베트남 개인정보보호법 시행령 365/2025 /2편
영향평가 (DPIA) 보고서란?
안녕하세요! 베트남 I T 비즈니스를 누구나 이해하기 쉽게 설명해 드리는 테크밸리 테크블로그입니다.
오늘은 2026년 1월 1일부터 시행되는 ‘Nghị định 356/2025/NĐ-CP(이하 시행령 356호 )’의 핵심 중의 핵심, 바로 ‘'개인정보 처리 영향 평가 보고서(DPIA)'” (이하 영향평가 보고서)에 대해 깊이 파헤쳐 보려고 합니다.
많은 기업 담당자분들이 ‘개인정보 처리 영향 평가(DPIA)’ 는 "도대체 무엇을 평가해야 하는가?", "서류는 언제 제출해야 하는가?"에 대해 혼란스러워하시는데요. 이번 시행령 356/2025/ND-CP는 기존 규정 시행령 13/2023/ND-CP보다 훨씬 구체적인 서식과 절차를 요구하고 있습니다.
금일은 베트남의 새로운 개인정보 보호 시행령(Nghị định 356/2025/NĐ-CP)에 따른 ‘개인정보 처리 영향 평가(DPIA: Data Processing Impact Assessment)’에 대해, 기업 실무자와 법무 담당자들이 이해하기와 과태료 폭탄을 피하고 안전한 비즈니스를 위한 팁을 살펴보겠습니다.
첫째, 개인정보 영향평가서란 무엇이며, 누가 해야 하나요?
영향평가서 ‘DPIA (Data Processing Impact Assessment)’는 쉽게 말해, 우리 회사가 고객이나 임직원의 개인정보를 수집하고 처리하는 과정에서 발생할 수 있는 '위험'을 미리 분석하고, 이를 어떻게 방어할지 계획을 세우는 일련의 과정을 말합니다.
356호 시행령 제19조에 따르면, 다음의 주체들은 반드시 DPIA를 수행하고 관련 서류를 작성해야 합니다.
■ 개인정보 통제자 (Data Controller): 데이터 처리의 목적과 수단을 결정하는 기업
■ 개인정보 처리자 (Data Processor): 통제자의 위탁을 받아 데이터를 처리하는 기업.
개인정보담당자의 역할 (출처 : 테크밸리)통제자 (Data Controller)는 데이터 처리의 목적과 방법을 결정하는 주체, 데이터를 소유하는 회사를 의미하고. '처리자' (Data Processor)는 그 회사의 위탁을 받아서 데이터를 처리하는 클라우드 서비스나 마케팅 대행사 등입니다.
질문 1
소상인공, 영업 활동을 하지 않는 연락 사무소 등도 시행령 356을 따라야 하나요?
[테크밸리 답변]
"예를 들어, 베트남에 직원이 한두 명 있는 아주 작은 연락사무소도 이 모든 절차를 따라야 하는 건지 물으시는 분들이 종종 있습니다. 시행령 356에 따르면 베트남에서 영업 활동을 하는 국내, 해외 법인, 직원은 고용하나 영업활동은 하지 않는 연락 사무소 (Representative office) 등도 이 영향평가 의무 대상에 포함됩니다."
둘째, 기존 시행령 13 (2023)과 시행령 365 (2025)의 차이점은?
Decree 356/2025/NĐ-CP(이하 356호 시행령)는 기존의 Decree 13/2023/ND-CP(이하 13호 시행령)을 기반으로 하였습니다. 다만, 시행령 13이 원론적인 수준이었다면, 시행령 356은 상세한 서식, 절차, 증빙 자료까지 요구하면서 많은 기업의 실무자들이 어떻게 접근해야 하는지 등을 구체적으로 설명하고 있습니다.
베트남 개인정보보호법 시행령 변경 내역 (출처 : 테크밸리)예를 들어 기존과 달리 단순 신청서가 아닌, 데이터 흐름도와 리스크 분석이 포함된 ‘영향 평가 보고서 (서식 10호)’, ‘책임이 명시된 계약서’, ‘내부 보안 규정’ 등 필수 서류 3종을 모두 구비해야만 적법한 영향 평가서로 인정받습니다.
또한 356호 시행령은 베트남의 개인정보 보호 법제를 한국이나 유럽의 GDPR 수준으로 강화하는 의도로 해석됩니다. 특히 민감 정보 처리 시 더 높은 수준의 보안 조치를 요구하는 등 규제 준수의 강도가 높아졌습니다.
다만, 이 시행령 365는 구체적인 벌금 액수를 직접 명시하기보다는, 행정 처분이 적용되는 구체적인 상황과 영업 정지(라이선스 회수), 데이터 이전 중단 등의 조치를 규정하는 데 중점을 두고 있습니다.
셋째, 영향평가 서류는 무엇을 준비해야 할까요?
시행령 356은 단순히 영향평가서 신청서 한 장 쓰는 것이 아닙니다. 시행령 제19조 2항은 영향평가 서류 가 하나의 '패키지'로 구성되어야 함을 명시하고 있습니다.
필수 포함 서류는 아래와 같이 3가지입니다.
1) 영향 평가 보고서 (부록 #10 - Mẫu số 10)
가장 중요한 핵심 문서입니다. 많은 분들이 가장 어려워하는 부분이 바로 영향 평가 보고서에 무슨 내용을 채워야 하는가'‘입니다. 이는 시행령 부록에 명시된 부분을 참고하시면 됩니다.
영향 평가 보고서 부록 #10 (출처 : 시행령 356 원본)2) 계약서 사본
데이터 처리와 관련하여 조직 간, 혹은 개인 간의 책임과 의무를 규정한 계약서 또는 합의서입니다. 흔히 3rd party 계약서는 '우리와 함께 일하는 외부 파트너사 (클라우드 회사, 마케팅 에이전시)들도 이 규칙을 따르기로 약속했습니다'라는 외부 통제의 증거가 됩니다.
여기서 중요한 것은 계약서에 '책임'을 명시하셔야 합니다. 3rd party 제공사와 단순한 서비스 용약계약서로는 부족합니다. 위탁사 (Data Processor)와의 계약에 데이터 보호 의무, 사고 시 책임 소재, 기술적 보호 조치 이행 여부 등이 명시되어야 영향평가 서류로 인정받을 수 있습니다.
3) 내부 정책 및 규정
개인정보 보호와 관련된 회사의 내부 규칙, 절차, 표준 등을 담은 문서입니다.
영향평가 보고서 서식 및 제출 부록 (출처 : 테크밸리)영향평가 보고서가 ‘우리는 위험을 이렇게 분석하고 대비 계획을 세웠습니다'라는 일종의 선언이라면, 계약서 사본과 내부 규정은 그 계획을 실행하기 위해 '우리 회사 안에서는 이런 규칙으로 움직입니다'라는 내부 시스템의 증거가 됩니다.
베트남 공안부는 종종 내부 규정집 및 개인정보 처리에 대한 업체와의 계약서 등을 요구하기도 합니다. 하여 이 서류들은 언제든 베트남 공안(A05)이 검사를 나왔을 때 담당자가 자리를 비웠을 때 다른 직원이라도 즉시 컴퓨터에서 파일을 찾아 검사관에게 보여주고 그리고 수시로 업데이트를 해야 합니다.
넷째, 베트남 공안부가 보는 영향 평가 보고서 주요 핵심 사항
앞서 말씀드린 바와 같이 많은 분들이 가장 어려워하는 부분이 바로 영향 평가 보고서에 무슨 내용을 채워야 하는가'‘입니다. 시행령 부록에 있는 ‘서식 10호(Mẫu số 10)’를 좀 더 깊이 들어가 보겠습니다. 보고서 앞부분에 뭐 회사 정보나 DPO(개인정보 보호 담당자) 연락처 적는 건 간단한데, 처음 작성 시에 좀 어려울 수 있는 부분이 바로 데이터 흐름도(Sơđồ luồng xửlý)를 시각화하는 것이 만만치 않습니다.
1) 데이터 흐름도 (Data Flow)
이 데이터 흐름도는 고객이 우리 회사 앱에 가입하는 순간부터 그 사람의 이름, 이메일, 접속 기록 같은 데이터가 어떤 경로로 우리 서버에 저장되고, 그중 일부가 마케팅 자동화 툴이나 결제 대행사로 전송되고, 최종적으로 회원 탈퇴 시 어떤 절차를 거쳐 삭제되는지 그 데이터의 전체 생애 주기를 한눈에 볼 수 있는 흐름도입니다.
데이터 흐름도 예시 (출처 : 테크밸리 베트남)질문 2
우리 회사는 해외 클라우드를 사용하는데 클라우드 관련 내용도 영향 평가 보고서를 작성해야 하나요?
[테크밸리 답변]
만일 우리 회사가 고객 빅데이터 분석을 위해 싱가포르에 서버를 두고 있는 AWS 클라우드를 쓴다고 가정하면 클라우드 서비스와 외부 솔루션, 그리고 국경을 넘나드는 데이터가 어디에 저장되고 어떠한 흐름으로 전송되는지를 모두 명시해야 합니다. 그 데이터 흐름 위에는 어떤 데이터인지 예를 들어 이름이나 주소 같은 일반 정보와 생체 정보, 금융 정보, GPS 위치 같은 민감 정보를 체크하는 항목이 명확히 구분되어 있습니다.
2) 민감 정보 처리
고객 이름만 처리하는 소규모 회사랑 고객의 금융 정보를 처리하는 회사가 있다면 실질적으로 많은 차이가 있습니다. 이에 금융 데이터를 처리하는 기업에게는 보안 조치 수준과 법적 의무도 당연히 강화됩니다. 또한 금융 계좌 및 거래 정보 등의 민감 정보를 처리하는 금융 기관 (은행, 증권사, 보험, 파이낸스, 대출 기관 등) 경우 베트남 보안국은 훨씬 더 높은 수준의 암호화 기술을 적용하고 접근 권한 최소화를 요구합니다.
3) 입체적 영향 평가
시행령 356의 제10조에는 데이터의 단순 파악 등을 넘어 향후 리스크 분석을 요구합니다.
이는 우리 회사의 데이터 처리가 고객의 권리나 정보 열람권 같은 권리를 침해하진 않는지, 또 만약 데이터가 유출되었을 때 고객이 겪게 될 금전적, 정신적 피해는 무엇이며 이를 막기 위한 우리의 보호 조치는 충분한지 등을 기술해야 합니다.
그리고 해킹이나 랜섬웨어 같은 외부 공격, 혹은 내부 직원의 실수로 인한 데이터 유출 가능성 같은 기술적인 위험성을 평가하고 방화벽이나 암호화 같은 기술적 대응 등의 IT 보안 등 시스템 보안에 미칠 수 있는 영향과 기술적 대안을 명시해야 합니다.
예를 들어 시스템의 가용성(서버 다운 등), 무결성(데이터 위변조해킹, 무단 접속, 데이터 손실 등의 기술적 위험 요소 등입니다.
이는 테크밸리에서 제안 중인 베트남 사이버 보안 컨설팅과 아래 보안 솔루션 등을 참고하시면 됩니다
사이버보안에 대비하기 위한 베트남 정부의 권고안과 솔루션 (출처 : 테크밸리)
다섯째. 제출 및 심사 절차
자 그럼 DPIA 보고서를 작성했다면, 이제 제출해야 합니다.
각 회사들은 베트남 개인정보 처리를 시작한 날로부터 60일 이내에 이 모든 서류 패키지의 원본을 공안부 산하 사이버안보 및 하이테크 범죄예방국에 제출해야 합니다.
영향평가보고서 제출 및 심사 과정 (출처 : 테크밸리)접수 방법은 온라인 포털, 직접 방문, 우편 등 다양한 방법이 있고요. 제출하면 당국이 15일 영업일 이내에 서류를 검토하고 결과를 통보해 줍니다. (단, 베트남에서 항상 그렇듯이 실제 처리일은 시행령에 명시된 15일 이내와 많은 차이점이 있을 수 있습니다.)
만약 제출 서류가 미비하거나 규정에 맞지 않다면 베트남 보안당국은 보완을 요청할 수 있습니다. 이때 기업은 30일 이내에 서류를 완벽하게 수정하여 다시 제출해야 합니다.
마지막으로 끝날 때까지 끝난 게 아니다: 업데이트 의무
영향평가 보고서는 한 번 제출하고 끝나는 서류가 아닙니다. 356호 시행령 제20조는 엄격한 업데이트 할 것을 요구합니다. 최초 제출 후에 6개월마다 데이터 처리 목적이 추가되거나 데이터 처리 관련 당사자 (파트너사, 클라우드 업체 등) 등이 바뀌는 경우 반드시 업데이트를 제출해야 합니다.
영향평가보고서 주기적, 즉시 업데이트 사항 (출처 : 테크밸리)예를 들어 우리 마케팅 팀이 기존에 쓰던 고객 분석 툴을 버리고 새로운 툴을 도입하기로 결정했다면 , 혹은 클라우드 공급회사를 바꾸는 순간 영향평가 보고서 업데이트를 6개월마다 하셔야 합니다.
그 외 합병, 분할, 해산, 파산, 비즈니스 업종 변경 시에는 10일 내에 즉시 업데이트를 해야 합니다.
베트남 개인정보 보호 1,2편을 마무리하며
베트남의 개인정보 보호 법제는 이제 한국이나 유럽(GDPR) 수준으로 강화되고 있습니다. Nghị định 356/2025/NĐ-CP는 그 의지를 보여주는 강력한 도구입니다.
영향평가 보고서는 단순한 규제 준수를 넘어, 우리 회사가 고객의 데이터를 얼마나 소중하게 다루는지 보여주는 척도입니다. 2026년 시행을 앞두고, 지금부터 미리 데이터 흐름을 파악하고 내부 규정을 정비하여 꼼꼼한 영향평가 보고서를 준비하시기 바랍니다.
준비된 기업에게 규제는 기업의 리스크로 생각하실 수 있는데, 사업을 안전하게 할 수 있는 보호의 울타리와 같아서 기업이 미리 숙지하는 전화위복의 기회로 삼으시면서 이 기회에 귀사의 보안 내규와 보안 솔루션 점검도 해 보시면 어떠실까요?
** 본 블로그 포스트는 Nghị định 356/2025/NĐ-CP(2025년 12월 31일 발행)를 바탕으로 작성되었습니다. 구체적인 법률 자문이나 보안 시스템 구축이 필요하시면 테크밸리 베트남에 문의하실 수 있습니다.
