個人數據保護，越南變得很激進？

“出海越南企業或面臨比國內數據監管更嚴格的局面

對于數以萬計活躍在越南數字經濟浪潮中的中國出海企業而言，今年1月不僅意味著新年的開端，更標志著一個時代的終結。2026年1月1日，越南首部《個人數據保護法》（Personal Data Protection Law, PDPL）正式生效，升級為具有最高法律效力的國家法律。這部重要的數據新法落地，越南政府于2025年12月31日頒布的指導令（Decree 356/2025/ND-CP）也同步生效，進一步細化了敏感數據列表與合規評估模板。

這并非一次簡單的法律條文更新，回望2025年越南的數字監管實踐，規則已先于法律落地：僅上半年內，越南當局查處56起非法數據交易案件，涉及超過1.1億條個人數據；5月，全球知名社交平臺Telegram因拒絕配合數據要求被直接封禁；到7月，越南國家銀行又將約8600萬個未完成生物識別核驗的銀行賬戶停用或清理。這些強監管動作都指向同一方向，越南監管部門正在完成對數字經濟的“實控”。

隨著越南PDPL及配套指導令生效，“人-證-號-臉”的監管閉環被正式寫入法律。過去被視為“流量洼地”和“增長天堂”的新興市場，正在成為東南亞數據主權監管最激進、執行最硬、處罰最狠的樣本市場。對于習慣了“低成本買量”打法的中國出海企業而言，2026年是一道明確的分水嶺：野蠻生長的時代，結束了。

越南《個人數據保護法》（PDPL）來源：越南政府門戶網站

從“垃圾SIM卡”到PDPL

越南數據保護的三個拐點

要理解這場合規風暴所處的歷史地位，我們不妨將時鐘撥回，探秘越南數字經濟治理的三個關鍵階段。

在2010年到2016年間，越南的數字經濟仍處在典型的“草莽階段”。智能手機剛剛普及，運營商通過送卡、送話費爭奪用戶，匿名SIM卡大量流通，用完即棄，被稱為“Sim Rác”（垃圾SIM卡），這一概念既指匿名號碼本身，也指由此衍生的廣告騷擾與電信詐騙。在這一時期，數據被默認視為“無主資源”，企業可以抓取公開信息，或通過購買廉價數據包完成冷啟動，幾乎不存在清晰的隱私邊界。

越南的SIM rác，來源：xtmobile.vn

轉折出現在2016年。當時越南信息與通信部開始要求運營商配合警方清查非法SIM卡，一時間倒賣SIM卡的店鋪門可羅雀，2017年的Decree49（“第49號法令”）則將實名登記和關停信息不完整號碼寫入法規，2018年《網絡安全法》（24/2018/QH14）進一步確立了網絡空間治理框架。越南數據保護進入“覺醒階段”，規則開始成體系出現。

真正的分水嶺，則是數字治理“物理基礎”的補齊。自2022年啟動“06號工程”（Project06）以來，越南以國家人口數據庫與VNeID為核心，推動身份信息與金融、社保等系統對接，使得“誰對應哪個證件、哪個賬號”在技術上變得可核驗和可追溯。

隨著芯片身份證（CCCD）的普及，疊加Decree13與后續個人數據保護立法，越南逐步完成“人-證-號-臉”的物理閉環，監管顆粒度從賬戶層面下沉到“單人單臉”。在上述基礎之上，如今PDPL的生效，標志著越南首次擁有一部真正可執行的系統性個人數據保護法，數據治理由此進入“實控階段”。

越南新數據法

給中國企業的“四道紅線”

進入2026年的越南，身份、賬戶與數據鏈路被納入統一監管體系，企業過去依賴監管松動與執行彈性建立的成本和效率優勢，正在被新規則系統性取代。對于中國出海企業而言，哪些模式還能繼續，哪些必須重構，哪些風險已無法回避，都在這一輪被重新檢驗。下面總結的四條紅線是多數出海企業最容易踩中、代價最高的風險點。

來源：越南公安部，bocongan.gov.vn

第一道紅線——獲客端：一鍵授權失效，流量紅利終結

過去，中國APP出海時常用“注冊即同意”的方式：一個勾選框，便默認授權營銷推送、第三方共享等全部權限，但在越南PDPL下，這種做法已被明確否定。法律要求，有效同意必須明示、具體、可拆分、可驗證，默認勾選或打包授權不再合法。

這意味著獲客邏輯需要重構。企業必須從“一鍵授權”轉向“功能級授權”：發營銷信息、取位置信息、對外共享，都要分別獲得用戶同意。同時，用戶擁有隨時撤回授權的權利，企業需及時停止處理并刪除數據，這將直接沖擊那些數據“只進不出”的后臺體系。另外，通過爬蟲抓取公開信息用于電話營銷的做法，也被直接認定為非法處理數據。對游戲行業而言，新法對未成年人及游戲內行為數據的嚴格要求，也讓其成為首批承壓的行業之一。

第二道紅線——運營端：敏感數據收緊，算法不再免責

在PDPL下，真正被收緊的是用戶個人數據，這也是互聯網公司賴以生存的基礎。新法大幅擴展了“敏感個人數據”的范圍，除生物識別信息外，客戶金融信息、消費記錄和實際位置等信息都被明確納入其中。處理此類數據，不僅需要獲得用戶的單獨同意，還必須開展DPIA（個人數據處理影響評估）并向公安部報備，這與中國對金融信息、生物識別等信息監管口徑高度相似。也正因如此，部分電商平臺在越南出現提現受限，企業無法證明對已獲得對敏感數據的合規授權，資金鏈路因此被卡住。

同時，PDPL賦予用戶對自動化決策的“拒絕權”，在邏輯上也接近國內對“算法推薦”、“大數據殺熟”的監管要求。無論是依賴算法推薦內容的短視頻平臺，還是依賴算法自動風控的放貸業務，都將面臨調整。盡管法律給予最多五年的過渡期，企業仍需準備一套“非算法”的替代方案，以應對越南監管的要求。

第三道紅線——傳輸端：數據出境設閘，跨境納入審批

和中國一樣，越南的數據也不能任意出境了。新法規定，數據出境不再是企業內部風控，而是必須向越南公安部提交跨境傳輸影響評估（TIA）檔案的行政義務。監管層強化數據本地化與傳輸管控措施，本質不僅是為了數據本身，也為了防止資本非法外逃。

另外值得中國出海企業注意的是，在首次發生數據跨境傳輸后的60天內，企業必須一次性完成報備（已有的歷史數據除外），若被認定危害國家安全，越南公安部擁有隨時叫停傳輸的權力。這一不確定性迫使中國企業可能要重新審視其云架構，單純依靠阿里云或騰訊云的新加坡節點服務越南市場已顯得風險過高，而將核心敏感數據（如用戶ID、支付數據）在越南本地服務器（如Viettel IDC）留存副本，將成為防止業務因傳輸中斷而癱瘓的必要條件。

第四道紅線——責任端：買賣數據入刑，違規成本陡增

在PDPL框架下，越南首次在個人數據專法中，將“買賣個人數據”與刑事風險直接綁定，并引入對標歐盟GDPR的高額罰款機制。法律規定，涉及買賣個人數據的違法行為，最高可處以違法所得10倍的罰款；對違反跨境個人數據傳輸規定的組織，最高罰款可達其上一年度收入的5%。相比我國主要依賴刑法兜底追責的路徑，越南在個人數據專法中，直接把數據交易推到了監管的“高壓區”，處罰邏輯更前置、路徑也更為直接。

這意味著，過去依靠購買“數據包”完成冷啟動、或補充用戶畫像的模式，正在被新法直接切斷，相關增長策略也必須重構。在高壓監管下，數據保護官（DPO）不再是虛職。盡管中小企業在非大規模場景下享有一定豁免，但對多數中國出海企業而言，指定DPO或越南本地法律代表，已成為繞不開的選項。

“越南樣本”是否會成為

東南亞數字監管的藍本

我們將視野從河內拓展至整個東南亞，可以更清晰地看到越南在數字合規浪潮中的獨特位置。在東盟數字經濟一體化背景下，各國雖均在加速構建數據法律框架，但執行路徑差異明顯。越南以極為鮮明的姿態，成為區域內“激進合規”的孤島與參考樣本。

越南模式最顯著的特征在于“公安主導”與“國家安全優先”的底層邏輯。在新加坡和泰國，個人數據保護由信息通信與數字經濟體系內的專業機構負責；而在越南，核心執法權則直接集中在公安部體系之下。這一權力結構決定了其執法手段具有相當的威懾力：在其他國家，數據隱私違規通常只引發行政罰款或整改令，而在越南，監管可直接指向資金流轉核心，甚至觸及刑事責任。對外資企業而言，這種將數據主權與國家安全深度綁定的“硬管控”，意味著越南或將成為東南亞合規成本最高、容錯率最低的市場。

相較之下，新加坡與泰國走“溫和派”路線，更注重在隱私保護與商業活力之間尋求平衡。新加坡PDPA由個人數據保護委員會（PDPC）監管，強調透明、可預測的執法；泰國PDPA在實施初期給予企業較長緩沖期和容錯空間。在這兩個市場，中國企業雖仍需修訂隱私政策或任命DPO，但通常不會面臨越南式“瞬間熔斷”的極端風險。

盡管如此，越南模式仍可能成為其他新興市場的參考模板。作為東南亞最大數字經濟體，印尼數字經濟混亂局面與越南過去相似，監管環境顯碎片化，基礎設施未完全打通。越南通過“強實名+生物識別”清理灰色產業的經驗，為雅加達提供了頗具吸引力的治理樣本。如果印尼未來效仿這種“技術+硬管控”模式，那么越南今天建立的一系列合規法則，將有可能被印尼“抄去作業”。

總體來看，東南亞的數據監管正如火如荼推進，類似于中國前幾年數據安全立法的情景。一方面，多國在立法技術上向歐盟GDPR靠攏，強調同意原則、數據主體權利、用戶隱私保護及泄露通報義務，同時提高罰款上限；另一方面，以越南為代表的國家，則顯示出日益明顯的數據本地化與數據主權傾向。對于中國出海企業而言，2026至2027年將是關鍵合規窗口期：在關注越南的同時，也需密切留意馬來西亞、新加坡的數據轉移規則，以及泰國日益完善的白名單制度，從這三個相對寬松的市場中抓住可操作的合規空間，為企業生存和布局贏得緩沖。

越南PDPL與歐盟ePrivacy Directive（電子隱私指令）相比較，來源：aesirx.io

競爭門檻再造下的戰略紅利

河內的立法引擎并未熄火。就在PDPL正式生效前夕，越南國會于2025年12月10日通過了第116/2025/QH15號《網絡安全法》（Law on Cybersecurity）。這部將于2026年7月1日正式生效的新法，構建了一個更為全面的網絡安全法律框架，對網絡安全保護及網絡空間中機構、組織和個人的權利、義務和責任進行了全覆蓋界定。這表明，越南的數據合規浪潮并非一時之風，PDPL只是序章，一個“數據保護+網絡安全”的雙重監管閉環正在形成。

而對于中國出海企業而言，這不僅是一場監管風暴，也是一種似曾相識的“鏡像時刻”：越南的合規路徑，從強調“數據主權”到推行“實名制”，從打通“人-證-號”到實施跨境評估，無不折射出中國數字治理的影子。如今越南正以“類中國模式”方式，快速清理野蠻生長的市場，不合規企業將面臨高額罰款和市場禁入的雙重壓力，包括中國企業在內的行業洗牌不可避免。

同時我們看到，河內的數據變局對中國企業而言是一把雙刃劍。一方面，企業必須警惕慣性誤區，切勿簡單地認為“懂中國法規就懂越南”。值得注意的是，與中國多部門協同的治理模式不同，越南監管更具“公安主導”色彩，即刑法色彩，執法手段直接，如銀行賬戶凍結，刑事化風險高；另一方面，這也為中國企業帶來了獨特的“合規紅利”。經歷過國內“斷卡行動”、“金稅四期”和“個保法”的洗禮，中國企業擁有更強的“合規肌肉記憶”，在實名認證、數據分級分類、隱私計算架構和數據出境等方面具備成熟的技術應對能力。

這次立法也提醒企業：越南“流量套利”時代已徹底結束，企業財務模型必須據此重寫。在新的商業框架中，從本地服務器部署、DPO聘請到定期合規審計組成的數據合規成本已不再是雜費，而是與物流、營銷并列的核心成本項。當然，企業也應充分利用法律給予中小企業的五年豁免期（針對部分DPIA義務）和過渡條款，盡快開展內部數據審計，實現從“野蠻生長”到“精細合規”的轉型。

真正的機會隱藏在洗牌之后。當那些仍抱僥幸心理、依賴黑灰產和人頭戶的競爭對手被清理出局，合規企業將迎來一個更凈化、用戶信任度更高、ARPU值更豐厚的成熟市場。2026年的越南，或將成為熟悉數據合規的中國企業實現降維打擊的新戰場。

當數據猿記者站在胡志明市第一郡的街頭，耳邊是摩托車引擎的轟鳴聲，街邊的便利店雖然沒有像中國“掃一掃”那般普及，但已經可以找到一部分接受數字支付的小店。在去年越南GDP增速達到8.02%、人均GDP突破5000美元大關的背景下，越南正在主動關上“賺快錢”的大門，以展示其深化改革的信心與全面接軌國際規則的決心。

胡志明市街頭的奶茶飲品店，數據猿記者拍攝

放眼整個東南亞，越南可能只是先行者，區域數據市場正迅速形成分層格局：一端是如越南般“技術+硬管控+數據本地化”市場，高合規門檻意味著高風險與高壁壘；另一端是新加坡、馬來西亞、泰國等相對寬松的市場，合規要求明確、執行可預測，為企業提供生存與布局空間。對中國企業而言，盡早理解并掌握數據合規方向、靈活布局，將是未來三年在東南亞搶占先機、實現可持續增長的關鍵戰略。