我们将在本文中向大家介绍“网络安全制裁与个人数据保护违规”法令草案。
2021年9月20日,越南公安部(MPS)公布《网络安全行政违规制裁法令草案》(法令草案),以征询民意。民意征询期截至2021年11月18日。预定生效日期为2021年12月1日。
该法令草案旨在整合针对网络空间中违法行为的行政制裁规定,是公安部公布的最新草案文书,根据2018年《网络安全法》(《网络安全法》)制定。在此之前,2019年还另外发布了一项法令草案,拓宽了《网络安全法》的数据本地化要求,并且在今年年初还发布了《个人数据保护法令草案》(PDP法令草案)。若按照当前的措词通过该法令草案,现行第15/2020/ND-CP号法令中关于邮政服务、电信、无线电频率、信息技术和电子转账的若干行政处罚规定将作废。
该法令草案规定了构成行政违规的行为、相关制裁及补救措施。违规行为可大致分为以下三类:(i)与个人数据保护相关的违规,(ii)网络安全违规,以及(iii)信息安全违规。该法令草案介绍了违反《网络安全法》和《个人数据保护法令草案》规定的情况。我们注意到,该法令草案似乎是依据尚未公开的一版《个人数据保护法令草案》而撰写的。
该法令草案建议的额外管辖范围预计将影响国内和海外实体。特别是就《网络安全法》中尚未执行的数据本地化规定,要求某些类型的数据应存储在越南并在当地设立机构,以及《个人数据保护法令草案》中就个人数据跨境转移所提议的要求,该法令草案规定了相应的违规制裁措施。鉴于对行政/财务负担的担忧以及对数据/贸易往来的影响,尽管数据本地化和个人数据跨境转移要求一直是讨论的焦点,该法令草案似乎反映了政府将继续推动这些要求的意愿。
根据违规情况,罚金为1000万至1亿越南盾(约440-4400美元)。该法令草案还规定,对公司的罚款可为双倍。在严重的情况下(如多次违规),罚金为五倍或违规公司在越南市场收入的5%。
以此为背景,公安部发布了该法令草案,以解决对网络空间内违规行为和现有法律文书中缺乏相关制裁措施的日益担忧。根据该法令草案随附的提案,公安部的主要关注领域似乎是网络攻击/网络间谍活动、通过网络空间泄露/丢失国家机密、在网络空间中发布非法内容以及电商平台上的潜在违规行为。
下表中列出了该法令草案所规定的违规行为及对应的制裁措施。
|
分类 |
违规 |
制裁 |
|
个人数据保护 |
与同意授权有关的违规情况 |
|
|
o 未经数据主体同意擅自处理个人数据 o 同意不明确 o 滥用同意授权 o 无法将同意打印或复印成书面形式 o 未告知同意可部分作出或附条件作出 o 未告知数据主体所处理的数据为敏感数据 o 在数据主体作出不同决定后,或主管部门作出书面要求后,继续处理个人数据 o 未确认或拒绝确认实体取得了数据主体的同意 o 阻止数据主体撤销同意或故意制造困难 o (适用于数据控制方)未通知数据主体撤销同意可能产生的后果 |
6000万至8000万越南盾(约2640至3500美元) |
|
|
与个人数据处理通知相关的违规 |
||
|
o 在更新、披露或删除个人数据前未通知数据主体 o 在同意/通知格式方面未遵守《个人数据保护法令草案》的要求 |
6000万至8000万越南盾(约2640至3500美元) |
|
|
与个人数据保护措施相关的违规 |
||
|
o 未应用管理、技术和物理措施来保护个人数据 o 未能发布与个人数据保护相关的文件,以详细说明对《个人数据保护法令草案》的遵守情况 |
6000万至8000万越南盾(约2640至3500美元) |
|
|
o 未指定部门/官员负责个人数据的保护并向主管当局汇报 o 在处理、删除或销毁含个人数据的设备之前,未进行网络安全检查 |
8000美元至1亿越南盾(约3500至4400美元) |
|
|
与跨境数据传输相关的违规 |
||
|
o 未能履行《个人数据保护法令草案》中设立的跨境数据传输标准 o 在评估个人数据跨境传输的影响时,未提供足够的信息 o 未能达成协议,使参与越南公民个人数据转移/接收的人受到法律约束 |
6000万至8000万越南盾(约2640至3500美元)* |
|
|
o 未在当局检查时出示与跨境数据转移相关的必要文件/在经营后的前60个工作日内向当局提交此类文件 o 在数据成功转移时,未将负责人的具体联系方式告知当局 o 跨境转移导致个人数据泄漏或丢失且影响了至少10000名越南数据主体 |
8000美元至1亿越南盾(约3500至4400美元)(这一数额将根据违规严重程度进行双倍或三倍处罚)* |
|
|
|
* 除罚款外,违规实体还需要: · 采取补救措施,如在大众媒体上公开道歉并支付赔偿;和/或 · 接受其他制裁,如: o 停止提供服务 o 采取补救措施,消除影响 o 吊销服务经营许可证 o 暂停数据处理 o 停止个人数据的处理 |
|
|
网络安全 违规 |
与用户数据相关的违规行为 |
|
|
|
o 未在用户注册时核实其个人数据 o 未确保用户的数据和账户安全 o 未向网络安全部队提供或延迟提供用户的数据供其调查 o 未在接到主管部门要求的24小时内阻止《网络安全法》规定的违规内容的传播或删除违规内容 |
o 6000万至8000万越南盾(约2640至3500美元) o 吊销服务经营许可证和营业执照 |
|
与数据本地化相关的违规 |
||
|
o 未将用户数据储存在越南,未按《网络安全法》的要求设立本地分支机构或代表办公室 |
o 8000万至1亿越南盾(约3500至4400美元) o 吊销营业执照 |
|
|
信息 安全 违规 |
与违规内容处理相关的违规 |
|
|
o 未采取技术措施来预防、检测、阻止并删除违规内容 o 未与主管部门合作实施管理与技术措施,以防止、检测、拦截和删除违规内容 o 未按主管部门的要求采取技术与管理措施,以防止、检测、拦截和删除违规内容 o 未按照主管当局的要求删除违规内容 o 就网络服务提供商的信息系统、产品或服务,未提供与违规内容相关的信息。 |
o 4000万至6000万越南盾(约1750到2640美元) (每次重复违规最高处罚1亿越南盾—4400美元) o 吊销营业执照 o 删除违规内容 o 在大众媒体上公开道歉 |
|
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.