重要更新及其对相关行业的影
公安部(the Ministry of Public Security)近日向司法部(the Ministry of Justice)提交了《网络安全行政处罚条例》(Cybersecurity Administrative Sanctions Decree,简称"CASD" )(草案)的最新修订版。
这两个机构计划在2024年内正式颁布CASD。此前,越南曾出台了一系列针对个人数据保护和网络安全的法律法规,其中包括《保护个人数据第 13/2023/ND-CP 号法令》1(Decree No. 13/2023/ND-CP on personal data protection ,简称"PDPD")、《网络安全法》 2、指导《网络安全法》实施的第 53/2022/ND-CP 号法令3等。本次修订的CASD正是以上法律法规的延续,体现出了公安部对以上法律法规的积极落地与执行。除此之外,公安部在执行 PDPD 的方面采取的积极举措还包括首次对不同行业(包括电子商务、银行金融、中间支付、游戏、教育、医疗保健等)的公司进行了个人数据保护相关情况的合规性调查。以上所有措施都表明,公安部除了希望颁布正在制定中的《个人数据保护法》 (Law on personal data protection, 简称"PDPL")外,其还希望配合该法,建立一套完善的个人数据保护法律框架。
CASD新版草案基于 2023 年年中公开征求意见期间得到的各界反馈进行了修订,同时也与此前的版本保持了一定程度的连续性。此次 CASD 草案修订的一大亮点在于,修订后仍保留了之前版本中对相关企业存在重大影响并且也备受企业界重视的几项内容,包括:
- 罚款金额最高可达到企业上一财年收入或在越南境内所取得的利润的 5% :
-
- 建议处以此项罚款(作为主要处罚措施的补充)的违法行为包括:
-
- 泄露 500 万或以上越南公民的个人数据。
- 在提供营销和广告服务时多次违反个人数据保护相关规定。
- 此项罚款可能与《行政处罚法》(the Administrative Sanction Law)相冲突,进而引发了各界争议。根据《行政处罚法》的规定,对某一组织的罚款上限为 20 亿越南盾(约合人民币571,507 元)。
- 公安部在 CASD 草案提案中称,其曾在 2021 年代表政府与国会常务委员会(the National Assembly Standing Committee,"NASC")就对某些违反个人数据保护相关法规的行为处以此项罚款一事进行了磋商。
- 由于 CASD是依据《行政处罚法》起草的,因此在罚款上限方面也必须与之保持一致,但由于目前公安部还正在与国会常务委员会进行协商,因此,建议利益相关者密切关注二者磋商的后续进展。
- 对于需要收集个人数据的行业,可能会受到吊销营业执照三个月的处罚:
-
- 此项处罚可能会对企业的正常运营产生严重影响。
- 除其他违法行为外,该项处罚还适用于以下情况:
-
- 在数据主体撤回同意后,未停止处理其个人数据。
- 未编制数据处理影响的评估。
相较于 2023 年年中发布的旧版 CASD 草案,新版草案引入了几项旨在完善监管框架的修订。主要修订如下:
- 针对各种违法行为的罚款都有所减少,某些罚款金额降幅高达 75%。
- 新增了责令企业暂停运营的处罚措施,暂停运营期限最长可达三个月,同时删去了责令企业暂停处理个人数据一到三个月的条款。
- 进一步明确了删除个人数据和通知数据泄露的截止日期 4,将周末、节假日和元旦排除在 48 小时和 72 小时5的时限之外。
目前,CASD 还有一些立法程序尚未完成,包括:司法部需要对草案进行评估,公安部需要根据司法部的意见对草案进行最后修订,随后再提交给政府颁布施行。尽管立法程序尚未完成,但我们认为,相关企业应当及早行动以切实遵守越南网络安全和个人数据保护法规。
Footnotes
1. 《个人数据保护第13/2023/ND-CP号法令》(Decree No. 13/2023/ND-CP on personal data protection ,简称"PDPD")。该法令于2023年4月17日发布,并于 2023年7月1日正式生效。此法令是越南首次尝试将数据保护法规整合为一项成文立法,其体现了越南正在针对个人数据保护努力建立一个符合国际标准的框架。
2. 《网络安全法》(Cybersecurity Law),该法令于2018年生效,该法令针对此前很长一段时间越南对于网络安全管理的规定进行了系统化汇总。该法令目的在于预防并消除网络安全威胁、保护国家主权、利益和安全,体现出越南对网络空间安全的重视。
3. Decree No. 53/2022/ND-CP,该法令于2022年生效,其主要内容和作用为详细指导越南《网络安全法》的实施。
4. 根据PDPD,收到数据主体删除个人数据的要求、或发现数据泄露后,数据处理者必须在72小时内删除相关数据。
5. CASD草案要求数据处理者在收到数据主体删除个人数据的要求、或发现数据泄露后删除相关数据的时间要求为48小时。CASD和PDPD在此规定上存在不一致,目前相关部门还在针对其进行进一步讨论和审查。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.