베트남 개인정보보호법 시행령 356/2025/ 1편
1편 2026 베트남 개인정보보호법에서 알아야 할 4가지 사항
이번 테크밸리 블로그에서는 2026년 1월 베트남에서는 새로운 개인정보 보호법 시행령 (Decree 356/2025/ND-CP)의 개정안이 발표되면서 저희 회사 테크밸리에 클라우드 이용 고객사에게 개별 컨설팅과 테크밸리클라우드 온라인 웨비나 발표 자료를 바탕으로 작성하였습니다.
베트남 최초의 포괄적 개인정보 보호 규정인 시행령 13/2023/ND-CP는 2023년 7월 1일부터 유예 기간 없이 즉시 시행되어 베트남공안부(MPS)와 A05의 감독 아래 분산된 법률 통합 및 처벌 강화를 통해 데이터 보호의 새로운 시대를 열었다고 볼 수 있습니다.
이번 시행령은 새로운 개인정보보호 신법 91/2025/QH1t5)에 따른 신규 시행령이며 2023년 기존 시행령 13/2023/ND-CP 보다 좀더 구체적이고 처벌에 대한 내용도 포함되어 있습니다.
이번 블로그 제1편에서는 2026년 베트남 개인정보보호법 신규 시행령에서 꼭 아셔야 할 부분 주요 4가지를 정리해 드립니다. 단, 베트남의 법률은 모호하고 그레이 (grey) 영역이 다소 있다 보니 주관적 해석과 베트남 기관의 자가해석이 있을 수 있는 점은 미리 양해드립니다.
첫째, 베트남 개인정보법의 적용 범위 – 국경 없는 규제
시행령 1조에 다르면 개인정보의 대상은 단순히 베트남에 있는 베트남인 뿐만 아니라 해외 체류 베트남인, 베트남에 외국인, 베트남에서 사업을 하는 한국인 저도 포함되어 있습니다. 또한 역외 적용 (Extraterritorial)에 의해 베트남 내에 데이터처리와 관련된 개인이나 외국인 기업도 대상이 되니 한국 본사가 베트남 지사에 고객이나 직원의 데이터를 처리할 경우 이 시행령이 적용될 수 있습니다.
개인정보보호 적용범위 (시행령 1조)보통 베트남 지사에서 운영하는 ABC.vn의 고객 데이터를 SaaS나 클라우드로 운영하는 경우 반드시 시행령의 대상에 포함되며 한국 포함 외국 기업들이 베트남 지사의 직원 인사관리 시스템을 한국 본사에서 관리하거나 HR SaaS 서비스를 도입하려고 하는데 이 경우에도 본 시행령의 주요 요구사항을 따라야 합니다.
둘째, 데이터의 구분 – 일반 데이터 vs 민감 데이터
다음으로 ABC.vn의 창업자로서 여러분이 마주할 첫 번째 질문은 "우리가 수집하려는 사용자 정보 중에 대체 어디까지가 법에서 말하는 개인 데이 터지?"입니다.
이 시행령에서 말하는 개인 데이터는 단순한 이름이나 이메일 주소, 이 정도는 아닙니다. 시행령은 데이터를 두 가지 기준으로 명확히 나누고 있습니다.
먼저 기본 개인 데이터는 일반적인 이름, 생년월일, 전화번호처럼 우리가 당연히 예상할 수 있는 것들이 대부분 포함됩니다. 하지만 주목해야 할 건 온라인 활동 기록까지 전부 기본 데이터로 본다는 점입니다. ABC.vn 사용자가 어떤 상품을 클릭하고 또 얼마나 오래 페이지에 머물렀는지, 이런 정보도 전부 기본 개인 데이터에 들어간다는 의미입니다. 사용자의 행동 패턴 데이터가 그냥 빅데이터 분석용 데이터가 아니라 이제는 보호해야 할 개인 데이터입니다.
두 번째 유형은 '민감 개인 데이터입니다. 이 부분은 개인의 사생활과 직결돼서 유출되면 아주 심각한 피해를 줄 수 있는 정보들이죠. 정치적 견해나 종교, 건강 상태 등이 해당됩니다. 또한 사용자의 정확한 위치 데이터나 금융 결제 정보는 전부 민감 데이터로 분류됩니다.
ABC.vn 온라인 이커머스에서 다룰 수 있는 다른 정보들은 주로 사용자, 일반 정보 외에 사용자 위치 데이터나 금융 결제 정보는 전부 민감 데이터로 분류되니까 훨씬 더 엄격한 보호 조치가 필요하다는 걸 꼭 기억해야 합니다.
셋째, 개인정보 주체 및 이해 관계자의 역할
그럼 이제 어떤 데이터를 다루는지 파악 습니다. 다음 단계는 이 데이터를 처리하는 과정에 누가 어떤 역할을 맡는지 이해해야 합니다.
시행령 13은 개인정보 관리에 관여하는 주요 이해관계자를 크게 개인정보 주체(Data Subject), 개인정보 통제자 (Data Controller), 개인정보 처리자 (Processor), 제3자 (3rd Party)로 구분하여 정의하고 있습니다.
개인정보관리 담당자 기관의 역할 (출처 : 테크밸리베트남)1) 데이터주체 (Data Subject)
우선 ABC.vn의 온라인 이용자는 데이터의 주인이며 이를 데이터 주체 (Data Subject)라고 합니다. 즉 ABC.vn 플랫폼의 사용자 정보에 의해 식별되는 정보의 실제 주인입니다. 시행령은 데이터 주체에게 권리와 의무를 부여하여 정보 관리를 중심적 역할을 수행하도록 규정되어 있습니다.
데이터 주체의 주요 권리 (시행령 9조)이는 서비스 제공회사의 마케팅 동의 반대도 당연히 가능하며, 만일 한국의 쿠팡 (Coupang)과 같은 개인정보가 해킹당했을 때 자기 보호를 위한 소송이나 집단 소송도 가능합니다.
개인정보 주체의 권리 (출처 : AI 이미지)데이터 주체는 단순히 정보를 제공하는 수동적인 존재가 아니라, 자신의 정보가 언제, 어떻게, 누구에게 사용되는지 결정하고 감시할 권리를 가지며, 동시에 정확한 정보를 제공하고 법규를 준수할 의무를 지닌 능동적인 관리자로서의 역할을 수행합니다.
데이터 주체의 주요 의무 (시행령 10조)2) 개인정보 통제자 (Data Controller)
'개인정보 통제자' (혹은 개인정보 관리자)는 데이터 처리의 목적과 방법을 결정하는 주체이며, 이 시나리오의 ABC.vn 온라인 커머스 회사가 통제자가 됩니다.
개인정보 통제자는 ABC.vn과 같이 고객의 정보를 기반으로 온라인 혹은 오프라인에서 서비스를 하는 회사가 준수해야 합니다. 이 조직은 개인정보 데이터의 목적과 수단을 결정하고 만일 규정 위반 시 72시간 내에 이를 반드시 통지해야 합니다.
이 시행령 제38조 및 관련 조항에 명시된 통제자의 주요 역할과 책임은 다음과 같습니다.
개인정보통제자 역할 (출처: 테크밸리베트남)개인정보 통제자는 데이터 관리의 '설계자'이자 '최종 책임자'입니다. 이들은 데이터 처리의 방향을 결정할 뿐만 아니라, 하위 처리자를 감시하고, 사고 발생 시 당국에 보고하며, 정보 주체의 권리를 실질적으로 보장해야 하는 포괄적인 의무를 지닙니다
3) 개인정보처리자 (Data Processor)
개인정보 처리자는 개인정보 통제자와의 계약 또는 합의를 통해, 통제자를 대신하여 개인정보 처리 업무를 수행하는 조직이나 개인을 말합니다.
저희 테크밸리에 자주 질문하시는 내용 중에 클라우드 서비스 제공사가 여기에 해당됩니다. 개인정보처리자는 독자적인 판단보다는 통제자와의 계약 범위 내에서 움직여야 하며, 다음과 같은 의무를 집니다.
개인정보처리자 (Data Processor)의 역할 (출처 : 테크밸리베트남)즉 개인정보 처리자는 통제자의 '손발' 역할을 하지만, 단순히 시키는 일만 하는 것이 아니라 자체적인 보호 조치 수립, 영향 평가 작성, 사고 발생 시 배상 책임까지 지는 막중한 법적 의무를 가집니다.
만일 ABC.vn이 개인정보를 클라우드의 서버에 올렸을 경우에는 클라우드 공급사 (CSP : Cloud Service Provider)가 개인정보 처리자의 역할을 하게 됩니다.
2025년 한국의 쿠팡의 개인정보유출 사고로 청문회에 질의응답에서 모의원이 쿠팡은 어느 클라우드를 사용하냐고 물은 게 개인정보처리자가 누구인지 확인하기 위해서였습니다. 여기 개인정보를 저장하는 AWS 클라우드도 데이터처리자로 개인정보유출에 대한 어느 정도 책임을 가지고 있습니다.
쿠팡 개인정보유출 청문회 장면 (출처: AI 제작)흔히 개인정보 관리자 (Data Controller)와 처리자 (Data Processor)의 역할을 헷갈려하시는 분들이 많아 아래와 같이 정리해 드립니다. 이 두 주체의 역할은 독립적이기보다는 개인정보 관리자가 기업 (예, ABC.vn 온라인이커머스 회사)의 고객의 개인정보를 총책임을 지며 개인정보처리자 (예, 클라우드 회사)가 데이터를 안전하게 보관하고 데이터의 처리, 베트남 공안부 (A05)에 조사 협조 등입니다.
개인정보관리주체의 책임 (Data Controller vs Data Processor) – 출처: 테크밸리베트남넷째, 개인정보보호법 반드시 지켜야 할 사항
시행령 13은 개인정보 통제자(38조, 6항)와 개인정보 처리자(39조, 4항) 모두 데이터 처리 과정에서 발생한 손해에 대해 정보주체에게 직접적인 책임을 진다고 규정하고 있습니다.
이는 관리자를 통해서만 책임이 전가되는 일부 다른 법제와 달리, 정보주체가 손해를 야기한 주체(데이터 통제자 또는 처리자)에게 직접 책임을 물을 수 있음을 의미하므로, 처리자 선정 및 계약 시 책임 소재를 명확히 하는 것이 매우 중요합니다
개인정보보호법 주요 준수 사항 (출처 : 테크밸리베트남)실제로는 시행령 28조에는 민감 개인정보를 처리하는 기업에 대해 다음과 같은 추가적인 보호 조치를 의무화하고 있습니다.
기업의 개인정보 보호 조치 추가 의무화 사항
* 데이터 보호 부서 및 담당자 지정
개인정보보호 기능을 담당하는 부서를 지정하고, 개인정보보호 책임자를 임명해야 합니다.
* 규제 기관에 정보 공유
지정된 부서 및 책임자의 정보를 규제 기관(A05)과 공유해야 합니다.
* 데이터 거버넌스 프레임 (Data Governance Frame) 구축
기업 내에서 처리되는 모든 개인정보의 흐름을 파악하고 문서화하는 데이터 맵핑을 시작해야 합니다. 이를 기반으로 개인정보 처리 영향 평가(DPIA)를 정기적으로 수행하고, 정보주체의 권리(접근, 수정, 삭제 등) 요청에 대응할 수 있는 명확한 내부 절차와 시스템을 수립하는 것이 시급합니다. 이는 단순한 규정 준수를 넘어, 데이터 관리의 투명성과 책임성을 확보하는 첫걸음입니다.
* 국외 데이터 이전 영향 평가
베트남 시민의 개인정보를 해외로 이전하는 모든 경우에 대해 국외 이전 영향 평가(TIA)를 수행하기 위한 명확한 내부 프로토콜을 수립해야 합니다. 데이터 이전과 관련된 모든 계약서(예: 그룹 내 데이터 이전 계약, 외부 서비스 제공업체와의 계약 등)를 검토하여 Decree 13의 요구사항을 충족하는지 확인하고, 필요시 계약 내용을 수정해야 합니다.
* 유출 대응 계획 수립
데이터 유출 발생 시 72시간 이내에 규제 당국에 통지해야 하는 엄격한 의무를 준수하기 위해, 명확하고 실행 가능한 데이터 유출 대응 및 통지 계획을 즉시 마련해야 합니다. 이 계획에는 유출 사고 식별, 평가, 격리, 통지, 사후 조치 등 각 단계별 책임자와 역할이 명시되어야 하며, 정기적인 모의 훈련 (모의 해킹, Penetration Test을 통해 계획의 실효성을 검증하고 이를 문서로 보관해야 합니다. (이 부분 역시 쿠팡 청문회에 국회의원들이 질문한 내용입니다.)
데이터 유출 사고는 72시간 내 반드시 신고 (출처: 테크밸리베트남)1편을 마치며
이러한 베트남 개인정보보호 시행령 365/2025/ND-CP 조치는 민감 정보 처리에 대한 기업의 책임성을 강화하고, 규제 당국과의 원활한 소통 채널을 확보하기 위한 것입니다.
지금까지는 베트남 개인정보보호 시행령의 개인정보의 분리, 개인정보 관리 주체와 준수해야 할 원칙을 주로 살펴보았습니다. 이중에 개인정보관리 주체는 많은 분들이 테크밸리에게 질문을 하는 내용으로 각 주체에 명확한 역할과 의무를 규정할 필요가 있습니다.
테크밸리는 베트남 클라우드 공급사로 ‘개인정보처리자 (Data Processor)’의 역할을 수행합니다. 앞으로 베트남 진출 시 IT 인프라 환경이나 클라우드 구축에 개인정보보호법에 대한 안내가 필요하시면 언제든지 연락 주시기 바랍니다.
다음 2편에서는 또 다른 화제가 되어 있는 개인정보해외전송에 대한 영향평가서의 정의와 작성 방법에 대해 알아보도록 하겠습니다.
대표 김도연
