ベトナム:サイバースペース上の個人情報保護法制(下)
長島・大野・常松法律事務所
弁護士 カオ・ミン・ティ
前回に引き続き、サイバー情報セキュリティ法(法86/2015/QH13号)の規定を中心に、ベトナムにおけるサイバースペース上の個人情報保護法規制について概説する。
5. 第三者提供
個人情報処理者が取得した個人情報を第三者に提供や共有するためには、本人の同意の取得が必要である(同法17.1条c)。ここでいう第三者には定義がないため、日本法とは異なり、個人情報を委託先に提供することや、他者と共同利用するような場合においても少なくとも文言上は本人の同意が必要となるように思われる。また、上記のとおり、個人情報を取得する際には、同法17.1条aに基づきその取得及び利用の範囲及び目的について本人の同意を取得する必要があるところ、第三者が提供を受ける場合も同法17.1条aの適用があるように読めるため、個人情報の第三者への提供に際しては、第三者への提供に対する同意とともに、当該第三者による利用の範囲及び目的についても同意の取得が必要なように思える。もっとも、これらの同意は第三者への提供時に併せて取得することが可能かつ簡便であろう。なお、日本法のような、オプトアウトにより同意なく第三者への提供を認める制度は存在しない。
6. その他の規定
本人は、個人情報処理者に対し、個人情報処理者が取得し、保存している自己の個人情報の提供を求めることができ(同法17.3条)、かかる個人情報の更新、変更、削除及び第三者提供の停止を求めることができる(同法18.1、18.2条)。また、個人情報処理者は、利用目的を達成した場合及び保管期間が満了した場合には、個人情報を消去し、保有者に通知しなければならない(同法18.3条)。個人情報保護者は、取得・保存する個人情報の保護のために適切な管理を行い、技術的な対策を講じなければならない(同法19条等)。
7. サイバーセキュリティ法のデータローカライゼーション規定
2019年1月1日より施行されているサイバーセキュリティ法(24/2018/QH14)の26.3条においては、ベトナムにおいて個人情報等のデータの取得、利用、分析及び処理を行うサイバースペースサービス事業者(通信ネットワーク・インターネット上のサービスその他のサイバースペース上で付加価値サービスをベトナムで提供するベトナム国内外の企業)に対し、別途政府が定める一定期間内、ベトナム国内に当該データを保存する義務が課されている。さらに、当該サイバースペースサービス事業者が外国企業の場合は、ベトナムに支店又は駐在員事務所を設置しなければならないとする。上記はインターネット上のサービスをベトナム国内のユーザーに対してベトナム国外から提供している外国企業に大きな負担を生じさせるものであるが、サイバーセキュリティ法のかかる義務の詳細を定める下位法令は未だ制定されていない。
以上