국가정보_베트남

  •  미국
  •  일본
  •  중국
  •  영국
  •  독일
  •  호주
  •  캐나다
  •  싱가포르

법률체계

1개요

베트남 법률 체계는 매우 복잡한 구조를 가지고 있는 것으로 평가된다. 실제 베트남은 전 세계에서 가장 복잡한 법률 체계를 보유한 국가 가운데 하나로 꼽히는데 이는 매우 다양한 법령 문서 체계와 이를 제정할 권한이 있는 여러 당국이 존재하기 때문이다. 또한 베트남 법률 체계는 매우 빠르게 변화하고 있고 법률과 관련한 제반 환경의 개선도 신속히 진행되고 있는 것으로 확인된다. 법률 문서의 발행에 관한 법(Law on the issuance of legal texts) 개정 법률안이 시행된 2003년 이후에는 the Official Gazette에 공식 게재되어야 법률이 공식적으로 효과를 가지게 되었다. 이러한 조치는 과거에 법안 서명 절차 후 15일이 경과한 시점에서 즉시 발효되던 것과 비교하여 크게 발전한 것이다. 또한 과거에는 법령의 내용이 공개되지 않는 것이 원칙이었으나, 현재는 법령 제정의 단계마다 필요한 정보가 공개되고 있는 점도 발전의 양상으로 꼽을 수 있다.

베트남 법률 체계는 법률적 규범 문서의 공표에 관한 법률(Law on Promulgation of Legal Normative Documents, 80/2015/QH13) 제4조(법률적 규범 문서의 체계)에서 그 내용을 상세히 확인할 수 있다. 해당 조항은 헌법을 가장 최상위 규범으로 하고 총 15개에 달하는 법령의 유형 및 위계(hierarchy)를 규정하고 있다.

[표 1] 베트남 법률 체계

베트남 법률 체계
제정 주체 법령
의회(National Assembly) Constitution, Law, Resolution
의회 위원회(Standing Committee of the National Assembly) Ordinance, Resolution, Joint Resolution
대통령(President) Order, Decision
정부(Government) Decree
국무 총리(Prime Minister) Decision
대법원 사법평의회(Justice Council of the Supreme People’s Court) Resolution
장관 등(Ministers and head of ministry-level bodies, Chief justice of the Supreme People’s Court, Head of the Supreme People’s Prosecutor) Circular, Joint Circular
General State Auditor Decision
인민 평의회(People’s Council) Resolution
인민 위원회(People’s Committee)) Decision

베트남에는 개인정보보호법이 존재하지 않고, 사이버정보보안법(LOCIS, Law on Network Cyberinformation Security, 86/2015/QH13), 사이버보안법(LOCS, Law on Cybersecurity, 24/2018/QH14)에 개인정보보호 관련 항목을 규정하고 있다. 사이버정보보안법은 2015년 11월 19일 베트남 의회를 통과하여, 2016년 7월에 발효되었다. 그러나 해당 법률을 개인정보 보호를 규율하는 일반법으로 평가하기엔 그 적용 범위나 구성에 있어 한계가 있다. 법의 목적, 적용 범위 및 구성 체계 등에 있어 개인정보 보호에 관한 보편적 법률이 갖추어야 할 요건을 제대로 갖추고 있지 않기 때문이다. 한편 베트남은 개인정보 및 사이버 보안에 있어 추가적인 법률로 사이버보안법을 2018년 6월 12일 제정하였다. 이 법도 개인정보에 관한 일부 조항을 포함하고 있기는 하나, 법의 목적 및 개인정보 관련 조항의 성격 등에 비추어 개인정보 보호를 전담하는 법이라고 보기는 어렵다. 이 법률은 2019년 1월에 발효되었다.

2주요 법률

가. 사이버정보보안법(LOCIS, Law on Cyberinformation Security, 86/2015/QH13)

LOCIS는 8장 54조로 이루어져 있다. 이 법은 네트워크 정보 보호 활동, 네트워크 정보 보호를 보장하기 위한 기관 및 개인의 권리와 의무, 암호 기술, 네트워크 정보 보호를 위한 기술 표준, 정보 보호 산업, 네트워크 정보 보호를 위한 인적 자원 개발, 네트워크 정보 보호의 관리를 규정하고 있다. 또한 제2조(적용 대상)에서 “이 법은 베트남 정부 부처, 기관, 개인, 그리고 베트남에서의 네트워크 정보 보호 활동과 관련되어 있거나 이에 관여하는 개인 및 외국 기관에 적용된다.”라고 하여 베트남에서의 네트워크 정보 보호 활동과 연관성 있는 개인 또는 해외 기업, 기관 등에도 역외 적용됨을 명시하고 있다.

한편 전자기적(electronic) 정보와 수기(manual) 정보 모두가 LOCIS의 보호 대상에 해당하는지는 명확하게 규정되어 있지 않다. 그러나 다른 베트남 법에서도 전자기적으로 기록되는 정보와 수기로 기록되는 정보를 별도로 구분하고 있지 않기 때문에 정보의 기록 형태와 무관하게 LOCIS의 적용 범위 및 대상에 해당하는 경우 관련 규정의 적용을 받는 것으로 이해할 수 있다.

LOCIS 제16조(네트워크에서의 개인정보 보호 원칙)는 네트워크에서의 개인정보 보호 원칙을 5가지로 제시하고 있다.

  • 네트워크 서비스를 이용하는 개인은 자신의 개인정보를 보호하고 개인정보 제공에 관한 법규를 준수해야 함
  • 개인정보를 처리하는 기관 및 개인은 그들이 처리하는 개인정보에 대한 네트워크 정보 보호를 보장해야 함
  • 개인정보를 처리하는 기관 및 개인은 개인정보 처리 및 보호에 적용되는 정책을 수립하고 공개하여야 함
  • 개인정보 보호는 이 법의 규정 및 관련 분야의 특정 규제에 따라야 함
  • 국방, 보안, 사회 질서 및 보안 목적 또는 비상업적 목적의 개인정보 처리는 관계법률의 규정을 준수해야 함

LOCIS는 개인정보(Personal Information) 및 개인정보 소유자(Personal Information Owner)에 대한 정의를 규정하고 있는데, 제3조(정의) 15항은 “개인정보는 특정 개인의 식별과 연관된 정보를 의미한다.”고 규정하고, 16항은 “개인정보 소유자는 해당 개인정보에 의해 식별되는 사람을 의미한다.”고 규정하여 서구의 “개인정보 및 정보주체”에 해당하는 유사 개념을 보유하고 있음을 확인할 수 있다. 그러나 LOCIS의 개인정보 및 개인정보 소유자의 정의가 베트남 전체 법체계에서 일관성 있게 적용되는 것으로 평가하기는 어려울 것으로 보인다. 예를 들어, 정부기관 웹사이트/포털에서의 개인정보 수집, 이용, 공유, 보안 및 보호에 관한 시행규칙(Circular on Collection, Use, Sharing, Security Assurance and Protection of Personal Information on Websites or Portals of State Agencies, 25/2010/TT-BTTT)은 제3조(용어의 해석)의 3항에서 “개인정보는 하나의 개인을 정확하게 식별하는데 충분한 정보를 의미하는데, 이는 다음 세부항목 가운데 최소 하나를 포함한다. 이름(full name), 생일, 직업, 호칭, 연락 가능한 주소, 이메일 주소, 전화번호, 신분카드 번호(identity card number), 여권 번호. 개인 사생활 정보(Information of Personal Privacy)는 건강 정보, 세금 납부 기록, 사회 보험카드 번호, 신용카드 번호 및 기타 개인 비밀(personal secrets)을 포함한다.”라고 하여, 보다 상세한 개인정보의 정의 및 예시를 제공하고 있다. 이와 같은 규범 체계에서 보듯, 개별 상황에 따라 특정 정보가 개인정보의 범위에 포함되는지 여부는 적용 법규를 살펴보아야 그 판단이 가능할 것으로 보인다.

이와 같은 LOCIS의 개인정보 정의는 법인 정보에는 일반적으로 적용되지 않는다. 그러나 임직원에 관한 정보 등 개인정보의 정의에 해당하는 경우라면 법인과 연관된 정보라도 개인정보에 해당한다.

LOCIS는 민감정보(sensitive information)의 개념을 별도로 설명하고 있지 않다. 이는 베트남에서의 사회문화적 관습과 법률 체계에서의 개인정보 개념을 간접적으로 반영하고 있는 것이다. <정부기관 웹사이트, 포털에서의 개인정보 수집, 이용, 공유, 보안 및 보호에 관한 시행규칙>는 개인정보 및 개인 프라이버시 정보의 정의를 제시하고 있는데, 건강, 납세, 보험 등에 관한 정보는 별도의 민감정보로 구분되지 아니하고 일반적인 개인정보에 포함되는 개념으로 확인된다.

개인정보를 처리하려는 기관이나 개인은 제17조(개인정보의 수집 및 이용)의 요구사항을 준수하여야 한다. 구체적으로, i) 개인정보 수집 및 이용의 경우 그 목적과 범위에 대해 정보 소유자의 동의를 얻은 후에야 개인정보를 수집할 수 있다. ii) 최초 수집한 목적 외로 개인정보를 이용하기 위해서는 개인정보 소유자의 동의를 얻은 후에만 가능하다. iii) 또한, 개인정보 주체의 동의 또는 관할권 있는 정부 기관의 요청에 의하지 않고서는 수집, 접근, 통제하고 있는 개인정보를 제3자에게 공유하거나 전파할 수 없다. 이와 같은 동의를 획득하는 경우의 요건은 적절히 규정되어 있으나, iv) 동의를 획득하는 방식에 대해서는 별도의 규정이 존재하지 않는다. 따라서 법이 요구하는 요건을 적절한 형식으로 구현하는 경우 특별히 문제를 야기하지 않는다. v) 아울러 민감정보에 대한 정의가 별도로 없기 때문에 민감정보에 해당하는 개인 사생활 정보나 개인 비밀 등의 정보를 처리하는 경우에도 동의 형식에 있어서는 일반 개인정보에 적용되는 형식과 차이가 없다.

제18조(개인정보의 업데이트, 변경 및 삭제)에 의하면 개인정보 소유자는 개인정보를 취급하는 기관이나 개인에게 자신에 관한 개인정보의 최신화, 변경, 삭제를 요구할 권리를 가지고 있다. 또한 제3자에 대한 개인정보 제공을 중단 요청할 수도 있다. 또한 개인정보 소유자는 이와 같은 권리의 존재 여부를 확인할 수 있고, 개인정보 처리에 관여하는 기관이나 개인이 유효한 요청을 준수하지 못하는 경우 그에 대한 사유 등을 제공받을 수 있는 권리도 가지고 있다.

제19조(네트워크에서의 개인정보 보호)는 개인정보를 처리하는 기구나 개인이 개인정보를 적절히 보호하기 위한 적절한 기술적, 관리적 조치를 적용할 것과 사건 등 위기가 발생하는 경우 차단 조치 등 침해의 회복을 위한 조치를 수행할 것에 대한 일반론적 의무를 규정하고 있을 뿐 구체적 조치 방안에 대해서는 다루고 있지 않다.

한편 제7조(금지 행위)는 아래와 같이 6가지의 금지 행위를 규정하고 있다.

  • 네트워크 정보 전송의 불법적 차단. 네트워크 정보의 개입, 접속, 피해 야기, 삭제, 변경, 재생산 및 호도
  • 정보시스템에 대한 불법적 영향력 행사. 합법적 접근 권한 보유 이용자의 정보시스템에 대한 접속 차단 내지 정보시스템의 정상적 운영 차단
  • 정보시스템에서의 네트워크 정보 보호를 위해 적용한 조치를 해제하기 위한 공격. 정보시스템에 대한 통제권의 불법적 탈취. 정보시스템에 대한 방해
  • 스팸이나 악성코드 발송. 가짜 정보시스템의 설치
  • 타인의 개인정보 불법 수집, 이용 배포, 거래. 개인정보를 수집하거나 악용하기 위한 목적으로 정보시스템 취약점을 악용
  • 정부 부처, 기관, 개인의 비밀 코드나 적법하게 암호화된 정보에 대한 불법적 접근. 민간 암호화 제품의 정보 공개, 출처 불명의 민간 암호화 제품의 사용이나 교환

LOCIS는 아동 개인정보의 처리에 대한 별도의 규정을 보유하고 있지 않다. 그러나 베트남의 아동에 관한 법률(Law on Children, 102/2016/QH13)은 아동의 연령을 16세 미만으로 규정하는 한편, 7세 이상 16세 미만에 해당하는 아동 또는 그와 같은 아동의 부모나 보호자의 동의 없이 아동의 프라이버시나 비밀에 관한 정보를 공개하는 행위를 금지하고 있다.

LOCIS는 별도의 개인정보 보호를 총괄적으로 책임지는 부처를 명시적으로 지정하지 않는다. 이는 해당 법률을 관할하는 정부기관은 정보통신부라 할 수 있으나 정보통신부가 베트남에서의 개인정보 보호를 총괄하는 부처는 아니라는 의미이다.

LOCIS의 규정을 위반하는 경우, 특히 서비스 이용자의 동의 없이 개인정보를 사용하는 경우에는 $250 – $500 USD의 과태료, 개인정보 소유자의 동의 없이 개인의 비밀 내지 기타 개인정보를 공개하는 경우 $500 – 1,000 USD의 벌금이 부과될 수 있다.

전자상거래 활동에서 소비자의 개인정보를 제대로 보호하지 못하는 경우에도 벌금 규정이 존재하는 것으로 알려져 있다. 또한 소비자 동의 없이 개인정보를 반복적으로 위법하게 수집하는 경우에는 6 – 12개월 동안 전자상거래 행위에 대한 영업 정지를 명령받을 수도 있다. 개인정보 보호 법령을 위반하는 경우 최대 2년까지 투옥될 수 있는데, 다른 사람의 프라이버시 권리를 침해하거나 개인정보 소유자의 동의 없는 통신 감청 내지 접근 등의 경우 이와 같은 형벌이 부과될 수 있다.

LOCIS는 네트워크에서의 개인정보보호에 대한 사항을 규정하고 있음에도 개별 기관이나 기업이 개인정보보호책임자(CPO or DPO)를 지정하도록 하는 규정이나, 그의 역할에 상응하는 담당자의 역할이나 책임을 규정한 조항이 없다. 또한 개인정보 유출이 발생하는 경우에도 이를 기관에 신고하거나 정보주체에게 통지하는 내용을 담고 있지 않다. 개인정보의 국외 전송에 대한 규정도 없다.

나. 사이버보안법(LOCS, Law on Cybersecurity, 24/2018/QH14)

(1) 개요

LOCS는 베트남 의회에서 총 466명의 의회 구성원 중 423명이 찬성(반대 15, 기권 28)하여, 2018년 6월 12일에 통과되어 2019년 1월 1일 발효되었다. 베트남 공안부(MPS)는 해당 법률을 통해 사이버 보안과 관련한 사안에 있어 통제권을 행사할 수 있는 종합적 기반을 마련하였다. LOCS는 7장 43조로 이루어져 있으며, 개인정보의 개념과 온라인 국가안보 및 관련 기관·단체·개인의 책임에 대해 규정하고 있다.

해당 법률의 제정은 베트남 국내외의 기업 및 인권보호 단체들로부터 많은 비판을 받았다. 이와 같은 비판은 베트남이 WTO, EVFTA, CPTPP 등의 국제 무역 협정에 가입했음에도 불구하고, LOCS를 통과시켜 자유 무역 협정 약속을 위반하였다는 주장에 근거한 것이다. LOCS는 소위 데이터 국지화 규정을 두고 있는데, 이와 관련하여 베트남이 서명한 CPTPP(Comprehensive and Progressive Agreement for Trans Pacific Partnership)는 서명 당사국이 특정 기업에 대해 어떠한 IT 인프라 구조에 기반하여 사업을 영위해야 하는지를 결정하는 것을 허용하지 않고 있다는 점도 지적되고 있다.

다만 이와 같은 비판에 대해 공안부의 사이버보안국(Cybersecurity department) Hoang Phuoc Thuan 국장은 베트남이 서명한 CPTPP 등의 협정과 관련하여 LOCS는 “보안, 공공질서, 문화 및 공동체의 안녕과 관련된 예외 사항에 해당될 것이다.”라고 답변하였다.

LOCS는 개인정보를 보호하려는 목적을 가지고 있는 유럽연합의 GDPR에 의해 영향을 받은 타 국가의 사이버 보안 법률과는 달리, 중국의 네트워크 안전법이나 한국의 테러방지법 등에 더 많은 영향을 받은 것으로 확인된다. 공안부는 해당 법률의 초안에서 “국제적 관행과의 정합성(conformity)을 확보하기 위해서”라며, 다른 국가들의 사이버 보안법을 언급하였는데, 여기에는 일본의 사이버 보안기본법, 유럽연합의 Directive (EU) 2016/1148 of the European Parliament and of the Council concerning measures for a high common level of security of network and information systems across the Union, 한국의 테러방지법, 미국의 The Cybersecurity Act of 2015 등이 포함되었다.

베트남 정부의 LOCS 초안(2017년 8월 31일, 의회 제출본)에 따르면 해당 법률의 제정 배경에는 크게 5가지가 있다고 한다.

  • 국가 안보를 위반하거나, 공공질서를 붕괴하거나, 다른 개인이나 기관의 적법한 권리 및 이익을 침해하려는 목적으로 사이버 공간을 사용하는 것을 예방, 발견 및 대응하기 위함
  • 사이버 공격, 사이버 테러, 사이버 첩보를 예방하고 대응하기 위함
  • 국가 안보를 위해 핵심적인 정보시스템을 보호하고, 그와 같은 보호 목적에 필요한 다양한 조치를 제공하기 위함
  • 국가 사이버 보안 상태에 대한 정보를 공유하는 메커니즘을 만들기 위함
  • 국가 보안, 공공질서를 위험에 빠뜨리지 않으며 타 기관이나 개인의 적법한 권리와 이해를 해치지 않는 건전한 사이버 공간을 개발하기 위함

베트남 공안부는 LOCS를 보완하는 25개의 시행령 및 시행규칙을 제정할 예정이라고 하였으나, 2019년 5월 말 기준으로 아직 LOCS를 구체화하는 시행령이나 시행규칙은 공포되지 않았다. 이로 인해 LOCS의 일부 규정들은 여전히 불분명한 상태이다.

다. 한국 법률과 비교

베트남의 LOCS와 한국의 개인정보 보호법을 비교하면 다음 [표 2]와 같다. LOCS에 관련 규정이 없는 경우 LOCIS, IT Law 등 보충 규정을 제시하였다.

[표 2] 베트남과 한국 개인정보 보호법 비교

베트남과 한국 개인정보 보호법 비교
기준 베트남 한국
적용 범위(governing scope)

국가 안보(national security)의 보호 및 사이버 공간에서의 사회 질서와 안전의 확보를 위한 활동, 그리고 이와 관련된 개인, 기관, 정부부처 등의 책임에 적용됨

Activities of protecting national security and ensuring social order and safety in cyberspace; and the responsibilities of agencies, organizations and individuals involved (Article 1 of LOCS)

개인정보처리자의 개인정보의 수집, 이용, 저장, 제공 등 개인정보의 처리(활동)에 대해 적용됨.

개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 의미하기 때문에 인적 적용 범위에 있어 베트남 법제와 큰 차이를 보이지 않음.

(제2조(정의) 및 제3장 ‘개인정보의 처리’ 등)

현지 법인(physical presence)

일정한 유형의 사이버 공간 서비스 제공자는 베트남에 반드시 지점 내지 대리인을 설립해야 함

Certain types of cyberspace service providers must establish its branch/representative in Vietnam (Article 26.3 of LOCS)

개인정보처리자가 반드시 대한민국 역내에 존재할 것을 요구하는 규정은 존재하지 않음.

단, 정보통신망법은 국내 대리인제도를 도입하여 베트남 법제와 유사한 측면이 있음

개인정보 정부 제공(providing user information to State authorities)

사이버 공간 서비스 제공자는 사이버 보안법 위반 행위의 조사 및 처리를 위한 서면 요청을 관계 당국으로부터 접수하는 경우 이용자 정보를 반드시 제공해야 함

Cyberspace service providers must provide user information to authority upon written request in order to serve investigation of and dealing with breaches of the law on Cybersecurity (Article 26.2.a of LOCS)

정안전부장관은 일정한 경우 개인정보처리자에게 관계 물품, 서류 등 자료를 제출하게 할 수 있음.

또한 (1) 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, (2) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 등의 경우에는 개인정보를 수집하여 목적 범위에서 이용할 수 있음

(제63조(자료제출 요구 및 검사) 및 제15조(개인정보의 수집, 이용))

개인정보보호책임자 (CPO or DPO) 개인정보 보호책임자 임명/지명에 관한 법 규정이 존재하지 않음

개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 함. 개인정보 보호책임자는 개인정보 보호 계획의 수립 및 이행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, 개인정보 처리와 관련한 불만의 처리 및 피해구제 등 법에서 정한 업무를 수행함.

또한 개인정보 보호책임자의 인적사항 및 연락처는 개인정보 처리방침을 통해 공개됨. 개인정보 보호책임자를 지정하지 않는 경우 과태료 부과 대상이 됨

(제31조(개인정보 보호책임자의 지정), 제30조(개인정보 처리방침의 수립 및 공개) 및 제75조(과태료)

데이터 국지화(data localization)

사이버 공간 서비스 제공자는 정부가 정한 특정한 기간 동안 이용자 정보를 베트남 역내에 반드시 저장해야 함

Cyberspace service providers must store service user’s data in Vietnam for a specific period stipulated by the Government (Article 26.3 of LOCS)

데이터를 대한민국 역내에 보관하도록 강제하는 데이터 국지화 조항은 존재하지 않음

단, 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 일정한 사항을 정보주체에게 알리고 동의를 받아야 하며, 개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하는 것을 금지함

(제17조(개인정보의 제공) 제3항)

개인정보의 수집(collection of personal data)

정보주체가 개인정보 수집에 동의한 후에, 수집이 가능함

The collection of personal data can only be conducted after the data subject consent (Article 17.1.a of LOCIS)

정보주체의 동의를 받은 경우 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있음.

(제15조(개인정보의 수집, 이용) 제1항)

개인정보 수집에 따른 통지사항(notification prior to collection of personal data)

정보주체는 개인정보 수집, 저장, 처리, 이용, 제공(공개), 전송이 발생하는 경우 그 범위, 장소, 목적 및 형태 등을 반드시 사전에 통지받아야 함

Data subject must be notified in advance of the scope, place, purpose and form of the collection, storage, processing, use, disclosure and transfer (Article 17.1.a of LOCS)

개인정보처리자가 동의에 기반하여 개인정보를 수집, 이용하는 경우 개인정보처리자는 (1) 개인정보의 수집, 이용목적, (2) 수집하려는 개인정보의 항목, (3) 개인정보의 보유 및 이용 기간, (4) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 등을 알려야 함

(제15조(개인정보의 수집, 이용) 제2항)

수집 동의 예외(Exemption to obtainment of data subjects’ consent)

정보주체의 사전 동의 예외는 (1) 네트워크 환경에서 서비스 제공에 필요한 계약의 준비 및 이행을 위한 경우, (2) 네트워크 환경에서 가격을 식별하거나 요금을 계산하기 위한 경우, (3) 법에 따라 의무를 이행해야 하는 경우 등이 있음

Exemptions to obtainment of prior consent of data subjects includes (1) to prepare/performance of contract for provision of service in the network environment, (2) to identify price/calculate charge in the network environment, and (3) performing obligations in accordance with law (Article 21.3 of IT Law)

의 외에 (1) 법령의 근거, (2) 공공기관의 소관업무 수행, (3) 정보주체와의 계약체결 및 이행, (4) 정보주체 및 제3자의 중대한 이익, (5) 개인정보처리자의 정당한 이익 등에 기반하여 개인정보를 수집할 수 있음

(제15조(개인정보의 수집, 이용) 제1항)

정보주체 요청에 대한 통지(notification on compliance with the request of data subjects)

정보주체의 요청(업데이트, 변경, 취소 등)이 접수되었으나 그와 같은 요청을 기술적 기타 다른 사유로 이행하지 못하는 경우, 개인정보처리자/수탁자는 이를 정보주체에게 알려야 함

Upon receiving the request of the data subjects (for update, alteration or cancellation of personal information, etc.), the data controller/processor must notify such owner if it fails to comply with the request for technical or other reason (Article 18.2 of LOCIS)

정보주체의 개인정보 열람 요구에도 불구하고, 법에서 정한 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있음. 또한 법에 따라 열람을 제한하거나 거절할 수 있는 경우에는 그 사유를 알려야 함

정보주체의 개인정보 정정, 삭제 요구에도 불구하고 대상 개인정보가 다른 법령에서 수집 대상으로 명시되어 있는 경우에는 그 내용을 지체 없이 정보주체에게 알려야 함

정보주체의 개인정보 처리정지 요구에도 불구하고, 법에서 정한 사유에 해당하는 경우 처리정지 요구를 거절할 수 있으며 이와 같은 경우 지체 없이 그 사유를 정보주체에게 알려야 함

(제35조(개인정보의 열람) 제2항 및 제3항, 제36조(개인정보의 정정, 삭제) 제4항, 제37조(개인정보의 처리정지 등) 제3항)

데이터 저장 기간(period of data storage)

개인정보의 저장 기간은 정보주체와 개인정보처리자 사이에 반드시 합의되어야 함

The period of data storage should be expressly agreed between the collector and data subjects (Article 21.2.b of IT Law)

개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 함. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니함

(제21조(개인정보의 파기) 제1항)

정보주체 요청의 준수(Compliance with the request of data subjects)

정보주체는 자신의 개인정보를 제3자에게 제공하는 것에 대해 중단을 요청할 수 있고, 개인정보처리자는 기술적 기타 다른 사유가 존재하지 않는 이상 이와 같은 요청을 반드시 이행해야 함

Data subjects may request for stoppage of the provision of his/her personal information to a third party and data processor must comply with the request, except for technical or other reasons (Article 18.1 of the LOCIS)

정보주체는 개인정보 열람권, 정정 및 삭제권, 처리정지 요구권 등의 권리를 보장받으며, 법령의 근거 내지 기타 정당한 사유가 존재하지 않는 이상 정보주체의 권리 요구를 법에서 정한 절차에 따라 일정한 기한 내에 처리해야 함

(제3장 ‘정보주체의 권리 보장’)

개인정보 해외전송(overseas transfer of personal data) 개인정보를 국외로 전송하는 것과 관련한 정부 당국 승인을 획득하거나, 그러한 사실을 사전에 통지하도록 요구하는 법규는 존재하지 않음

개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 일정한 사항을 정보주체에게 알리고 동의를 받아야 하며, 개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하는 것을 금지함

(제17조(개인정보의 제공) 제3항)

개인정보 해외전송 요구사항(Clauses on transfer) 해외의 개인정보처리자, 개인정보 수입자 등과 개인정보 국외 전송에 대해 별도의 계약을 강제하는 법규는 존재하지 않음 개인정보 해외전송에 대한 특별한 요구사항을 상세화한 내용은 존재하지 않음
개인정보 침해사고 신고(notification to the regulators in case of data breach)

정보시스템이 공격을 받아 소비자 정보의 손실이 발생할 수 있는 경우, 정보를 보관하고 있는 기관은 그 사실을 인지한 시점에서 24시간 이내에 반드시 관계당국에 이를 통지해야 함

If the information system is attacked causing risk of loss of consumer’s information, the information storing unit must notify the authorities within 24 hours after the detection of incident (Article 72.3 of Decree 52)

개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 행정안전부 장관 또는 대통령령으로 정하는 전문기관에 신고하여야 함

(제34조(개인정보 유출 통지 등) 제3항)

개인정보 침해사고 통지(notification to the affected individual in case of data breach)

이용자 정보의 손실이나 유출이 발생하였거나, 그와 같은 가능성이 존재하는 경우, 사이버 공간 서비스 제공자는 그러한 사실을 이용자에게 알려야 함

In the event of the occurrence of, or the risk of occurrence of, the loss or leakage of, or damage to user information, cyberspace service provider is required to notify the user there of (Article 41 of LOCS)

개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 (1) 유출된 개인정보의 항목, (2) 유출된 시점과 그 경위, (3) 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, (4) 개인정보처리자의 대응조치 및 피해 구제절차, (5) 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 등을 알려야 함

(제34조(개인정보 유출 통지 등) 제1항)

top