국가정보_베트남
법률체계
1개요
베트남 법률 체계는 매우 복잡한 구조를 가지고 있는 것으로 평가된다. 실제 베트남은 전 세계에서 가장 복잡한 법률 체계를 보유한 국가 가운데 하나로 꼽히는데 이는 매우 다양한 법령 문서 체계와 이를 제정할 권한이 있는 여러 당국이 존재하기 때문이다. 또한 베트남 법률 체계는 매우 빠르게 변화하고 있고 법률과 관련한 제반 환경의 개선도 신속히 진행되고 있는 것으로 확인된다. 법률 문서의 발행에 관한 법(Law on the issuance of legal texts) 개정 법률안이 시행된 2003년 이후에는 the Official Gazette에 공식 게재되어야 법률이 공식적으로 효과를 가지게 되었다. 이러한 조치는 과거에 법안 서명 절차 후 15일이 경과한 시점에서 즉시 발효되던 것과 비교하여 크게 발전한 것이다. 또한 과거에는 법령의 내용이 공개되지 않는 것이 원칙이었으나, 현재는 법령 제정의 단계마다 필요한 정보가 공개되고 있는 점도 발전의 양상으로 꼽을 수 있다.
베트남 법률 체계는 법률적 규범 문서의 공표에 관한 법률(Law on Promulgation of Legal Normative Documents, 80/2015/QH13) 제4조(법률적 규범 문서의 체계)와 더불어 법률적 규범 문서의 공표에 관한 법률의 조항을 수정 및 보완하는 법률(Law Revising a Number of Articles of the Law on Promulgation of Legal Documents, 63/2020/QH14) 제1조(법률적 규범 문서의 공표에 관한 법률 조항의 수정 및 보완)에서 그 내용을 상세히 확인할 수 있다. 해당 조항은 헌법을 최상위 규범으로 하고 총 21개에 달하는 법령의 유형 및 위계(hierarchy)를 규정하고 있다.
[표 1] 베트남 법률 체계
베트남 법률 체계
제정 주체
법령
의회(National Assembly)
Constitution, Code/Law, Resolution
의회 위원회(Standing Committee of the National Assembly)
Ordinance, Resolution, Joint Resolution
대통령(President)
Order, Decision
정부(Government)
Decree, Joint resolution
국무 총리(Prime Minister)
Decision
대법원 사법평의회(Justice Council of the Supreme People's Court)
Resolution
장관 등(Ministers and head of ministry-level bodies, Chief justice of the Supreme People's Court, Head of the Supreme People's Prosecutor)
Circular, Joint Circular
중앙위원회 상임위원장(Presidium of the Central Committee)
Decree, Joint resolution
주 감사원장(State Auditor General)
Decision, Joint circular
인민 평의회(People's Council)
Resolution
인민 위원회(People's Committee)
Decision
특별지자체(Local administrations in special administrative-economic units)
Legal documents
베트남에는 개인정보보호법이 개별적으로 존재하지 않으나, 사이버정보보안법(LOCIS, Law on Network Cyberinformation Security, 86/2015/QH13), 사이버보안법(LOCS, Law on Cybersecurity, 24/2018/QH14)에 개인정보보호 관련 항목을 규정하고 있다.
사이버정보보안법은 2015년 11월 19일 베트남 의회를 통과하여, 2016년 7월에 발효되었다. 그러나 해당 법률을 개인정보 보호를 규율하는 일반법으로 평가하기엔 그 적용 범위나 구성에 있어 한계가 있다. 법의 목적, 적용 범위 및 구성 체계 등에 있어 개인정보 보호에 관한 보편적 법률이 갖추어야 할 요건을 제대로 갖추고 있지 않기 때문이다. 한편 베트남은 개인정보에 대한 법률적 기반을 마련하고 사이버정보보안법을 보완하는 법률로 2018년 6월 12일 사이버보안법을 제정하였다.
이 외 개인정보의 수집, 저장, 처리, 이용 등에 관한 일부 조항을 포함한 민법(the Civil Code, 91/2015/QH13), 전자거래와 관련한 개인정보의 사용, 제공 및 공개에 대한 조항을 포함하는 전자거래법(Law on Electronic Transactions, 51/2005/QH11) 등이 있으나, 법의 목적 및 개인정보 관련 조항의 성격 등에 비추어 개인정보 보호를 전담하는 법이 존재한다고 보기 어렵다.
현재 베트남 내 개인정보보호에 관한 법적 기반을 마련할 것에 대한 요구가 증가함에 따라 공안부(MPS, Ministry of Public Security)에서는 관련 부처와 협력하여 개인정보보호에 관한 법령을 작성하고 있으며, 이와 더불어 모든 정보보호 관련법을 통합할 것이라고 밝혔다. 해당 개인정보보호법 초안의 개요는 부처 협의를 위해 2021년 1월 6일에 공개된 바 있어 베트남 또한 이른 시일 내에 개인정보보호법을 구축할 것으로 기대되며 이를 통해 향후 개인정보보호법의 방향성을 예측해 볼 수 있다.
베트남 법률 체계는 매우 복잡한 구조를 가지고 있는 것으로 평가된다. 실제 베트남은 전 세계에서 가장 복잡한 법률 체계를 보유한 국가 가운데 하나로 꼽히는데 이는 매우 다양한 법령 문서 체계와 이를 제정할 권한이 있는 여러 당국이 존재하기 때문이다. 또한 베트남 법률 체계는 매우 빠르게 변화하고 있고 법률과 관련한 제반 환경의 개선도 신속히 진행되고 있는 것으로 확인된다. 법률 문서의 발행에 관한 법(Law on the issuance of legal texts) 개정 법률안이 시행된 2003년 이후에는 the Official Gazette에 공식 게재되어야 법률이 공식적으로 효과를 가지게 되었다. 이러한 조치는 과거에 법안 서명 절차 후 15일이 경과한 시점에서 즉시 발효되던 것과 비교하여 크게 발전한 것이다. 또한 과거에는 법령의 내용이 공개되지 않는 것이 원칙이었으나, 현재는 법령 제정의 단계마다 필요한 정보가 공개되고 있는 점도 발전의 양상으로 꼽을 수 있다.
베트남 법률 체계는 법률적 규범 문서의 공표에 관한 법률(Law on Promulgation of Legal Normative Documents, 80/2015/QH13) 제4조(법률적 규범 문서의 체계)와 더불어 법률적 규범 문서의 공표에 관한 법률의 조항을 수정 및 보완하는 법률(Law Revising a Number of Articles of the Law on Promulgation of Legal Documents, 63/2020/QH14) 제1조(법률적 규범 문서의 공표에 관한 법률 조항의 수정 및 보완)에서 그 내용을 상세히 확인할 수 있다. 해당 조항은 헌법을 최상위 규범으로 하고 총 21개에 달하는 법령의 유형 및 위계(hierarchy)를 규정하고 있다.
[표 1] 베트남 법률 체계
제정 주체 | 법령 |
---|---|
의회(National Assembly) | Constitution, Code/Law, Resolution |
의회 위원회(Standing Committee of the National Assembly) | Ordinance, Resolution, Joint Resolution |
대통령(President) | Order, Decision |
정부(Government) | Decree, Joint resolution |
국무 총리(Prime Minister) | Decision |
대법원 사법평의회(Justice Council of the Supreme People's Court) | Resolution |
장관 등(Ministers and head of ministry-level bodies, Chief justice of the Supreme People's Court, Head of the Supreme People's Prosecutor) | Circular, Joint Circular |
중앙위원회 상임위원장(Presidium of the Central Committee) | Decree, Joint resolution |
주 감사원장(State Auditor General) | Decision, Joint circular |
인민 평의회(People's Council) | Resolution |
인민 위원회(People's Committee) | Decision |
특별지자체(Local administrations in special administrative-economic units) | Legal documents |
베트남에는 개인정보보호법이 개별적으로 존재하지 않으나, 사이버정보보안법(LOCIS, Law on Network Cyberinformation Security, 86/2015/QH13), 사이버보안법(LOCS, Law on Cybersecurity, 24/2018/QH14)에 개인정보보호 관련 항목을 규정하고 있다.
사이버정보보안법은 2015년 11월 19일 베트남 의회를 통과하여, 2016년 7월에 발효되었다. 그러나 해당 법률을 개인정보 보호를 규율하는 일반법으로 평가하기엔 그 적용 범위나 구성에 있어 한계가 있다. 법의 목적, 적용 범위 및 구성 체계 등에 있어 개인정보 보호에 관한 보편적 법률이 갖추어야 할 요건을 제대로 갖추고 있지 않기 때문이다. 한편 베트남은 개인정보에 대한 법률적 기반을 마련하고 사이버정보보안법을 보완하는 법률로 2018년 6월 12일 사이버보안법을 제정하였다.
이 외 개인정보의 수집, 저장, 처리, 이용 등에 관한 일부 조항을 포함한 민법(the Civil Code, 91/2015/QH13), 전자거래와 관련한 개인정보의 사용, 제공 및 공개에 대한 조항을 포함하는 전자거래법(Law on Electronic Transactions, 51/2005/QH11) 등이 있으나, 법의 목적 및 개인정보 관련 조항의 성격 등에 비추어 개인정보 보호를 전담하는 법이 존재한다고 보기 어렵다.
현재 베트남 내 개인정보보호에 관한 법적 기반을 마련할 것에 대한 요구가 증가함에 따라 공안부(MPS, Ministry of Public Security)에서는 관련 부처와 협력하여 개인정보보호에 관한 법령을 작성하고 있으며, 이와 더불어 모든 정보보호 관련법을 통합할 것이라고 밝혔다. 해당 개인정보보호법 초안의 개요는 부처 협의를 위해 2021년 1월 6일에 공개된 바 있어 베트남 또한 이른 시일 내에 개인정보보호법을 구축할 것으로 기대되며 이를 통해 향후 개인정보보호법의 방향성을 예측해 볼 수 있다.
2주요 법률
가. 개요
(1) 사이버정보보안법(LOCIS, Law on Cyberinformation Security, 86/2015/QH13)
LOCIS는 8장 54조로 이루어져 있다. 이 법은 네트워크 정보 보호 활동, 네트워크 정보 보호를 보장하기 위한 기관 및 개인의 권리와 의무, 암호 기술, 네트워크 정보 보호를 위한 기술 표준, 정보 보호 산업, 네트워크 정보 보호를 위한 인적 자원 개발, 네트워크 정보 보호의 관리를 규정하고 있다.
LOCIS 제16조(네트워크에서의 개인정보 보호 원칙)는 네트워크에서의 개인정보 보호 원칙을 5가지로 제시하고 있다.
- ①네트워크 서비스를 이용하는 개인은 자신의 개인정보를 보호하고 개인정보 제공에 관한 법규를 준수해야 함
- ②개인정보를 처리하는 기관 및 개인은 그들이 처리하는 개인정보에 대한 네트워크 정보 보호를 보장해야 함
- ③개인정보를 처리하는 기관 및 개인은 개인정보 처리 및 보호에 적용되는 정책을 수립하고 공개하여야 함
- ④개인정보 보호는 이 법의 규정 및 관련 분야의 특정 규제에 따라야 함
- ⑤국방, 보안, 사회 질서 및 보안 목적 또는 비상업적 목적의 개인정보 처리는 관계법률의 규정을 준수해야 함
(2) 사이버보안법(LOCS, Law on Cybersecurity, 24/2018/QH14)
LOCS는 베트남 의회에서 총 466명의 의회 구성원 중 423명이 찬성(반대 15, 기권 28)하여, 2018년 6월 12일에 통과되어 2019년 1월 1일 발효되었다. 베트남 공안부(MPS)는 해당 법률을 통해 사이버 보안과 관련한 사안에 있어 통제권을 행사할 수 있는 종합적 기반을 마련하였다. LOCS는 7장 43조로 이루어져 있으며, 개인정보의 개념과 온라인 국가안보 및 관련 기관·단체·개인의 책임에 대해 규정하고 있다.
LOCS는 개인정보를 보호하려는 목적을 가지고 있는 유럽연합의 GDPR에 의해 영향을 받은 타 국가의 사이버 보안 법률과는 달리, 중국의 네트워크 안전법이나 한국의 테러방지법 등에 더 많은 영향을 받은 것으로 확인된다. 공안부는 해당 법률의 초안에서 "국제적 관행과의 정합성(conformity)을 확보하기 위해서"라며, 다른 국가들의 사이버 보안법을 언급하였는데, 여기에는 일본의 사이버 보안기본법, 유럽연합의 Directive (EU) 2016/1148 of the European Parliament and of the Council concerning measures for a high common level of security of network and information systems across the Union, 한국의 테러방지법, 미국의 The Cybersecurity Act of 2015 등이 포함되었다.
베트남 정부의 LOCS 초안(2017년 8월 31일, 의회 제출본)에 따르면 해당 법률의 제정 배경에는 크게 5가지가 있다.
- ①
국가 안보를 위반하거나, 공공질서를 붕괴하거나, 다른 개인이나 기관의 적법한 권리 및 이익을 침해하려는 목적으로 사이버 공간을 사용하는 것을 예방, 발견 및 대응하기 위함
- ②
사이버 공격, 사이버 테러, 사이버 첩보를 예방하고 대응하기 위함
- ③
국가 안보를 위해 핵심적인 정보시스템을 보호하고, 그와 같은 보호 목적에 필요한 다양한 조치를 제공하기 위함
- ④
국가 사이버 보안 상태에 대한 정보를 공유하는 메커니즘을 만들기 위함
- ⑤
국가 보안, 공공질서를 위험에 빠뜨리지 않으며 타 기관이나 개인의 적법한 권리와 이해를 해치지 않는 건전한 사이버 공간을 개발하기 위함
베트남 공안부는 LOCS를 보완하는 25개의 시행령 및 시행규칙을 제정할 예정이라고 하였으나, 2021년 10월 기준으로 아직 LOCS를 구체화하는 시행령이나 시행규칙은 공포되지 않았다. 이로 인해 LOCS의 일부 규정들은 여전히 불분명한 상태이다.
나. 개인정보 및 민감정보의 정의
LOCIS는 개인정보(Personal Information) 및 개인정보 소유자(Personal Information Owner)에 대한 정의를 규정하고 있는데, 제3조(정의) 제15항은 "개인정보는 특정 개인의 식별과 연관된 정보를 의미한다."고 규정하고, 제16항은 "개인정보 소유자는 해당 개인정보에 의해 식별되는 사람을 의미한다."고 규정하여 서구의 "개인정보 및 정보주체"에 해당하는 유사 개념을 보유하고 있음을 확인할 수 있다.
그러나 LOCIS의 개인정보 및 개인정보 소유자의 정의가 베트남 전체 법체계에서 일관성 있게 적용되는 것으로 평가하기는 어려울 것으로 보인다. 예를 들어, 정부기관 웹사이트/포털에서의 개인정보 수집, 이용, 공유, 보안 및 보호에 관한 시행규칙(Circular on Collection, Use, Sharing, Security Assurance and Protection of Personal Information on Websites or Portals of State Agencies, 25/2010/TT-BTTT)은 제3조(용어의 해석)의 제3항에서 "개인정보는 하나의 개인을 정확하게 식별하는데 충분한 정보를 의미하는데, 이는 다음 세부항목 가운데 최소 하나를 포함한다. 이름(full name), 생년월일, 직업, 호칭, 연락 가능한 주소, 이메일 주소, 전화번호, 신분카드 번호(identity card number), 여권 번호. 개인 사생활 정보(Information of Personal Privacy)는 건강 정보, 세금 납부 기록, 사회 보험카드 번호, 신용카드 번호 및 기타 개인 비밀(personal secrets)을 포함한다."라고 하여, 보다 상세한 개인정보의 정의 및 예시를 제공하고 있다.
이와 같은 규범 체계에서 보듯, 개별 상황에 따라 특정 정보가 개인정보의 범위에 포함되는지 여부는 적용 법규를 살펴보아야 그 판단이 가능할 것으로 보인다. LOCIS의 개인정보 정의는 법인 정보에는 일반적으로 적용되지 않는다. 그러나 임직원에 관한 정보 등 개인정보의 정의에 해당하는 경우라면 법인과 연관된 정보라도 개인정보에 해당한다.
LOCIS는 민감정보(sensitive information)의 개념을 별도로 구분하고 있지 않다. 정부기관 웹사이트, 포털에서의 개인정보 수집, 이용, 공유, 보안 및 보호에 관한 시행규칙은 개인정보 및 개인 프라이버시 정보의 정의를 제시하고 있는데, 건강, 납세, 보험 등에 관한 정보는 별도의 민감정보로 구분하지 않고 일반적인 개인정보에 포함되는 개념으로 본다.
현재 추진되고 있는 개인정보보호법 초안의 개요에 따르면 민감정보는 정치·종교적 견해, 국적 또는 인종, 건강 상태, 유전 정보, 성별, 성생활, 전과기록 등으로 향후 보편적인 개인정보보호법과 유사하게 변경되어 적용될 가능성이 높다.
다. 적용 범위
LOCIS 제2조(적용 대상)에서 "이 법은 베트남 정부 부처, 기관, 개인, 그리고 베트남에서의 네트워크 정보 보호 활동과 관련되어 있거나 이에 관여하는 개인 및 외국 기관에 적용된다."라고 하여 베트남에서의 네트워크 정보보호 활동과 연관성 있는 개인 또는 해외 기업, 기관 등에도 역외 적용됨을 명시하고 있다. 이를 크게 개인적 범위, 물적 범위, 영토적 범위로 분류할 수 있다.
개인적 범위에서, LOCIS는 정보 주체에서 식별되거나 식별 가능한 개인 정보(정보 프로세서) 및 일반인을 관리하는 조직, 기관 및 개인에게 적용된다. 그러나 현재 베트남 법률은 정보 컨트롤러와 정보 프로세서를 명시적으로 구분하지 않는다.
물적 범위에서 개인정보는 개인의 생활, 개인 또는 가족의 비밀, 서면 서신 및 전화 통화 내용을 포함한 개인 통신과 관련된 정보를 포함하되 이에 국한되지 않고 소유자 식별과 관련된 모든 정보로 정의된다. 앞서 논했듯이, 베트남 법률은 일반 개인 정보와 민감한 개인 정보를 구분하지 않으나 은행 정보 및 의료 기록과 같은 일부 개인 정보는 국가 기밀로 간주되어 추가적인 보호를 받는다.
마지막으로 영토적 범위에서, 프로세서가 베트남의 사이버 정보 보안 활동에 직접 관여하거나 관련되어 있는 경우 LOCIS는 일반적으로 국적 또는 베트남 영토 외부에서 처리된 데이터 여부와 관계없이 베트남 영토 내 모든 주체의 개인정보와 사생활을 보호한다.
한편 전자기적(electronic) 정보와 수기(manual) 정보 모두가 LOCIS의 보호 대상에 해당하는지는 명확하게 규정되어 있지 않다. 그러나 여타 베트남 법에서도 전자기적으로 기록되는 정보와 수기로 기록되는 정보를 별도로 구분하고 있지 않기 때문에 정보의 기록 형태와 무관하게 LOCIS의 적용 범위 및 대상에 해당하는 경우 관련 규정의 적용을 받는 것으로 이해할 수 있다.
라. 개인정보처리 동의
LOCIS 제3조 제17항에서는 개인정보처리에 대해 다음 활동 중 하나 이상이 이루어지는 것으로 정의하는데, 이는 상업적 목적으로 개인 정보를 네트워크망에서 수집, 편집, 사용, 저장, 게시, 공유, 전송 및 제3자에게 공유하는 총체적 행위를 말한다. 동법 16조 제5항에 따르면 국방, 보안, 사회질서 및 안보를 목적으로 하거나 비상업적인 목적으로 개인정보를 취급하는 경우에는 관계법령의 규정에 따른다.
한편, 동의를 획득하는 방식에 대해서는 별도의 규정이 존재하지 않는다. 따라서 법이 요구하는 요건을 적절한 형식으로 구현하는 경우 특별히 문제를 야기하지 않는다. 아울러 민감정보에 대한 정의가 별도로 없기 때문에 민감정보에 해당하는 개인 사생활 정보나 개인 비밀 등의 정보를 처리하는 경우에도 동의 형식에 있어서는 일반 개인정보에 적용되는 형식과 차이가 없다.
개인정보의 수집 및 이용에 대해 다룬 LOCIS 제17조 제1항, 네트워크 환경에서의 개인정보 수집, 처리 및 이용에 대해 다룬 정보기술에 관한 법(Law on Information Technology, 67/2006/QH11) 제21조 제1항에서는 개인정보처리의 동의를 획득한 경우의 수집, 처리 및 이용과 관련한 규정을 확인할 수 있다.
(1) LOCIS 제17조 제1항: 개인정보의 수집 및 이용
17-① 정보 수집 및 이용의 범위와 목적에 대해 정보주체의 동의를 얻은 후에만 개인정보를 수집한다.
17-② 수집한 개인정보는 개인정보 주체의 동의를 얻은 후에만 최초 사용 목적과 다른 용도로 사용할 수 있다.
17-③ 개인정보 소유자가 동의하거나 관할 국가 기관에서 요청하지 않는 한 수집, 접근 또는 처리되는 개인정보를 제3자와 공유, 배포해서는 아니 된다.
(2) 정보기술에 관한 법 제21조: 네트워크 환경에서의 개인정보 수집, 처리 및 이용
21-① 네트워크 환경에서 타인의 개인정보를 수집, 처리, 이용하는 단체 및 개인은 법률에 특별한 규정이 없는 한 동의를 받아야 한다.
위의 경우와 달리 (ⅰ)네트워크 환경에서 정보, 제품 및 서비스의 사용에 관한 계약을 체결, 수정 또는 이행하는 경우, (ⅱ)네트워크 환경에서 정보, 제품 및 서비스를 사용하기 위한 가격 및 요금 계산하는 경우, (ⅲ) 법률이 정하는 바에 따라 기타 의무를 수행하는 경우에는 예외적으로 개인정보처리의 동의 없이 타인의 개인정보를 수집, 처리, 이용할 권리가 있다.(정보기술에 관한 법 21조 3항)
(3) 동의 외 개인정보 적법 처리 근거 : LOCIS 제16조 제5항
국방, 보안, 사회질서 및 안보를 목적으로 하거나 비상업적인 목적으로 개인정보를 취급하는 경우에는 관계법령의 다른 규정에 따른다.
마. 정보주체의 권리
여타 개인정보보호법과 달리 LOCIS는 개인정보 처리제한권 또는 이동권, 반대권은 포함하지 않으나 큰 맥락에서 (ⅰ)정보 수집, 처리 및 사용 방법과 범위, 위치 및 목적에 대한 투명성, (ⅱ)처리 목적 달성 후 개인정보를 삭제하는 저장 정보의 제한성, (ⅲ)정보를 처리하는 프로세서가 지니는 개인정보에 대한 책임까지 총 3가지 원칙을 전제로 하며 다음과 같이 LOCIS에서 보장하고 있는 정보주체의 권리는 정보를 제공받을 권리, 시정권(정정권 및 삭제권), 개인정보에 대한 접근권을 포함한다.
(1) 정보를 제공받을 권리
정보를 제공받을 권리는 LOCIS 제17조 제3항에 명시되어 있으며, 개인정보의 주체는 개인정보를 처리하는 기관 및 개인이 수집·보존하는 개인정보의 제공을 요구할 권리가 있다. 이에 따라 정보처리자는 정보주체에게 본인의 개인정보를 수집, 처리, 사용하는 방법, 범위, 위치 및 목적을 알려야 하며, 또한 정보처리자는 개인정보를 제3자에게 전송할시 정보주체에게 이를 알려야 한다.
(2) 시정권(정정권 및 삭제권)
LOCIS는 제18조 제1항에 개인정보의 갱신, 변경 및 삭제에 관한 법률을 규정하고 있다. 정보주체는 개인정보를 처리하는 기관 및 개인이 수집, 보관하고 있는 자신의 개인정보를 갱신, 변경, 삭제하도록 요구할 수 있는 권리를 가진다.
또한 동조 제3항에서는 개인정보를 처리하는 기관 및 개인은 법령에 특별한 규정이 있는 경우를 제외하고, 저장된 정보의 이용목적이 달성되거나 보관기간이 경과한 경우에는 해당 정보를 삭제하고 해당 개인정보의 소유자에게 통지해야 함을 명시하고 있다.
(3) 접근권
LOCIS 제18조 제2항은 정보처리자가 수집하거나 유지 및 관리하는 개인정보에 대한 액세스를 요청할 권리를 정보주체에게 제공한다. 해당 조항은 다음과 같이 위에서 언급한 정정권 및 삭제권에 대한 권리를 포함하고 있음을 알 수 있다.
18-② 소유자로부터 개인정보의 갱신, 변경 또는 삭제에 대한 유효한 요구 또는 개인정보를 취급하는 제3자, 기타 조직 및 개인에 대한 개인정보 제공 중단에 대한 유효한 요구를 받은 경우 개인정보 처리자는 다음과 같이 수행해야 한다.
a) 요구 사항을 충족하고 이를 개인정보 소유자에게 통지하거나, 개인정보 주체에게 자신의 개인정보에 대한 접근, 갱신, 변경 또는 삭제 권한을 제공한다.
바. 정보처리자의 의무
베트남 법률은 정보를 처리하는 당사자 간 컨트롤러와 프로세서를 구분하지 않는다. 따라서 개인 정보를 처리하는 모든 조직 또는 개인은 정보처리자로 분류되며, 개인정보를 보유해 수집, 편집, 사용, 저장, 게시, 제공, 전송 및 제3자에게 공유하는 활동 중 하나 이상을 하는 경우 모두 관련 법령의 적용을 받는다.
비록 정보처리자를 대상으로 한 개인정보 처리 활동 기록 의무나 개인정보 영향평가를 강제하는 법률은 존재하지 않으나, LOCS는 전자 상거래 서비스, 소셜 네트워크 서비스, 온라인 게임 서비스 및 이메일 서비스 등에서 고객이 생성한 개인정보를 베트남 사회주의공화국 정부가 지정한 기간 동안 보존할 것을 규정함과 더불어 정보기술에 관한 법에서는 정보주체와 개인정보처리자 사이에 개인정보의 저장 기간에 대한 내용이 반드시 합의되어야 함을 명시하고 있다.
LOCIS는 네트워크에서의 개인정보보호에 대한 사항을 규정하고 있음에도 개별 기관이나 기업이 개인정보보호책임자(CPO or DPO)를 지정하도록 하는 규정이나, 그의 역할에 상응하는 담당자의 역할이나 책임을 규정한 조항이 없다. 하지만 LOCIS의 제24조에 따라 특정 유형의 조직(예: 통신 기업, 은행, 국가 기관, 국가 예산을 사용하는 정보 시스템 소유자 및 대형 정보 시스템 소유자 등) 내 정보 시스템 관리자는 정보 보안을 관리 및 감독하고 협력할 개인 또는 조직을 임명해야 하며 개인정보 보호를 포함해 정보 보안 업무를 처리함에 있어 베트남 정보통신부(MIC, Ministry of Information and Communications)와 협력한다. 정보처리자는 정보 침해와 관련한 사항이 발생했을 경우 가능한 빨리 관련 기관(예: 베트남 사이버보안 비상대응팀/조정 센터, VNCERT/CC, 2019년 설립)과 개인정보 주체에게 알려야 하며, 통지에 관한 의무기간은 지정되어 있지 않다.
그 외에 아동에 관한 법률(The Law on Children, 102/2016/QH13) 및 LOCS에서는 아동 보호 차원에서의 개인정보보호 의무와 지침을 언급하고 있다. 해당 법령에서는 아동의 부모 또는 보호자의 동의 없이 16세 미만 아동의 개인정보 공개를 금지하고 있으며, 정보시스템 관리자, 통신사업자, 인터넷서비스 제공자, 부가서비스 제공자는 자사 시스템 또는 서비스에 대한 정보가 아동에게 유해하지 않고 아동권리를 침해하지 않는지 확인하고 차단 및 삭제할 책임이 있다. 아동에게 유해하거나 아동권리를 침해하는 정보가 발견될 때마다 즉시 베트남 공안부 사이버보안 전담반에 알리고 협조한다.
사. 개인정보 역외 이전
일반적으로 정보처리자가 개인정보를 제3자(그룹사 포함)에 공유, 공개 또는 전송하려는 경우 정보처리자는 정보주체에게 알리고 해당 주체로부터 사전에 명시적인 동의를 얻어야 한다. 특히, 전자상거래 웹사이트에서 소비자의 개인정보를 수집 및 사용하는 거래자 또는 단체는 정보주체에게 제품 및 기타 상업 정보를 소개하는 광고 및 광고 전송을 위해 개인정보를 이용하는 경우에는 개인정보 사용에 대한 동의 또는 거부를 선택할 수 있도록 구체적인 메커니즘을 마련해야 한다.
그러나 역외 이전의 경우 정보 수출입자는 국가 또는 해외 기관 간 개인정보 이전을 포함하여 자동 처리 또는 일련의 작업을 수행하기 전 베트남 규제 기관으로부터 승인을 얻거나 제출하거나 혹은 감독 기관에 고지할 의무가 없다. 현재 법제적 틀을 마련하고 있는 개인정보보호법 초안의 개요에서는 개인정보 역외 이전에 대한 제한 규정을 도입할 것을 암시하고 있으나 2021년 10월 현재까지 시행령이나 시행규칙에 대한 추가적인 진전은 없다.
베트남은 '개인정보 국지화(data localization)'에 대한 요구가 강한 국가로, LOCIS는 베트남에서 온라인 서비스를 제공하는 기업은 국적에 관계없이 모두 베트남에 물리적인 형태의 사무실을 갖추고 베트남 내에 데이터 서버를 구축하도록 규정하고 있다. 하지만 자세히 살펴보면 데이터 저장에 관한 적용 가능한 규정 간 불일치(LOCIS는 해외 전송 금지, PDPD는 사본의 해외 전송, 복사, 저장은 허용) 등 데이터 현지화 요구 사항에 대한 현재 규정이 상충되는 부분이 있어, 향후 법령에서 이러한 부분이 보완될 것으로 전망된다.
아. 집행
LOCIS 제7조(금지 행위)는 아래와 같이 6가지의 금지 행위를 규정하고 있다.
- ①네트워크 정보 전송의 불법적 차단. 네트워크 정보의 개입, 접속, 피해 야기, 삭제, 변경, 재생산 및 호도
- ②정보시스템에 대한 불법적 영향력 행사. 합법적 접근 권한 보유 이용자의 정보시스템에 대한 접속 차단 내지 정보시스템의 정상적 운영 차단
- ③정보시스템에서의 네트워크 정보 보호를 위해 적용한 조치를 해제하기 위한 공격. 정보시스템에 대한 통제권의 불법적 탈취. 정보시스템에 대한 방해
- ④스팸이나 악성코드 발송. 가짜 정보시스템의 설치
- ⑤타인의 개인정보 불법 수집, 이용 배포, 거래. 개인정보를 수집하거나 악용하기 위한 목적으로 정보시스템 취약점을 악용
- ⑥정부 부처, 기관, 개인의 비밀 코드나 적법하게 암호화된 정보에 대한 불법적 접근. 민간 암호화 제품의 정보 공개, 출처 불명의 민간 암호화 제품의 사용이나 교환
특히 2020년 3월 제정된 시행령 번호 15/2020/ND-CP에 따르면 동의한 범위와 목적에 맞지 않거나 동의 없이 개인 정보를 사용하는 경우(제84조 제2(a)항); 수집 또는 통제되는 개인정보를 동의 없이 제3자에게 제공, 공개 또는 공개하는 행위(제84조 제2(b)항); 정보주체의 개인정보를 불법적으로 수집, 사용, 출판 및 거래하는 행위(제84조 제2(c)항); 정보주체의 요청에 따라 개인정보를 업데이트, 수정 또는 삭제하지 않는 경우(제85조 제2(a)항); 데이터 주체의 요청에 따라 데이터 주체에게 업데이트, 수정 또는 삭제에 대한 액세스 권한을 제공하지 않는 경우(제85조 제2(a)항); 수집한 개인정보를 수집 목적이 종료되거나 법정 보관 기간이 만료된 후에도 삭제하지 않는 경우(제85조 제2(b)항); 기술 표준, 사이버 정보 보안 규정을 준수하지 않는 경우(제86조 제2항) 2,000만–3,000만 VND(약 $880–1,320)의 과태료가 부과된다. 실제적이며 위협적인 법률 위반에 대한 구제책 또는 예방 조치를 적용하지 않은 경우(제86조 제3항) 5,000만-7,000만 VND(약 $2200-3100)으로 최고 과징금을 징수한다.
또한 소비자 동의 없이 개인정보를 반복적으로 위법하게 수집하는 경우에는 6–12개월 동안 전자상거래 행위에 대한 영업 정지를 명령받을 수 있다. 개인정보보호와 관련한 법령을 위반하는 경우 최대 3년까지 징역을 선고받을 수 있으며, 다른 사람의 프라이버시 권리를 침해하거나 개인정보 소유자의 동의 없는 통신 감청 내지 접근 등을 행한 경우 범죄의 심각성에 따라 이와 같은 형사처벌을 받을 수 있다.
한편 민법(the Civil Code) 제13조에 따라 정보보호법 위반으로 손해를 입은 자는 침해자로부터 배상을 받을 수 있으나, 배상을 받기 위해서는 청구인이 직접 법적 조치를 취해야 하며 실제 손해에 대한 입증 책임을 져야 한다.
가. 개요
(1) 사이버정보보안법(LOCIS, Law on Cyberinformation Security, 86/2015/QH13)
LOCIS는 8장 54조로 이루어져 있다. 이 법은 네트워크 정보 보호 활동, 네트워크 정보 보호를 보장하기 위한 기관 및 개인의 권리와 의무, 암호 기술, 네트워크 정보 보호를 위한 기술 표준, 정보 보호 산업, 네트워크 정보 보호를 위한 인적 자원 개발, 네트워크 정보 보호의 관리를 규정하고 있다.
LOCIS 제16조(네트워크에서의 개인정보 보호 원칙)는 네트워크에서의 개인정보 보호 원칙을 5가지로 제시하고 있다.
- ①네트워크 서비스를 이용하는 개인은 자신의 개인정보를 보호하고 개인정보 제공에 관한 법규를 준수해야 함
- ②개인정보를 처리하는 기관 및 개인은 그들이 처리하는 개인정보에 대한 네트워크 정보 보호를 보장해야 함
- ③개인정보를 처리하는 기관 및 개인은 개인정보 처리 및 보호에 적용되는 정책을 수립하고 공개하여야 함
- ④개인정보 보호는 이 법의 규정 및 관련 분야의 특정 규제에 따라야 함
- ⑤국방, 보안, 사회 질서 및 보안 목적 또는 비상업적 목적의 개인정보 처리는 관계법률의 규정을 준수해야 함
(2) 사이버보안법(LOCS, Law on Cybersecurity, 24/2018/QH14)
LOCS는 베트남 의회에서 총 466명의 의회 구성원 중 423명이 찬성(반대 15, 기권 28)하여, 2018년 6월 12일에 통과되어 2019년 1월 1일 발효되었다. 베트남 공안부(MPS)는 해당 법률을 통해 사이버 보안과 관련한 사안에 있어 통제권을 행사할 수 있는 종합적 기반을 마련하였다. LOCS는 7장 43조로 이루어져 있으며, 개인정보의 개념과 온라인 국가안보 및 관련 기관·단체·개인의 책임에 대해 규정하고 있다.
LOCS는 개인정보를 보호하려는 목적을 가지고 있는 유럽연합의 GDPR에 의해 영향을 받은 타 국가의 사이버 보안 법률과는 달리, 중국의 네트워크 안전법이나 한국의 테러방지법 등에 더 많은 영향을 받은 것으로 확인된다. 공안부는 해당 법률의 초안에서 "국제적 관행과의 정합성(conformity)을 확보하기 위해서"라며, 다른 국가들의 사이버 보안법을 언급하였는데, 여기에는 일본의 사이버 보안기본법, 유럽연합의 Directive (EU) 2016/1148 of the European Parliament and of the Council concerning measures for a high common level of security of network and information systems across the Union, 한국의 테러방지법, 미국의 The Cybersecurity Act of 2015 등이 포함되었다.
베트남 정부의 LOCS 초안(2017년 8월 31일, 의회 제출본)에 따르면 해당 법률의 제정 배경에는 크게 5가지가 있다.
- ① 국가 안보를 위반하거나, 공공질서를 붕괴하거나, 다른 개인이나 기관의 적법한 권리 및 이익을 침해하려는 목적으로 사이버 공간을 사용하는 것을 예방, 발견 및 대응하기 위함
- ② 사이버 공격, 사이버 테러, 사이버 첩보를 예방하고 대응하기 위함
- ③ 국가 안보를 위해 핵심적인 정보시스템을 보호하고, 그와 같은 보호 목적에 필요한 다양한 조치를 제공하기 위함
- ④ 국가 사이버 보안 상태에 대한 정보를 공유하는 메커니즘을 만들기 위함
- ⑤ 국가 보안, 공공질서를 위험에 빠뜨리지 않으며 타 기관이나 개인의 적법한 권리와 이해를 해치지 않는 건전한 사이버 공간을 개발하기 위함
베트남 공안부는 LOCS를 보완하는 25개의 시행령 및 시행규칙을 제정할 예정이라고 하였으나, 2021년 10월 기준으로 아직 LOCS를 구체화하는 시행령이나 시행규칙은 공포되지 않았다. 이로 인해 LOCS의 일부 규정들은 여전히 불분명한 상태이다.
나. 개인정보 및 민감정보의 정의
LOCIS는 개인정보(Personal Information) 및 개인정보 소유자(Personal Information Owner)에 대한 정의를 규정하고 있는데, 제3조(정의) 제15항은 "개인정보는 특정 개인의 식별과 연관된 정보를 의미한다."고 규정하고, 제16항은 "개인정보 소유자는 해당 개인정보에 의해 식별되는 사람을 의미한다."고 규정하여 서구의 "개인정보 및 정보주체"에 해당하는 유사 개념을 보유하고 있음을 확인할 수 있다.
그러나 LOCIS의 개인정보 및 개인정보 소유자의 정의가 베트남 전체 법체계에서 일관성 있게 적용되는 것으로 평가하기는 어려울 것으로 보인다. 예를 들어, 정부기관 웹사이트/포털에서의 개인정보 수집, 이용, 공유, 보안 및 보호에 관한 시행규칙(Circular on Collection, Use, Sharing, Security Assurance and Protection of Personal Information on Websites or Portals of State Agencies, 25/2010/TT-BTTT)은 제3조(용어의 해석)의 제3항에서 "개인정보는 하나의 개인을 정확하게 식별하는데 충분한 정보를 의미하는데, 이는 다음 세부항목 가운데 최소 하나를 포함한다. 이름(full name), 생년월일, 직업, 호칭, 연락 가능한 주소, 이메일 주소, 전화번호, 신분카드 번호(identity card number), 여권 번호. 개인 사생활 정보(Information of Personal Privacy)는 건강 정보, 세금 납부 기록, 사회 보험카드 번호, 신용카드 번호 및 기타 개인 비밀(personal secrets)을 포함한다."라고 하여, 보다 상세한 개인정보의 정의 및 예시를 제공하고 있다.
이와 같은 규범 체계에서 보듯, 개별 상황에 따라 특정 정보가 개인정보의 범위에 포함되는지 여부는 적용 법규를 살펴보아야 그 판단이 가능할 것으로 보인다. LOCIS의 개인정보 정의는 법인 정보에는 일반적으로 적용되지 않는다. 그러나 임직원에 관한 정보 등 개인정보의 정의에 해당하는 경우라면 법인과 연관된 정보라도 개인정보에 해당한다.
LOCIS는 민감정보(sensitive information)의 개념을 별도로 구분하고 있지 않다. 정부기관 웹사이트, 포털에서의 개인정보 수집, 이용, 공유, 보안 및 보호에 관한 시행규칙은 개인정보 및 개인 프라이버시 정보의 정의를 제시하고 있는데, 건강, 납세, 보험 등에 관한 정보는 별도의 민감정보로 구분하지 않고 일반적인 개인정보에 포함되는 개념으로 본다.
현재 추진되고 있는 개인정보보호법 초안의 개요에 따르면 민감정보는 정치·종교적 견해, 국적 또는 인종, 건강 상태, 유전 정보, 성별, 성생활, 전과기록 등으로 향후 보편적인 개인정보보호법과 유사하게 변경되어 적용될 가능성이 높다.
다. 적용 범위
LOCIS 제2조(적용 대상)에서 "이 법은 베트남 정부 부처, 기관, 개인, 그리고 베트남에서의 네트워크 정보 보호 활동과 관련되어 있거나 이에 관여하는 개인 및 외국 기관에 적용된다."라고 하여 베트남에서의 네트워크 정보보호 활동과 연관성 있는 개인 또는 해외 기업, 기관 등에도 역외 적용됨을 명시하고 있다. 이를 크게 개인적 범위, 물적 범위, 영토적 범위로 분류할 수 있다.
개인적 범위에서, LOCIS는 정보 주체에서 식별되거나 식별 가능한 개인 정보(정보 프로세서) 및 일반인을 관리하는 조직, 기관 및 개인에게 적용된다. 그러나 현재 베트남 법률은 정보 컨트롤러와 정보 프로세서를 명시적으로 구분하지 않는다.
물적 범위에서 개인정보는 개인의 생활, 개인 또는 가족의 비밀, 서면 서신 및 전화 통화 내용을 포함한 개인 통신과 관련된 정보를 포함하되 이에 국한되지 않고 소유자 식별과 관련된 모든 정보로 정의된다. 앞서 논했듯이, 베트남 법률은 일반 개인 정보와 민감한 개인 정보를 구분하지 않으나 은행 정보 및 의료 기록과 같은 일부 개인 정보는 국가 기밀로 간주되어 추가적인 보호를 받는다.
마지막으로 영토적 범위에서, 프로세서가 베트남의 사이버 정보 보안 활동에 직접 관여하거나 관련되어 있는 경우 LOCIS는 일반적으로 국적 또는 베트남 영토 외부에서 처리된 데이터 여부와 관계없이 베트남 영토 내 모든 주체의 개인정보와 사생활을 보호한다.
한편 전자기적(electronic) 정보와 수기(manual) 정보 모두가 LOCIS의 보호 대상에 해당하는지는 명확하게 규정되어 있지 않다. 그러나 여타 베트남 법에서도 전자기적으로 기록되는 정보와 수기로 기록되는 정보를 별도로 구분하고 있지 않기 때문에 정보의 기록 형태와 무관하게 LOCIS의 적용 범위 및 대상에 해당하는 경우 관련 규정의 적용을 받는 것으로 이해할 수 있다.
라. 개인정보처리 동의
LOCIS 제3조 제17항에서는 개인정보처리에 대해 다음 활동 중 하나 이상이 이루어지는 것으로 정의하는데, 이는 상업적 목적으로 개인 정보를 네트워크망에서 수집, 편집, 사용, 저장, 게시, 공유, 전송 및 제3자에게 공유하는 총체적 행위를 말한다. 동법 16조 제5항에 따르면 국방, 보안, 사회질서 및 안보를 목적으로 하거나 비상업적인 목적으로 개인정보를 취급하는 경우에는 관계법령의 규정에 따른다.
한편, 동의를 획득하는 방식에 대해서는 별도의 규정이 존재하지 않는다. 따라서 법이 요구하는 요건을 적절한 형식으로 구현하는 경우 특별히 문제를 야기하지 않는다. 아울러 민감정보에 대한 정의가 별도로 없기 때문에 민감정보에 해당하는 개인 사생활 정보나 개인 비밀 등의 정보를 처리하는 경우에도 동의 형식에 있어서는 일반 개인정보에 적용되는 형식과 차이가 없다.
개인정보의 수집 및 이용에 대해 다룬 LOCIS 제17조 제1항, 네트워크 환경에서의 개인정보 수집, 처리 및 이용에 대해 다룬 정보기술에 관한 법(Law on Information Technology, 67/2006/QH11) 제21조 제1항에서는 개인정보처리의 동의를 획득한 경우의 수집, 처리 및 이용과 관련한 규정을 확인할 수 있다.
(1) LOCIS 제17조 제1항: 개인정보의 수집 및 이용
17-① 정보 수집 및 이용의 범위와 목적에 대해 정보주체의 동의를 얻은 후에만 개인정보를 수집한다.
17-② 수집한 개인정보는 개인정보 주체의 동의를 얻은 후에만 최초 사용 목적과 다른 용도로 사용할 수 있다.
17-③ 개인정보 소유자가 동의하거나 관할 국가 기관에서 요청하지 않는 한 수집, 접근 또는 처리되는 개인정보를 제3자와 공유, 배포해서는 아니 된다.
(2) 정보기술에 관한 법 제21조: 네트워크 환경에서의 개인정보 수집, 처리 및 이용
21-① 네트워크 환경에서 타인의 개인정보를 수집, 처리, 이용하는 단체 및 개인은 법률에 특별한 규정이 없는 한 동의를 받아야 한다.
위의 경우와 달리 (ⅰ)네트워크 환경에서 정보, 제품 및 서비스의 사용에 관한 계약을 체결, 수정 또는 이행하는 경우, (ⅱ)네트워크 환경에서 정보, 제품 및 서비스를 사용하기 위한 가격 및 요금 계산하는 경우, (ⅲ) 법률이 정하는 바에 따라 기타 의무를 수행하는 경우에는 예외적으로 개인정보처리의 동의 없이 타인의 개인정보를 수집, 처리, 이용할 권리가 있다.(정보기술에 관한 법 21조 3항)
(3) 동의 외 개인정보 적법 처리 근거 : LOCIS 제16조 제5항
국방, 보안, 사회질서 및 안보를 목적으로 하거나 비상업적인 목적으로 개인정보를 취급하는 경우에는 관계법령의 다른 규정에 따른다.
마. 정보주체의 권리
여타 개인정보보호법과 달리 LOCIS는 개인정보 처리제한권 또는 이동권, 반대권은 포함하지 않으나 큰 맥락에서 (ⅰ)정보 수집, 처리 및 사용 방법과 범위, 위치 및 목적에 대한 투명성, (ⅱ)처리 목적 달성 후 개인정보를 삭제하는 저장 정보의 제한성, (ⅲ)정보를 처리하는 프로세서가 지니는 개인정보에 대한 책임까지 총 3가지 원칙을 전제로 하며 다음과 같이 LOCIS에서 보장하고 있는 정보주체의 권리는 정보를 제공받을 권리, 시정권(정정권 및 삭제권), 개인정보에 대한 접근권을 포함한다.
(1) 정보를 제공받을 권리
정보를 제공받을 권리는 LOCIS 제17조 제3항에 명시되어 있으며, 개인정보의 주체는 개인정보를 처리하는 기관 및 개인이 수집·보존하는 개인정보의 제공을 요구할 권리가 있다. 이에 따라 정보처리자는 정보주체에게 본인의 개인정보를 수집, 처리, 사용하는 방법, 범위, 위치 및 목적을 알려야 하며, 또한 정보처리자는 개인정보를 제3자에게 전송할시 정보주체에게 이를 알려야 한다.
(2) 시정권(정정권 및 삭제권)
LOCIS는 제18조 제1항에 개인정보의 갱신, 변경 및 삭제에 관한 법률을 규정하고 있다. 정보주체는 개인정보를 처리하는 기관 및 개인이 수집, 보관하고 있는 자신의 개인정보를 갱신, 변경, 삭제하도록 요구할 수 있는 권리를 가진다.
또한 동조 제3항에서는 개인정보를 처리하는 기관 및 개인은 법령에 특별한 규정이 있는 경우를 제외하고, 저장된 정보의 이용목적이 달성되거나 보관기간이 경과한 경우에는 해당 정보를 삭제하고 해당 개인정보의 소유자에게 통지해야 함을 명시하고 있다.
(3) 접근권
LOCIS 제18조 제2항은 정보처리자가 수집하거나 유지 및 관리하는 개인정보에 대한 액세스를 요청할 권리를 정보주체에게 제공한다. 해당 조항은 다음과 같이 위에서 언급한 정정권 및 삭제권에 대한 권리를 포함하고 있음을 알 수 있다.
18-② 소유자로부터 개인정보의 갱신, 변경 또는 삭제에 대한 유효한 요구 또는 개인정보를 취급하는 제3자, 기타 조직 및 개인에 대한 개인정보 제공 중단에 대한 유효한 요구를 받은 경우 개인정보 처리자는 다음과 같이 수행해야 한다.
a) 요구 사항을 충족하고 이를 개인정보 소유자에게 통지하거나, 개인정보 주체에게 자신의 개인정보에 대한 접근, 갱신, 변경 또는 삭제 권한을 제공한다.
바. 정보처리자의 의무
베트남 법률은 정보를 처리하는 당사자 간 컨트롤러와 프로세서를 구분하지 않는다. 따라서 개인 정보를 처리하는 모든 조직 또는 개인은 정보처리자로 분류되며, 개인정보를 보유해 수집, 편집, 사용, 저장, 게시, 제공, 전송 및 제3자에게 공유하는 활동 중 하나 이상을 하는 경우 모두 관련 법령의 적용을 받는다.
비록 정보처리자를 대상으로 한 개인정보 처리 활동 기록 의무나 개인정보 영향평가를 강제하는 법률은 존재하지 않으나, LOCS는 전자 상거래 서비스, 소셜 네트워크 서비스, 온라인 게임 서비스 및 이메일 서비스 등에서 고객이 생성한 개인정보를 베트남 사회주의공화국 정부가 지정한 기간 동안 보존할 것을 규정함과 더불어 정보기술에 관한 법에서는 정보주체와 개인정보처리자 사이에 개인정보의 저장 기간에 대한 내용이 반드시 합의되어야 함을 명시하고 있다.
LOCIS는 네트워크에서의 개인정보보호에 대한 사항을 규정하고 있음에도 개별 기관이나 기업이 개인정보보호책임자(CPO or DPO)를 지정하도록 하는 규정이나, 그의 역할에 상응하는 담당자의 역할이나 책임을 규정한 조항이 없다. 하지만 LOCIS의 제24조에 따라 특정 유형의 조직(예: 통신 기업, 은행, 국가 기관, 국가 예산을 사용하는 정보 시스템 소유자 및 대형 정보 시스템 소유자 등) 내 정보 시스템 관리자는 정보 보안을 관리 및 감독하고 협력할 개인 또는 조직을 임명해야 하며 개인정보 보호를 포함해 정보 보안 업무를 처리함에 있어 베트남 정보통신부(MIC, Ministry of Information and Communications)와 협력한다. 정보처리자는 정보 침해와 관련한 사항이 발생했을 경우 가능한 빨리 관련 기관(예: 베트남 사이버보안 비상대응팀/조정 센터, VNCERT/CC, 2019년 설립)과 개인정보 주체에게 알려야 하며, 통지에 관한 의무기간은 지정되어 있지 않다.
그 외에 아동에 관한 법률(The Law on Children, 102/2016/QH13) 및 LOCS에서는 아동 보호 차원에서의 개인정보보호 의무와 지침을 언급하고 있다. 해당 법령에서는 아동의 부모 또는 보호자의 동의 없이 16세 미만 아동의 개인정보 공개를 금지하고 있으며, 정보시스템 관리자, 통신사업자, 인터넷서비스 제공자, 부가서비스 제공자는 자사 시스템 또는 서비스에 대한 정보가 아동에게 유해하지 않고 아동권리를 침해하지 않는지 확인하고 차단 및 삭제할 책임이 있다. 아동에게 유해하거나 아동권리를 침해하는 정보가 발견될 때마다 즉시 베트남 공안부 사이버보안 전담반에 알리고 협조한다.
사. 개인정보 역외 이전
일반적으로 정보처리자가 개인정보를 제3자(그룹사 포함)에 공유, 공개 또는 전송하려는 경우 정보처리자는 정보주체에게 알리고 해당 주체로부터 사전에 명시적인 동의를 얻어야 한다. 특히, 전자상거래 웹사이트에서 소비자의 개인정보를 수집 및 사용하는 거래자 또는 단체는 정보주체에게 제품 및 기타 상업 정보를 소개하는 광고 및 광고 전송을 위해 개인정보를 이용하는 경우에는 개인정보 사용에 대한 동의 또는 거부를 선택할 수 있도록 구체적인 메커니즘을 마련해야 한다.
그러나 역외 이전의 경우 정보 수출입자는 국가 또는 해외 기관 간 개인정보 이전을 포함하여 자동 처리 또는 일련의 작업을 수행하기 전 베트남 규제 기관으로부터 승인을 얻거나 제출하거나 혹은 감독 기관에 고지할 의무가 없다. 현재 법제적 틀을 마련하고 있는 개인정보보호법 초안의 개요에서는 개인정보 역외 이전에 대한 제한 규정을 도입할 것을 암시하고 있으나 2021년 10월 현재까지 시행령이나 시행규칙에 대한 추가적인 진전은 없다.
베트남은 '개인정보 국지화(data localization)'에 대한 요구가 강한 국가로, LOCIS는 베트남에서 온라인 서비스를 제공하는 기업은 국적에 관계없이 모두 베트남에 물리적인 형태의 사무실을 갖추고 베트남 내에 데이터 서버를 구축하도록 규정하고 있다. 하지만 자세히 살펴보면 데이터 저장에 관한 적용 가능한 규정 간 불일치(LOCIS는 해외 전송 금지, PDPD는 사본의 해외 전송, 복사, 저장은 허용) 등 데이터 현지화 요구 사항에 대한 현재 규정이 상충되는 부분이 있어, 향후 법령에서 이러한 부분이 보완될 것으로 전망된다.
아. 집행
LOCIS 제7조(금지 행위)는 아래와 같이 6가지의 금지 행위를 규정하고 있다.
- ①네트워크 정보 전송의 불법적 차단. 네트워크 정보의 개입, 접속, 피해 야기, 삭제, 변경, 재생산 및 호도
- ②정보시스템에 대한 불법적 영향력 행사. 합법적 접근 권한 보유 이용자의 정보시스템에 대한 접속 차단 내지 정보시스템의 정상적 운영 차단
- ③정보시스템에서의 네트워크 정보 보호를 위해 적용한 조치를 해제하기 위한 공격. 정보시스템에 대한 통제권의 불법적 탈취. 정보시스템에 대한 방해
- ④스팸이나 악성코드 발송. 가짜 정보시스템의 설치
- ⑤타인의 개인정보 불법 수집, 이용 배포, 거래. 개인정보를 수집하거나 악용하기 위한 목적으로 정보시스템 취약점을 악용
- ⑥정부 부처, 기관, 개인의 비밀 코드나 적법하게 암호화된 정보에 대한 불법적 접근. 민간 암호화 제품의 정보 공개, 출처 불명의 민간 암호화 제품의 사용이나 교환
특히 2020년 3월 제정된 시행령 번호 15/2020/ND-CP에 따르면 동의한 범위와 목적에 맞지 않거나 동의 없이 개인 정보를 사용하는 경우(제84조 제2(a)항); 수집 또는 통제되는 개인정보를 동의 없이 제3자에게 제공, 공개 또는 공개하는 행위(제84조 제2(b)항); 정보주체의 개인정보를 불법적으로 수집, 사용, 출판 및 거래하는 행위(제84조 제2(c)항); 정보주체의 요청에 따라 개인정보를 업데이트, 수정 또는 삭제하지 않는 경우(제85조 제2(a)항); 데이터 주체의 요청에 따라 데이터 주체에게 업데이트, 수정 또는 삭제에 대한 액세스 권한을 제공하지 않는 경우(제85조 제2(a)항); 수집한 개인정보를 수집 목적이 종료되거나 법정 보관 기간이 만료된 후에도 삭제하지 않는 경우(제85조 제2(b)항); 기술 표준, 사이버 정보 보안 규정을 준수하지 않는 경우(제86조 제2항) 2,000만–3,000만 VND(약 $880–1,320)의 과태료가 부과된다. 실제적이며 위협적인 법률 위반에 대한 구제책 또는 예방 조치를 적용하지 않은 경우(제86조 제3항) 5,000만-7,000만 VND(약 $2200-3100)으로 최고 과징금을 징수한다.
또한 소비자 동의 없이 개인정보를 반복적으로 위법하게 수집하는 경우에는 6–12개월 동안 전자상거래 행위에 대한 영업 정지를 명령받을 수 있다. 개인정보보호와 관련한 법령을 위반하는 경우 최대 3년까지 징역을 선고받을 수 있으며, 다른 사람의 프라이버시 권리를 침해하거나 개인정보 소유자의 동의 없는 통신 감청 내지 접근 등을 행한 경우 범죄의 심각성에 따라 이와 같은 형사처벌을 받을 수 있다.
한편 민법(the Civil Code) 제13조에 따라 정보보호법 위반으로 손해를 입은 자는 침해자로부터 배상을 받을 수 있으나, 배상을 받기 위해서는 청구인이 직접 법적 조치를 취해야 하며 실제 손해에 대한 입증 책임을 져야 한다.