디지털 전환에서 인권을 보장하기 위한 단계

개인 데이터 보호는 데이터와 관련된 기본적인 인권과 자유를 보호하는 것입니다.

2023년 4월 17일, 정부는 개인 데이터 보호에 관한 법령 제13/2023/ND-CP호(령)를 발표했으며, 이는 2023년 7월 1일부터 발효되어 개인 데이터 권리 보호 요구 사항을 충족합니다. 개인 및 조직의 권리와 이익에 영향을 미치는 개인정보 침해 행위를 예방합니다.

하이라이트

이 법령은 개인정보 보호와 개인정보를 보호하기 위한 관련 기관, 조직, 개인의 책임을 규정하는 법적 문서입니다.

첫째, 개인정보 보호는 데이터와 관련된 기본적인 인권과 자유를 보호하는 것입니다. 개인정보 보호에 관한 법령의 시행에 있어서는 각 개인의 권리와 자유가 침해되는 것을 방지하는 것을 목적으로 한다.

동시에 개인 정보의 보안은 특히 중요합니다. 데이터가 도난당하면 경제적, 사회적 손실과 협박, 사기, 재산 침해, 명예 훼손, 명예 훼손, 존엄성 침해, 성적 학대 등의 위험이 발생하여 물질적, 정신적 결과를 초래하고 기관, 조직, 기업 및 개인의 권리와 합법적 이익에 직접적인 영향을 미칩니다.

둘째, 개인정보주체의 권리를 증진하고 존중한다. 개인 데이터 주체의 권리에는 접근 권리, 개인 데이터 처리에 대한 동의 또는 반대 권리, 정보를 받을 권리, 데이터 삭제 요청 권리가 포함됩니다.

나아가, 개인정보주체는 다른 주체의 개인정보 침해로부터 자신을 보호할 권리도 갖습니다. 주체는 법령의 규정 위반으로 개인정보 보호권이 침해된 경우, 손해배상을 청구할 권리가 있습니다. 또한 이 법령에서는 정보주체의 동의 없이 개인정보를 수집, 이전하거나 매매하는 행위가 법률 위반임을 명확히 규정하고 있습니다.

그러나 개인정보주체의 개인정보 보호권은 절대적인 권리가 아니며, 개인 또는 다른 사람의 생명과 건강을 보호하기 위한 긴급한 경우에는 제한될 수 있습니다. 국가 방위, 국가 안보, 사회 질서 및 안전에 관한 비상 사태; 정해진 계약상의 의무를 이행하거나, 전문법이 규정하는 바에 따라 국가 기관의 업무를 수행합니다.

예외 규정은 개인 및 조직의 권리를 보장하되, 그 권리를 행사하기 위해 다른 개인, 조직 또는 국가 이익을 침해하지 않는다는 원칙을 구현하는 것을 목적으로 합니다.

셋째, 개인정보 보호에 대한 국제적 통합을 촉진합니다. 이 법령은 개인정보 보호에 관한 국제 관행 및 규정과 호환됩니다. 많은 선진국에서는 개인정보 보호 문제를 합법화했는데, 베트남에서는 이를 연구하고 참고하고 있습니다.

또한, 베트남이 회원으로 있거나 우리나라와 협력하고 있는 국제기구에서는 개인정보보호와 개인정보 및 데이터 보호에 관한 협약, 권고안, 표준을 발표했습니다. 여기에는 경제협력개발기구(OECD)의 개인정보 보호 원칙, 정보 및 개인 데이터의 자동 처리와 관련한 개인 보호에 관한 유럽평의회 협약, 전산화된 개인 데이터 및 정보 파일에 관한 UN 지침, 아시아태평양 경제협력체(APEC) 개인정보 보호 프레임워크, 개인정보 보호와 정보 ​​및 개인 데이터 보호에 관한 국제 표준(마드리드 결의안), EU 일반 데이터 보호 규정(GDPR) 등이 포함됩니다.

또한, 우리나라와 다른 국가 및 영토 간의 협력을 촉진하는 과정에서 80개국 이상에서 개인정보 보호에 대한 법적 문서를 발행하였으며, 이 중 많은 문서에 베트남 조직과 개인에게 적용되는 규정이 포함되어 있습니다. 따라서 개인정보 보호에 대한 구체적이고 세부적인 규정은 베트남 내에서 외국인 개인과 조직을 포함하여 평등하고 법을 준수하는 환경을 조성하는 것을 목표로 합니다.

도전 과제

현재에도 해당 법령을 시행하는 데에는 상당한 어려움이 있습니다.

첫째, 기업의 노사관리의 과제이다. 요즘에는 많은 기업이 모회사와 자회사가 동일한 경영 생태계를 공유하는 모델을 구축하고 있으며, 직원 정보는 공통 시스템에서 쉽게 접근할 수 있습니다.

그러나 베트남 법에 따라 각 회사(모회사와 자회사 포함)는 별개의 독립된 법적 개체로 간주되므로 동일한 생태계에 있는 회사가 기업의 내부 관리 프로세스에 활용하기 위해 임직원의 개인정보를 이전하는 것도 기업의 개인정보 보호 책임 위반으로 간주될 수 있습니다.

반면, 현재 많은 기업들이 해당 법령을 시행하는 데 어려움을 겪고 있으며, 해당 법령에 따라 임직원 개인정보를 관리하고 보호하기 위한 메커니즘과 규정을 아직 ​​완성하지 못한 상태입니다.

둘째, 신용기관의 운영에 관한 법적 규제와 일치하지 않습니다. 현재 신용기관의 운영은 다음과 같은 전문적인 법률 규정에 의해 규제됩니다. 신용기관법(2010, 2014년 개정 및 보완) 자금세탁방지법; 신용 기관 및 외국 은행 지점의 고객 정보 기밀 유지 및 제공에 관한 법령 117/2018/ND-CP; 법률 하위 수준의 은행 활동에서 정보 시스템 보안을 규제하는 국립은행의 순환문 09/2020/TT-NHNN.

반면, 은행 업무의 경우 데이터 처리는 개인 데이터에 영향을 미칩니다. 개인 데이터의 수집, 기록, 분석, 확인, 저장, 편집, 공개, 결합, 접근, 검색, 회수, 암호화, 복호화, 복사, 공유, 전송, 제공, 이전, 삭제, 파기 또는 이와 관련된 기타 조치는 고객에게 서비스를 제공하고 은행 업무에서 위험을 관리하며 통화 시스템의 안전과 보안을 보장하는 데 필수적입니다. 따라서 개인 고객 데이터를 처리하는 많은 활동은 고객의 동의를 필요로 하지 않으며, 요구할 수 없습니다. 반면 법령 제3조 제2항 및 제9조 제1항은 다른 법률에서 달리 규정하지 않는 한 개인 데이터 처리에 대한 권리를 주장하는 주체에게 권리가 있다고 규정하고 있습니다.

또는 제9조 제2항에서는 정보주체가 자신의 개인정보 처리에 동의하지 않을 권리가 있다고 규정하고 있습니다. 주체는 제9조에 다른 법률이 달리 규정한 경우를 제외하고 데이터 처리에 대한 삭제, 접근, 제한 요청 및 이의 제기 권리를 갖습니다. 따라서 이 법령을 엄격하게 적용하고 통일된 지침 없이 적용하면 혼란스럽고 부적절할 것입니다.

또한 신용기관의 서비스 및 상품 제공은 하나의 상품에 대한 여러 프로세스에 따라 이루어지고, 하나의 상품에 대한 각 프로세스는 여러 단계를 포함하고 있으며, 매우 큰 고객 파일의 데이터 수집, 평가, 분석 및 제공과 관련이 있으며, 법령은 개인 데이터를 통제하고 처리하는 당사자가 데이터 처리 활동을 수행할 때 모든 처리 절차에서 데이터 주체(고객)의 동의를 받아야 한다고 요구합니다(제11조). 그리고 데이터 처리 활동을 수행하기 전에 개인정보 주체에게 통지해야 합니다(제13조). 이는 신용기관의 운영에 대한 또 다른 장애물로 남아 있다.

또한, 신용기관은 신용기관의 운영과 관련된 정보기술시스템 및 기타 하위법령 문서를 조정해야 합니다. 법령을 준수하기 위해 계약서와 합의서를 편집해야 하므로 은행 업무에 적지 않은 어려움이 발생합니다.

셋째, 일부 국민은 개인정보 보호의 중요성을 알지 못하고, 이를 이해하지 못하기 때문에 소셜 네트워크 플랫폼에서 개인정보를 쉽게 공유하며, 의도치 않게 나쁜 사람들이 이를 악용해 악의적인 목적을 달성하도록 허용합니다.

일부 사람들은 개인정보 보호가 개인의 프라이버시를 보장하는 데 중요하다는 것을 명확하게 알지 못하고, 개인정보를 제공하는 것을 두려워하여 당국이 개인정보 보호에 대한 국가 관리를 실시하고 개인정보 보호법 위반에 대한 조사와 처리를 하는 데 어려움을 겪고 있습니다.

또한 개인정보의 매매 상황, 정보 유출의 위험은 사회경제적 문제에 영향을 미쳐 큰 파장을 불러일으킵니다. 전화나 문자 메시지를 통한 사기와 스팸 광고는 여전히 복잡하여 사람들의 삶에 영향을 미칩니다.

개인 데이터 보안은 특히 중요합니다. 데이터가 도난당하면 경제적, 사회적 손실이 발생할 수 있으며, 기관, 조직, 기업 및 개인의 권리와 합법적 이익에 직접적인 영향을 미칠 수 있기 때문입니다. (출처: Shutterstock)

법령을 실행에 옮기다

베트남은 7,000만 명이 넘는 사용자를 보유하고 있으며, 세계에서 가장 인터넷 개발 및 애플리케이션 속도가 빠른 국가 중 하나입니다. 우리나라 인구의 3분의 2 이상의 개인 데이터가 디지털 환경과 사이버공간에 다양한 형태와 세부 수준으로 저장, 게시, 공유, 수집되었고 지금도 저장되고 있습니다.

이 법령은 디지털 전환 속에서 인권을 보장하고, 개인 정보의 보장, 보호 및 보안 관행에서의 단점과 부족함을 극복하며, 베트남 내 개인 정보 처리 활동에 직접적으로 관여하거나 관련된 국내외 기관, 조직 및 개인의 책임을 강화하는 데 있어 획기적인 조치입니다.

이 법령이 실제로 효과를 발휘하려면 다음 문제에 초점을 맞출 필요가 있습니다.

그 중 하나는 근로자의 권리를 보호하는 데 있어 기업의 책임을 강화하는 것입니다 . 기업은 인력을 고용할 때 직원 정보를 수집하고 저장해야 합니다. 노무관리의 목적을 달성하기 위해 사용자와 사업체는 임직원으로부터 많은 개인정보를 수집하여 관리하고 있는데, 정보의 관리 및 처리에 부주의할 경우 예측할 수 없는 결과를 초래하게 됩니다.

기업은 해당 법령의 영향을 신중하게 연구하고 종합적으로 평가해야 하며, 새로운 규정에 따라 개인 데이터 처리 절차 및 지침을 즉시 검토하고 업데이트해야 합니다. 법령의 규정에 따라 메커니즘을 확립하고 거버넌스 규정을 구축하는 것을 고려하십시오. 운영 전반에 걸쳐 해당 메커니즘과 규정을 유지하고 준수합니다.

둘째, 신용기관의 신용활동에 대한 어려움을 해소한다 . 국가은행은 신용부문의 개인정보 보호에 관한 통일된 지침을 제공하기 위해 공안부를 비롯한 관계부처와 긴밀히 협력해야 하며, 이를 통해 신용기관의 고객 데이터 보호 운영 책임을 촉진하고 전문적인 요구 사항과 업무를 충족해야 합니다.

셋째, 법령을 실제로 시행하려면 법률을 대중화하기 위한 선전과 교육을 잘하는 것이 필요합니다. 특히, 시민권과 인권을 존중하고 보호하는 것을 최고의 목적으로 하는 법령을 발행할 필요성을 강조할 필요가 있습니다. 그리고 무엇보다도 개인정보주체 본인이 개인정보 보호에 대한 인식과 책임을 철저히 이해하고, 이를 제고해야 합니다.