김경섭 변호사, 법무법인 로고스 베트남 법인장

최근 한국 IT/ICT 기업들의 베트남 진출이 증가하고 있고 베트남 경제 성장에 따른 구매력 상승, 시장성 확대, 특히 전자상거래 증가 등에 힘입어 베트남 소비자들을 대상으로 하는 사업 역시 빠르게 성장하고 있는 추세입니다. 이런 과정에서 베트남 정부는 최근 사이버보안법(Cybersecurity Law: Law No. 24/2018/QH14) 제정을 통해 인터넷상 국가 보안 보호 및 사회질서 안전의 보장을 꾀함과 동시에 베트남에 직접 진출하지 않고 인터넷을 통하여 서비스를 제공하는 해외 기업들에도 베트남 내 데이터 보관 및 사업장 설립과 같은 몇 가지 의무 적용을 시도하려는 것으로 보이며, 이에 베트남에 이미 진출한 한국 기업은 물론 간접적으로 인터넷상 서비스를 제공하고 있는 기업들도 관련 법령 내용과 상황을 참조할 필요가 있습니다.

베트남 사이버보안법 주요 내용

베트남 사이버보안법은 2018년 6월 12일 베트남 국회에서 승인되어 2019년 1월 1일 발효되었으며, 총 7장, 43조로 구성된 법령으로 베트남 사이버 공간상에서의 국가 보안 보호 및 사회질서 안전의 보장과 관련 개인·기관·기업의 의무 등에 관한 규정을 주요 내용으로 하고 있습니다. 사이버보안법 조항들 중에서 베트남에 진출 또는 베트남인들을 대상으로 인터넷상 사업을 하고 있는 한국 기업들에게 직접적인 영향을 주는 핵심 조항은 제26조인데 각 조항별 내용은 다음과 같습니다.

먼저 1항은 ‘사이버보안법 제16조 1~5항에 명기된 정보와 기타 국가 안보에 반하는 정보는 웹사이트, 포털 및 소셜 미디어 페이지에서 금지된다.’고 규정하고 있는데, 사이버보안법 제16조 1~5항에 명기된 금지된 정보는 베트남 정부, 국기, 지도자 등에 대한 비방 정보, 정부에 대한 폭력, 반대 집회 등을 선동하는 정보, 타인의 명예를 훼손하는 정보, 제품, 화폐 등 관련하여 경제 관련 법령에 위반되는 정보 등입니다. 이와 같은 1항 내용은 국가 보안과 사회질서 유지를 위한 것으로 볼 수 있으나, 이후 2항부터는 베트남 관련 한국 기업들이 주목해야 하는 규정 내용을 담고 있습니다. 구체적으로 2항은 베트남에서 통신 서비스, 인터넷 서비스, 부가가치 서비스를 제공하는 기업은 다음과 같은 책임이 있다고 규정하고 있습니다:

a) 사용자 계정 개설 시 사용자 정보 확인; 사용자 정보 및 계정 비밀 보호; 사이버보안 위반에 대한 조사 목적으로 베트남 공안부(MPS: Ministry of Public Security) 관련 부서의 서면 요청 시 사용자 정보 제공;

b) 사이버보안법 제16조 1~5항에 명시된 금지된 정보 발생할 경우 공안부 관련 부서 요청 후 24시간 이내 해당 정보 삭제 및 금지; 이와 관련된 내역(log)을 베트남 정부에서 정한 기간 동안 사이버보안 위반 조사를 위해 보관;

c) 베트남 공안부 또는 정보통신부 관련부서의 요청 시 사이버보안법 제16조 1~5항에 명시된 금지된 정보를 올린 자에 대한 서비스 제공 중단 또는 거부

따라서 인터넷상 사용자의 정보 확인과 비밀 보호 외에도 사이버 보안 관련 베트남 경찰 및 관련 부서의 요청에 따라 사용자 정보를 제공하거나, 삭제 요청을 받은 정보의 24시간 이내 삭제하는 등의 구체적인 의무가 있음에 유의하여야 합니다.

다음 3항은 해외 기업들에게 가장 많은 논란이 되고 있는 조항으로 구체적으로는 베트남에서 개인 정보, 서비스 사용자들 관계에 대한 데이터 또는 서비스 사용자들이 생성한 정보를 수집, 분석 또는 처리 활동을 하는 통신 서비스, 인터넷 서비스, 부가가치 서비스 제공 기업은 베트남 정부가 정한 기간 동안 이상과 같은 정보를 베트남에 보관하여야 하고, 위와 같은 기업 중 해외 기업은 베트남에 지점(Branch) 또는 대표사무소를 개설하여야 한다고 규정하고 있습니다. 따라서 조항 내용 그대로라면 베트남에 이미 진출한 한국 기업은 물론 물리적으로 베트남에 직접 진출하지 않았더라도 베트남에 있는 사람을 대상으로 인터넷상으로 서비스를 제공하고 있는 한국 기업들의 경우에는 이 조항 규정에 따라 관련 정보들을 베트남에 보관하고, 베트남에 지점 또는 대표사무소를 개설하여야 할 의무가 적용되는 것으로 해석될 수 있습니다.

다만 제26조 4항에서 베트남 정부는 3항 관련 세부 규정을 제정하여야 한다고 규정하고 있는데, 이와 관련하여 베트남은 사이버보안법 시행령 초안을 2018년 11월 2일 발표하고 의견 수렴 과정을 시작하였으나, 여러 사정으로 인하여 아직 시행령이 발효되지 않은 상태입니다. 이로 인해 아직 한국 기업들이 베트남에 사이버보안법에 따라 개인 정보 등 법에서 규정하고 있는 정보들을 베트남 내에 보관해야 하는지 그리고 베트남에 지점 또는 대표사무소를 개설하여야 하는지 여부가 불분명한 상태인데, 아직은 이러한 의무를 강제하도록 법을 집행하지는 않고 있는 상황이지만 의견 수렴 중인 시행령이 발효되면 사이버보안법 관련 의무들을 한국 기업들을 포함한 해외 기업들에게 적용할 것으로 보입니다.

베트남 사이버보안법 시행령(안) 주요 내용

앞에서 베트남 사이버보안법의 주요 내용에 대하여 안내하면서 사이버보안법 시행령이 의견 수렴 과정을 거치고 있는 중으로 아직 발효되지 않은 점 등으로 인하여 현재는 해외 기업들을 대상으로 실무상 법령 규정의 집행을 유예하고 있는 실정에 대하여 설명하였습니다. 그러나 최초 시행령 초안 발표 이후 지금까지 1차례 수정된 시행령이 나온 상태이고, 최초 시행령 초안이 발표된 지 3년 이상이 경과된 점을 고려할 때 사이버보안법 시행령의 발효와 법령의 실제 집행이 조만간 이루어질 상황에 대한 대비가 필요할 것으로 생각되며, 이와 관련하여 시행령의 주요 내용에 대한 숙지와 사전 대비 또한 필요하다고 할 수 있습니다.

먼저 사이버보안법 시행령 초안 제24조는 사이버보안법에 따라 베트남에 보관되어야 하는 정보에 대하여 다음과 같은 서비스 사용자 개인 정보와 관련 데이터가 베트남에 보관되어야 하는 정보에 포함되는 것으로 규정하고 있습니다: 성명, 생년월일, 출생지, 국적, 직업, 직위, 거주지, 연락 주소, 이메일 주소, 전화번호, 신분증 번호, 개인식별 번호, 시민권 번호, 여권 번호, 사회보험 번호, 신용카드 번호, 건강 상태, 의료 기록, 생체 인식 정보; 베트남 서비스 사용자가 생성한 데이터로 다음과 같은 정보를 포함: 장치로부터 업로드, 동기화 또는 가져오기를 통해 생성된 정보; 베트남 서비스 사용자들 관계에 대한 데이터로 다음과 같은 정보를 포함: 사용자가 연결 또는 상호작용을 한 친구, 그룹.

다음으로 시행령 제25조는 베트남 내 정보 보관 및 지점/대표사무소 설립 의무 관련하여 규정하고 있으며, 관련하여 1항은 다음 조건에 해당하는 기업은 베트남에 정보를 보관하고 지점 또는 대표사무소를 설립하여야 한다고 규정하고 있습니다.

a) 통신 네트워크, 인터넷을 통해 다음과 같은 서비스를 제공하거나 기타 추가 서비스 사업 활동을 하는 기업: 통신 서비스, 데이터 보관 및 공유 서비스, 도메인 주소 제공, 전자상거래, 온라인 결제, 결제 중개, 운송 연결 서비스, 소셜 네트워크 및 소셜 미디어, 온라인 비디오 게임, 이메일

b) 본 시행령 제24조에 명시된 데이터를 수집, 사용, 분석 및 처리하는 활동을 하는 기업

c) 서비스 사용자가 사이버보안법 제8조 1~2항에 명시된 행위(국가 안보 및 사회질서를 해치거나 국가 정보 보안을 위협하는 행위)를 하도록 허용한 기업

d) 사이버보안법 제8조 4항 규정을 위반(사이버 보안 집행을 방해), 제26조 2항 a-b호 규정을 위반(사용자 정보 확인, 비밀 보호, 베트남 공안부 요청 관련 위반 등) 하는 기업

따라서 상기와 같은 시행령 제25조 1항 조건에 해당하는 한국 기업은 베트남에 물리적 진출 여부와 상관없이 사용자 관련 정보들을 베트남 내에 보관하고 베트남에 지점 또는 대표사무소를 설립할 의무의 적용을 받게 됩니다. 한편 이와 관련하여 시행령 동조 2항은 베트남 공안부가 동조 1항 조건에 해당하는 기업에게 베트남에 시행령 제24조에 명시된 데이터를 보관하고, 지점 또는 대표사무소를 설립하도록 요청하여야 한다고 규정하고 있고, 더 나아가 시행령 제29조는 공안부 요청일로부터 12개월 이내에 시행령 제25조에 명시된 기업은 베트남에 데이터를 보관하고 지점 또는 대표사무소를 설립해야 하는 것으로 규정하고 있습니다.

이상 규정 내용을 종합하면, 시행령 제25조 조건에 해당하는 한국 기업들에게 사용자 관련 정보들의 베트남 내 보관 및 지점/대표사무소 설립 의무가 발생하기는 하나, 베트남 공안부의 요청일로부터 12개월 이내에 해당 의무를 이행하면 되는 것으로 해석될 수 있어서 일종의 1년간 의무 이행 유예 기간이 적용되는 것으로 생각되나, 실제 발효될 시행령 최종안의 내용 및 법 집행 실무에 따라 추후 정확한 규제 내용이 확인될 수 있을 것 같습니다.

유의 사항 및 마침 글

비교적 최근에 제정되어 2019년 발효된 베트남 사이버보안법은 베트남에 이미 진출한 한국 기업은 물론 물리적으로 베트남에 직접 진출은 하지 않았더라도 베트남의 사용자를 대상으로 인터넷상으로 서비스를 제공하고 있는 한국 기업들의 경우에도 서비스 사용자 관련 정보들의 베트남 내 보관 및 베트남 지점 또는 대표사무소 개설 의무가 적용될 수 있는 규정을 포함하고 있습니다. 아직 사이버보안법 시행령이 발효되지 않아 해외 기업들에 대하여 법령 규정 집행이 실무상 유예되고 있는 상황이지만, 인터넷상으로 베트남 사용자에게 서비스를 제공할 경우 사용자 정보 확인 및 정보에 대한 비밀 보호 의무 그리고 사이버보안 관련 베트남 경찰 및 관련부서의 요청이 있을 경우 사용자 정보를 제공하거나 삭제 요청을 받은 정보의 경우 24시간 이내 삭제해야 하는 등의 구체적인 의무가 있는 점은 지금도 명심하여야 합니다. 또한 사이버보안법 시행령도 멀지 않아 발효되어 법령의 실질적인 집행이 이루어질 것으로 예상되는 바, 현재 시행령 초안 규정을 참고하여 사용자 관련 정보들의 베트남 내 보관 의무와 베트남 지점 또는 대표사무소 설립 의무의 적용 가능성에 미리 대비할 필요가 있습니다.

※ 이 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려드립니다.