個(gè)人數(shù)據(jù)保護(hù)，越南變得很激進(jìn)？

“出海越南企業(yè)或面臨比國(guó)內(nèi)數(shù)據(jù)監(jiān)管更嚴(yán)格的局面

對(duì)于數(shù)以萬計(jì)活躍在越南數(shù)字經(jīng)濟(jì)浪潮中的中國(guó)出海企業(yè)而言，今年1月不僅意味著新年的開端，更標(biāo)志著一個(gè)時(shí)代的終結(jié)。2026年1月1日，越南首部《個(gè)人數(shù)據(jù)保護(hù)法》（Personal Data Protection Law, PDPL）正式生效，升級(jí)為具有最高法律效力的國(guó)家法律。這部重要的數(shù)據(jù)新法落地，越南政府于2025年12月31日頒布的指導(dǎo)令（Decree 356/2025/ND-CP）也同步生效，進(jìn)一步細(xì)化了敏感數(shù)據(jù)列表與合規(guī)評(píng)估模板。

這并非一次簡(jiǎn)單的法律條文更新，回望2025年越南的數(shù)字監(jiān)管實(shí)踐，規(guī)則已先于法律落地：僅上半年內(nèi)，越南當(dāng)局查處56起非法數(shù)據(jù)交易案件，涉及超過1.1億條個(gè)人數(shù)據(jù)；5月，全球知名社交平臺(tái)Telegram因拒絕配合數(shù)據(jù)要求被直接封禁；到7月，越南國(guó)家銀行又將約8600萬個(gè)未完成生物識(shí)別核驗(yàn)的銀行賬戶停用或清理。這些強(qiáng)監(jiān)管動(dòng)作都指向同一方向，越南監(jiān)管部門正在完成對(duì)數(shù)字經(jīng)濟(jì)的“實(shí)控”。

隨著越南PDPL及配套指導(dǎo)令生效，“人-證-號(hào)-臉”的監(jiān)管閉環(huán)被正式寫入法律。過去被視為“流量洼地”和“增長(zhǎng)天堂”的新興市場(chǎng)，正在成為東南亞數(shù)據(jù)主權(quán)監(jiān)管最激進(jìn)、執(zhí)行最硬、處罰最狠的樣本市場(chǎng)。對(duì)于習(xí)慣了“低成本買量”打法的中國(guó)出海企業(yè)而言，2026年是一道明確的分水嶺：野蠻生長(zhǎng)的時(shí)代，結(jié)束了。

越南《個(gè)人數(shù)據(jù)保護(hù)法》（PDPL）來源：越南政府門戶網(wǎng)站

從“垃圾SIM卡”到PDPL

越南數(shù)據(jù)保護(hù)的三個(gè)拐點(diǎn)

要理解這場(chǎng)合規(guī)風(fēng)暴所處的歷史地位，我們不妨將時(shí)鐘撥回，探秘越南數(shù)字經(jīng)濟(jì)治理的三個(gè)關(guān)鍵階段。

在2010年到2016年間，越南的數(shù)字經(jīng)濟(jì)仍處在典型的“草莽階段”。智能手機(jī)剛剛普及，運(yùn)營(yíng)商通過送卡、送話費(fèi)爭(zhēng)奪用戶，匿名SIM卡大量流通，用完即棄，被稱為“Sim Rác”（垃圾SIM卡），這一概念既指匿名號(hào)碼本身，也指由此衍生的廣告騷擾與電信詐騙。在這一時(shí)期，數(shù)據(jù)被默認(rèn)視為“無主資源”，企業(yè)可以抓取公開信息，或通過購(gòu)買廉價(jià)數(shù)據(jù)包完成冷啟動(dòng)，幾乎不存在清晰的隱私邊界。

越南的SIM rác，來源：xtmobile.vn

轉(zhuǎn)折出現(xiàn)在2016年。當(dāng)時(shí)越南信息與通信部開始要求運(yùn)營(yíng)商配合警方清查非法SIM卡，一時(shí)間倒賣SIM卡的店鋪門可羅雀，2017年的Decree49（“第49號(hào)法令”）則將實(shí)名登記和關(guān)停信息不完整號(hào)碼寫入法規(guī)，2018年《網(wǎng)絡(luò)安全法》（24/2018/QH14）進(jìn)一步確立了網(wǎng)絡(luò)空間治理框架。越南數(shù)據(jù)保護(hù)進(jìn)入“覺醒階段”，規(guī)則開始成體系出現(xiàn)。

真正的分水嶺，則是數(shù)字治理“物理基礎(chǔ)”的補(bǔ)齊。自2022年啟動(dòng)“06號(hào)工程”（Project06）以來，越南以國(guó)家人口數(shù)據(jù)庫與VNeID為核心，推動(dòng)身份信息與金融、社保等系統(tǒng)對(duì)接，使得“誰對(duì)應(yīng)哪個(gè)證件、哪個(gè)賬號(hào)”在技術(shù)上變得可核驗(yàn)和可追溯。

隨著芯片身份證（CCCD）的普及，疊加Decree13與后續(xù)個(gè)人數(shù)據(jù)保護(hù)立法，越南逐步完成“人-證-號(hào)-臉”的物理閉環(huán)，監(jiān)管顆粒度從賬戶層面下沉到“單人單臉”。在上述基礎(chǔ)之上，如今PDPL的生效，標(biāo)志著越南首次擁有一部真正可執(zhí)行的系統(tǒng)性個(gè)人數(shù)據(jù)保護(hù)法，數(shù)據(jù)治理由此進(jìn)入“實(shí)控階段”。

越南新數(shù)據(jù)法

給中國(guó)企業(yè)的“四道紅線”

進(jìn)入2026年的越南，身份、賬戶與數(shù)據(jù)鏈路被納入統(tǒng)一監(jiān)管體系，企業(yè)過去依賴監(jiān)管松動(dòng)與執(zhí)行彈性建立的成本和效率優(yōu)勢(shì)，正在被新規(guī)則系統(tǒng)性取代。對(duì)于中國(guó)出海企業(yè)而言，哪些模式還能繼續(xù)，哪些必須重構(gòu)，哪些風(fēng)險(xiǎn)已無法回避，都在這一輪被重新檢驗(yàn)。下面總結(jié)的四條紅線是多數(shù)出海企業(yè)最容易踩中、代價(jià)最高的風(fēng)險(xiǎn)點(diǎn)。

來源：越南公安部，bocongan.gov.vn

第一道紅線——獲客端：一鍵授權(quán)失效，流量紅利終結(jié)

過去，中國(guó)APP出海時(shí)常用“注冊(cè)即同意”的方式：一個(gè)勾選框，便默認(rèn)授權(quán)營(yíng)銷推送、第三方共享等全部權(quán)限，但在越南PDPL下，這種做法已被明確否定。法律要求，有效同意必須明示、具體、可拆分、可驗(yàn)證，默認(rèn)勾選或打包授權(quán)不再合法。

這意味著獲客邏輯需要重構(gòu)。企業(yè)必須從“一鍵授權(quán)”轉(zhuǎn)向“功能級(jí)授權(quán)”：發(fā)營(yíng)銷信息、取位置信息、對(duì)外共享，都要分別獲得用戶同意。同時(shí)，用戶擁有隨時(shí)撤回授權(quán)的權(quán)利，企業(yè)需及時(shí)停止處理并刪除數(shù)據(jù)，這將直接沖擊那些數(shù)據(jù)“只進(jìn)不出”的后臺(tái)體系。另外，通過爬蟲抓取公開信息用于電話營(yíng)銷的做法，也被直接認(rèn)定為非法處理數(shù)據(jù)。對(duì)游戲行業(yè)而言，新法對(duì)未成年人及游戲內(nèi)行為數(shù)據(jù)的嚴(yán)格要求，也讓其成為首批承壓的行業(yè)之一。

第二道紅線——運(yùn)營(yíng)端：敏感數(shù)據(jù)收緊，算法不再免責(zé)

在PDPL下，真正被收緊的是用戶個(gè)人數(shù)據(jù)，這也是互聯(lián)網(wǎng)公司賴以生存的基礎(chǔ)。新法大幅擴(kuò)展了“敏感個(gè)人數(shù)據(jù)”的范圍，除生物識(shí)別信息外，客戶金融信息、消費(fèi)記錄和實(shí)際位置等信息都被明確納入其中。處理此類數(shù)據(jù)，不僅需要獲得用戶的單獨(dú)同意，還必須開展DPIA（個(gè)人數(shù)據(jù)處理影響評(píng)估）并向公安部報(bào)備，這與中國(guó)對(duì)金融信息、生物識(shí)別等信息監(jiān)管口徑高度相似。也正因如此，部分電商平臺(tái)在越南出現(xiàn)提現(xiàn)受限，企業(yè)無法證明對(duì)已獲得對(duì)敏感數(shù)據(jù)的合規(guī)授權(quán)，資金鏈路因此被卡住。

同時(shí)，PDPL賦予用戶對(duì)自動(dòng)化決策的“拒絕權(quán)”，在邏輯上也接近國(guó)內(nèi)對(duì)“算法推薦”、“大數(shù)據(jù)殺熟”的監(jiān)管要求。無論是依賴算法推薦內(nèi)容的短視頻平臺(tái)，還是依賴算法自動(dòng)風(fēng)控的放貸業(yè)務(wù)，都將面臨調(diào)整。盡管法律給予最多五年的過渡期，企業(yè)仍需準(zhǔn)備一套“非算法”的替代方案，以應(yīng)對(duì)越南監(jiān)管的要求。

第三道紅線——傳輸端：數(shù)據(jù)出境設(shè)閘，跨境納入審批

和中國(guó)一樣，越南的數(shù)據(jù)也不能任意出境了。新法規(guī)定，數(shù)據(jù)出境不再是企業(yè)內(nèi)部風(fēng)控，而是必須向越南公安部提交跨境傳輸影響評(píng)估（TIA）檔案的行政義務(wù)。監(jiān)管層強(qiáng)化數(shù)據(jù)本地化與傳輸管控措施，本質(zhì)不僅是為了數(shù)據(jù)本身，也為了防止資本非法外逃。

另外值得中國(guó)出海企業(yè)注意的是，在首次發(fā)生數(shù)據(jù)跨境傳輸后的60天內(nèi)，企業(yè)必須一次性完成報(bào)備（已有的歷史數(shù)據(jù)除外），若被認(rèn)定危害國(guó)家安全，越南公安部擁有隨時(shí)叫停傳輸?shù)臋?quán)力。這一不確定性迫使中國(guó)企業(yè)可能要重新審視其云架構(gòu)，單純依靠阿里云或騰訊云的新加坡節(jié)點(diǎn)服務(wù)越南市場(chǎng)已顯得風(fēng)險(xiǎn)過高，而將核心敏感數(shù)據(jù)（如用戶ID、支付數(shù)據(jù)）在越南本地服務(wù)器（如Viettel IDC）留存副本，將成為防止業(yè)務(wù)因傳輸中斷而癱瘓的必要條件。

第四道紅線——責(zé)任端：買賣數(shù)據(jù)入刑，違規(guī)成本陡增

在PDPL框架下，越南首次在個(gè)人數(shù)據(jù)專法中，將“買賣個(gè)人數(shù)據(jù)”與刑事風(fēng)險(xiǎn)直接綁定，并引入對(duì)標(biāo)歐盟GDPR的高額罰款機(jī)制。法律規(guī)定，涉及買賣個(gè)人數(shù)據(jù)的違法行為，最高可處以違法所得10倍的罰款；對(duì)違反跨境個(gè)人數(shù)據(jù)傳輸規(guī)定的組織，最高罰款可達(dá)其上一年度收入的5%。相比我國(guó)主要依賴刑法兜底追責(zé)的路徑，越南在個(gè)人數(shù)據(jù)專法中，直接把數(shù)據(jù)交易推到了監(jiān)管的“高壓區(qū)”，處罰邏輯更前置、路徑也更為直接。

這意味著，過去依靠購(gòu)買“數(shù)據(jù)包”完成冷啟動(dòng)、或補(bǔ)充用戶畫像的模式，正在被新法直接切斷，相關(guān)增長(zhǎng)策略也必須重構(gòu)。在高壓監(jiān)管下，數(shù)據(jù)保護(hù)官（DPO）不再是虛職。盡管中小企業(yè)在非大規(guī)模場(chǎng)景下享有一定豁免，但對(duì)多數(shù)中國(guó)出海企業(yè)而言，指定DPO或越南本地法律代表，已成為繞不開的選項(xiàng)。

“越南樣本”是否會(huì)成為

東南亞數(shù)字監(jiān)管的藍(lán)本

我們將視野從河內(nèi)拓展至整個(gè)東南亞，可以更清晰地看到越南在數(shù)字合規(guī)浪潮中的獨(dú)特位置。在東盟數(shù)字經(jīng)濟(jì)一體化背景下，各國(guó)雖均在加速構(gòu)建數(shù)據(jù)法律框架，但執(zhí)行路徑差異明顯。越南以極為鮮明的姿態(tài)，成為區(qū)域內(nèi)“激進(jìn)合規(guī)”的孤島與參考樣本。

越南模式最顯著的特征在于“公安主導(dǎo)”與“國(guó)家安全優(yōu)先”的底層邏輯。在新加坡和泰國(guó)，個(gè)人數(shù)據(jù)保護(hù)由信息通信與數(shù)字經(jīng)濟(jì)體系內(nèi)的專業(yè)機(jī)構(gòu)負(fù)責(zé)；而在越南，核心執(zhí)法權(quán)則直接集中在公安部體系之下。這一權(quán)力結(jié)構(gòu)決定了其執(zhí)法手段具有相當(dāng)?shù)耐亓Γ涸谄渌麌?guó)家，數(shù)據(jù)隱私違規(guī)通常只引發(fā)行政罰款或整改令，而在越南，監(jiān)管可直接指向資金流轉(zhuǎn)核心，甚至觸及刑事責(zé)任。對(duì)外資企業(yè)而言，這種將數(shù)據(jù)主權(quán)與國(guó)家安全深度綁定的“硬管控”，意味著越南或?qū)⒊蔀闁|南亞合規(guī)成本最高、容錯(cuò)率最低的市場(chǎng)。

相較之下，新加坡與泰國(guó)走“溫和派”路線，更注重在隱私保護(hù)與商業(yè)活力之間尋求平衡。新加坡PDPA由個(gè)人數(shù)據(jù)保護(hù)委員會(huì)（PDPC）監(jiān)管，強(qiáng)調(diào)透明、可預(yù)測(cè)的執(zhí)法；泰國(guó)PDPA在實(shí)施初期給予企業(yè)較長(zhǎng)緩沖期和容錯(cuò)空間。在這兩個(gè)市場(chǎng)，中國(guó)企業(yè)雖仍需修訂隱私政策或任命DPO，但通常不會(huì)面臨越南式“瞬間熔斷”的極端風(fēng)險(xiǎn)。

盡管如此，越南模式仍可能成為其他新興市場(chǎng)的參考模板。作為東南亞最大數(shù)字經(jīng)濟(jì)體，印尼數(shù)字經(jīng)濟(jì)混亂局面與越南過去相似，監(jiān)管環(huán)境顯碎片化，基礎(chǔ)設(shè)施未完全打通。越南通過“強(qiáng)實(shí)名+生物識(shí)別”清理灰色產(chǎn)業(yè)的經(jīng)驗(yàn)，為雅加達(dá)提供了頗具吸引力的治理樣本。如果印尼未來效仿這種“技術(shù)+硬管控”模式，那么越南今天建立的一系列合規(guī)法則，將有可能被印尼“抄去作業(yè)”。

總體來看，東南亞的數(shù)據(jù)監(jiān)管正如火如荼推進(jìn)，類似于中國(guó)前幾年數(shù)據(jù)安全立法的情景。一方面，多國(guó)在立法技術(shù)上向歐盟GDPR靠攏，強(qiáng)調(diào)同意原則、數(shù)據(jù)主體權(quán)利、用戶隱私保護(hù)及泄露通報(bào)義務(wù)，同時(shí)提高罰款上限；另一方面，以越南為代表的國(guó)家，則顯示出日益明顯的數(shù)據(jù)本地化與數(shù)據(jù)主權(quán)傾向。對(duì)于中國(guó)出海企業(yè)而言，2026至2027年將是關(guān)鍵合規(guī)窗口期：在關(guān)注越南的同時(shí)，也需密切留意馬來西亞、新加坡的數(shù)據(jù)轉(zhuǎn)移規(guī)則，以及泰國(guó)日益完善的白名單制度，從這三個(gè)相對(duì)寬松的市場(chǎng)中抓住可操作的合規(guī)空間，為企業(yè)生存和布局贏得緩沖。

越南PDPL與歐盟ePrivacy Directive（電子隱私指令）相比較，來源：aesirx.io

競(jìng)爭(zhēng)門檻再造下的戰(zhàn)略紅利

河內(nèi)的立法引擎并未熄火。就在PDPL正式生效前夕，越南國(guó)會(huì)于2025年12月10日通過了第116/2025/QH15號(hào)《網(wǎng)絡(luò)安全法》（Law on Cybersecurity）。這部將于2026年7月1日正式生效的新法，構(gòu)建了一個(gè)更為全面的網(wǎng)絡(luò)安全法律框架，對(duì)網(wǎng)絡(luò)安全保護(hù)及網(wǎng)絡(luò)空間中機(jī)構(gòu)、組織和個(gè)人的權(quán)利、義務(wù)和責(zé)任進(jìn)行了全覆蓋界定。這表明，越南的數(shù)據(jù)合規(guī)浪潮并非一時(shí)之風(fēng)，PDPL只是序章，一個(gè)“數(shù)據(jù)保護(hù)+網(wǎng)絡(luò)安全”的雙重監(jiān)管閉環(huán)正在形成。

而對(duì)于中國(guó)出海企業(yè)而言，這不僅是一場(chǎng)監(jiān)管風(fēng)暴，也是一種似曾相識(shí)的“鏡像時(shí)刻”：越南的合規(guī)路徑，從強(qiáng)調(diào)“數(shù)據(jù)主權(quán)”到推行“實(shí)名制”，從打通“人-證-號(hào)”到實(shí)施跨境評(píng)估，無不折射出中國(guó)數(shù)字治理的影子。如今越南正以“類中國(guó)模式”方式，快速清理野蠻生長(zhǎng)的市場(chǎng)，不合規(guī)企業(yè)將面臨高額罰款和市場(chǎng)禁入的雙重壓力，包括中國(guó)企業(yè)在內(nèi)的行業(yè)洗牌不可避免。

同時(shí)我們看到，河內(nèi)的數(shù)據(jù)變局對(duì)中國(guó)企業(yè)而言是一把雙刃劍。一方面，企業(yè)必須警惕慣性誤區(qū)，切勿簡(jiǎn)單地認(rèn)為“懂中國(guó)法規(guī)就懂越南”。值得注意的是，與中國(guó)多部門協(xié)同的治理模式不同，越南監(jiān)管更具“公安主導(dǎo)”色彩，即刑法色彩，執(zhí)法手段直接，如銀行賬戶凍結(jié)，刑事化風(fēng)險(xiǎn)高；另一方面，這也為中國(guó)企業(yè)帶來了獨(dú)特的“合規(guī)紅利”。經(jīng)歷過國(guó)內(nèi)“斷卡行動(dòng)”、“金稅四期”和“個(gè)保法”的洗禮，中國(guó)企業(yè)擁有更強(qiáng)的“合規(guī)肌肉記憶”，在實(shí)名認(rèn)證、數(shù)據(jù)分級(jí)分類、隱私計(jì)算架構(gòu)和數(shù)據(jù)出境等方面具備成熟的技術(shù)應(yīng)對(duì)能力。

這次立法也提醒企業(yè)：越南“流量套利”時(shí)代已徹底結(jié)束，企業(yè)財(cái)務(wù)模型必須據(jù)此重寫。在新的商業(yè)框架中，從本地服務(wù)器部署、DPO聘請(qǐng)到定期合規(guī)審計(jì)組成的數(shù)據(jù)合規(guī)成本已不再是雜費(fèi)，而是與物流、營(yíng)銷并列的核心成本項(xiàng)。當(dāng)然，企業(yè)也應(yīng)充分利用法律給予中小企業(yè)的五年豁免期（針對(duì)部分DPIA義務(wù)）和過渡條款，盡快開展內(nèi)部數(shù)據(jù)審計(jì)，實(shí)現(xiàn)從“野蠻生長(zhǎng)”到“精細(xì)合規(guī)”的轉(zhuǎn)型。

真正的機(jī)會(huì)隱藏在洗牌之后。當(dāng)那些仍抱僥幸心理、依賴黑灰產(chǎn)和人頭戶的競(jìng)爭(zhēng)對(duì)手被清理出局，合規(guī)企業(yè)將迎來一個(gè)更凈化、用戶信任度更高、ARPU值更豐厚的成熟市場(chǎng)。2026年的越南，或?qū)⒊蔀槭煜?shù)據(jù)合規(guī)的中國(guó)企業(yè)實(shí)現(xiàn)降維打擊的新戰(zhàn)場(chǎng)。

當(dāng)數(shù)據(jù)猿記者站在胡志明市第一郡的街頭，耳邊是摩托車引擎的轟鳴聲，街邊的便利店雖然沒有像中國(guó)“掃一掃”那般普及，但已經(jīng)可以找到一部分接受數(shù)字支付的小店。在去年越南GDP增速達(dá)到8.02%、人均GDP突破5000美元大關(guān)的背景下，越南正在主動(dòng)關(guān)上“賺快錢”的大門，以展示其深化改革的信心與全面接軌國(guó)際規(guī)則的決心。

胡志明市街頭的奶茶飲品店，數(shù)據(jù)猿記者拍攝

放眼整個(gè)東南亞，越南可能只是先行者，區(qū)域數(shù)據(jù)市場(chǎng)正迅速形成分層格局：一端是如越南般“技術(shù)+硬管控+數(shù)據(jù)本地化”市場(chǎng)，高合規(guī)門檻意味著高風(fēng)險(xiǎn)與高壁壘；另一端是新加坡、馬來西亞、泰國(guó)等相對(duì)寬松的市場(chǎng)，合規(guī)要求明確、執(zhí)行可預(yù)測(cè)，為企業(yè)提供生存與布局空間。對(duì)中國(guó)企業(yè)而言，盡早理解并掌握數(shù)據(jù)合規(guī)方向、靈活布局，將是未來三年在東南亞搶占先機(jī)、實(shí)現(xiàn)可持續(xù)增長(zhǎng)的關(guān)鍵戰(zhàn)略。