-
라오스 전자 데이터 및 개인정보 보호법 – 전자금융산업을 중심으로
- 경제·무역
- 라오스
- 비엔티안무역관 박세연
- 2024-12-26
- 출처 : KOTRA
-
디지털 혁신 기반 마련과 사이버보안 강화에 노력
2024년 4월 라오스는 디지털 혁신 시 수반되는 사이버보안 역량을 강화하기 위해 한국인터넷진흥원(KISA)과 업무협약을 체결하였다. 전자서명 및 공개키 기반 구조(PKI) 활용, 전자문서화 추진 등 디지털 혁신 기반을 마련하기 위한 기술협력으로 한국의 보안기술이 라오스 디지털 경제 전반에 적극 활용될 예정이다.
<KISA-라오스 국가인터넷센터 간 기술협력 MOU 체결식>
[자료 : KISA 공식 홈페이지]
이러한 변화를 통해 라오스는 국가의 디지털 경제 발전과 더불어 안전한 디지털 환경 구축을 목표로 하고 있다. 한편, 라오스는 기술 개발 뿐만 아니라 이를 뒷받침할 수 있는 제도적 장치 개발에도 많은 노력을 기울이고 있다. 2017년, 라오스는 개인정보보호를 강화하기 위해 전자 데이터 보호법을 제정하였다. 이는 라오스 내 데이터 관련 사업이 점차 성장함에 따라 국제표준에 준하는 데이터 보호를 통해 소비자 신뢰를 강화하고 해당 산업의 성장을 더욱 촉진시키고자하는 정부의 의지를 보여준다. 해당 법안은 은행, 통신, 의료, 교육 등 전자 데이터를 취급하는 주요 산업 조직을 대상으로 데이터 프라이버시, 투명성, 책임성에 대한 엄격한 법적 요구를 명시하고 있다. 전자 데이터 보호 법안의 주요 조항은 아래와 같다.
<전자 데이터 보호 법안 주요 조항>
데이터 수집 및 동의
(제12조)
o 데이터 사용 주체는 데이터 소유자에게 데이터 수집 목적, 수집되는 정보의 유형, 데이터 처리 책임자 등을 명확히 알리고 동의를 얻어야 한다.
o 투명성을 보장하고 오해의 소지가 있는 데이터 수집 관행을 방지해야 한다.
전자 데이터 저장 및 전송
(제15-17조)
o 데이터 저장 기간은 사용 목적상 허용되는 기간에 한정되며 목적이 달성되면 데이터를 삭제해야 한다. 특히 국외로 데이터 전송 시 명시적인 동의 및 암호화와 같은 엄격한 보안 프로토콜이 요구된다.
데이터 소유자와 관리자 권리 및 의무
(제27-30조)
o 데이터 소유자는 자신의 개인정보에 접근, 수정, 삭제할 권리를 가진다.
o 데이터 관리자는 데이터를 안전하게 보호하고, 무단 접근을 방지하며, 데이터 소유자의 권리를 준수하여 정보 사용자의 통제를 강화해야 한다.
비준수에 대한 처벌
(제50-54조)
o 법 위반 시 비형사적 위반에 대해 최대 1,500만 킵상당의 재정적 벌금이 부과되며, 형사적 위반사항은 더욱 엄정히 처벌한다.
[자료 : Lao Official Gazette]
전자 데이터 보호법 조항 작성에 참여했던 라오스 기술통신부 사이버보안국의 Khamsavay Sayalath 씨는 무역관과의 인터뷰에서 "이 법을 통해 소비자는 데이터 관리 기업에 대한 신뢰를 쌓고, 서비스 제공기업이 안전하고 효율적으로 사업을 운영할 수 있을 것”이라고 전자데이터 보호법의 긍정적 측면을 전망하였다.
한편, 전자 데이터 보호법은 라오스의 개인정보보호 강화에 많은 기여를 할 것으로 기대되나 여전히 보완되야 할 부분이 존재한다. 먼저, 위반자에 대한 처벌의 구체적인 틀을 제공하여 위반의 심각성과 위반 성격에 따른 처벌을 명시해야 한다. 벌금, 징계, 형사 처벌 등 명확한 정의를 통해 사법의 일관성을 보장하고, 억지력을 강화할 수 있다.
또한, 기관의 역할에 대한 명확한 지정도 필요하다. 현재 개인정보가 유출되거나 내부 책임자가 적시에 조치를 취하지 않을 경우 이를 처리할 기관이 명확히 지정되지 않은 상태로, 고객은 문제를 바로잡고 피해를 보상 받는데 어려움을 겪을 수 있다. 따라서 소비자들을 보호하기 위해 독립적인 규제 기관 또는 고객이 발생한 문제를 직접 보고할 수 있는 옴부즈맨을 지정할 필요가 있다.
본 법안은 2017년에 처음 신설된 이후 현재 빠르게 변하는 현실을 반영할 수 있도록 개정 중에 있다. 이번 개정은 특히 라오스 국경 외부로의 데이터 전송 시 규제해야 할 사항에 초점을 두고 진행될 것으로 보인다. 본 개정안은 2026-2030년 제10차 5개년 국가사회경제개발계획에 포함되어 있으며, 개정된 법안은 해당 기간 내에 시행될 것으로 예상된다.
금융산업의 성장 흐름 속, 금융소비자에 대한 개인정보보호 초석 마련
라오스에 전자금융이 도입된 이래로 QR결제시스템 등 빠르게 관련 산업이 성장하며 금융 정보에 대한 법과 규정의 필요성이 대두되었다. 이에 따라 2020년 라오스 중앙 은행은 더욱 구체적인 내용이 담긴 금융 부문 소비자 보호에 관한 법령(No. 225/GOV)을 제정하게 되었다. 본 법안은 기존의 보호조치 외에도 더욱 견고하고 소비자 중심이 되는 금융 산업 데이터 관리 및 고객 서비스 프로토콜을 보장한다. 법안의 주요 조항은 아래와 같다.
<금융 부문 소비자 보호에 관한 법안 주요 조항>
고객 데이터 보호
(제13조)
o 금융 서비스 제공자는 고객의 개인정보, 금융 정보, 보안 데이터를 보호해야 하며, 이는 ATM 및 온라인뱅킹 비밀번호와 같은 물리적 혹은 디지털 형식의 데이터도 포함된다.
o 무단 데이터 유출이 발생한 경우, 금융 서비스 제공자는 영향을 받은 고객에게 즉시 통지하고, 주요 사건은 규제 담당기관에 보고해야 한다.
o 고객의 데이터는 서면 동의가 있을 때만 제3자에게 공개할 수 있으며, 당국은 법적 절차에 따라 이를 처리한다.
고객 데이터 수정 요청 수신 및 응답
(제14조)
o 금융 서비스 제공자는 고객의 데이터 수정 요청을 위해 접근 가능한 시스템을 여러 채널을 통해 구축하고 명확한 연락 정보를 제공해야 한다.
o 응답에는 데이터 수정 요청 분석, 확인된 문제의 신속한 수정, 미해결 사항에 대해 15일마다 고객에게 업데이트를 제공하는 것이 포함된다.
금융 서비스 이용자의 권리 및 의무
(제21조)
o 본 조항은 금융 서비스 이용자의 주요 권리 및 의무를 명시한다:
- 금융 서비스를 선택하기 전에 서비스 제공자로부터 필수 정보를 수신 및 검토할 권리.
- 자유롭게 금융 서비스를 선택하고 결정할 권리.
- 자신의 금융 활동에 대한 업데이트를 받을 권리.
- 개인정보의 기밀성을 보장받을 권리.
- 제공자에게 피드백과 건의사항을 제시할 권리.
- 서비스 위반 또는 결함으로 인한 손실에 대해 보상을 청구할 권리.
- 예금 통장 및 비밀번호와 같은 금융 문서 및 증명자료를 보호할 의무.
- 제공자가 요청한 정확한 정보를 제공할 의무.
- 계약 조건을 완전히 이행할 의무.
- 손상된 카드 혹은 수표와 같은 금융 서비스 문제를 즉시 보고할 의무.
- 이용자 보호 규정 위반 사항을 관련 당국에 통지할 의무.
- 법률에 의해 정의된 추가 권리와 의무를 행사할 권리.
위반자에 대한 조치
(제35조)
o 위반자는 법에 따라 경고, 훈계, 징계, 벌금, 민사 책임, 또는 형사 기소에 처할 수 있다.
[자료 : Lao Official Gazette]
금융 관련 산업 내 법령보충을 통해 금융 소비자에 대한 보호 강화
2022년 제정된 소액 금융에 관한 법령(No. 184/GOV)과 2023년에 도입된 상업은행법(No. 39/NA)은 소액 금융기관 및 상업은행을 대상으로 특정 문서 보관 및 저장 의무를 명시하고 있다. 이를 통해 금융 소비자는 사고 혹은 분쟁 발생 시 금융기관에 보관된 거래 내역을 기반으로 객관적 권리를 보호받을 수 있게 되었다.
o 소액 금융기관: 소액 금융기관은 본사에 모든 운영 및 거래 문서를 보관해야 하며, 여기에는 주주 기록, 회의 결의안, 고객 계좌 기록이 포함된다. 모든 기록은 물리적 및 전자적 형태로 최소 10년 동안 보존해야 한다.
o 상업은행: 상업은행법의 주요 조항은 아래와 같다
<상업은행법의 주요 조항>
고객 보호 (제60조)
o 상업은행은 고객과의 상호작용에 대해 명확한 규칙과 절차를 수립하고, 관련 법률에 따라 사용자 불만을 처리할 효과적인 메커니즘을 제공해야 한다.
o 은행은 다음과 같은 방법으로 고객의 권리와 이익을 보호해야 한다:
- 예금자 보호국 가입.
- 원활한 예금, 송금, 출금 절차 보장.
- 법적 의무가 없는 한 거래 기밀성 보호.
- 라오스 중앙은행 규정에 따라 재무 상태를 공개적으로 공시.
- 제품 사용, 금리, 수수료 및 정확한 서비스 광고에 대한 투명한 정보 제공.
- 고객 보호 법률 및 의무를 완전히 준수
문서 및 거래 정보 보관 (제71조)
o 은행은 상세한 거래 기록과 내부 및 외부 감사 결과를 라오스 내 본점에서 보관해야 한다.
o 해외 지점 역시 이를 준수해야 하며, 라오스 중앙은행의 승인을 받은 경우에는 이중 보관이 가능하다.
[자료: Lao Official Gazette]
시사점
2018년 유럽 전역에 도입된 개인정보보호법(GDPR, General Data Protection Regulation)은 유럽에 사업장을 두고 있지 않더라도 유럽 거주자의 개인 데이터를 관리할 때 GDPR의 규정을 준수해야 한다. 이를 위반하는 기업은 수백만 유로에 달하는 벌금을 부과받을 수 있다. 이처럼 개인정보보호법은 데이터 소유자의 권리를 보호하는 한편, 관련 사업을 영위하는 기업에게는 데이터 시장 진입 시 비관세 장벽처럼 작용될 수 있다.
아직까지 라오스는 개인정보보호에 관한 법령이 복잡한 현실 속 문제를 모두 규제하지 못해 법령 통제의 사각지대에 놓여 자유로울 수 있지만, 라오스에서 장기적으로 사업을 영위하길 바라는 데이터 관리 기업은 내부 운영 규정을 현 법령에 맞춰 법위반을 방지해야 한다. 내부 정책, 양식, 지속적인 교육은 법의 기준을 충족시킬 수 있도록 바뀌어야 하며 특히 금융 기관은 개인정보 유출 방지 및 대응을 위해 매뉴얼 도입을 고려해야 한다.
자료 : KISA 홈페이지, Lao Official Gazette, 무역관 자체자료 종합
<저작권자 : ⓒ KOTRA & KOTRA 해외시장뉴스>
KOTRA의 저작물인 (라오스 전자 데이터 및 개인정보 보호법 – 전자금융산업을 중심으로)의 경우 ‘공공누리 제4 유형: 출처표시+상업적 이용금지+변경금지’ 조건에 따라 이용할 수 있습니다. 다만, 사진, 이미지의 경우 제3자에게 저작권이 있으므로 사용할 수 없습니다.
-
1
2024년 인도 철강산업 정보
인도 2025-01-03
-
2
인도 석유 공급망의 이해, 정부 수출 활성화 전략을 통해
인도 2025-01-07
-
3
일본에서 주목받는 AI 의료기기
일본 2024-08-05
-
4
중국 우한 소비 동력에 새롭게 불을 붙일 '론칭경제(首發經濟)'
중국 2025-01-24
-
5
인도 전동용 컨베이어 벨트 시장동향
인도 2025-01-02
-
6
2024년 베트남 경제 동향 및 2025년 전망
베트남 2025-01-10
-
1
2024년 라오스 물류산업 정보
라오스 2024-11-29
-
2
2024년 라오스 전력산업 정보
라오스 2024-08-12
-
3
2021년 라오스 농업 정보
라오스 2022-01-03
-
4
2021년 라오스 에너지 및 광물 산업 정보
라오스 2022-01-03
-
5
2021년 라오스 관광 산업정보
라오스 2022-01-03
-
6
2021년 라오스 전력 산업 정보
라오스 2022-01-03