+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Вьетнам
    9 сентября 2022

    Вьетнам

     

    ЗАКОНОДАТЕЛЬСТВО ВЬЕТНАМА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства

    Во Вьетнаме положения о конфиденциальности данных и требуемые уровни их защиты рассредоточены в общем и отраслевом законодательстве страны:

    • Конституция Социалистической Республики Вьетнам от 15.04.1992;
    • Гражданский кодекс от 24.11.2015 № 91/2015/QH13;
    • Гражданско-процессуальный кодекс от 24.11.2015 № 92/2015/QH13;
    • Трудовой кодекс от 18.06.2013 № 10/2012/QH13;
    • Закон об информационных технологиях от 29.06.2006 № 67/2006/QH11 (регулирует применение и разработку информационных технологий, устанавливает права и обязанности агентств, организаций и физических лиц, осуществляющих эту деятельность, а также регулирует сбор, обработку, использование, хранение и предоставление персональных данных в сетевой среде);
    • Закон об электронных сделках от 29.11.2005 № 51/2005/QH11;
    • Закон о безопасности киберинформации («LOCIS» или «LCS») от 19.11.2015 № 86/2015/QH13 (применяется к организациям и физическим лицам и регулирует вопросы защиты информации и информационных систем в киберпространстве от незаконного доступа, использования, раскрытия, прерывания, изменения или саботажа в целях обеспечения безопасности);
    • Закон о кибербезопасности № 24/2018/QH14 (регулирует кибердеятельность, влияющую на национальную безопасность);
      и общественный порядок, а также предъявляет требования к локализации данных (далее – Закон о кибербезопасности, LOCS);
    • Закон о детях от 05.04.2016 № 10/2016/QH13 (далее – Закон о детях) и Указ от 09.05.2017 № 56/2017/ND-CP (регулирует некоторые положения Закона о детях);
    • Закон о телекоммуникациях от 23.11.2009 № 41/2009/QH12 (требует, чтобы телекоммуникационные предприятия не раскрывали информацию о конечном пользователе без его согласия или запроса от компетентного органа);
    • Закон о кредитных учреждениях от 16.06.2010 № 47/2010/QH12 (требует, чтобы кредитные учреждения сохраняли конфиденциальность всей информации о своих пользователях, счетов, активов и транзакций, за исключением случаев, когда дано согласие или имеется запрос от компетентного органа);
    • Закон о почтовых услугах от 17.06.2010 № 49/2010/QH12 (требует защиты конфиденциальности почтовых посылок);
    • Закон о защите прав потребителей от 17.11.2010 № 59/2010/QH12 (регламентирует обязанности организаций по защите информации о потребителях);
    • Закон о публикациях от 20.11.2012 № 19/2012/QH13 (запрещает несанкционированное раскрытие государственных и личных секретов);
    • Закон о печати от 05.04.2016 № 103/2016/QH13 (запрещает несанкционированное раскрытие государственных и личных секретов);
    • Постановление от 01.07.2016 № 85/2016/ND-CP (содержит описание классификации уровней информационной безопасности);
    • Указ от 01.07.216 № 58/2016/ND-CP (деятельность продуктов и услуг гражданского шифрования, а также экспорт и импорт продуктов гражданского шифрования);
    • Постановление от 01.07.2016 (правила предоставления услуг и продуктов в области киберинформационной безопасности);
    • Указ об управлении, предоставлении и использовании интернет-услуг и онлайн-информации от 15.07.2013 № 72/2013/ND-CP (далее – Указ №72), имеется проект нормативно-правового акта от 22.11.2021 о внесении изменений в данный Указ, который содержит новые положения об онлайн-играх, предложения в отношении новых центров обработки данных (включая облачные);
    • Постановление правительства от 10.04.2007 № 64/2007/ND-CP о применении информационных технологий в деятельности государственных органов;
    • Постановление от 13.08.2008 № 90/2008/ND-CP о борьбе со спамом;
    • Указ от 16.05.2013 № 52/2013/ND-CP об электронной торговле;
    • Постановление от 12.11.2013 № 158/2013/НД-КП «О наказаниях за административные правонарушения в сфере культуры, спорта, туризма и рекламы»;
    • Указ от 03.02.2020 № 15/2020/ND-CP с изменениями и дополнениями от 2022 года (штрафы за административные правонарушения в сферах почтовой, телекоммуникаций, информационных технологий и радиочастот);
    • Указ от 14.08.2020 № 91/2020/ND-CP (о спам-сообщениях и спам-звонках).

    Как правило, защита конфиденциальности и личных данных находится в ведении Министерства информации и коммуникаций (MIC).

    Проект Указа о защите персональных данных (далее – Проект PDP) для общественных обсуждений впервые представлен Министерством общественной безопасности (MPS) 19 февраля 2021 года.

    Проект PDP включает в себя: классификацию персональных данных; требования к обработке данных, в том числе правовые основы для обработки и раскрытия данных без согласия;  меры защиты данных, в том числе требования деидентификации/шифрования, доступности данных для государственных органов и регистрация для обработки конфиденциальных данных и трансграничной передачи данных; создание новой Комиссии по защите персональных данных.

    Основные понятия

    Персональные данные – любая информация, относящаяся к идентификации ее владельца (ст. 3.15 LCS), включая любую информацию, относящуюся к личной жизни человека, семейной тайне, а также личным сообщениям, включая письменную корреспонденцию и содержание телефонных звонков (ст. 38 Гражданского кодекса Вьетнама).

    При этом вьетнамское законодательство не делает различий между общей личной информацией и конфиденциальной личной информацией. Однако некоторая личная информация, такая как банковская информация и медицинские записи, считается государственной тайной и подлежит дополнительной защите.

    Согласно Проекту PDP, личные данные – это данные о человеке или связанные с идентификацией или может идентифицировать конкретного человека.

    Основные персональные данные – это полное имя, отчество и имя при рождении, псевдоним (при наличии); дата рождения; день, месяц, год умершего или пропавшего без вести; группа крови, пол; место рождения, место регистрации, место постоянного жительства, текущее место жительства, родной город, контактный адрес, адрес электронной почты; уровень образования; этническая принадлежность; национальность; номер телефона; номер удостоверения личности; номер паспорта; идентификационный номер гражданина; номер водительского удостоверения; номерной знак; ИНН; номер социального страхования; семейное положение; данные, отражающие активность или историю активности в киберпространстве (ст. 3.15 LCS).

    Конфиденциальные данные

    Законодательство Вьетнама не делает различий между общей личной информацией и конфиденциальной личной информацией.

    Согласно Проекту PDP к конфиденциальным относятся следующие личные данные:

    • политические и религиозные взгляды;
    • состояние здоровья, которое собирается при регистрации или оказании медицинских услуг;
    • генетическая информация, относящаяся к унаследованным признакам;
    • биометрическая информация о физических характеристиках;
    • гендерный статус – информация «о лице, которое идентифицируется как мужчина или женщина, а также о назначении пола при рождении»;
    • сексуальная ориентация;
    • преступления и правонарушения, которые собираются и хранятся правоохранительными органами;
    • финансовые данные – это информация, используемая для идентификации финансовых активов;
    • местоположение – это информация о физическом местонахождении человека в прошлом и настоящем;
    • социальные отношения;
    • другие персональные данные, которые по закону должны быть конкретными и требуют принятия мер необходимые меры безопасности.

    О несовершеннолетних

    По общему правилу несовершеннолетним в возрасте от 6 до 18 лет для совершения гражданско-правовых сделок требуется согласие законных представителей, исключение составляют сделки для повседневных нужд (ст. 21.1 Гражданского кодекса Вьетнама).

    Частные и/или личные данные детей – это информация, касающаяся имени, возраста, личных идентификационных данных, состояния здоровья и личной информации, включенной в медицинские записи; изображения; информация о членах семьи; о собственности; телефонные номера и почтовые адреса; информация о местожительстве, школе, классе, успеваемости и дружбе; информация об услугах, предоставляемых отдельному ребенку.

    Разглашение персональных данных несовершеннолетних без согласия родителей или опекуна запрещено.

    Закон о кибербезопасности содержит общие рекомендации по защите детей в киберпространстве. В частности, руководители информационных систем, поставщики телекоммуникационных услуг и интернет-провайдеры несут ответственность за то, чтобы информация в их системах или услугах не наносила вреда детям и не нарушала их права.

    Кроме того, согласно Закону о детях и Указу № 56/2017/ND-CP поставщики услуг в киберпространстве, которые собирают личную информацию детей и загружают ее в Интернет, должны получить согласие как от родителей/опекунов, так и от детей в возрасте от 7 лет.

    Таким образом, сбор и хранение персональных данных несовершеннолетних регулируется общими законами, а согласие несовершеннолетнего должно быть подкреплено волеизъявлением законного представителя.

    Согласно Проекту PDP (ст. 14 Проекта PDP), обработка персональных данных детей должна отвечать следующим принципам:

    • защищать права и интересы детей;
    • перед обработкой любых персональных данных детей, обработчик данных обязан проверять возраст ребенка, а также уточнять, требуется ли при этом согласие родителя или опекуна.

    При обработке персональных данных детей оператор персональных данных имеет право:

    • исправлять неточные или вводящие в заблуждение персональные данные;
    • обновлять и обрабатывать устаревшие персональные данные;
    • удалять персональные данные, которые больше не нужны для целей их обработки.

    Обработка персональных данных детей должна быть прекращена
    в следующих случаях:

    • цель сбора достигнута;
    • родитель или опекун отзывает согласие на обработку персональных данных;
    • по запросу компетентных органов.

    Оператор персональных данных

    Вьетнамское законодательство не делает различий между оператором (контролером) и обработчиком данных. Обработчик данных – это любая организация или физическое лицо, которое обрабатывает личную информацию. Обработка личной информации определяется как одно или несколько из следующих действий: сбор, редактирование, использование, хранение, публикация, предоставление, передача и передача личной информации любой третьей стороне (ст. 3.17 LCS).

    Права субъекта данных:

    • право на получение информации (обработчик данных должен информировать субъекта данных о методе, объеме, месте и целях сбора, обработки и использования его личной информации);
    • право на доступ (возможность запрашивать доступ к личной информации, которую обработчик данных собрал или хранит);
    • право на исправление (возможность требовать, чтобы обработчик данных обновлял, исправлял, исправлял или удалял личную информацию, которую субъект или физическое лицо собирало или хранит);
    • право на возражение (возможность потребовать, чтобы обработчик данных прекратил предоставление личной информации третьей стороне).

    Согласие на обработку персональных данных. Законный интерес

    Согласно Проекту PDP, согласие субъекта на обработку его персональных данных действительно только в том случае, если оно является добровольным и отражает следующее:

    • тип обрабатываемых персональных данных;
    • цель обработки персональных данных;
    • разрешение обрабатывать и передавать персональные данные;
    • условия передачи и предоставления персональных данных третьим лицам;

    При этом согласие должно быть выражено в письменной форме.

    Согласие может быть отозвано субъектом данных в любое время. В соответствии с Резолюцией 27 правительство одобрило следующие случаи, в которых персональные данные могут обрабатываться без согласия субъекта данных:

    • когда обработка необходима для реагирования на чрезвычайную ситуацию;
    • в тех случаях, когда обработка необходима в соответствии с требованиями национальной обороны и безопасности;
    • компетентный государственный орган расследует и рассматривает действия, нарушающие закон;
    • персональные данные обрабатываются компетентным государственным органом с целью обеспечения работы государственных органов в соответствии с законом.

    Общедоступный Проект PDP включает также обработку персональных данных для обслуживания статистических или научных исследований.

    Отраслевое регулирование

    Медицина

    Существуют определенные обязательства по хранению данных, которые могут применяться к информации в сфере здравоохранения.

    Медицинские карты стационарных и амбулаторных больных хранятся не менее 10 лет. Медицинские карты пострадавших от несчастных случаев на производстве и в быту хранятся не менее 15 лет. Медицинские записи пациентов с психическими заболеваниями и умерших – не менее 20 лет. Сведения о вич-статусе лица, медицинские записи, о донорстве органов, тканей, спермы или эмбриона, о смене пола считаются конфиденциальной информацией.

    Трудовое право

    Отдельной законодательной нормы, регулирующей особенности предоставления согласия лица в контексте занятости, не имеется. Работник обязан предоставить работодателю сведения о фамилии, имени и отчестве, возрасте, поле, адресе места жительства, образовании, профессиональных навыках, состоянии здоровья и другую информацию, необходимую для выполнения трудовой функции.

    Локализация. Трансграничная передача персональных данных

    Законодательство Вьетнама требует, чтобы поставщики ИТ-услуг хранили на территории Вьетнама копию любой информации, которой они располагают. Cоциальные сети в Интернете, веб-сайты с агрегированной информацией, услуги на базе сетей мобильной связи и службы онлайн-игр должны иметь локальный сервер во Вьетнаме (т.е. по крайней мере один сервер должен быть расположен во Вьетнаме).

    Урегулирование споров. Ответственность за нарушения, штрафы

    Несоблюдение законов Вьетнама о защите данных может повлечь за собой как административное, так и уголовное наказание.

    Уголовное наказание может быть наложено за нарушение правил, регулирующих конфиденциальность и безопасность в отношении электронной почты, обычной почты, телефона или других форм связи. Налагаемая уголовная санкция зависит от тяжести преступления и может включать: предупреждение, штрафы или тюремное заключение.

    Кроме того, любое лицо, которому причинен ущерб в результате нарушения законов о защите данных, имеет право на компенсацию от нарушившей стороны (ст. 13 Гражданского кодекса Вьетнама).

    Надзорный орган

    MIC является надзорным органом по информационной безопасности. MIC также работает с MPS (контролирует кибербезопасность) и Министерством национальной обороны для борьбы с преступными нарушениями правил информационной безопасности и угрозами национальной безопасности.

    Полномочия MIC включают право:

    • обнародовать национальные стандарты и технические регламенты;
    • проверять, расследовать и обрабатывать претензии или сообщения о нарушениях правил и законов в области информационной безопасности;
    • правоприменительные полномочия MIC распространяются
      на нарушения защиты данных в соответствии с любым отраслевым законом, в дополнение к LCS;
    • координировать действия с другими органами и предприятиями по защите информационной безопасности; а также

    контролировать соблюдение правил информационной безопасности.

    Управление по информационной безопасности MIC отвечает за следующие полномочия:

    • формулировать законы, политики и другие законодательные акты, связанные с информационной безопасностью;
    • осуществлять технические и процедурные меры;
    • направлять и поддерживать организации в совершенствовании и защите их информационных систем;
    • координировать деятельность по предотвращению спама;
    • контролировать соблюдение правил информационной безопасности;
    • координировать выполнение правил информационной безопасности;
    • исследовать, собирать и анализировать информацию для публикации отчетов о состоянии информационной безопасности во Вьетнаме;
    • получать и рассматривать жалобы на нарушения правил информационной безопасности.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.П. Болдыревой на законодательство     Социалистической Республики Вьетнам

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.