개인정보 보호에 관한 국제법 및 베트남에 미치는 영향

베트남은 세계에서 가장 인터넷 개발 및 응용 속도가 빠른 국가 중 하나로, 인구의 약 80%가 인터넷을 사용하고 있으며, 베트남 인구의 3분의 2에 달하는 개인 데이터가 사이버공간에 다양한 형태와 세부 수준으로 저장, 게시, 공유 및 수집되고 있습니다.

베트남은 2022년과 2023년에 수천 기가바이트의 데이터와 수십억 건의 개인정보 매매와 관련된 5건의 형사 사건을 기소했습니다. 이는 국제법 연구 및 참고를 바탕으로 개인정보 보호법을 개선할 필요성이 시급함을 보여줍니다.

개인정보 보호에 관한 국제법

GDPR은 현재 전 세계에서 가장 엄격한 개인정보 보호 메커니즘을 만들어낸 중요한 법적 진전으로 여겨진다.

유럽연합(EU) 일반 데이터 보호 규정(GDPR) 은 현재 전 세계에서 가장 엄격한 개인 정보 보호 메커니즘을 만들어낸 중요한 법적 진전으로 간주되며 EU 내 시민의 개인 데이터를 처리하는 모든 조직과 기업에 적용됩니다.

GDPR은 EU 전역의 기업에 대해 위반 사항에 대해 동일한 처벌을 부과합니다. 구체적으로, 경미한 위반의 경우 매출액의 최대 2% 또는 1천만 유로, 중대한 위반의 경우 매출액의 최대 4% 또는 2천만 유로의 벌금이 부과됩니다. 벌금 외에도 GDPR을 위반하는 기업은 데이터 처리를 중단하거나 GDPR을 위반하여 처리된 데이터를 삭제하는 등 다른 제재를 받을 수 있습니다.

EU의 개인 데이터 보호 기관은 EU 데이터 보호 감독 기관(EDPS)으로, 경험이 풍부한 변호사, IT 전문가, 관리자 등으로 구성된 독립 기관입니다.

이 기관의 주요 기능은 EU 기관 및 조직의 개인정보 처리를 감독하고 개인정보 관련 문제에 대한 자문을 제공하는 것입니다. GDPR은 또한 각 회원국에 국가 개인정보보호위원회(프랑스, 아일랜드 등) 또는 데이터 보호 감독원(핀란드, 라트비아 등)과 같은 개인정보보호기관의 설립을 요구합니다.

EU는 EDPS와 함께 회원국의 국가 데이터 보호 기관 대표와 EU 대표로 구성된 유럽 데이터 보호 위원회(EDPB)를 설립했으며, 개인 데이터 보호 문제에 대한 주요 독립 자문 기관으로서 GDPR이 유럽 연합 전역에 일관되게 적용되도록 책임을 맡고 있습니다.

GDPR은 물질적 및 비물질적 제재 모두에 대해 높은 억제력을 지닌 제재를 규정하고 있습니다. 또한, EU 개인정보보호기관은 집행위원회/위원 모델에 따라 운영되므로, 조직이 개인정보보호 규정을 위반할 경우 제재를 부과할 수 있는 광범위하고 독립적인 권한을 가지며, 개인정보 처리를 독립적으로 평가하고 결정할 수 있습니다.

2021년에 제정된 중국 개인정보보호법 (PIPL) 은 중국 최초의 포괄적인 국가 차원의 개인정보보호법으로 간주됩니다. PIPL은 개인정보를 중국 영토 내 소수의 개인을 대상으로 특정 개인을 식별하거나 식별할 수 있는 정보로 비교적 통일된 관점을 취합니다(개인정보보호법 제4조 제1장). 동시에, 민감 개인정보 문제를 규제하여 보다 구체적인 데이터 집단과 관련된 당사자의 권리와 의무에 대한 규정을 확립합니다.

개인정보보호법(PIPL)에 따른 개인정보 권리 침해에 대한 제재는 매우 엄격하며, 강제 시정, 불법 소득 몰수, 서비스 중단, 영업 또는 운영 허가 취소, 그리고 최대 5천만 위안 또는 직전 회계연도 연간 매출의 5%에 해당하는 벌금이 부과됩니다. 또한, 위반 사항은 국가 사회 신용 시스템상 처리 부서의 "신용 파일"에 기록될 수 있습니다.

또한, 처리 기관은 조직 및 개인의 권익을 침해할 경우 손해 배상 책임을 져야 합니다. 이러한 유형의 위반에 대한 형사 처벌은 중국 형법에도 명시되어 있으며, 정보 기밀 유지 책임자에 대한 형사 책임을 강화하고 재산 몰수라는 형태를 추가하며, 최고 형량인 종신형을 규정하고 있습니다.

싱가포르 개인정보보호법 (PDPA) 은 2012년에 통과되었고 2020년에 개정되었습니다. 싱가포르 법은 개인정보 보호권과 더불어 특정 상황에서 조직이 적절한 목적을 위해 정보를 수집, 사용 및 공개할 필요성을 인정합니다.

PDPA는 데이터 유출에 대해 엄중한 재정적 처벌을 규정하고 있습니다. 이 법을 위반하는 개인은 벌금형 또는 징역형에 처해집니다. 벌금은 위반의 성격과 심각성에 따라 달라지며, 2,000 싱가포르 달러에서 100,000 싱가포르 달러(16억 동 상당)까지의 벌금 및/또는 12개월 이하의 징역형, 그리고 심각한 경우 최대 3년1까지의 징역형에 처해질 수 있습니다. 법을 위반하는 기관 및 회사는 연매출의 최대 10%까지 벌금형에 처해질 수 있습니다.

개인정보보호법(PDPA) 이행에 중요한 역할을 하는 기관은 개인정보보호위원회(PDPC)입니다. PDPC는 광범위한 권한과 집행 역량을 갖춘 전문 기관으로, 개인 및 단체에 개인정보 처리와 관련된 정보 및 문서 제공을 요청하고, 위반 시 벌금을 부과하며, 기타 조치를 통해 처리할 수 있는 권한을 가지고 있습니다.

싱가포르 개인정보보호위원회라는 전문기관을 설립하여 위반 사항을 독립적으로 적극적으로 탐지하고, 처리하고, 제재를 적용하는 것 역시 싱가포르에서 개인정보 보호를 효과적으로 시행하기 위한 조건 중 하나입니다.

베트남 개인정보보호법 개선을 위한 권고사항

현재 베트남에는 헌법, 법전(4), 법률(39), 조례(1), 법령(2), 통지/공동 통지(4), 장관 결정(1) 등 다양한 문서에 규정된 개인정보 보호 문제와 직접 관련된 법률 문서가 69개 있습니다.

이 문서들은 기본적으로 개인정보 보호 문제에 대해 정보주체의 프라이버시 보장 원칙을 강조하는 방향으로 접근하지만, 개인정보 관련 정보에 대한 규정은 각기 다릅니다. 정보주체의 권리와 의무, 정보 처리, 그리고 개인정보 보호 방법 등에 대한 내용이 포함되어 있습니다. 베트남의 개인정보 보호법은 주목할 만한 성과를 거두었으며, 특히 2023년 4월 17일 정부는 개인정보 보호에 관한 법령 제12/2023/ND-CP호를 발표했습니다. 이는 우리나라의 개인정보 보호 관련 별도 문서입니다. 이러한 법률 문서들은 개인정보 보호 업무에 법적 근거를 마련했습니다. 정보주체와 처리 주체의 권리를 명시하고, 개인정보 보호 위반에 대한 제재를 규정하며, 공안부 산하 사이버보안 및 첨단기술범죄예방국을 개인정보 보호 전문기관으로 지정했습니다.

베트남은 사이버 공간에서 많은 위험, 과제, 위협에 직면해 있으며, 특히 개인 정보와 데이터의 유출 및 도용이 심각하여 시민과 사회에 많은 해로운 영향을 미치고 있습니다.

그러나 이러한 문서의 실제 시행은 많은 한계점을 드러냈습니다. 예를 들어 현재의 별도의 법률 문서는 법령 수준에만 머물러 있어 개인정보 보호의 중요성을 충족하지 못하고, 많은 내용이 현재 일반적으로 규제되고 불분명하여 각 사례에 대한 구체적인 지침이 부족하고, 제재가 여전히 약하고 억제력이 충분하지 않습니다.

이러한 상황에서 베트남의 개인정보보호법의 지속적인 개선은 다른 국가들의 경험을 바탕으로 연구되어야 할 중요한 과제입니다. 구체적으로는 다음과 같습니다.

첫째, 개인정보 보호법을 제정해야 합니다 . 4차 산업혁명 시대에 접어들면서 80여 개국이 지역 및 국가 차원에서 개인정보 보호를 위한 별도의 법률을 제정했습니다. 베트남은 EU, 중국, 싱가포르처럼 개인정보 보호법과 같이 개인정보 보호의 기본 원칙과 쟁점을 명시한 일반적이고 전문적인 데이터 관련 법률을 조속히 연구하고 제정해야 합니다. 현재 우리나라의 관련 법률은 용어 및 내용 규정 측면에서 일관성이 부족한 상황에서, 별도의 개인정보 보호법 제정은 개인정보 보호를 위한 중요한 법적 근거가 될 것입니다.

둘째, 개인정보 침해에 대한 제재를 위반의 성격과 심각성에 맞춰 더욱 엄중하게 개정 및 보완해야 합니다. 우리나라의 개인정보 침해에 대한 제재는 행정제재, 민사제재, 형사제재로 구분되어 있지만, 일반적으로 그 규모가 매우 가벼워 억제 효과가 크지 않습니다. 현재 주된 방법은 행정제재이지만, 관련 규정은 여러 법령에 분산되어 있으며, 벌금은 매우 낮은 수준입니다. 최고 벌금은 개인 1억 동, 단체 2억 동입니다.

개인정보에 대한 행정적 위반 행위는 물질적 피해뿐만 아니라 명예와 존엄성 훼손까지 초래할 수 있습니다. 행정 제재 외에 개인정보 침해에 대한 형사 제재는 현행 형법 제159조와 제288조의 개인정보보호 및 정보기술·네트워크 보안 분야 규정에만 명시되어 있으며, 최대 징역 7년, 최대 벌금 10억 동(VND)으로 비교적 낮은 수준입니다. EU의 2천만 유로, 싱가포르의 100만 싱가포르 달러, 중국의 종신형과 비교하면 이러한 벌금은 여전히 ​​매우 낮은 수준으로, 많은 위반 사례에 비해 턱없이 부족합니다.

동시에 현재 법률에 명시되지 않은 대규모 데이터 거래, 데이터 침해를 위한 시스템 구축, 마케팅 서비스업 위법행위 등 많은 행위군을 규제할 필요가 있습니다.

셋째, 베트남 개인정보보호기관 모델을 참고하여 , 현재 공안부 산하 사이버보안 및 첨단범죄예방국이 개인정보보호 전문기관입니다. 국제 규정을 참고하여, 개인정보보호법 시행, 감사, 시험, 지침 및 권고안 발표, 위반 사항 시 제재 조치를 담당하는 독립적인 개인정보보호기관 설립을 고려할 수 있습니다.

우리는 EU나 싱가포르의 이러한 모델을 참고하여 개인 데이터 보호법을 효과적으로 시행하고, 개인 권리 보호와 네트워크 보안 보장 간의 균형을 이룰 수 있습니다.

개인 데이터를 보호하는 것은 간단한 문제가 아닙니다. 특히 통합의 맥락에서 볼 때 더욱 그렇습니다. 개인 데이터 모니터링 및 수집 활동이 대규모로 이루어지고 있으며 이 문제를 규제하는 베트남 법률 시스템이 아직 구축되고 완성되는 과정에 있기 때문입니다.

베트남의 실제 상황을 참고하여 이 문제에 대한 국제법을 연구하는 것은 국제법과 효과적인 집행에 부합하는 포괄적인 개인 데이터 보호를 위한 법적 틀을 곧 구축하는 데 도움이 될 것입니다.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html