越南《个人数据保护法》与《网络安全法》在数据存储要求上有哪些交叉和冲突点？

越南的《个人数据保护法》（PDPD）和《网络安全法》共同构建了数据存储和跨境传输的监管框架。理解它们之间的交叉与潜在冲突，对于在越南市场合规运营至关重要。

两部法律的核心要求与交叉点

下表清晰地对比和展示了两部法律在数据存储和跨境传输方面的核心交叉要求。

从表格可以看出，两部法律在数据必须于越南境内存储这一核心要求上是高度一致的，并且拥有共同的监管机构—公安部。

潜在的冲突与合规挑战

尽管目标一致，但在具体执行层面，两部法律可能存在需要企业谨慎权衡的张力点。

跨境传输的“绿灯”与“黄灯”：这是最核心的潜在冲突点。《网络安全法》的本地化要求非常严格，带有强烈的数据主权和安全色彩。而PDPD在满足严格条件（如数据主体同意、目的地国家保护水平充分、并获得主管部门批准）后，为数据跨境传输开了“口子”。对企业而言，这意味着即使数据存储在本地，要将其传出越南也依然是一个需要额外审批、充满不确定性的过程，可能影响跨国业务的整合与效率。

同意机制的效力差异：PDPD高度重视并细化了数据主体的“同意”，要求其是具体、明确且可验证的。然而，对于《网络安全法》所涵盖的特定行业和数据类型，其本地化存储义务是强制性的法定要求，很可能无法通过用户的“同意”来豁免。这意味着，企业不能通过获取用户同意其数据存储在境外的方式来规避本地化法律义务。

给企业的合规建议

面对这样的监管环境，企业应采取系统性的合规措施。

首要步骤：明确适用性。首先判断您的业务是否属于《网络安全法》及其实施法令（如第53/2022/ND-CP号法令）所规定的必须进行数据本地化存储的行业范围，例如电信、电子商务、社交网络、在线支付等。这是决定您合规基线的第一步。

构建合规体系。无论是否属于强制本地化行业，只要处理越南公民的个人数据，都应遵循PDPD的原则。这包括实施数据分类管理、制定清晰的内部数据保护政策，并任命数据保护官（DPO）。

注重流程记录。严格执行并妥善保管数据保护影响评估（DPIA）和跨境数据传输影响评估文件。建立完善的数据泄露应急响应机制，确保在发生安全事件时能按规定在72小时内向公安部报告。所有数据处理活动、用户同意记录等都应完整保存，以满足PDPD规定的3年存档要求。

总结

越南的《个人数据保护法》和《网络安全法》在数据存储要求上形成了互补且层层加码的监管格局。《网络安全法》划定了特定领域数据必须留在越南的“底线”，而PDPD则在此基础上，为数据如何被处理（尤其是出境）设定了更精细的“交规”。