코로나19 팬데믹 이후 베트남은 급속한 디지털 전환 추진 및 인터넷 사용 증가로 인해 개인 정보 보호 필요성이 확대 되고 있다. 특히, 전자상거래 등 온라인 서비스 확산으로 소비자들의 개인 정보가 쉽게 노출되었고 데이터 침해 사건이 빈번하게 발생하였다. 이러한 상황에서 개인정보 보호를 위한 법적 기반이 필요하다는 사회적 요구가 지속 제기되고 있다. 베트남 정부는 사이버 보안을 지속 강화하고자 노력해 왔으며 상당한 성과를 이루었다는 평가를 받고 있다. 최근에는 개인 데이터 보호와 관련된 법안을 추가 제정하는 등 기존의 제도적 조치를 보완, 강화해 나가고 있다.  

베트남 사이버 보안의 현주소

베트남 정부는 오래전부터 개인정보 및 사이버 정보보안에 관해 많은 관심을 갖고 법적 가이드라인을 만들기 위해 노력해왔다. 2015년은 사이버 정보보안에 관한 법률(the Law on Cyber Information Security)을 최초 제정(16년 1월 발표)하였으며 동 법은 사이버 공간 상에서 정보와 데이터의 보호를 위한 것이다. 특히 개인 및 민감 정보의 보호를 강조하고 있으며 조직 및 기업에는 개인정보에 대한 비밀 처리와 보안을 지킬 의무가 적용되었다. 해당 법의 소관부서는 베트남 정보통신부로 다른 정부부처와 합동으로 사이버 보안과 개인정보 보호를 관할하게 되어있다.

동 법의 제정 이후 베트남은 사이버 안보에서 괄목할만한 발전을 이루었다. ITU(the International Telecommunication Union)가 발표하는 글로벌 사이버보안 인덱스(GCI, Global Cybersecurity Index)에서 베트남은 2017년 당시에는 시작(Initiating) – 성숙(Maturing) – 선도(Leading)의 세 개 그룹 중 아프가니스탄, 콩고 등과 함께 시작 그룹에 그쳤으나, 최근 발표된 2024년 발표에서는 형성(Building) - 발전(Evolving) – 구축(Establishing) – 선도(Advancing) – 롤모델(Role-Modeling)로 나뉘어진 다섯 개의 그룹 유형에서 한국, 호주, 싱가포르, 일본 등과 함께 롤모델 그룹에 안착하였다.  

< 베트남의 GCI 지수 현황 >

자료 : ITU(International Telecommunication Union)

GCI는 다섯 개 항목마다 20점을 부과하여 총점 100점인 평가 구조를 가지고 있다. 세부적으로 베트남은 100점에서 99.74점을 획득하며 스페인과 동률을 이루었다. 모든 지표에서 만점을 받은 국가는 한국을 포함하여 13개국이며, 베트남은 아세안 국가 내에서 인도네시아, 싱가포르에 이어 3위에 랭크되었다. 베트남 정보통신부는 이러한 성과를 홍보하면서 “오랜 기간 동안 이루어진 노력의 결과물이며 상기 순위는 베트남의 사이버보안에 대한 강도높은 투자에 의한 것이며 고무적인 결과”라고 설명하였다. 

이러한 대외적인 성과에도 불구하고 베트남 내에서는 크고 작은 사이버 보안 사고가 발생해왔으며. 주요 사례는 다음과 같다.

1) 암호화폐 거래소 O사 개인정보 유출 사건

암호화폐 거래소인 O사는 18개월만에 150만명의 사용자를 끌어 모은 베트남 최대의 암호화폐 거래 플랫폼이다. 초보자도 간단히 암호화폐 거래에 참여할 수 있는 인터페이스를 내세워 큰 인기를 끌었다. 그러나 2021년 랜섬웨어의 공격을 받았으며 해커는 정보를 돌려주는 대가로 5백만 달러를 요구하였다. 이에 불응하자 해커측은 2백만명에 가까운 고객정보를 온라인에 공개하여 매각하였으며, 유출된 자료에는 플랫폼 내 등록을 위해 활용한 개인정보, 로그인 정보 등이 포함되었다.

2) 베트남 학교정보 탈취사건

2022년 해커가 베트남의 유명 학교 웹사이트를 공략하여 3천만개에 이르는 기록정보를 탈취하였다고 주장하였다. 해당 기록정보에는 사용자의 이름, 이메일, 전화번호, 성명, 생년월일, 학교와 주소까지 포함된 것으로 알려졌다. 실제 온라인에 공개된 정보는 대부분 교사인 70여명의 개인정보들이었다. 실제 해킹 당하여 유출된 정보량은 확인되지 않았다.

3) 의료정보 유출사건

I사는 헬스케어 산업내 정보관리를 위한 솔루션을 제공하는 기업이다. 해당 사의 소프트웨어는 베트남 내 18개 의료시설에서 활용되고 있다. 2020년 전문가들은 이들이 사용하고 있는 클라우드 서버 중 하나가 암호화 조치와 보호가 없이 공개 되어있는 것을 발견하였다. 제한없이 접근 가능한 정보는 환자 1,200만명의 기록이었으며 성명과 생년월일, 주소, 전화번호, 여권번호까지 포함되어 있었다.

상기 사례를 통해 알수 있듯이 해커의 공격, 관리 부실 등의 이유로 인한 개인 정보 유출 리스크는 금융, 의료, 교육 등 사회 전 분야에 걸쳐 존재하고 있다. 개인정보의 보호는 잠재적인 범죄로부터 개인의 프라이버시를 지키는 기능 외에도, 최근 들어 중요성이 강조되고 있는 데이터 경제의 성장기반을 구축함에 있어 필수적인 부분이다. 아울러, 외국인 투자유치가 경제 성장에 큰 비중을 차지하는 베트남의 입장에서 철저한 개인정보의 보호는 외국 기업과의 거래 및 투자 유치를 위해서도 중요한 요소로 작용한다. 이러한 맥락에서 사이버 정보보안법의 도입 이후 개인정보 보호를 위한 추가적인 법적 장치의 마련이 필요하게 된 것이다. 

베트남 개인 데이터 보호법령 및 신규 법안 주요 내용

개인 데이터 보호 법령(Personal Data Protection Decree, Decree No. 13/2023/ND-CP)은 지난 2023년 7월 1일부터 시행되었으며, 베트남에서 개인 데이터를 보호를 명시하고 포괄적으로 보호하기 위해 제정된 최초의 법률이다. 개인 정보를 취급하는 베트남 내의 기업 및 기관은 개인정보를 다루는 데 있어 적법성, 투명성, 제한된 범위내의 목적성, 취급의 최소화, 정확성, 통합성, 기밀유지, 예측가능성 등의 원칙을 준수해야 한다.

구체적으로 해당 법령은 데이터 주체에 대한 고지, 동의 획득 및 데이터 주체가 가지는 권리의 중요성을 강조하고 있으며, 데이터 주체는 자신의 개인정보에 대한 수집, 사용에 대해서 반드시 안내를 받고 동의를 명시적으로 요청 받아야 한다. 아울러 동 법령은 데이터 주체의 동의가 없는 데이터의 수집, 이전, 판매를 금지하고 있으며, 데이터 주체는 자신의 개인정보에 대한 접근과 검토 권리를 가진다. 동 법령은 베트남 내에서 개인정보보호를 위한 기본법의 성격을 가진다.

이외에도 동 법령에서는 베트남 시민권자의 정보를 해외로 이전하는 사항과 관련된 규정 또한 언급하고 있다. 데이터를 이전하려는 주체는 정보의 이전이 미치는 영향평가를 실시하고 이를 서류로 작성해야 한다. 해당 서류는 이전 대상 개인정보의 종류, 이전의 목적, 정보 전달자와 수령자의 책임에 대해서 명시해야 한다. 이들 서류는 베트남 공공보안부(Ministry of Public Security)의 검토를 위해 데이터 처리 시작 이후 60일 이내에 제출되어야 한다. 공공보안부는 조건에 맞지 않는 모든 국경간 데이터 전송을 중지할 수 있는 권한을 가진다.

금년 9월에는 개인데이터보호법(Law on Personal Data Protection) 초안이 신규 발표되었다. 해당 법은 이해 관계자의 의견 수렴을 거친 뒤 2026년 1월 1일부터 발효될 예정이다. 동 법은 개인 데이터 보호 법령보다 포괄적이고 보다 넓은 분야를 다루고 있다. 구체적으로 마케팅 서비스, 광고, 빅데이터 처리, AI, 클라우드 컴퓨팅, 피고용인의 관리 및 채용, 금융 및 신용 데이터, 헬스케어, 보험 등의 분야를 상세히 다룰 예정이다.

< 개인데이터보호법 초안의 주요 내용 >

자료 : Vietnam Briefing

법의 주요 조항을 살펴보면 우선 ‘개인정보 거래 금지’ 조항이 있다. 이 조항은 모든 형태의 개인정보의 거래를 금지하며, 위반 시 징계 및 처벌을 받는다. 또 다른 주요 조항은 ‘정보 주체의 권리’ 조항으로 이 조항은 데이터 주체는 자신의 개인정보 처리에 대해 알고 있어야 하며, 동의 없이 개인정보가 처리되는 것을 방지할 수 있는 권리가 있다고 명시한다. 그리고 ‘정부의 예외적 수집 권한’조항은 국가 안보나 공공 안전을 이유로 정부가 개인정보를 수집할 수 있는 경우가 명시되어 있는 조항이다.

우리 진출 기업이 유의해야 할 주요 이슈

지난 2023년 개인데이터 보호 법령이 최초 공표 된 이후 베트남에서 비즈니스를 영위하는 대다수 기업들이 해당 법령에 실제 업무에 미치는 영향에 대해 우려하고 관련 정보를 수집해 오고 있다. 관련해서 주요 참고할 만한 사항들을 정리하면 다음과 같다.  

우선 적용대상 조항에서 유의할 점은 베트남에 사업장이 없는 경우에도 베트남에서의 개인정보처리에 직접 관여하고 있는 경우 본 법의 규정이 적용된다는 것이다. 정보주체의 동의 조항에서는 개인정보 수집 및 처리가 필요한 사업장의 경우, 개인정보 수집 및 처리 동의서 상 수집되는 정보, 사용 목적, 처리 방식 및 처리 주체 등에 대한 구체적인 내용을 담아 정보주체(고객)에 설명하고 동의를 취득해야 할 것으로 보인다. 또 개인정보 처리 목적이 다수인 경우 정보주체가 각 목적 별로 동의할 수 있도록 안내해야 한다.

일반 개인정보 및 민감정보 처리 통지 조항에서 유의할 점은 개인정보 처리가 필요하거나 민감정보 처리가 이루어지는 경우에 해당 정보 처리에 대한 통지가 이루어질 수 있도록 통지 시스템을 도입해야 한다. 마케팅 및 광고 조항에서는 사업 영위에 활용되는 개인정보의 수집 경로를 확인하고 동의를 얻을 수 있는 내부 시스템을 마련해야 할 필요가 있다. 민감정보 보호 조항에 의하면 민감정보 처리 전 정보주체에 대한 통지가 필요한 만큼 기업은 개인정보보호 담당 부서 및 담당자를 지정하여야 한다.

개인정보 보호 규정 위반 사항 통지 조항에 의하면 개인정보 처리 주체는 위반 사항 발생시 즉시 통지하여야 하고 개인정보 관리 주체 또는 처리 주체는 위반 사항 발생 시로부터 72시간 이내에 베트남 공안부내 DCHC(Department of Cyber security and Hi-tech Crime Prevention)에 해당 사실을 통지해야 한다. 개인정보 영향평가 조항에 따르면 개인정보 관리의 주체는 개인정보 처리 개시 시점에 개인정보 영향평가 문서를 준비해 60일 이내에 공안부 DCHCP에 제출해야 하고, 이후 제출한 문서 상의 내용이 변경되는 경우 해당 내용의 변경 통지를 해야 한다. 국경 간 정보 전송 영향 평가 조항에서도 정보 전송 주체는 개인정보 처리 시점에 국경 간 정보 전송 영향평가 문서를 공안부 DCHCP에 제출해야 하며 내용 변경 시 변경 내용을 통지해야 한다.

한편, 발효일 조항에 따르면 개인정보 처리 업무와 직접 관련된 사업을 수행하지 않는 소규모 사업장의 경우 개인정보 보호 담당자 및 담당 부서를 즉시 지정할 필요는 없으며, 유예기간 2년의 종료 시점에 맞춰 준비하면 될 것으로 보인다. 현재 시점으로 별도의 패널티 조항은 포함되지 않았으나, 별도 행정 처벌에 관한 시행령이 공포될 예정이므로 해당 시행령을 참고할 필요가 있다.

시사점

향후 시행될 개인 데이터 보호법은 개인정보 보호를 위한 구체적인 법적 틀을 제공함으로써 사생활 침해 가능성을 줄이고 개인정보보호 강화에 기여할 것으로 예상된다. 개인 데이터의 수집, 처리 및 저장에 대한 명확한 규정을 통해 데이터 침해를 예방하고, 디지털 산업에 대한 사회 전반의 소비자 신뢰를 구축하는 데 기여할 것이다. 또한 기업들이 개인정보 처리에 대한 엄격한 의무를 지게 되며, 데이터 주체의 동의를 받지 않고서는 개인정보를 처리할 수 없게 됨으로써 기업들은 데이터 관리 및 보안 시스템을 강화해야 할 의무가 확대 되는 것이다. 

향후 베트남 정부는 국제적인 개인정보 보호 기준에 부합하기 위해 외국과의 법률 정보 교환 및 기술 이전 협력을 강화할 예정이다. 이는 베트남 정부가 글로벌 시장에서 경쟁력을 유지하기 위한 개인정보 보호가 필수적인 요소라고 인식하고 있기 때문이다. 한편 해당 법령은 국가 안보 및 공공 안전을 이유로 정부가 개인정보를 수집할 수 있는 예외 조항도 두고 있는데, 이는 긴급 상황에서 필요한 정보를 신속하게 확보할 수 있도록 하여 사회적 안정성을 유지하는데 기여하기 위한 목적도 있다.  

종합적으로, 베트남의 개인 데이터 보호법은 개인의 권리를 보하하고 기업의 책임을 명확히 하며, 국가 차원에서 데이터 관리 체계를 개선하는 데 중요한 역할을 할 것이다. 단기적으로 베트남에서 비즈니스를 하는 기업들에게 비용과 시간을 요구하는 규제의 성격이 있으나, 중장기적인 베트남내 디지털 경제 발전에는 긍정적인 영향을 끼칠 것으로 기대된다. 우리 기업들은 향후 베트남 정부의 개인 데이터보호 관련 정책방향이 민간과 정부의 각기 다른 니즈를 어떻게 충족시킬 수 있을지 지속적으로 모니터링 하고 기업의 대응전략을 명확히 수립할 필요가 있을 것이다.  

자료 : 베트남 정보통신부, ITU, 법무법인 광장, Vietnam Briefing, 다낭 무역관 자체 보유자료 종합