2026年1月,越南数据合规领域迎来标志性执法事件。越南国家竞争委员会(NCC)正式对本土社交巨头Zalo的母公司VNG集团及全球短视频平台TikTok分别处以8.1亿越南盾(约合3.3万美元)和8.8亿越南盾(约合3.6万美元)的行政罚款,处罚理由直指两家平台在个人信息收集、使用及消费者权益保护方面的多项违规行为。此次处罚并非孤立执法,而是越南2026年1月1日正式生效的《个人数据保护法》(PDPL)落地后的首次重大执法行动,彰显了越南政府强化数据监管、规范数字平台运营的坚定决心,也为在越经营的国内外互联网企业敲响了合规警钟。
要理解此次处罚的深层意义,需先厘清越南数据合规法律框架的最新变化。此前,越南数据保护主要依靠《第13/2023/ND-CP号法令》搭建基础规则,而2025年6月26日通过的《个人数据保护法》(PDPL,第91/2025/QH15号法律)彻底重构了这一体系,于2026年年初生效后成为数据监管的上位法核心。与旧法规相比,PDPL呈现出“严管与灵活并重”的特点:一方面大幅提高违法成本,明确非法买卖个人数据最高可处违法所得10倍罚款,跨境数据传输违规最高可罚上一财年总收入5%,一般违规行政罚款上限达30亿越南盾(约合11.5万美元);另一方面也设置了差异化条款,对符合条件的小微企业给予五年内豁免数据处理影响评估(DPIA)及暂缓任命数据保护官(DPO)的优惠,体现了对中小企业发展的包容。此次对VNG和TikTok的处罚,正是PDPL关于个人信息处理同意机制、条款合规性、弱势群体保护等核心要求的直接落地。
作为此次处罚的执行机构,越南国家竞争委员会(NCC)的职能定位的也为执法力度提供了支撑。根据越南竞争法体系,NCC由原越南竞争管理局(VCA)和越南竞争委员会(VCC)合并而成,隶属于工业和贸易部,负责统筹竞争案件的调查、审理与裁决,具备完整的执法闭环能力。案件处理需经过“启动-调查-审理”三个核心阶段:执法机构可依投诉或主动发现违规迹象启动案件,初步调查期限为30天,正式调查最长可达180天(可两次延长各60天),最终由专门理事会通过公开听证(涉密案件除外)作出裁决,确保执法程序的合法性与透明度。此次对两大平台的处罚,正是经过完整调查流程后作出的正式裁决,且明确要求两家企业立即停止违规行为、全面整改相关政策,凸显了执法的严肃性与强制性。
VNG集团(Zalo):六项违规直击数据处理核心漏洞
作为越南本土最大的互联网企业之一,VNG集团旗下的Zalo是越南市场占有率极高的社交平台,其用户基数庞大、数据处理规模显著,此次被查出六项违规行为,覆盖信息收集、广告使用、条款制定、投诉处理等多个关键环节,暴露了本土平台在合规转型中的短板。
首要违规点在于用户信息收集的自主性保障不足。NCC调查发现,Zalo未建立完善的用户信息范围选择机制,用户无法自主界定向平台提供个人信息的具体边界,只能被动接受平台预设的信息收集清单。这一行为直接违反了PDPL关于“同意有效性”的核心要求——PDPL明确规定,个人信息处理的同意必须是自愿、具体、充分知情的,企业不得将信息同意作为提供无关服务的前提,且需为不同处理目的单独获取同意。对于Zalo这类社交平台而言,用户信息涵盖联系人、聊天记录、位置信息等多元内容,缺乏范围选择权意味着用户无法规避非必要信息的泄露风险,本质上侵犯了数据主体的知情权与控制权。
广告数据使用机制的缺失是另一项核心违规。与原信息中“拒绝将数据用于广告用途”的表述不同,实际违规场景为Zalo未为用户提供个人信息用于广告营销的自主选择渠道,既无明确的同意选项,也未设置便捷的拒绝路径。这与PDPL对广告营销数据处理的专门规定直接相悖——PDPL明确要求定向广告需获得用户同意,且必须提供清晰的“退出”选项,广告服务商不得将涉及个人数据的服务整体转包。在社交平台的商业变现模式中,用户数据是定向广告的核心资源,Zalo的这一违规相当于变相强制使用用户数据用于商业目的,打破了“数据价值变现与用户权益保护”的平衡。
条款合规性问题进一步加剧了用户权益风险。NCC指出,Zalo的标准服务条款中包含多项无效条款,且未明确标注条款的生效日期,部分内容违反了越南消费者保护法中关于禁止不公平格式条款的规定。这类无效条款往往隐藏着权利义务不对等的问题,例如单方面免除平台数据安全责任、加重用户违约责任等,而未明确生效日期则导致用户对条款约束力的认知模糊,削弱了条款的法律效力与透明度。此外,VNG还存在投诉处理机制不透明、弱势群体政策公示不到位等问题:未在总部、业务场所及线上渠道全面披露用户反馈、投诉的接收与处理流程,且针对未成年人、老年人、残疾人等弱势群体的专项保护政策未以清晰易懂的方式公示,导致弱势群体维权困难。
值得注意的是,VNG作为本土企业,本应更熟悉越南法规环境,但此次六项违规的集中爆发,反映出部分企业在业务扩张中对合规建设的忽视。NCC在处罚决定中明确要求VNG在规定期限内完成整改:建立用户信息范围自主选择机制、搭建广告数据使用同意/拒绝模块、清理无效条款并规范公示、完善投诉处理流程及弱势群体保护政策,同时需提交整改报告供监管部门复核。此次处罚不仅对VNG形成震慑,也为其他本土互联网企业敲响了警钟——在PDPL全面实施的背景下,合规不再是“加分项”,而是企业生存发展的“必答题”。
TikTok:三项违规暴露跨国平台本地化合规短板
作为全球短视频领域的领军企业,TikTok在越南拥有庞大的用户群体,但此次因三项违规领罚,凸显了跨国平台在适配本土法规时的合规漏洞。与VNG的全面性违规不同,TikTok的问题集中在同意机制、信息披露及条款合规三大核心领域,反映出其全球运营模式与越南本地法规的适配不足。
最核心的违规行为是缺乏个人数据用于广告的同意/拒绝机制。NCC调查确认,TikTok的越南版平台未为用户提供明确的选项,以自主决定是否允许个人信息用于广告、产品推广及服务推荐等商业用途。这一问题与Zalo的同类违规本质一致,但对TikTok这类跨国平台而言,更反映出其全球数据政策本地化调整的滞后性。PDPL对广告数据使用的要求具有明确的地域针对性,而TikTok可能因全球统一运营策略,未能及时对越南地区的用户权限模块进行优化,导致违规。此外,TikTok未针对弱势群体设置专项投诉处理机制,对未成年人、老年人等群体的权益保障缺乏适配性措施,这也是其被处罚的重要原因之一——PDPL虽未强制要求单独设立投诉渠道,但明确要求平台政策需充分考虑弱势群体的维权便利性,而TikTok的通用投诉流程未能满足这一本地化需求。
信息披露不完整则侵犯了用户的知情权。NCC指出,TikTok对用户与平台之间互动的性质、条款等关键信息披露不充分、不清晰,存在误导消费者的嫌疑。例如,在个人数据处理的目的、范围、存储期限等核心信息上,可能仅以冗长晦涩的隐私政策形式呈现,未以简洁明了的方式向用户提示,导致用户在不知情的情况下授权平台处理个人信息。这一行为违反了PDPL关于数据主体知情权的核心要求,该法明确规定数据控制者需以易于理解的方式向用户披露数据处理的关键信息,确保用户在充分知情的基础上作出选择。
条款违规同样是TikTok的重灾区。其服务条款中包含多项越南法律禁止的不公平内容,违反了标准格式合同的合规性要求。这类条款可能包括单方面限制用户对数据侵权行为的索赔权、将数据安全风险全部转移给用户等内容,与越南消费者保护法及PDPL关于权利义务对等的原则相悖。对于跨国平台而言,服务条款的本地化适配是合规的基础环节,TikTok此次栽跟头,也提醒各类跨国企业:不能简单套用全球通用条款,必须结合本土法规对条款进行针对性修订,避免因条款“水土不服”引发合规风险。
面对处罚,TikTok需在短期内完成多项关键整改:搭建广告数据使用的同意/拒绝模块,确保用户自主选择权;优化信息披露方式,以通俗化形式呈现核心条款;清理服务条款中的禁止内容,建立针对弱势群体的便捷投诉渠道;同时全面审查现有数据处理政策,确保与PDPL及越南消费者保护法完全对齐。此次处罚对TikTok的影响不仅限于罚款本身,更可能影响其在越南市场的用户信任度与商业布局,倒逼其加速本地化合规转型。
处罚背后的行业信号:越南数据监管进入“强执法时代”
此次对Zalo与TikTok的处罚,并非越南监管部门的“选择性执法”,而是PDPL生效后行业监管常态化的开端,释放出三大明确信号,将深刻影响在越互联网企业的运营逻辑。
第一,合规门槛全面提升,“粗放式运营”已成过去时。PDPL的实施标志着越南数据保护从“原则性监管”转向“精细化监管”,不仅明确了数据处理的全流程要求,还针对金融、医疗、社交、人工智能等高风险领域设置了行业专属条款。例如,社交平台需提供“退出追踪”选项,禁止秘密监听用户信息;人工智能系统需内置安全与伦理控制措施。此次两家平台的违规行为,均属于PDPL明确禁止的基础违规,未来监管部门还将针对跨境数据传输、敏感数据处理、数据泄露通知等更复杂的场景加强执法,企业若不建立系统性合规体系,将面临极高的违法风险。
第二,本土与跨国平台一视同仁,监管无“特殊待遇”。此次被处罚的VNG是越南本土龙头企业,TikTok是全球巨头,两者均因违规被依法处罚,体现了越南监管部门“法律面前人人平等”的执法原则。这打破了部分企业“本土企业享有监管豁免”“跨国企业可凭影响力规避处罚”的侥幸心理,明确了无论企业规模、背景如何,只要在越南境内开展数据处理活动,就必须遵守PDPL及相关法规。这种公平执法的态度,将为越南营造更健康的数字经济竞争环境。
第三,执法与引导并重,推动行业合规转型。越南国家竞争委员会在作出处罚的同时,并未简单“一罚了之”,而是明确了两家企业的整改方向与要求,本质上是通过执法推动企业建立合规体系。此外,PDPL设置的小微企业豁免条款、监管部门对合规政策的解读与宣传,也体现了“处罚与教育结合”的监管思路。未来,越南监管部门可能会进一步完善合规支持机制,帮助企业理解法规要求,同时通过常态化执法形成震慑,推动整个行业从“被动合规”转向“主动合规”。
企业合规启示:从“应对处罚”到“体系构建”
此次处罚为所有在越经营的互联网企业提供了清晰的合规指引,企业需摒弃“临时整改”的心态,建立全方位、全流程的合规体系,才能适应越南的监管新常态。具体而言,可从以下五个方面推进合规建设:
一是开展全面合规差距分析。以PDPL及越南《网络安全法(合并草案)》为基准,全面审计企业现有数据收集、存储、使用、传输等环节的流程,识别与法规要求的差距。重点关注用户同意机制、条款合规性、弱势群体保护、投诉处理流程等易违规领域,形成问题清单并制定整改计划。例如,社交平台需立即优化用户信息收集模块,为用户提供明确的范围选择与广告数据使用授权选项。
二是更新核心法律文件与机制。修订隐私政策、服务条款等法律文件,清理无效条款、明确生效日期,以通俗化语言披露数据处理关键信息,确保条款符合越南消费者保护法及PDPL要求。同时,搭建完善的用户权利响应机制,包括数据访问、更正、删除、撤回同意等功能,建立72小时数据安全事件报告机制,确保符合PDPL关于数据主体权利与事件报告的要求。
三是落实法定评估与备案要求。对于符合条件的企业,需在数据处理活动启动后60日内完成数据处理影响评估(DPIA)并向公安部备案;若涉及跨境数据传输,还需同步完成跨境传输影响评估(CTIA)及备案,除非属于法定豁免情形(如国家机关传输、员工数据云存储等)。企业需明确专人负责评估工作,确保评估报告的真实性与完整性,避免因未履行备案义务引发额外违规。
四是强化本地化运营适配。跨国企业需打破“全球统一模式”,针对越南市场的法规特点调整运营策略,例如结合PDPL要求优化平台功能模块、针对弱势群体制定专项保护政策、建立本地化的投诉处理团队。本土企业则需摒弃“熟悉法规即可放松合规”的心态,加强合规团队建设,定期开展法规培训,确保业务扩张与合规建设同步推进。
五是建立持续合规监测机制。数据合规并非一次性任务,而是动态优化的过程。企业需设立数据保护负责人(DPO),定期审查合规政策的执行情况,跟踪法规更新动态(如越南《网络安全法(合并草案)》的最终落地),及时调整合规策略。同时,加强员工合规培训,提升全员数据保护意识,从源头降低违规风险。
结语:合规成为数字经济竞争的核心壁垒
越南对Zalo与TikTok的罚款事件,是该国数据监管体系升级后的标志性事件,既体现了越南政府规范数字经济发展、保护消费者权益的决心,也预示着东南亚地区数据合规监管的整体收紧趋势。随着PDPL的全面实施及《网络安全法(合并草案)》的推进,越南的数据监管将更加精细化、常态化,合规能力将成为企业在越市场竞争的核心壁垒。
对于在越互联网企业而言,此次处罚既是警示也是契机。企业需以此次事件为切入点,建立系统性的合规体系,将合规要求融入业务全流程,实现“业务发展与合规建设双赢”。未来,只有那些尊重本土法规、重视用户数据权益、具备完善合规能力的企业,才能在越南数字经济市场中稳步发展。而越南通过强化数据监管,也将进一步优化数字经济发展环境,吸引更多合规企业入驻,推动行业高质量发展。
从区域影响来看,越南此次执法行动也为东南亚其他国家提供了参考,可能引发区域内数据合规监管的连锁反应。对于跨国平台而言,需建立区域化合规策略,针对不同国家的法规特点制定适配方案,避免因单一市场违规影响整体布局。在数字经济全球化与监管本地化并存的趋势下,合规已不再是成本负担,而是企业可持续发展的核心竞争力。
