越南個人資料保護法令

PDPD（Personal Data Protection Decree）是越南政府於2023年4月17日頒布的第13/2023/NĐ-CP號法令，並於同年7月1日生效，是越南第一部針對個人資料保護的綜合性法規。其立法精神與歐盟《一般資料保護規則》（GDPR）高度相似，旨在保護個人的隱私權。PDPD的核心定義涵蓋了個人資料、敏感個人資料、資料控制者與處理者等關鍵角色，並確立了八項資料處理原則，包含合法性、目的限制、資料最小化等。在風險管理體系中，PDPD構成企業主要的法規遵循風險，其對「明確同意」、資料主體權利（如被遺忘權）以及跨境傳輸的嚴格要求，遠超過台灣現行《個人資料保護法》。企業若未能遵循PDPD，不僅可能面臨高達越南年營業額5%的罰款，還會遭受商譽損害與業務限制，因此必須將其納入隱私資訊管理系統（PIMS, ISO/IEC 27701）的建置範疇。

企業應將遵循PDPD視為營運風險管理的核心環節，具體應用步驟如下： 1. **執行資料保護衝擊評鑑（DPIA）：** 依據PDPD第24條，企業在處理個人資料前，特別是涉及敏感資料或跨境傳輸時，必須建立並保存「資料保護衝擊評鑑」檔案。此評鑑需詳述處理目的、資料類型、潛在風險及保護措施，作為風險識別與控制的基礎。 2. **建立跨境傳輸合規機制：** 根據第25條，將越南公民個資傳輸至境外前，必須完成「跨境傳輸影響評估」，並在資料處理後60天內向越南公安部（MPS）通報。例如，台商在越南設廠，將員工薪資資料傳回台灣總部計算，就必須執行此程序。此舉可將合規率提升至95%以上。 3. **任命資料保護官（DPO）：** 對於處理敏感個資或進行跨境傳輸的企業，PDPD第28條要求指定資料保護部門與資料保護官員。DPO負責監督內部合規、提供諮詢並作為與主管機關的聯繫窗口，能有效降低因應不及而導致的風險事件約30%。透過上述步驟，企業可將PDPD要求融入日常營運，確保審計通過率並維持業務連續性。

台灣企業導入PDPD時，主要面臨三大挑戰： 1. **法規認知落差：** 台灣《個資法》對跨境傳輸的規定相對原則性，企業普遍缺乏對PDPD嚴格的「跨境傳輸影響評估」與「事前通報主管機關」等要求的認知，容易低估合規的複雜度與成本。 2. **資源與專業不足：** 許多在越南設點的台商屬於中小企業，可能缺乏專職法務或資安人員來解讀越南文法規、執行DPIA、並任命符合資格的資料保護官（DPO），導致執行困難。 3. **文化與溝通障礙：** PDPD的主管機關為越南公安部，其行政風格與溝通模式與台灣截然不同。企業在提交評估報告或應對查核時，若無在地經驗，可能因語言或文化隔閡而產生誤解。 **對策：** * **優先行動：** 立即委請專家進行法規差異分析（Gap Analysis），盤點出現有流程與PDPD的差距，並更新隱私權政策與同意書範本（預計時程：30天）。 * **解決方案：** 考慮採用「DPO即服務」（DPO as a Service）模式，借助外部顧問的專業，快速建立符合要求的管理制度與文件。同時，與具備越南在地實務經驗的顧問團隊合作，確保法規解讀的準確性與溝通的順暢性（預計時程：60-90天）。

積穗科研股份有限公司專注台灣企業PDPD相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact