ベトナムは世界で最もインターネットの発展と応用速度が速く、人口の約80％がインターネットを利用している国の一つであり、人口の3分の2の個人データがさまざまな形式と詳細レベルでサイバースペースに保存、投稿、共有、収集されています。

ベトナムは2022年と2023年に、数千GBのデータと数十億の個人情報の売買に関わる5件の刑事事件を起訴した。これは、研究と国際法の参照に基づいて個人データ保護に関する法律を改善することが急務であることを示しています。

個人データ保護に関する国際法

GDPR は、今日の世界で最も厳格な個人情報保護メカニズムを構築する、大きな法的前進であると考えられています。

欧州連合 (EU) 一般データ保護規則 (GDPR) 。 GDPR は、今日の世界で最も厳格な個人情報保護メカニズムを構築する大きな法的前進とみなされており、EU 市民の個人データを処理するすべての組織と企業に適用されます。

GDPR は、企業に対して全面的に均一な制裁を適用します。具体的には、軽微な違反の場合は売上高の2％または1,000万ユーロ、重大な違反の場合は売上高の4％または2,000万ユーロの罰金が科せられます。 GDPR に違反した企業は、罰金に加えて、データの処理を停止するよう強制されたり、GDPR に違反して処理されたデータを削除させられるなどの他の制裁を受ける可能性もあります。

EU の個人データ保護機関は、EU データ保護監督機関 (EDPS) です。これは、経験豊富な弁護士、IT 専門家、管理者などがメンバーとなっている独立機関です。

その主な機能は、EU の機関および組織における個人データの処理を監督し、個人データに関する事項について助言することです。 GDPR では、各国に国家個人データ保護委員会 (フランス、アイルランドなど) やデータ保護監督機関 (フィンランド、ラトビアなど) などの個人データ保護機関を設立することも義務付けられています。

EUは、EDPSに加えて、加盟国の国家データ保護当局の代表とEUの代表者で構成され、個人データ保護問題に関する主要な独立諮問機関として機能し、EU全体でGDPRの一貫した適用に責任を負う欧州データ保護委員会（EDPB）も設立しました。

GDPR は、物質的、非物質的を問わず、抑止力の強い制裁を規定しています。さらに、EU の個人データ保護当局は委員会/コミッショナー モデルに従って実施されるため、組織が個人データ保護規制に違反した場合に制裁を課す広範かつ独立した権限を持ち、個人データの処理について独自に評価および決定することができます。

2021年に制定された中国の個人情報保護法（PIPL）は、中国初の包括的な国家レベルの個人情報保護法と考えられています。 PIPL は、個人データ/個人情報とは特定の個人を識別または特定する情報であり、中国領土内の狭い対象グループの個人を対象としているという、比較的統一された見解をとっています (PIPL 第 4 章第 1 条)。同時に、より具体的なデータグループに関する当事者の権利と義務に関する規制を確立するために、機密個人データ問題に関する規制が制定されています。

PIPL に基づく個人データ権利の侵害に対する制裁は、強制的な是正、違法な収入の没収、サービスの停止、営業許可または事業許可の取り消し、最高 5,000 万元または組織の前年度年間収入の 5% の罰金など、非常に厳しいものとなっています。さらに、違反は国家社会信用システムに基づく処理単位の「信用ファイル」にも記録される可能性があります。

さらに、処理単位は組織や個人の権利や利益を侵害した場合、損害を賠償する責任を負います。こうした違反行為に対する刑事罰も中国刑法で具体的に規定されており、情報秘密保持の責任者に対してはより重い刑事責任を規定し、財産没収の形式を追加し、最高刑として終身刑を規定している。

シンガポールの個人データ保護法（PDPA）は2012年に制定されました（2020年に改正）。シンガポールの法律では、個人データ保護の権利が認められているほか、組織が特定の状況下で適切な目的のために情報を収集、使用、開示する必要性も認められています。

PDPA では、データ侵害に対して厳しい罰金も規定されています。違反者には罰金または懲役が科せられます。罰金は行為の性質と重大性に応じて異なり、2,000～100,000シンガポールドル（16億ベトナムドンに相当）の罰金、または/または12か月以下、重大な場合は最長3年の懲役が含まれます。法律に違反した代理店や企業には、年間売上高の最大10％の罰金が科せられる可能性があります。

PDPA の実施を確実にする上で重要な役割を果たす機関は、個人データ保護委員会 (PDPC) です。これは、個人や組織に対して、個人データの処理に関連する情報や文書の提供を要求したり、違反に対して金銭的な罰則を課したり、その他の措置で対処したりする権限を持ち、大きな権限と幅広い執行能力を持つ専門機関です。

違反の検出、対処、制裁の適用において独立して積極的に活動する専門機関であるシンガポール個人データ保護委員会の設立も、シンガポールで個人データ保護を効果的に施行するための条件の 1 つです。

ベトナムの個人情報保護法の改善に関する提言

現在、ベトナムには、憲法、法典（4）、法律（39）、条例（1）、政令（2）、通達／共同通達（4）、大臣の決定（1）など、さまざまな文書に規定されている、個人情報保護の問題に直接関連する法的文書が69件あります。

これらの文書は、基本的に、主体のプライバシー確保の原則を推進する方向で個人データ保護の問題に取り組んでいますが、主体の権利と義務、情報処理、個人データの保護方法などの問題に言及し、個人データに関連する情報についてはさまざまな規制があります。ベトナムの個人データ保護を規制する法律はいくつかの注目すべき成果を達成しており、特に2023年4月17日、政府は個人データ保護に関する政令第12/2023/ND-CP号を発行しました。これは、我が国でこの問題を規制する別の文書です。これらの法的文書により、個人データ保護のための法的根拠が確立されました。データ主体と処理当事者の権利を規定し、個人データ保護の違反に対する制裁を規定し、個人データ保護の専門機関を公安省のサイバーセキュリティおよびハイテク犯罪防止局として特定します...

ベトナムはサイバー空間からの多くのリスク、課題、危険に直面しており、特に個人情報やデータの漏洩や流用は国民や社会に多くの有害な影響を及ぼしています。

しかし、これらの文書を実際に実施してみると、現在の個別の法的文書は法令レベルにとどまっており、個人情報保護の重要性を満たしていない、現在多くの内容が一般的に規制されており不明瞭であるため、具体的なケースごとの指示が不足している、制裁措置がまだ軽く抑止力が十分でないなど、多くの限界も明らかになった。

このような状況に直面して、ベトナムにおける個人情報保護法の継続的な改善は、他国の経験に基づいて研究する必要がある課題となっています。具体的には：

まず、個人情報保護法を制定します。第 4.0 産業革命の文脈において、80 か国が地域および国家規模で個人データを保護するための個別の法的文書を発行しています。ベトナムは、EU、中国、シンガポールのような、個人データを保護するための基本的な問題と原則を規定したデータプライバシー法など、データに関する一般的な専門法を早急に研究し、公布する必要がある。現在、我が国のこの問題に関する法文書は用語の使用と内容の規制の両方において一貫性がないため、個人データに関する別の法律の公布は、個人データを保護するための重要な法的根拠となるでしょう。

第二に、個人情報の侵害に対する制裁を、侵害の性質や重大性に応じて、より厳しく改正・補足します。我が国における個人情報の侵害に対する制裁には、行政、民事、刑事の制裁が含まれますが、一般的に非常に軽く、抑止効果は高くありません。現在、主な方法は依然として行政罰を適用することですが、多くの法令にかなり低い罰金を定めた規制が散在しており、最高額は個人で1億VND、組織で2億VNDです。

個人情報の行政違反が引き起こす損害は物質的な損害だけでなく名誉や尊厳に対する損害も含まれます。行政罰に加えて、個人情報の侵害に対する刑事罰は、現行刑法第159条および第288条のプライバシーおよび情報技術・ネットワークセキュリティ分野の規制にのみ反映されており、懲役刑は7年以下、罰金は10億ドン以下と比較的軽めとなっている。この罰金は、EUの2000万ユーロ、シンガポールの100万シンガポールドル、中国の終身刑と比較すると、まだ非常に低く、多くの違反に見合うものではない。

同時に、大規模なデータ取引、データを侵害するシステムの構築、マーケティングサービス業務における違反行為など、現在法律で言及されていない多くの行為群を規制する必要がある。

3つ目は、ベトナムの個人情報保護機関をモデルにすることです。現在、公安省傘下のサイバーセキュリティ・ハイテク犯罪対策局が個人情報保護の専門機関となっている。国際規制を参考に、個人情報保護法の施行、検査、審査、ガイドラインや勧告の発行、違反があった場合の制裁などを​​担当する独立した個人情報保護機関を設立することが考えられます。

EU やシンガポールのこれらのモデルを参考にして、個人の権利の保護とネットワーク セキュリティの確保のバランスを取りながら、個人データ保護法を効果的に施行することができます。

個人データの保護は、特に統合の文脈に置かれた場合、個人データの監視および収集活動が大規模に行われ、この問題を規制するベトナムの法制度がまだ構築および完成の過程にある場合、単純な問題ではありません。

この問題に関する国際法をベトナムの実際の状況を参考に研究することは、国際法に準拠し、効果的な施行を実現した包括的な個人データ保護のための法的枠組みを早期に構築するのに役立つでしょう。

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html