개인정보법 PDPD 시행령 13이란?
많은 분들이 베트남의 개인 정보 관리는 아직 한국의 초기단계나 제대로 시행되고 있지 않다고 생각합니다.
베트남에서 우리가 가입하는 나의 개인정보는 은행, 금융기관, 통신사, 항공사, 부동산, 온/오프라인 샵, SNS, 로얄티 프로그램, 마케팅 에이젼시 등에서 본인의 동의 없이 마케팅이나 판매에 사용 (혹은 도용)되고 우리가 모르는 사이에 사회 전반에 급속도로 퍼지고, 공유되고 있는게 사실입니다.
이는 마케팅이나 세일즈의 이메일, 휴대폰 문자메시지, 콜드 콜 (Cold Call)의 수단으로 사용되기도 하고 심지어는 베트남에도 SMS 피싱, 보이스 피싱으로 번질 수 있다는 우려의 목소리가 있습니다.
베트남 정부는 개인 정보 데이터 보호 (PDPD: Personal Data Protection Decree)에 관련된 시행령 Decree No. 13/2023/ND를 2023년 4월 17일 발표하였고 2023년 7월 1일부터 바로 시행을 하였습니다. (보통 베트남에서는 Decree 13 이라고 부릅니다.)
참고로 싱가포르는 개인 데이터 보호법 2012년, EU는 일반 데이터 보호 규정 (GDPR)을 2016년, 영국은 데이터 보호법을 2018년부터 공포하여 시행하고 있습니다.
시행령 13은 베트남에서 개인 데이터 보호를 위한 최초의 포괄적인 법적 체계를 제시하고 있고 데이타가 베트남 또는 해외에 있는지 관계없이 국내 또는 해외에서 처리되는 정보를 처리하는 모든 주체가 본 시행령 13을 준수해야 합니다.
시행령 13은 베트남 사이버보안법과 마찬가지로 공안부 MOPS (Ministry of Public Security) 산하의 Cyber Security 부서와 High Tech Crime Prevention 부서 (A05 부서)에서 관리, 감독합니다.
개인정보는 개인과 관련되거나 개인을 식별하는 데 사용되는 기호, 문자, 숫자, 이미지, 소리 또는 이에 상응하는 형태의 전자 정보입니다. 개인정보는 "기본 개인정보"(예: 이름, 생년월일, 국적, ID 번호)와 "민감한 개인정보"(예: 종교적 견해, 성적 취향, 의료 기록, 위치 정보)로 구분됩니다.
시행령 13에 따르면 개인정보는 크게 일반적인 개인 정보 (General Personal Data)와 민감 정보 (Sensitive Data)로 나누어 지게 됩니다.
PDPD는 온라인과 오프라인을 통틀어 베트남에서 또는 베트남과 관련된 개인 데이터를 수집 및/또는 처리하는 국내 및 해외 법인 모두로 확장됩니다.
우리 IT입장에서 주요 BFIS (Bank, Finance, Insurance, Securities), 핀테크, 결제 대행사 (PG, 전자지갑, 모바일, POS..), e-commerce, SNS 마케팅, 스타트업, 메디컬 서비스 등의 서비스 제공자 뿐만 아니라 클라우드 제공 업체 (아마존, 구글, 마이크로소프트 및 베트남 국내 클라우드사), 클라우드이용 회사까지 적용 대상이 됩니다.
시행령 13에 따르면 규제 대상은 아래와 같이 2개의 분류로 나누어 집니다.
Data Controller 와 Data Processor 입니다.
1) 회사내 정보보안팀 구성
시행령의 38조와 39조에 따르면 개인정보를 다루는 기업의 경우 데이터 보호 책임자 (Data Protection Officer)와 개인정보보호 부서 (Data Protection Department)를 내부 조직으로 만든 후에 A05 (MOPS의 High Tech Crime Prevention)에 통보해야 합니다.
2) 관련 서류 준비
시행령 13조 38조에 따르면 개인정보처리와 데이터 해외 전송을 위해서는 아래와 같은 2개의 문서를 공안부MOPS에 제출해야 합니다.
관련 문서에는 일반정보, 민간정보 모두 기재를 해야 합니다.
일부 베트남 현지 로펌에서의 해석은 시행령 13이 발효된 2023년 7월 1일부터 오프라인으로 무조건 제출해야 한다고 하지만, 기업이 개인정보를 수집, 가공, 활용한 시점부터 60일 이내에 제출해야 합니다.
현재까지 제출한 기업은 많지 않습니다. 향후 문서에 대한 제출 등은 오프라인이 아닌 MOPS에서 준비중인 공안부 (MOPS) 인터넷 포탈 사이트를 통해 서류를 신청 받고 통보할 예정입니다.
베트남 공안부 MOPS가 요청 사항이 있을 경우 Data Controller나 Data Processor 모두 72시간에 응대를 해야 합니다. 주로 데이터에 접근, 제어, 데이터 삭제, 데이터 처리를 제한 등입니다.
또한 개입정보 침해, 사고 발생후는 72시간 이내 A05부서에 보고를 해야 합니다.
시행령 13에는 위반시 벌금에 대한 언급은 아직 없습니다.
위반시 벌금 관련하여 현재 사이버보안법과 개인정보보호법을 연계한 행정벌 관련 시행령 초안이 준비되는 것으로 예상됩니다.
다만 로컬 로펌을 통해 들은 사항은 위반시 기업의 연 이익 (Profit)의 일정 %로 벌금으로 매길 것으로 예상됩니다. (같은 MOPS에서 시행한 점에서 동일한 %이지 않을까 싶습니다)
만일 기업의 규모가 크고 매출과 이익이 큰 기업일수록 벌금에 대한 부담이 크므로 개인정보보호법에 대한 준비를 철저히 해야할 것입니다. 그리고 베트남 정부는 이런 큰 기업을 대상으로 시범 케이스 단속을 하지 않을까 싶습니다.
베트남에서 많은 분들이 베트남 내에서 사이버보안 시행령 (Decree 53/2022), 개인정보보호 시행령 (Decree 13/2023), 중앙은행시행규칙 (Circular 09/2020)이 클라우드 사용에 어떤 영향을 미치는지, 클라우드사는 사전에 어떻게 대응하는지를 여쭤보셨습니다.
다음 2편에서는 IT기업 Cloud 사용기업에서 대응 방안을 다루도록 하겠습니다.
Vietnam & IT 블로거
■ 기술 문의 : patrick@techvalley.biz | ■ go2hanoi (카카오톡) @patrickdykim (Telegram)
** 본 글은 관련 전문 변호사의 자문의 받아 작성하였으며 본인이 변호사가 아닌 관계로 법적 문건의 분석과 해석에는 주관적 견해가 들어갈 수 있음을 미리 말씀드립니다. 궁금하신 점은 저의 연락처로 연락 바랍니다.