.jpg)
東南亞地區,除了筆者上一篇討論的菲律賓隱私登記制度外,相較於其他國家,越南個人資料保護法規範較為嚴格。雖然說幾乎全世界的個人資料保護法律制定深受歐盟GDPR影響,以個人資料為隱私權(人權)的一環,越南個人資料保護與大部分世界其他國家不同點在於,他的保護機制受中國大陸影響,也因此政府監管較為嚴格。其中筆者本篇想討論的是,對於個人資料蒐集處理上特別需要注意的兩個要點:個人資料在地化(localization)以及隱私影響評估提交義務。
所謂個人資料在地化的意思是指,要求個人資料應儲存在越南,然後再傳輸到海外。按照越南網路安全法規定,提供網路空間的資料儲存和共用服務、電子商務服務、 線上電子遊戲,或以訊息、電話、視訊通話、電子郵件或線上聊天的形式在網路空間提供、管理或操作其他資訊等十項服務業者(包含越南本地企業與外國企業)必須將其蒐集處理的個人資料儲存在越南。外國企業被要求應在越南設立分公司或代表處。
隱私影響評估筆者在之前文章有簡單討論過其目的與一般內容。越南個人資料保護法關於隱私影響評估分為兩種,一個是關於個人資料處理隱私影響評估,(企業與為企業處理個人資料者,即controller and processor)在個人資料處理之日起六十天內根據標準表格向主管機關提交。另一個是於跨境傳輸時(跨境亦屬個人資料處理之一種) 隱私影響評估,在個人資料傳輸之日起六十天內提交,
如企業將越南公民的個人資料傳輸給位於海外的關係企業,或依據資料主體(data subject)同意,使用位於越南境外的自動化系統處理越南公民的個人資料,都被視為個人資料的跨境傳輸,而應完成隱私影響評估。兩者適用的表格相同,為主管機關提供之制式版本。
實務上操作狀況如何呢?必須承認越南個人資料法仍屬非常年輕的法律(2023年4月通過,7月1日實行),目前實務上完成隱私影響評估企業有多少家猶未可知,筆者近日亦協助集團內部越南公司法務律師處理隱私影響評估提交,過程中遇到瓶頸,對於主管機管要求揭露的程度與深度應如何拿捏,然越南法務律師與主管機關溝通亦未得到明確答案,實際處理過相關流程的外部律師更是鳳毛麟角;雖說,菲律賓隱私登記義務也是去年(2023年)正式引進,但該主管機關已頒布許多行政解釋通知。至於越南主管機關要求隱私影響評估細節必須做到哪一個程度,看來各界還有一段摸索的路要走!然,布局全球的跨國公司法遵意識宜儘早養成,畢竟越南個人資料法並無過渡期條款!筆者以為,與台商前進越南投資要別注意的應是隱私影響評估,因這項法律要求適用於各產業的境內處理及跨境傳輸。
