디지털 전환에서 인권을 보장하기 위한 단계

개인정보 보호는 데이터와 관련된 기본적인 인권과 자유를 보호하는 것입니다.

2023년 4월 17일, 정부는 개인정보 보호에 관한 법령 제13/2023/ND-CP호(령)를 발표했으며, 이는 2023년 7월 1일부터 발효됩니다. 이는 개인정보 권리 보호, 개인정보 침해 행위 방지, 개인 및 조직의 권리와 이익 침해에 대한 요건을 충족합니다.

하이라이트

이 법령은 개인정보 보호와 관련 기관, 조직 및 개인의 개인정보 보호 책임을 규정하는 법적 문서입니다.

첫째, 개인정보 보호는 데이터와 관련된 기본적인 인권과 자유를 보호하는 것입니다. 개인정보 보호법 시행령의 규정은 운영 과정에서 각 개인의 권리와 자유가 침해되는 것을 방지하는 것을 목표로 합니다.

동시에 개인 데이터의 보안은 특히 중요합니다. 데이터가 도난당하면 경제적 , 사회적 손실과 협박, 사기, 재산 탈취, 명예 훼손, 명예, 존엄성 침해, 성적 학대 등의 위험이 발생하여 물질적, 정신적 결과를 초래하고 기관, 조직, 기업 및 개인의 권리와 합법적 이익에 직접적인 영향을 미칩니다.

둘째, 개인정보 주체의 권리를 증진하고 존중해야 합니다. 개인정보 주체의 권리에는 접근권, 개인정보 처리에 대한 동의 또는 거부권, 정보 제공을 받을 권리, 데이터 삭제를 요청할 권리가 포함됩니다.

또한, 정보주체는 다른 정보주체가 자신의 개인정보를 침해하는 것을 방지할 권리를 가집니다. 정보주체는 본 시행령의 규정 위반으로 개인정보 보호권이 침해될 경우 손해배상을 청구할 권리가 있습니다. 또한, 본 시행령은 정보주체의 동의 없이 개인정보를 수집, 이전 또는 매매하는 행위가 법률 위반임을 명시하고 있습니다.

그러나 개인정보주체의 개인정보 보호권은 절대적인 권리는 아니며, 본인 또는 타인의 생명과 건강을 보호하기 위한 긴급한 경우, 국가방위, 국가안보, 사회질서와 안전에 관한 긴급사태, 법률에 정해진 계약상 의무의 이행, 국가기관의 업무를 위한 경우 또는 전문법률에 따라 규정된 경우에는 제한될 수 있습니다.

예외 규정은 개인 및 조직의 권리를 보장하는 원칙을 구현하는 것을 목표로 하지만, 그러한 권리를 행사하기 위해 다른 개인, 조직 또는 국가 이익을 침해해서는 안 됩니다.

셋째, 개인정보 보호 문제에 대한 국제적 통합 과정을 촉진합니다. 이 법령은 개인정보 보호에 관한 국제 관행 및 규정과 양립합니다. 많은 선진국들이 개인정보 보호 문제를 법제화했으며, 이는 베트남이 연구하고 참고할 수 있는 근거가 됩니다.

또한, 베트남이 회원이거나 베트남과 협력하는 국제기구들은 개인정보보호 및 정보 및 개인정보 보호에 관한 협약, 권고안 및 표준을 발표했습니다. 여기에는 경제협력개발기구(OECD)의 개인정보보호 원칙, 정보 및 개인정보의 자동 처리와 관련된 개인 보호에 관한 유럽평의회 협약, 전산화된 개인정보 및 정보 파일에 관한 유엔 지침, 아시아 태평양 경제협력체(APEC) 개인정보보호 프레임워크, 개인정보보호 및 정보 및 개인정보 보호에 관한 국제 표준(마드리드 결의), EU 일반 데이터 보호 규정(GDPR) 등이 포함됩니다.

또한, 우리나라와 다른 국가 및 영토 간의 협력을 증진하는 과정에서 80개국 이상이 개인정보 보호에 관한 법률 문서를 발표했으며, 그중 다수가 베트남 기관 및 개인에게 적용되는 조항을 포함하고 있습니다. 따라서 개인정보 보호에 관한 구체적이고 상세한 규정은 베트남에서 외국인 개인 및 기관을 포함하여 평등과 법치주의의 환경을 조성하는 것을 목표로 합니다.

도전 과제

현재에도 이 법령을 시행하는 데에는 상당한 어려움이 있습니다.

첫째, 기업 직원 관리의 어려움입니다. 현재 많은 기업들이 모회사와 자회사가 동일한 경영 생태계를 구축하는 모델을 구축하고 있으며, 이를 통해 공통 시스템을 통해 직원 정보에 쉽게 접근할 수 있습니다.

그러나 베트남 법에 따르면 각 회사(모회사 및 자회사 포함)는 별개의 독립된 법적 개체로 간주되므로 동일한 생태계에 있는 회사가 기업의 내부 관리 프로세스를 위해 직원의 개인 데이터를 전송하는 것도 기업의 개인 데이터 보호 책임 위반으로 간주될 수 있습니다.

반면, 현재 많은 기업들이 해당 법령을 이행하는 데 어려움을 겪고 있으며, 해당 법령에 따라 임직원 개인정보를 관리하고 보호하기 위한 메커니즘과 규정을 아직 ​​완성하지 못하고 있습니다.

둘째, 이는 신용기관 운영에 관한 법률 규정과 부합하지 않습니다. 현재 신용기관의 운영은 다음과 같은 전문 법률 규정에 의해 규제됩니다. 신용기관법(2010년, 2014년 개정 및 보완), 자금세탁방지법, 신용기관 및 외국은행 지점의 고객 정보 비밀 유지 및 제공에 관한 법령 117/2018/ND-CP, 그리고 하위 단계 은행 업무의 정보 시스템 보안을 규정하는 국가은행 회람 09/2020/TT-NHNN.

반면, 은행 업무의 경우 데이터 처리는 개인 데이터에 영향을 미칩니다. 개인 데이터의 수집, 기록, 분석, 확인, 저장, 편집, 공개, 결합, 접근, 검색, 회수, 암호화, 복호화, 복사, 공유, 전송, 제공, 이전, 삭제, 파기 또는 이와 관련된 기타 행위는 고객에게 서비스를 제공하고 은행 업무의 위험을 관리하며 통화 시스템의 안전과 보안을 보장하는 데 필수적입니다. 따라서 개인 고객 데이터를 처리하는 많은 활동은 고객의 동의를 필요로 하지 않으며, 그럴 수도 없습니다. 또한 법령 제3조 제2항 및 제9조 제1항은 다른 법률에서 달리 규정하는 경우를 제외하고 주체가 자신의 개인 데이터 처리에 대해 알 권리가 있다고 규정하고 있습니다.

또는 제9조 제2항에서 정보주체는 자신의 개인정보 처리에 동의하지 않을 권리가 있다고 규정하고 있습니다. 정보주체는 다른 법률에 제9조에 다른 규정이 있는 경우를 제외하고, 데이터 처리에 대한 삭제, 접근, 제한 요청 및 이의 제기 권리를 갖습니다. 따라서 이 법령을 엄격하게 적용하고 통일된 지침 없이 적용하는 것은 혼란스럽고 부적절할 것입니다.

또한, 신용기관의 서비스 및 상품 제공은 하나의 상품에 대해 여러 프로세스를 거쳐 이루어지고 있으며, 각 프로세스는 매우 방대한 고객 파일에 대한 데이터 수집, 평가, 분석 및 제공과 관련된 여러 단계를 포함합니다. 본 시행령은 개인정보처리자 및 처리자가 데이터 처리 활동을 수행할 때 모든 처리 절차에서 데이터 주체(고객)의 동의를 받도록 규정하고 있습니다(제11조). 또한 데이터 처리 활동을 수행하기 전에는 반드시 데이터 주체에게 통지해야 합니다(제13조). 이는 신용기관 운영의 또 다른 장애물로 남아 있습니다.

또한, 신용기관은 신용기관의 운영과 관련된 정보기술시스템 및 기타 하위법령 문서를 조정해야 하며, 법령을 준수하기 위해 계약 및 합의서 템플릿을 개정해야 하므로 은행 업무에 상당한 어려움이 발생합니다.

셋째, 일부 국민은 개인정보 보호에 대한 인식과 이해가 부족해 소셜 네트워크 플랫폼에서 개인정보를 쉽게 공유하고, 의도치 않게 악의적인 사람들이 이를 악용해 나쁜 목적을 달성하는 경우가 있습니다.

일부 사람들은 개인정보보호가 개인의 사생활을 보장하는 것이라는 가치를 명확히 인식하지 못하고, 개인정보 제공을 두려워하여, 당국이 개인정보보호에 대한 국가관리를 실시하고 개인정보보호법 위반에 대한 조사 및 처리에 어려움을 겪고 있습니다.

또한, 개인정보 매매 상황과 정보 유출 위험은 심각한 사회경제적 문제를 야기하며 심각한 결과를 초래합니다. 사기 행위, 전화 및 메시지를 통한 스팸 광고는 여전히 복잡하게 얽혀 사람들의 삶에 영향을 미치고 있습니다.

개인 데이터 보안은 특히 중요합니다. 데이터가 유출될 경우 경제적, 사회적 손실을 초래할 수 있으며, 기관, 조직, 기업 및 개인의 권리와 정당한 이익에 직접적인 영향을 미칠 수 있기 때문입니다. (출처: Shutterstock)

법령을 실천하다

베트남은 7천만 명이 넘는 사용자를 보유하고 있으며, 세계에서 가장 빠른 인터넷 발전과 애플리케이션 속도를 자랑하는 국가 중 하나입니다. 베트남 인구의 3분의 2 이상의 개인 정보가 디지털 환경과 사이버 공간에 다양한 형태와 세부 수준으로 저장, 게시, 공유 및 수집되어 왔습니다.

이 법령은 디지털 전환에서 인권을 보장하고, 개인 데이터를 보장, 보호 및 보안하는 관행의 단점과 부족함을 극복하고, 베트남 내 개인 데이터 처리 활동에 직접적으로 관여하거나 관련된 국내외 기관, 조직 및 개인의 책임을 강화하는 데 있어 획기적인 조치입니다.

이 법령이 실제로 효과를 발휘하려면 다음 문제에 초점을 맞출 필요가 있습니다.

첫째, 근로자의 권리 보호에 대한 기업의 책임을 강화해야 합니다. 기업은 근로자를 고용할 때 근로자의 정보를 수집하고 보관해야 합니다. 노사 관리의 목적을 위해 사용자와 기업은 근로자로부터 많은 개인정보를 수집하고 관리하지만, 정보 관리 및 처리에 부주의할 경우 예측할 수 없는 결과를 초래할 수 있습니다.

기업은 해당 법령의 전반적인 영향을 신중하게 연구하고 평가해야 하며, 새로운 규정에 따라 개인 데이터를 처리하기 위한 절차와 지침을 즉시 검토하고 업데이트해야 합니다. 또한 해당 법령의 조항에 따라 메커니즘을 수립하고 거버넌스 규정을 구축하는 것을 고려해야 하며, 운영 프로세스 전반에 걸쳐 해당 메커니즘과 규정을 유지하고 준수해야 합니다.

둘째, 신용기관의 신용 활동 관련 애로사항을 해소해야 합니다 . 국가은행은 공안부를 비롯한 관련 부처와 긴밀히 협력하여 신용 부문의 개인정보 보호에 대한 통일된 지침을 제공해야 합니다. 이를 통해 신용기관의 고객 데이터 보호 운영 책임을 강화하고, 전문적인 요구 사항 및 업무를 충족할 수 있습니다.

셋째, 이 법령이 실질적으로 시행되기 위해서는 관련 법규의 보급 및 교육이 충실히 이루어져야 합니다. 특히, 시민권 및 인권 존중과 보호를 최우선 목표로 이 법령을 제정해야 할 필요성을 강조해야 합니다. 그리고 무엇보다도 개인정보주체 스스로 개인정보 보호에 대한 인식과 책임을 충분히 이해하고 제고해야 합니다.