김경섭 변호사 법무법인 로고스 베트남 다낭 지사장

최근 베트남 경제 성장에 따른 구매력 상승, 시장성 확대, 특히 전자상거래 증가 등에 힘입어 베트남 소비자들을 대상으로 하는 사업 역시 빠르게 성장하면서 한국 IT/ICT 기업들의 베트남 진출이 증가하고 있고 있는 추세입니다. 이런 과정에서 베트남 정부는 최근 사이버보안법(Cybersecurity Law: Law No. 24/2018/QH14) 제정을 통해 인터넷상 국가 보안 보호 및 사회질서 안전의 보장을 꾀함과 동시에 베트남에 직접 진출하지 않고 인터넷을 통하여 서비스를 제공하는 해외 기업들에도 베트남 내 데이터 보관 및 사업장 설립과 같은 소위 데이터 현지화(Localization) 관련 의무 적용을 시도하고 있습니다. 또한 그간 베트남 내에서의 개인정보 보호가 매우 취약했던 문제점 보완을 위하여 개인정보보호 관련 의무를 강화하기 위한 법적 보완도 뒤따르고 있어서 베트남에 이미 진출한 한국 기업은 물론 간접적으로 인터넷상 서비스를 제공하고 있는 기업들도 관련 법령 내용과 상황을 참조할 필요가 있습니다.

베트남 사이버보안법 관련 최근 동향

베트남 사이버보안법은 베트남 사이버 공간상에서의 국가 보안 보호 및 사회질서 안전의 보장과 관련 개인, 기관, 기업의 의무 등에 관한 규정을 주요 내용으로 하고 있는 법령입니다. 사이버보안법 조항들 중에서 베트남에 진출 또는 베트남인들을 대상으로 인터넷상 사업을 하고 있는 한국 기업들에 직접적인 영향을 줄 수 있는 주요 내용은 다음과 같습니다.

 ㅇ 베트남 정부, 국기, 지도자 등에 대한 비방 정보, 정부에 대한 폭력, 반대 집회 등을 선동하는 정보, 타인의 명예를 훼손하는 정보, 제품, 화폐 등 관련하여 경제 관련 법령에 위반되는 정보와 기타 국가 안보에 반하는 정보는 웹사이트, 포털 및 소셜 미디어 페이지에서 금지

 ㅇ 베트남에서 통신 서비스, 인터넷 서비스, 부가가치 서비스를 제공하는 기업의 금지 정보에 대한 시정 처리 의무: 사용자 계정 개설 시 사용자 정보 확인; 사용자 정보 및 계정 비밀 보호; 사이버보안 위반에 대한 조사 목적으로 베트남 공안부(MPS: Ministry of Public Security) 관련 부서의 서면 요청 시 사용자 정보 제공; 공안부 관련부서 요청 후 24시간 이내 해당 정보 삭제 및 금지; 이와 관련된 내역(log)을 베트남 정부에서 정한 기간 동안 사이버보안 위반 조사를 위해 보관; 베트남 공안부 또는 정보통신부 관련부서의 요청 시 사이버보안법에서 금지하고 있는 정보를 올린 자에 대한 서비스 제공 중단 또는 거부

 ㅇ 데이터 현지화(Localization) 관련 의무: 베트남에서 개인 정보, 서비스 사용자들 관계에 대한 데이터 또는 서비스 사용자들이 생성한 정보를 수집, 분석 또는 처리 활동을 하는 통신 서비스, 인터넷 서비스, 부가가치 서비스 제공 기업에 대한 이상과 같은 정보의 베트남내 보관 의무 및 해외 기업의 경우 베트남 공안부 결정으로부터 12개월 이내 베트남에 지점(Branch) 또는 대표사무소 개설 의무

하지만 상기와 같은 내용의 사이버보안법은 2018년 6월 12일 베트남 국회에서 승인돼 2019년 1월 1일 발효되었으나 동법 시행령은 2018년 11월 2일 최초 버전이 발표된 이후 2019년 2차 버전이 나온 이후에도 외국계 기업의 부정적 반응, 의견 수렴 과정, 코로나 팬데믹 등을 거치면서 4년 가까운 상당 기간 동안 발효가 되지 않은 점 등으로 인하여 해외 기업들을 대상으로 실무상 법령 규정의 집행을 유예하고 있는 실정이었습니다. 하지만 올해 8월 15일에 사이버보안법 시행령이 베트남 시행령 Decree No. 53/2022/ND-CP(이하 “시행령 53”)로 최종 승인되면서 전격적으로 2022년 10월 1일 자로 발효가 되었습니다. 처음부터 사이버보안법 내용에 대하여 부정적인 반응을 보였던 외국계 기업들은 3년 이상의 기간 동안 시행령이 발효되지 않고 있어서 잠시 잊고 있었던 터라 이번 사이버보안법 시행령의 최종 승인 및 1달여 직후 발효에 당혹감을 보이고 우려를 표명하고 있는 상황입니다. 베트남 사이버보안법 시행령의 주요 내용은 이번 최종본 승인 전에도 이미 공개가 되었으나 이번에 최종 발효된 시행령 53의 내용 중 주목할 만한 주요 사항은 다음과 같습니다.

 ㅇ 데이터 현지화(Localization) 관련 의무 적용 대상이 되는 외국 기업의 사업 내지는 서비스에 대하여 다음과 같이 명시함: 전자상거래, 온라인 결제, 결제 중개, 운송 연결 서비스, 소셜 네트워크 및 소셜 미디어, 온라인 비디오 게임, 메시지, 음성 통화, 영상 통화, 이메일 및 온라인 채팅 형식으로 정보 관리 운영

 ㅇ 이상과 같은 적용 대상 외국 기업의 사이버보안법 위반에 대하여 베트남 공안부 산하 사이보보안 및 하이테크범죄예방국(Department of Cybersecurity and Hi-tech Crime Prevention)의 경고 통지가 있을 경우 베트남 내 데이터 보관 및 지점(Branch) 또는 대표사무소 개설 의무 적용됨.

 ㅇ 이상과 같은 2개 조건을 충족한 외국기업은 데이터 현지화(Localization) 관련 의무 적용에 대한 베트남 공안부 결정 수령 후 12개월 이내에 베트남 내 데이터 보관 및 지점(Branch) 또는 대표사무소 개설 의무를 이행해야 함.

 ㅇ 외국기업은 데이터 현지화(Localization) 관련 의무 적용 예외의 경우로 불가항력 사유 조항이 추가되었는데 해당 사유 발생 시 3영업일 이내에 불가항력 여부에 대하여 베트남 공안부 확인을 받아야 함.

 ㅇ 베트남 내 데이터 보관 형태에 대해서는 해당 기업이 결정한다고 규정하고 있으나 이와 관련하여 실제 법령 집행 과정에서 상대적으로 단순한 보관 형식(예를 들어, USB에 저장 등)을 인정해줄지 여부 등에 대하여는 의구심과 불확실성을 내포하고 있음.

베트남 개인정보보호법 관련 최근 동향

베트남 정부는 사이버보안법, 사이버정보보안법 등에서 언급되고 있는 개인정보에 대하여 구체적으로 규정함과 동시에 개인정보보호 강화를 위해 개인정보보호 관련 시행령 제정을 시도하면서 공개의견을 수렴하기 위해 시행령 초안을 2021년 2월 9일에 발표하였습니다. 이러한 베트남 개인정보보호 시행령은 개인정보 정의 및 분류, 개인정보 처리, 개인정보 보호 조치, 개인정보보호위원회 설치, 개인정보 침해 처리, 관련 기관 및 단체의 책임 등에 대한 규정을 주요 내용으로 하고 있으면 주요 조항 내용은 아래와 같습니다.

 ㅇ 제23조: 개인정보보호위원회를 공안부 산하 사이버보안 및 하이테크범죄예방국에 설립하고 6인 위원으로 구성

 ㅇ 제2조: 개인정보에 대한 정의 및 분류를 하면서 동조 2항은 기본 개인정보를 성명, 생년월일, 사망일, 혈액형, 성별, 출생지, 주소지, 이메일, 학력, 민족, 국적, 전화번호, 신분증 번호, 결혼 여부, 온라인 활동 정보로 규정하고 3항은 민감 개인정보를 정치 및 종교 성향, 건강정보, 유전정보, 신체정보, 삶과 성 관련 정보, 범죄 관련 정보, 금융정보, 개인위치정보, 사회관계 정보로 규정함.

 ㅇ 17~21조: 개인정보 취급자(업체)의 의무에 대하여 규정

 ㅇ 17조: 개인정보 보호를 위한 행정적, 기술적, 물리적 조치 시행 의무로서 개인정보 비밀유지 보안, 익명화, 암호화, 개인정보 수집 및 처리 관련 기록 보관 등의 의무 규정

 ㅇ 18조: 개인정보 보호를 위한 규정 완비 관련하여 본 시행령 이행을 위한 개인정보 보호 규정 제정, 개인정보 보호 담당부서 및 담당자 지정, 개인정보 보호 관련 민원 접수 및 대응 관련 규정 제정 등을 규정

 ㅇ 20조: 민감 개인정보 처리에 대한 사전 등록 의무로서 민감 개인정보는 취급·처리 전에 개인정보보호위원회에 등록 신청하여야 하는 것으로 규정

 ㅇ 21조: 개인정보의 국경 간 이동 관련하여 동조 1항은 베트남 국적인 개인정보의 국경 간 이동을 위한 조건으로 본인 동의, 정보 원본은 베트남 내 보관, 이동지 국가의 개인정보보호 규정이 최소 본 시행령 수준임을 증빙하는 문서, 개인정보보호위원회 서면 승인과 같은 네 가지 조건을 규정하고 있으며 3항은 개인정보의 국경 간 이동이 상기 1항 조건 충족없이 가능한 경우로 본인 동의, 개인정보보호위원회 서면 승인, 개인정보 취급자(업체)의 개인정보보호 및 보호조치 이행 확약과 같은 조건 적용을 규정함.

 ㅇ 22조: 개인정보 취급자(업체)의 시행령 위반에 대한 처벌 규정을 담고 있는데, 먼저 동조 1항은 벌금 VND 5000만~8000만을 대부분의 시행령 조항 규정 및 의무 위반 시 적용, 2항은 벌금 VND 8000만~1억을 개인정보보호를 위한 기술적 조치 시행하지 않은 경우, 개인정보보호를 위한 규정을 제정하지 않은 경우, 민감 개인정보 취급/처리 등록에 대한 규정을 위반한 경우, 개인정보의 국경간 이동에 대한 규정을 위반한 경우, 1항에 대한 2회 위반시에 적용, 3항은 최대 벌금으로 개인정보 취급자(업체) 총매출액의 5%를 1항에 대한 3회 위반 시, 2항에 대한 2회 위반 시에 적용하며, 4항은 추가 제재로서 2항 위반 시 개인정보 취급·처리 중지(1~3개월), 민감개인정보 취급·처리 및 개인정보 국경 간 승인 취소가 가능한 것으로 규정함.

이상과 같은 주요 규정 내용에서 볼 수 있듯이 베트남 개인정보에 대한 보호 조치 및 관련 기업에 대한 제재가 강화될 것으로 쉽게 예상되나 아직 일부 법령 조항이 다소 불명확하거나 벌금 수준이 매우 과중하게 시행령에서 규정하고 있는 상황입니다. 다만 베트남 개인정보보호 관련 시행령도 사이버보안법 시행령과 과거 경과와 같이 초안 발표 후 의견 수렴을 거치는 과정이어서 최종 발효 시까지 아직 어느 정도 시일 경과가 예상되기는 하나 올해 사이버보안법 시행령이 발표 후 3년 이상의 기간 경과 후 전격적으로 발효된 사례와 같이 급작스럽게 시행될 가능성도 배제하기 어려운 바, 베트남 시장에 진출하였거나 진출을 계획하고 있는 국내 기업들은 사이버보안법과 같이 예의주시하면서 사전에 면밀히 살피고 추이를 파악하면서 대비할 필요가 있겠습니다.

※ 이 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.