개인정보 보호는 데이터와 관련된 기본적인 인권과 자유를 보호하는 것입니다.

2023년 4월 17일, 정부는 개인정보 보호에 관한 법령 제13/2023/ND-CP호(령)를 발표하여 2023년 7월 1일부터 시행함으로써 개인정보 권리 보호 요건을 충족했습니다. 개인 및 조직의 권리와 이익을 침해하는 개인정보 침해 행위를 방지합니다.

하이라이트

이 법령은 개인정보 보호와 관련 기관, 조직 및 개인의 개인정보 보호 책임을 규정하는 법적 문서입니다.

첫째, 개인정보 보호는 데이터와 관련된 기본적인 인권과 자유를 보호하는 것입니다. 개인정보보호법 시행령은 각 개인의 권리와 자유가 침해되는 것을 방지하는 것을 목적으로 합니다.

동시에 개인 데이터의 보안은 특히 중요합니다. 데이터가 도난당하면 경제적, 사회적 손실과 협박, 사기, 재산 탈취, 명예 훼손, 명예, 존엄성 침해, 성적 학대 등의 위험이 발생하여 물질적, 정신적 결과를 초래하고 기관, 조직, 기업 및 개인의 권리와 합법적 이익에 직접적인 영향을 미칩니다.

둘째, 개인정보주체의 권리를 증진하고 존중한다. 개인정보 주체의 권리에는 접근권, 개인정보 처리에 대한 동의 또는 반대권, 정보를 받을 권리, 데이터 삭제를 요청할 권리가 포함됩니다.

나아가, 개인정보주체는 다른 주체의 개인정보 침해로부터 자신을 보호할 권리도 갖습니다. 주체는 개인정보보호법의 규정 위반으로 개인정보보호권이 침해된 경우 손해배상을 청구할 권리가 있습니다. 또한 이 법령은 정보주체의 동의 없이 개인정보를 수집, 이전, 매매하는 행위가 법률 위반임을 명확히 규정하고 있습니다.

그러나 개인정보주체의 개인정보 보호권은 절대적인 권리는 아니며, 개인 또는 타인의 생명과 건강을 보호하기 위한 긴급한 경우에는 제한될 수 있습니다. 국가 방위, 국가 안보, 사회 질서 및 안전에 관한 비상사태; 정해진 계약상의 의무를 이행하거나, 전문법에 규정된 국가기관 업무를 수행합니다.

예외 규정은 개인 및 조직의 권리를 보장하는 원칙을 구현하는 것을 목표로 하지만, 그러한 권리를 행사하기 위해 다른 개인, 조직 또는 국가 이익을 침해해서는 안 됩니다.

셋째, 개인정보 보호에 대한 국제적 통합을 촉진합니다. 이 법령은 개인정보 보호에 관한 국제 관행 및 규정과 호환됩니다. 많은 선진국에서는 개인정보 보호 문제를 합법화했는데, 베트남에서는 이를 연구하고 참고하고 있습니다.

또한, 베트남이 회원이거나 우리나라와 협력하고 있는 국제기구에서는 개인정보보호 및 개인정보와 데이터 보호에 관한 협약, 권고안, 표준을 발표하였습니다. 여기에는 경제협력개발기구(OECD)의 개인정보 보호 원칙, 정보 및 개인 데이터의 자동 처리와 관련한 개인 보호에 관한 유럽 평의회 협약, 컴퓨터화된 개인 데이터 및 정보 파일에 대한 UN 지침, 아시아태평양 경제협력체(APEC) 개인정보 보호 프레임워크, 개인정보 보호 및 정보 및 개인 데이터 보호에 관한 국제 표준(마드리드 결의안), EU 일반 데이터 보호 규정(GDPR) 등이 포함됩니다.

또한, 우리나라와 다른 국가 및 영토 간의 협력을 촉진하는 과정에서 80개국 이상이 개인정보 보호에 관한 법률 문서를 발행하였으며, 이 중 많은 문서가 베트남 조직과 개인에게 적용되는 규정을 포함하고 있습니다. 따라서 개인정보 보호에 대한 구체적이고 세부적인 규정은 베트남에서 외국인 개인과 조직을 포함하여 평등하고 법을 준수하는 환경을 조성하는 것을 목표로 합니다.

도전 과제

현재에도 이 법령을 시행하는 데에는 상당한 어려움이 있습니다.

첫째, 기업의 노무관리의 과제이다. 요즘 많은 기업들이 모회사와 자회사가 동일한 경영 생태계를 공유하는 모델을 구축하고 있으며, 직원 정보는 공통 시스템에서 쉽게 접근할 수 있습니다.

그러나 베트남 법에 따르면 각 회사(모회사 및 자회사 포함)는 별개의 독립된 법적 개체로 간주되므로 동일한 생태계에 있는 회사가 기업의 내부 관리 프로세스를 위해 직원의 개인 데이터를 전송하는 것도 기업의 개인 데이터 보호 책임 위반으로 간주될 수 있습니다.

반면, 현재 많은 기업들이 해당 법령을 이행하는 데 어려움을 겪고 있으며, 해당 법령에 따라 임직원 개인정보를 관리하고 보호하기 위한 메커니즘과 규정을 아직 ​​완성하지 못하고 있습니다.

둘째, 신용기관의 운영에 관한 법적 규제와 일치하지 않습니다. 현재 신용기관의 운영은 다음과 같은 전문적인 법률 규정에 의해 규제됩니다. 신용기관법 2010(2014년 개정 및 보완); 자금세탁방지법 신용 기관 및 외국 은행 지점의 고객 정보 기밀 유지 및 제공에 관한 법령 117/2018/ND-CP; 법률 하위 수준의 은행 활동에서 정보 시스템 보안을 규제하는 국립은행의 순환 09/2020/TT-NHNN.

반면, 은행 업무의 경우 데이터 처리는 개인 데이터에 영향을 미칩니다. 개인 데이터의 수집, 기록, 분석, 확인, 저장, 편집, 공개, 결합, 접근, 검색, 회수, 암호화, 복호화, 복사, 공유, 전송, 제공, 이전, 삭제, 파기 또는 이와 관련된 기타 행위는 고객에게 서비스를 제공하고 은행 업무의 위험을 관리하며 통화 시스템의 안전과 보안을 보장하는 데 필수적입니다. 따라서 개인 고객 데이터를 처리하는 많은 활동은 고객의 동의를 필요로 하지 않으며, 그럴 수도 없습니다. 또한 법령 제3조 제2항 및 제9조 제1항은 다른 법률에서 달리 규정하는 경우를 제외하고 주체가 자신의 개인 데이터 처리에 대해 알 권리가 있다고 규정하고 있습니다.

또는 제9조 제2항에서는 정보주체가 자신의 개인정보 처리에 동의하지 않을 권리가 있다고 규정하고 있습니다. 주체는 다른 법률이 제9조에 달리 규정한 경우를 제외하고 데이터 삭제, 접근, 데이터 처리 제한 요청 및 데이터 처리에 대한 이의 제기 권리를 갖습니다. 따라서 이 법령을 엄격하게 적용하고 통일된 지침 없이 적용하는 것은 혼란스럽고 부적절할 것입니다.

또한, 신용기관의 서비스 및 상품 제공은 하나의 상품에 대해 여러 프로세스를 거쳐 이루어지고, 각 상품에 대한 프로세스는 여러 단계를 포함하고 있으며, 매우 큰 고객 파일에 대한 데이터의 수집, 평가, 분석 및 제공과 관련되어 있습니다. 반면, 법령은 개인정보를 통제하고 처리하는 당사자가 데이터 처리 활동을 수행할 때 모든 처리 절차에서 데이터 주체(고객)의 동의를 받아야 한다고 규정하고 있습니다(제11조). 그리고 데이터 처리 활동을 수행하기 전에 개인정보 주체에게 통지해야 합니다(제13조). 이는 신용기관의 운영에 또 다른 장애물로 작용하고 있습니다.

또한, 신용기관은 신용기관의 운영과 관련된 정보기술시스템 및 기타 하위법령문서를 조정해야 합니다. 법령을 준수하기 위해 계약 및 합의 문서를 수정해야 하며, 이로 인해 은행 업무에 적지 않은 어려움이 발생합니다.

셋째, 일부 국민은 개인정보 보호에 대한 인식과 이해가 부족해 소셜 네트워크 플랫폼에서 개인정보를 쉽게 공유하고, 의도치 않게 악의적인 사람들이 이를 악용해 나쁜 목적을 달성하는 경우가 있습니다.

일부 사람들은 개인정보보호가 개인의 사생활을 보장하는 것이라는 가치를 명확히 인식하지 못하고, 개인정보 제공을 두려워하여, 당국이 개인정보보호에 대한 국가관리를 실시하고 개인정보보호법 위반에 대한 조사 및 처리에 어려움을 겪고 있습니다.

또한 개인정보의 매매 상황, 정보 유출의 위험은 사회경제적 문제에 영향을 미쳐 큰 파장을 불러일으킵니다. 전화나 문자 메시지를 통한 사기와 스팸 광고는 여전히 복잡하며 사람들의 삶에 영향을 미칩니다.

개인 데이터 보안은 특히 중요합니다. 데이터가 도난당하면 경제적, 사회적 손실이 발생할 수 있으며, 기관, 조직, 기업 및 개인의 권리와 합법적 이익에 직접적인 영향을 미칠 수 있기 때문입니다. (출처: Shutterstock)

법령을 실천하다

베트남은 7,000만 명이 넘는 사용자를 보유하고 있으며, 세계에서 가장 인터넷 개발 및 애플리케이션 속도가 빠른 국가 중 하나입니다. 우리나라 인구의 3분의 2 이상의 개인 데이터는 다양한 형태와 세부 수준으로 디지털 환경과 사이버 공간에 저장, 게시, 공유 및 수집되어 왔습니다.

이 법령은 디지털 전환에서 인권을 보장하고, 개인 데이터를 보장, 보호 및 보안하는 관행의 단점과 부족함을 극복하고, 베트남 내 개인 데이터 처리 활동에 직접적으로 관여하거나 관련된 국내외 기관, 조직 및 개인의 책임을 강화하는 데 있어 획기적인 조치입니다.

이 법령이 실제로 효과를 발휘하려면 다음 문제에 초점을 맞출 필요가 있습니다.

하나는 근로자의 권리를 보호하는 데 있어 기업의 책임을 강화하는 것입니다 . 기업은 인력을 고용할 때 직원 정보를 수집하고 저장해야 합니다. 노무관리의 목적을 달성하기 위해 고용주와 기업은 직원들로부터 많은 개인정보를 수집하고 관리하지만, 정보의 관리 및 처리에 부주의할 경우 예측할 수 없는 결과를 초래하게 됩니다.

기업은 해당 법령의 영향을 주의 깊게 연구하고 종합적으로 평가해야 하며, 새로운 규정에 따라 개인 데이터를 처리하기 위한 절차와 지침을 즉시 검토하고 업데이트해야 합니다. 법령의 규정에 따라 메커니즘을 수립하고 거버넌스 규정을 구축하는 것을 고려합니다. 운영 전반에 걸쳐 해당 메커니즘과 규정을 유지하고 준수합니다.

둘째, 신용기관의 신용활동에 대한 어려움을 해소한다 . 국가은행은 신용 부문의 개인정보 보호에 대한 통일된 지침을 제공하기 위해 공안부를 비롯한 관련 부처와 긴밀히 협력해야 하며, 이를 통해 신용 기관의 고객 데이터 보호에 대한 운영적 책임을 촉진하고 전문적인 요구 사항과 업무를 충족해야 합니다.

셋째, 이 법령이 실제로 시행되기 위해서는 법률의 대중화를 위한 선전과 교육을 잘 해야 합니다. 특히, 시민권과 인권을 존중하고 보호하는 것을 최고의 목적으로 하는 법령을 발표할 필요성을 강조할 필요가 있습니다. 그리고 무엇보다도 개인정보주체 본인이 개인정보보호에 대한 인식과 책임을 철저히 이해하고 높여야 합니다.