個具有前瞻性和示範性的課題。

中越如何推動跨境數據合作？今天，走出去智庫（CGGT）刊發楊耀源博士的分析文章，供關注跨境數據合作的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、“數字絲綢之路”是“一帶一路”國際合作的新引擎，是高質量共建“一帶一路”的重要組成部分。構建“數字絲綢之路”良好的國際合作環境，需探索在雙邊或多邊層面建立圍繞數據跨境流動和融通、加強數據隱私保護和提升跨境數據流動有效管理等****治理規則。

2、越南政府對個人數據跨境保護和監管意識有待進一步提升**。個人數據跨境流動引發了越南政府對互聯網數據安全、國家安全、網絡空間、超越國界的執法能力等諸多擔憂****。然而，越南對數據控制者、處理者的責任，數據分級保護、匿名化、存儲加密等保護措施要求尚需****細化。**

3、建議由中國工信部和越南信息通信部牽頭，組織一批具有實現數據跨境互聯互通開發利用的技術理論的大數據、社交媒體和人工智能等科技公司，打造中越跨境經濟合作區互聯網數據跨境聯盟，集中力量為中越跨境經濟合作區建設服務。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

一、引言

越南是當今東盟人口最年輕、增長最快的經濟體之一，憑藉其瀕臨國際海洋運輸航線並處於東南亞的地理中心、東亞地區貿易中心，又與中國地理接壤、陸海相連等優勢，成為進入新世紀第二個十年以來中國大陸企業理想的外遷、出口的轉運中心，承接來自中國大陸的資本、技術等生產要素。

過去5年來，數字經濟一直是越南增長最快的經濟產業，從2015年的30億美元增長到2020年的140億美元，預計到2025年將達到520億美元。與此同時，根據越南政策研究與傳播研究所於2021年10月發佈的《個人數據的跨境流動——從信任到自由》報告稱，越南是過去十年亞洲跨境數據流動增長率最高的國家，也是全球跨境數據量最大的10個國家之一，加上越南又是市場開放度高達GDP的200%的經濟體，為此擁有大量用户參與數字環境，足以反映了越南的潛力和機遇。也可以看出，涉越的數據跨境流通也日益頻繁。

“數字絲綢之路”是“一帶一路”國際合作的新引擎，是高質量共建“一帶一路”的重要組成部分。構建“數字絲綢之路”良好的國際合作環境，需探索在雙邊或多邊層面建立圍繞數據跨境流動和融通、加強數據隱私保護和提升跨境數據流動有效管理等治理規則，而近年來越南政府大力推動電子政務向數字政府和數字經濟方向發展的一系列戰略舉措，彰顯出積極參與第四次工業革命和發展數字經濟的決心，這為中越在“一帶一路”和“兩廊一圈”合作基礎上共建“數字絲綢之路”提供了有力保障，也為中越在跨境數據流動合作提供歷史性契機。

近年來，我國進一步加強監管數據跨境流動，依據《網絡安全法》、《數據安全法》、《個人信息保護法》等法律法規，國家互聯網信息辦公室於2021年10月起草了《數據出境安全評估辦法》（下稱《辦法》）的徵求意見稿，並有望在2022年年內正式出台，這將是中國數據出境制度建設推進落實的標誌性事件。而2022年2月正式修訂發佈的《網絡安全審查辦法》將審查對象新增數據處理活動，突出赴國外上市申報審查，也給中資進入越南資本市場以及中越跨境數據流動產生諸多影響。

本文擬通過初探越南個人數據跨境傳輸規則，展望中越兩國跨境數據流動領域的合作前景。

二、越南個人數據跨境傳輸的相關規定

（一）越南關於數據保護、個人信息和隱私的現行法律（見表1）****

表1、越南關於數據保護、個人信息和隱私的現行法律

​

注：數據來源由越南法律委員會官網公開資料整理得出

（二）越南關於數據保護、個人信息和隱私的現行法律説明

****1.****基本概念

根據越南政府2015年出台的《網絡信息安全法》第3條定義，個人信息是與識別特定人員相關的信息。但是在此前2007年越南政府發佈的《關於信息技術在政府機構活動中的應用》的第64/2007/ND-CP號法令有更加詳細的定義，個人信息是足以準確確定身份的信息，至少包括以下信息：全名、出生日期、職業、職務、聯繫地址、電子郵件地址、電話號碼、身份證號碼、護照。機密信息包括醫療記錄、税務記錄、社會保險卡號、信用卡號和其他個人機密。此外，需要注意的是，一些專門的法律如《體檢與治療法》、《税收徵管法》、《信用機構法》、《保險業務法》等，對屬於安全對象的個人信息也有作出定義。關於隱私權的定義，根據越南2015年出台的（新修訂版《民法典》）第38條的定義，個人隱私權被理解為法律保護三個“不可侵犯”的對象，即私人生活、個人秘密、個人和家庭秘密。綜上可見，越南政府對“個人信息”的理解比整個歐洲、歐美的法規更狹義、更直接、更簡單。因此，不準確和不清晰的信息，但與其他信息結合間接識別一個人，不被視為保護對象。相反，關於隱私權，越南法律只有非常籠統的規定，因此可以從廣義上推斷。

需要注意的是，在現代信息社會中，以隱私為公民的權益也經常遇到困難，但結合法律專家和法院的實際解釋，人們可以確定“隱私秘密”和“公開信息”之間的界限，以減少爭論和爭議。例如，除了那些明確地標記為“隱私”或“公共”的空間外，還有一個公認的原則:這是你自己生活的一部分，你沒有積極地宣佈或採取適當的措施來保護你的隱私，這意味着你不會受到法律的保護。在這方面，《網絡信息安全法》第16條對此也做了相應説明，個人保護自己的個人信息。

2.合法收集和處理個人數據的條件

事實上，個人數據是通過作為商品和服務的買家或賣家在網絡上的日常民商事交易自然收集的。數據處理的概念包括驗證、排序、彙總、聚合、分析、報告、分類等一系列行為和階段。為此，歐盟通用數據保護條例（GDPR）中設定了六項具體條件，要求數據處理者至少滿足其中一項條件，包括：

a) 數據主體的同意。是否出於特定目的；

b) 需要履行相關合同；

c) 遵守數據處理者的法律義務；

d) 為保護數據主體或其他人的切身利益所必需；

e) 為履行公共利益義務所必需；

f) 為另一方的合法利益所必需，但不得限制數據主體的基本自由，尤其是兒童權利。

同時，《網絡信息安全法》第17條僅規定了兩個一般性原則性條件，在該原則性條件下，數據處理者可以：

a) 在徵得同意後收集個人信息。收集和使用此類信息的目的；

b) 徵得個人信息主體同意後，僅將收集到的個人信息用於原目的以外的用途。

3.越南擬出台《個人數據保護法》

2022年3月，越南政府通過《個人數據保護法》草案的第27/NQCP號決議。該草案包含5項條文，規定在若干情況下即使未經當事人同意，也可使用個人信息，包括當出現危害生命、健康或安全的緊急情況，導致有必要使用信息；按法例要求須披露信息；基於國家安全考慮須使用信息；當國家機關處理有關其他法例的違法情況；及當國家主管機關依法使用信息。該草案通過後，越南公安部將於近期將草案最終版本提交國會諮詢、審閲並作出相應修訂，隨後再提交立法，最終簽署成法律。

（1）《個人數據保護法》草案針對個人數據的跨境傳輸適用範圍的界定的第22條規定，主要內容如下：

1.越南公民的個人資料在完全滿足以下04條件的情況下可以轉移出越南領土邊界：

a) 當數據主體同意轉移時；

b) 原始數據存儲在越南；

c) 有文件證明其所遷入的國家、地區或所在國家或地區的特定地區已頒佈個人資料保護條例達到或高於本條第一款規定的水平條 本法令；

d) 獲得個人數據保護委員會的書面同意。

2.數據保護機構出具個人數據跨境轉移文件的依據：

a) 根據本法令有效保護數據主體的權利；

b) 個人數據處理者在註冊時承諾跨境傳輸個人數據；

c) 保護個人數據的措施由個人數據處理器在文件中顯示。

3.在下列情況下，不符合本條第 1 款規定條件的個人數據可以轉移出越南領土：

a) 數據主體的同意；

b) 獲得個人資料保護委員會的書面同意；

c) 承諾保護數據處理者的個人數據；

d) 承諾應用個人數據處理者的個人數據保護措施。

4.個人數據處理者向境外傳輸數據，必須建立系統存儲03年的數據傳輸歷史，包括以下內容：

a) 向外界提供個人數據的時間；

b) 接收方的身份，包括姓名、地址、聯繫方式；

c) 傳輸到外部的個人數據的類型、數量和敏感性；

d) 個人資料保護機構規定的其他內容。

5.個人資料保護委員會每年定期評估個人資料處理者越南境外的個人資料傳輸情況。

6.出現下列情形之一時，停止跨境傳輸個人資料：

a) 處理個人數據的一方或接收方因發生濫用或泄露大量數據的事件；

b) 數據主體無法或難以維護其合法權益；

c) 個人數據處理者或接收方無法保護個人數據。

7.個人數據出境登記備案及程序，包括：

a) 個人數據出境申請，包括以下信息：個人數據處理方的姓名、登記機構、營業地點、居住地等聯繫方式；引用個人數據跨境傳輸的法律依據；跨境傳輸個人數據的目的；為跨境傳輸註冊的個人數據類型；為跨境傳輸而註冊的個人數據來源；個人數據跨境轉移的註冊地或註冊地；跨境傳輸個人數據的條件；個人數據保護措施的詳細説明。

b) 個人數據跨境轉移登記時的影響評估報告，包括以下內容：個人數據跨境轉移的詳細説明、個人數據跨境轉移的目的、邊界；評估風險和可能的危害；減少或消除該風險或損害的措施。

c) 處理個人敏感數據時，與個人數據處理申請書和影響評估報告中提及的內容相關的文件。

8.個人資料保護委員會自收到個人資料之日起20個工作日內處理個人資料跨境轉移申請。個人信息保護委員會有權對個人信息跨境轉移登記申請中所述信息內容進行事實核查。

（2）《個人數據保護法》草案********對違反個人數據跨境傳輸處理規定的行政********處罰

草案規定，違反有關個人數據跨境傳輸的規定，將處以80,000,000越南盾至100,000,000越南盾（約合3,478美元至4,347美元）的罰款。具體而言，除了規定的處罰外，如果個人數據處理者多次違規並造成嚴重後果，可能會被處以個人數據處理者在越南總收入的5％的罰款。

****（三）****越南對個人數據跨境傳輸監管體系分析

通過上述對越南****關於數據保護、個人信息和隱私的現行法律的分析，****當前越南對個人數據跨境流動監管有以下幾大特點：

一是在促進數據自由流動，為數字經濟蓬勃發展服務與確保用户安全和數據隱私監管的衝突將長期並存。數據是數字經濟的“命脈”。在越南是當今全球數據交換量大的國家的背景下，“血管”越透明，就越有利。因此，越南需要實現雙重目標：既要促進數據自由流動，為數字經濟發展服務，同時確保用户安全和數據隱私。如何在包括個人數據和跨境數據在內的數據交換之間找到平衡，並確保其安全以建立用户的數字信任是越南政府當前亟待解決的重大課題。

二是越南政府對個人數據跨境保護和監管意識有待進一步提升。個人數據跨境流動引發了越南政府對互聯網數據安全、國家安全、網絡空間、超越國界的執法能力等諸多擔憂。然而，越南對數據控制者、處理者的責任，數據分級保護、匿名化、存儲加密等保護措施要求尚需細化。****從法律層面上分析，越南對個人數據跨境傳輸的監管體系存在如下漏洞：****1.沒有關於專門關於個人數據跨國界傳輸的法律文件；2.缺乏對個人數據匿名化/去匿名化的監管；3.缺乏關於“忘記”（一段時間後刪除個人數據）的權利的規定；4.缺乏允許個人數據的經濟價值被利用的監管（數據權被認為是一種非傳統的經濟道德權利）；5.缺乏專門處理個人數據交易的法律條文。

三是尚未充分認識到保護個人數據和保護隱私的重要性。越南現行的法律法規(包括《信息安全法》和《網絡安全法》)只規定了有關主管國家機構的國際合作職能的一般規定，而沒有具體規定將越南公民的個人數據轉移到第三國或國際組織的條件。例如，當前正在討論的《個人數據保護法》草案發現，關於個人數據跨境轉移條件的規定已經建立，但尚不清楚，在轉移條件與異常轉移之間，異常轉移與數據保護委員會同意轉移的文本之間存在重疊。通過審查正在起草的法律文件，即《規範個人數據保護的法令草案》，發現個人數據跨境轉移條件的規定詳細但不明確，兩者之間存在重疊四是越南目前對存在禁止數據離境、解除數據流動禁止的條件、數據本地化儲存的要求尚未有明確要求。

簡單而言，越南關於個人跨境數據傳輸的法律法規仍處於初期階段。具體而言，在越中企面臨如下挑戰：一是引發對越南政府保護個人跨境數據主體隱私的能力的擔憂；二是跨境數據流動使各國面臨執行與不在其領土內的實體相關的法律法規的挑戰。這在網絡空間中很常見——它是一個無國界的空間，所以基本上可以提供服務的企業可以在另一個國家開展業務，而無需設立辦事處或總部。這對越南執法部門在履行檢查、違法處理、投訴處理等法定義務方面提出了巨大挑戰。

三、推進中越數據跨境流動合作的思考

雖然中國與越南是兩個獨立國家，屬於兩個法域，法律不能適用，但是在商事領域的合同可以約定爭議時適用哪國的法律，而且兩國在經濟領域的互補性遠遠大於競爭性，合作共贏前景可期，兩國決策層在政治領域上致力於打造具有戰略意義的中越命運共同體的戰略考量，因此在“一帶一路”和“兩廊一圈”合作基礎上推動兩國在數據跨境互聯互通是一個具有前瞻性和示範性的課題。要達到該目標固然涉及多方因素，但由於越南的《網絡信息安全法》以及即將出台的《個人數據保護法》中關於對保護範圍、數據主體權利、處罰措施等方面的規定，以行政處罰措施為主：違反有關個人數據跨境傳輸的規定，將處以80,000,000越南盾至100,000,000越南盾（約合3,478美元至4,347美元）的罰款，與世界上一些國家和地區相比，制裁成本相對較低。此外，中越跨境數據流動不僅可以推動中越跨境數字經濟發展，也能為中越經濟持續合作催生出共享經濟、平台經濟等新業態和新模式助力。

為了推動中越數據跨境流動合作，筆者提出如下幾點建議：

1.建議由中國工信部和越南信息通信部牽頭，組織一批具有實現數據跨境互聯互通開發利用的技術理論的大數據、社交媒體和人工智能等科技公司，打造中越跨境經濟合作區互聯網數據跨境聯盟，集中力量為中越跨境經濟合作區建設服務。

2.建議由深圳市和越南胡志明政府部門牽頭，依託在中越國家發展戰略對接規劃框架下，吸引敦促相關企業負責人等前來中越跨境經濟合作區進行訪學、交流，以此普及他們對互聯網數據跨境聯盟的認識，進而吸引他們前往中越跨境經濟合作區投資。

3.建議由北京市、深圳市等政府派出相關人員赴越實地考察，瞭解越南當前的互聯網技術、科技水平、大數據和人工智能的普及情況以及具體的實際需求，從而為吸引兩地企業前來中越跨境經濟合作區投資，制定更有針對性的方案。

4.加快推進與越南政府在數據安全領域的合作，推動雙邊數據安全合規體系接軌，明確雙邊合作中的數據安全監管邊界。建立與越南政府數據安全問題常態化溝通協調機制，維護我國數據主權和在越中企權益。

5.加快健全中越跨境數據流動監管體制。建立對中越跨境數據流動的技術開發、測試、運維等嚴格的信息安全監管機制，加快推動與越南企業、組織等各種機構簽署統一的服務協議，構建同等保護水平的合同條款等中越數據跨境流動合法通道。考慮發揮新加坡等第三國專業仲裁機構功能和影響力，受理包括中越跨境數據流動糾紛，推動數據要素規範安全有序流動。