2025年8月,越南政府颁布了备受瞩目的第55/2025/ND-CP号法令(以下简称"第55号法令"),对2018年《网络安全法》(Law on Cybersecurity, Law No. 24/2018/QH14,以下简称"《网安法》")中悬置多年的数据本地化条款进行了细化规定。该法令自2026年1月1日起正式生效,标志着越南成为东盟地区数据本地化要求最为严格的国家之一。
第55号法令的出台,对中资企业的影响远非"多买几台服务器放在越南"这么简单。它从根本上改变了在越南开展数字服务、电商、金融科技、社交媒体、在线游戏等业务的法律架构——哪些数据必须本地化存储?何时必须设立越南本地分支机构?跨境数据传输如何审批?违反者的法律后果是什么?这些问题的答案,直接决定了中资企业的越南市场进入策略和运营成本模型。
本文依据第55号法令、《网安法》、2023年《个人数据保护法令》(Decree No. 13/2023/ND-CP,以下简称"PDPD")及越南公安部的最新指引,为中资企业提供系统化的数据合规进入路径。
一、越南数据保护的三层法律架构
越南的数据保护法律框架呈现三层叠加结构,任何一层均不可忽视:
第一层:2018年《网络安全法》——数据本地化的宪法性依据。第26条第3款规定,在越南提供电信网络服务、互联网服务及增值服务的国内外企业,若在越南境内收集、利用、分析、处理"个人信息数据"、"服务使用者关系数据"或"服务使用者生成的数据",须将这些数据存储在越南境内。但该条款长期缺乏具体实施细则,直至第55号法令出台方才真正落地。
第二层:第55号法令——数据本地化的操作指南。该法令的核心贡献有三:明确了触发数据本地化义务的"三步审查法";建立了跨境数据传输的"事先审批"制度;界定了不同数据处理者类型的不同义务。
第三层:2023年PDPD——个人数据保护的基础规范。PDPD借鉴了欧盟GDPR的框架,确立了数据主体的访问权、更正权、删除权、限制处理权、数据可携权、反对权等多项权利,并对"敏感个人数据"(包括政治观点、宗教信仰、健康信息、生物识别数据、遗传数据、性取向数据、犯罪记录数据、财务信息、地理位置数据等)的处理施加了更严格的同意要求和安全措施。
二、数据本地化的触发机制:第55号法令的"三步审查法"
不是所有在越南运营的企业都需要进行数据本地化。第55号法令第4条确立了触发本地化义务的"三步审查法"。
第一步:主体范围——哪些企业受约束?
第55号法令适用于以下"数据处理者":在越南提供电信网络服务、互联网服务或增值服务的内外资企业。涵盖行业包括:电信运营商、互联网服务提供商(ISP)、社交媒体平台、电商平台、在线游戏平台、金融科技/数字支付服务商、云计算/数据中心服务商、以及OTT通信服务商(如即时通讯应用)。值得注意的是,纯粹在越南销售实物商品、不涉及在线服务的制造企业或贸易公司,通常不触发该法规的约束。
第二步:数据类型——处理哪些数据触发本地化?
第55号法令将需要本地化存储的数据界定为三类:
个人信息数据:与特定自然人相关联或可识别的信息(同PDPD的定义),包括姓名、身份证号、电话号码、地址、电子邮箱、银行账户、生物识别数据等。
服务使用者关系数据:服务使用者在使用服务过程中产生的、反映其服务使用行为的电子数据,包括服务注册信息、登录日志、使用时长、IP地址、设备信息、位置数据等。
服务使用者生成的数据:服务使用者在平台上主动生成的数字内容,包括文本、图片、视频、音频、评论、点赞、分享、搜索记录等。
两类数据不在本地化要求范围内:一是企业自身的商业数据(非服务使用者的数据),如财务数据、商业秘密、内部通信等;二是在越南境外收集的、与越南无关的数据。但需注意,若中国电商平台在越南设有本地办公室或服务器,则其收集的越南用户的个人数据和服务使用数据均将触发本地化要求。
第三步:触发条件——什么情况下必须本地化?
数据本地化义务不是自动适用的,而是在特定条件下触发。第55号法令第5条规定的触发条件为:
越南主管机关(公安部网络安全与高科技犯罪防治局,以下简称"A05")向企业发出"数据本地化通知"。A05发出通知的前提是:该企业提供的服务曾被用于实施越南法律规定的网络犯罪行为,且A05已要求企业采取防范措施但企业未在执行期限内回应或未能有效制止该违法行为。
换言之,数据本地化义务的触发机制不是"行业门槛",而是"个案红线"——只有被A05认定涉及网络犯罪且未有效整改的企业,才会被勒令进行数据本地化。这是一种"事后的个案强制"模式,而非"事前的普遍要求"。
但对于在越南运营的大型平台企业,这一模式意味着:一旦其平台上发生网络犯罪(如欺诈、诽谤、赌博推广等),且企业未能及时配合执法或采取有效的治理和整改措施,企业可能随时被要求进行数据本地化——而且这一要求在技术和管理上的准备时间非常有限。
三、跨境数据传输的审批机制
第55号法令第6-9条建立了跨境数据传输的"事先审批"制度。
(一)哪些传输需要审批?
以下情形须向A05申请批准,方可进行跨境数据传输:越南公民的个人信息数据、服务使用者关系数据、服务使用者生成的数据。
例外情形(无需审批的传输):为履行越南加入的国际条约/协议的义务而进行的传输;为保护国家安全、公共秩序、公民生命健康而必需的传输(须有主管机关书面确认);经数据主体本人明确同意且传输不涉及敏感个人数据的传输;企业内部的行政性数据(如员工薪资信息传输至境外总公司),但该例外有严格限制,须提供详尽的业务理由和法律依据。
(二)审批申请的核心材料
跨境数据传输须提交《跨境数据传输影响评估报告》,内容包括:传输方的名称、地址和法定代表人信息;接收方的名称、地址和联系方式(特别要求:接收方须出具书面承诺,承诺将遵守越南的数据保护法律,并在数据泄露的第一时间通知传输方);传输的数据类型、数据量、数据主体的数量;传输的目的和法律依据(须证明传输是实现业务目的所"必要"的,而不是"为了方便");数据接收国/地区的数据保护法律概览——特别是该第三国/地区的现行数据保护法、该第三国/地区是否允许外国政府机构访问个人数据、以及数据主体在该第三国/地区是否有有效的行政或司法救济途径;传输方的数据安全措施(加密标准、访问控制、数据泄露检测和响应能力);以及数据传输后的处置安排("不保留"期限、删除机制)。
(三)审批的效力与期限
A05在收到完整申请材料后的60个工作日内做出批准或驳回的决定。批准的有效期为2年,可续期。若传输的目的、接收方、传输的数据类型发生重大变化,须重新申请。
四、违规的法律后果
第55号法令第10-12条规定了违反者的法律责任。
行政处罚:对未按要求进行数据本地化的企业,可处以2亿至5亿越南盾(约8,000至20,000美元)的罚款。对未经审批进行跨境数据传输的企业,罚款提升至3亿至5亿越南盾。
运营限制:A05可要求电信主管部门对违规企业的网站/应用进行封锁、暂停域名、暂停广告服务。这意味着,违规可能导致企业在越南市场直接"消失"。
阶段性加重:第55号法令设定了渐进式的执法路径——第一步发出书面警告和整改期限,第二步处以行政罚款和/或暂停违规的数据处理活动,第三步升级为暂停网站/应用运营。
五、进入越南市场的"数据合规第一步"
基于上述法律框架,中资企业在进入越南市场前应完成以下合规部署:
(一)确定企业是否属于受监管主体。纯实体商品销售、不涉及在线服务的企业,通常不触发第55号法令约束。若企业运营APP、网站、在线平台,从越南用户收集数据,则属于受监管主体,须投入合规资源。
(二)数据映射与分类。识别所有数据流:哪些是"越南用户的数据"?(注意:来自越南IP地址、电话号码前缀+84、越南语账户设置等属性的用户,通常推定为越南用户。)数据流向哪里?——是否有数据自动传输至中国的服务器、第三方CDN、数据分析平台?
(三)选择数据架构成方案。方案A(本地化储存):在越南设立服务器(可租用越南本地IDC,如VNPT、Viettel、CMC等),将越南用户的全部数据存储在越南境内。方案A+(本地化存储+境外备份):主存储位于越南,境外仅保留加密备份(且备份不得用于本地的业务目的)。方案B(混合架构):在触发本地化通知前不进行本地化,但保留在90日内完成本地化迁移的技术能力。
方案B是多数中小型中资企业的首选——它避免了前期的本地化成本,但要求企业具备快速响应的技术架构能力。然而,方案B的风险在于:一旦A05发出本地化通知,90天的迁移窗口对于拥有数百万用户的大型平台而言,技术和管理难度极大。
(四)跨境传输的提前准备。对于必须向中国传输越南用户数据的企业(如中国母公司提供统一的客服、风控、数据分析系统),应尽快:准备《跨境数据传输影响评估报告》(可聘请越南数据保护律师协助编制)、与数据接收方(中国母公司)签署数据保护协议(符合越南的标准合同条款)、以及建立数据泄露72小时应急响应机制。
(五)本地化代表/DPO的设置。第55号法令暗示,受监管企业应当在越南指定至少一名数据保护代表或DPO。该代表须具备越南公民身份或永久居民身份,且职责独立,不直接隶属于IT或业务部门。DPO负责监督数据合规,并与A05保持沟通。
六、与中国《个人信息保护法》的规则协调
中资企业面临"双重合规"——既要遵守越南的法律,又要遵守中国的法律。
跨境合规的"并行审批":中国《个人信息保护法》第38条要求向境外传输个人信息须通过安全评估、认证或签署标准合同——越南第55号法令要求向境外传输数据须经A05批准。两条审批路径相互独立,不可互相替代。企业须同时、分别履行两边的审批义务。
数据本地化的"双重存储":两国法律都可能分别要求将各自公民的数据存储在本国境内——即中国的法律要求中国公民数据存储在中国(《网络安全法》第37条),越南的法律要求越南用户数据存储在越南(第55号法令)。对于同时在两国运营的平台,需要设计能够将数据按地域隔离的存储架构——将中国用户的数据独立存储在中国的服务器,将越南用户的数据独立存储在越南的服务器。
七、结语
第55号法令的出台,标志着越南数据保护法律框架从"政策宣示"进入到"操作落地"阶段。对于中资企业而言,这既是挑战,也是机遇——挑战在于合规成本的增加,机遇在于率先完成合规的企业将在越南市场获得"制度性先发优势"。
建议所有在越南有业务或计划进入越南的中资企业,在2026年内完成:数据映射(Data Mapping)——识别所有越南用户数据的流向和存储位置;制定本地化预案——确保在收到A05通知后90日内可以完成本地化迁移;以及落实跨境传输审批——对于必须向中国传输数据的企业,启动《跨境数据传输影响评估报告》的编制和审批流程。
进入越南市场的第一课,是数据合规。这不是可选项——这是运营许可证。
我是余驰宇,中国执业律师,牵头泰国、柬埔寨、马来西亚、罗马尼亚等国当地律所的中国业务部,专注中资企业海外财产保护、重大诉讼/仲裁、税务问题处理、跨境保全与执行。