“出海越南企业或面临比国内数据监管更严格的局面

对于数以万计活跃在越南数字经济浪潮中的中国出海企业而言，今年1月不仅意味着新年的开端，更标志着一个时代的终结。2026年1月1日，越南首部《个人数据保护法》（Personal Data Protection Law, PDPL）正式生效，升级为具有最高法律效力的国家法律。这部重要的数据新法落地，越南政府于2025年12月31日颁布的指导令（Decree 356/2025/ND-CP）也同步生效，进一步细化了敏感数据列表与合规评估模板。

这并非一次简单的法律条文更新，回望2025年越南的数字监管实践，规则已先于法律落地：仅上半年内，越南当局查处56起非法数据交易案件，涉及超过1.1亿条个人数据；5月，全球知名社交平台Telegram因拒绝配合数据要求被直接封禁；到7月，越南国家银行又将约8600万个未完成生物识别核验的银行账户停用或清理。这些强监管动作都指向同一方向，越南监管部门正在完成对数字经济的“实控”。

随着越南PDPL及配套指导令生效，“人-证-号-脸”的监管闭环被正式写入法律。过去被视为“流量洼地”和“增长天堂”的新兴市场，正在成为东南亚数据主权监管最激进、执行最硬、处罚最狠的样本市场。对于习惯了“低成本买量”打法的中国出海企业而言，2026年是一道明确的分水岭：野蛮生长的时代，结束了。

越南《个人数据保护法》（PDPL）来源：越南政府门户网站

从“垃圾SIM卡”到PDPL

越南数据保护的三个拐点

要理解这场合规风暴所处的历史地位，我们不妨将时钟拨回，探秘越南数字经济治理的三个关键阶段。

在2010年到2016年间，越南的数字经济仍处在典型的“草莽阶段”。智能手机刚刚普及，运营商通过送卡、送话费争夺用户，匿名SIM卡大量流通，用完即弃，被称为“Sim Rác”（垃圾SIM卡），这一概念既指匿名号码本身，也指由此衍生的广告骚扰与电信诈骗。在这一时期，数据被默认视为“无主资源”，企业可以抓取公开信息，或通过购买廉价数据包完成冷启动，几乎不存在清晰的隐私边界。

越南的SIM rác，来源：xtmobile.vn

转折出现在2016年。当时越南信息与通信部开始要求运营商配合警方清查非法SIM卡，一时间倒卖SIM卡的店铺门可罗雀，2017年的Decree49（“第49号法令”）则将实名登记和关停信息不完整号码写入法规，2018年《网络安全法》（24/2018/QH14）进一步确立了网络空间治理框架。越南数据保护进入“觉醒阶段”，规则开始成体系出现。

真正的分水岭，则是数字治理“物理基础”的补齐。自2022年启动“06号工程”（Project06）以来，越南以国家人口数据库与VNeID为核心，推动身份信息与金融、社保等系统对接，使得“谁对应哪个证件、哪个账号”在技术上变得可核验和可追溯。

随着芯片身份证（CCCD）的普及，叠加Decree13与后续个人数据保护立法，越南逐步完成“人-证-号-脸”的物理闭环，监管颗粒度从账户层面下沉到“单人单脸”。在上述基础之上，如今PDPL的生效，标志着越南首次拥有一部真正可执行的系统性个人数据保护法，数据治理由此进入“实控阶段”。

越南新数据法

给中国企业的“四道红线”

进入2026年的越南，身份、账户与数据链路被纳入统一监管体系，企业过去依赖监管松动与执行弹性建立的成本和效率优势，正在被新规则系统性取代。对于中国出海企业而言，哪些模式还能继续，哪些必须重构，哪些风险已无法回避，都在这一轮被重新检验。下面总结的四条红线是多数出海企业最容易踩中、代价最高的风险点。

来源：越南公安部，bocongan.gov.vn

第一道红线——获客端：一键授权失效，流量红利终结

过去，中国APP出海时常用“注册即同意”的方式：一个勾选框，便默认授权营销推送、第三方共享等全部权限，但在越南PDPL下，这种做法已被明确否定。法律要求，有效同意必须明示、具体、可拆分、可验证，默认勾选或打包授权不再合法。

这意味着获客逻辑需要重构。企业必须从“一键授权”转向“功能级授权”：发营销信息、取位置信息、对外共享，都要分别获得用户同意。同时，用户拥有随时撤回授权的权利，企业需及时停止处理并删除数据，这将直接冲击那些数据“只进不出”的后台体系。另外，通过爬虫抓取公开信息用于电话营销的做法，也被直接认定为非法处理数据。对游戏行业而言，新法对未成年人及游戏内行为数据的严格要求，也让其成为首批承压的行业之一。

第二道红线——运营端：敏感数据收紧，算法不再免责

在PDPL下，真正被收紧的是用户个人数据，这也是互联网公司赖以生存的基础。新法大幅扩展了“敏感个人数据”的范围，除生物识别信息外，客户金融信息、消费记录和实际位置等信息都被明确纳入其中。处理此类数据，不仅需要获得用户的单独同意，还必须开展DPIA（个人数据处理影响评估）并向公安部报备，这与中国对金融信息、生物识别等信息监管口径高度相似。也正因如此，部分电商平台在越南出现提现受限，企业无法证明对已获得对敏感数据的合规授权，资金链路因此被卡住。

同时，PDPL赋予用户对自动化决策的“拒绝权”，在逻辑上也接近国内对“算法推荐”、“大数据杀熟”的监管要求。无论是依赖算法推荐内容的短视频平台，还是依赖算法自动风控的放贷业务，都将面临调整。尽管法律给予最多五年的过渡期，企业仍需准备一套“非算法”的替代方案，以应对越南监管的要求。

第三道红线——传输端：数据出境设闸，跨境纳入审批

和中国一样，越南的数据也不能任意出境了。新法规定，数据出境不再是企业内部风控，而是必须向越南公安部提交跨境传输影响评估（TIA）档案的行政义务。监管层强化数据本地化与传输管控措施，本质不仅是为了数据本身，也为了防止资本非法外逃。

另外值得中国出海企业注意的是，在首次发生数据跨境传输后的60天内，企业必须一次性完成报备（已有的历史数据除外），若被认定危害国家安全，越南公安部拥有随时叫停传输的权力。这一不确定性迫使中国企业可能要重新审视其云架构，单纯依靠阿里云或腾讯云的新加坡节点服务越南市场已显得风险过高，而将核心敏感数据（如用户ID、支付数据）在越南本地服务器（如Viettel IDC）留存副本，将成为防止业务因传输中断而瘫痪的必要条件。

第四道红线——责任端：买卖数据入刑，违规成本陡增

在PDPL框架下，越南首次在个人数据专法中，将“买卖个人数据”与刑事风险直接绑定，并引入对标欧盟GDPR的高额罚款机制。法律规定，涉及买卖个人数据的违法行为，最高可处以违法所得10倍的罚款；对违反跨境个人数据传输规定的组织，最高罚款可达其上一年度收入的5%。相比我国主要依赖刑法兜底追责的路径，越南在个人数据专法中，直接把数据交易推到了监管的“高压区”，处罚逻辑更前置、路径也更为直接。

这意味着，过去依靠购买“数据包”完成冷启动、或补充用户画像的模式，正在被新法直接切断，相关增长策略也必须重构。在高压监管下，数据保护官（DPO）不再是虚职。尽管中小企业在非大规模场景下享有一定豁免，但对多数中国出海企业而言，指定DPO或越南本地法律代表，已成为绕不开的选项。

“越南样本”是否会成为

东南亚数字监管的蓝本

我们将视野从河内拓展至整个东南亚，可以更清晰地看到越南在数字合规浪潮中的独特位置。在东盟数字经济一体化背景下，各国虽均在加速构建数据法律框架，但执行路径差异明显。越南以极为鲜明的姿态，成为区域内“激进合规”的孤岛与参考样本。

越南模式最显著的特征在于“公安主导”与“国家安全优先”的底层逻辑。在新加坡和泰国，个人数据保护由信息通信与数字经济体系内的专业机构负责；而在越南，核心执法权则直接集中在公安部体系之下。这一权力结构决定了其执法手段具有相当的威慑力：在其他国家，数据隐私违规通常只引发行政罚款或整改令，而在越南，监管可直接指向资金流转核心，甚至触及刑事责任。对外资企业而言，这种将数据主权与国家安全深度绑定的“硬管控”，意味着越南或将成为东南亚合规成本最高、容错率最低的市场。

相较之下，新加坡与泰国走“温和派”路线，更注重在隐私保护与商业活力之间寻求平衡。新加坡PDPA由个人数据保护委员会（PDPC）监管，强调透明、可预测的执法；泰国PDPA在实施初期给予企业较长缓冲期和容错空间。在这两个市场，中国企业虽仍需修订隐私政策或任命DPO，但通常不会面临越南式“瞬间熔断”的极端风险。

尽管如此，越南模式仍可能成为其他新兴市场的参考模板。作为东南亚最大数字经济体，印尼数字经济混乱局面与越南过去相似，监管环境显碎片化，基础设施未完全打通。越南通过“强实名+生物识别”清理灰色产业的经验，为雅加达提供了颇具吸引力的治理样本。如果印尼未来效仿这种“技术+硬管控”模式，那么越南今天建立的一系列合规法则，将有可能被印尼“抄去作业”。

总体来看，东南亚的数据监管正如火如荼推进，类似于中国前几年数据安全立法的情景。一方面，多国在立法技术上向欧盟GDPR靠拢，强调同意原则、数据主体权利、用户隐私保护及泄露通报义务，同时提高罚款上限；另一方面，以越南为代表的国家，则显示出日益明显的数据本地化与数据主权倾向。对于中国出海企业而言，2026至2027年将是关键合规窗口期：在关注越南的同时，也需密切留意马来西亚、新加坡的数据转移规则，以及泰国日益完善的白名单制度，从这三个相对宽松的市场中抓住可操作的合规空间，为企业生存和布局赢得缓冲。

越南PDPL与欧盟ePrivacy Directive（电子隐私指令）相比较，来源：aesirx.io

竞争门槛再造下的战略红利

河内的立法引擎并未熄火。就在PDPL正式生效前夕，越南国会于2025年12月10日通过了第116/2025/QH15号《网络安全法》（Law on Cybersecurity）。这部将于2026年7月1日正式生效的新法，构建了一个更为全面的网络安全法律框架，对网络安全保护及网络空间中机构、组织和个人的权利、义务和责任进行了全覆盖界定。这表明，越南的数据合规浪潮并非一时之风，PDPL只是序章，一个“数据保护+网络安全”的双重监管闭环正在形成。

而对于中国出海企业而言，这不仅是一场监管风暴，也是一种似曾相识的“镜像时刻”：越南的合规路径，从强调“数据主权”到推行“实名制”，从打通“人-证-号”到实施跨境评估，无不折射出中国数字治理的影子。如今越南正以“类中国模式”方式，快速清理野蛮生长的市场，不合规企业将面临高额罚款和市场禁入的双重压力，包括中国企业在内的行业洗牌不可避免。

同时我们看到，河内的数据变局对中国企业而言是一把双刃剑。一方面，企业必须警惕惯性误区，切勿简单地认为“懂中国法规就懂越南”。值得注意的是，与中国多部门协同的治理模式不同，越南监管更具“公安主导”色彩，即刑法色彩，执法手段直接，如银行账户冻结，刑事化风险高；另一方面，这也为中国企业带来了独特的“合规红利”。经历过国内“断卡行动”、“金税四期”和“个保法”的洗礼，中国企业拥有更强的“合规肌肉记忆”，在实名认证、数据分级分类、隐私计算架构和数据出境等方面具备成熟的技术应对能力。

这次立法也提醒企业：越南“流量套利”时代已彻底结束，企业财务模型必须据此重写。在新的商业框架中，从本地服务器部署、DPO聘请到定期合规审计组成的数据合规成本已不再是杂费，而是与物流、营销并列的核心成本项。当然，企业也应充分利用法律给予中小企业的五年豁免期（针对部分DPIA义务）和过渡条款，尽快开展内部数据审计，实现从“野蛮生长”到“精细合规”的转型。

真正的机会隐藏在洗牌之后。当那些仍抱侥幸心理、依赖黑灰产和人头户的竞争对手被清理出局，合规企业将迎来一个更净化、用户信任度更高、ARPU值更丰厚的成熟市场。2026年的越南，或将成为熟悉数据合规的中国企业实现降维打击的新战场。

当数据猿记者站在胡志明市第一郡的街头，耳边是摩托车引擎的轰鸣声，街边的便利店虽然没有像中国“扫一扫”那般普及，但已经可以找到一部分接受数字支付的小店。在去年越南GDP增速达到8.02%、人均GDP突破5000美元大关的背景下，越南正在主动关上“赚快钱”的大门，以展示其深化改革的信心与全面接轨国际规则的决心。

胡志明市街头的奶茶饮品店，数据猿记者拍摄

放眼整个东南亚，越南可能只是先行者，区域数据市场正迅速形成分层格局：一端是如越南般“技术+硬管控+数据本地化”市场，高合规门槛意味着高风险与高壁垒；另一端是新加坡、马来西亚、泰国等相对宽松的市场，合规要求明确、执行可预测，为企业提供生存与布局空间。对中国企业而言，尽早理解并掌握数据合规方向、灵活布局，将是未来三年在东南亚抢占先机、实现可持续增长的关键战略。

来源：数据猿