세계에서 가장 인터넷 개발 및 응용 속도가 빠른 국가 중 하나로, 인구의 약 80%가 인터넷을 사용하고 있으며, 베트남 인구의 3분의 2에 달하는 개인 데이터가 사이버공간에 다양한 형태와 세부 수준으로 저장, 게시, 공유 및 수집되고 있습니다.

베트남은 2022년과 2023년에 수천 GB의 데이터와 수십억 개의 개인 정보를 사고파는 것과 관련된 5건의 형사 사건을 기소했습니다. 이는 국제법을 참고하고 연구하여 개인정보보호법을 개선하는 것이 시급하다는 것을 보여줍니다.

개인정보 보호에 관한 국제법

GDPR은 현재 전 세계에서 가장 엄격한 개인정보 보호 메커니즘을 만들어낸 중요한 법적 진전으로 여겨진다.

유럽연합(EU) 일반 데이터 보호 규정(GDPR) . GDPR은 현재 전 세계에서 가장 엄격한 개인정보 보호 메커니즘을 만들어낸 중요한 법적 진전으로 간주되며 EU 내 시민의 개인정보를 처리하는 모든 조직과 기업에 적용됩니다.

GDPR은 모든 기업에 동일한 제재를 적용합니다. 구체적으로, 사소한 위반의 경우 벌금은 매출의 최대 2% 또는 1,000만 유로이며, 중대한 위반의 경우 벌금은 매출의 최대 4% 또는 2,000만 유로입니다. GDPR을 위반하는 기업은 벌금 외에도 다른 제재를 받을 수도 있습니다. 예를 들어, GDPR을 위반하여 처리된 데이터 처리를 중단하거나 삭제하는 등의 제재를 받을 수도 있습니다.

EU의 개인 데이터 보호 기관은 EU 데이터 보호 감독 기관(EDPS)으로, 경험이 풍부한 변호사, IT 전문가, 관리자 등으로 구성된 독립 기관입니다.

주요 기능은 EU 기관 및 기관에서 개인 데이터 처리를 감독하고 개인 데이터와 관련된 사항에 대해 조언하는 것입니다. GDPR은 또한 각 회원국에 국가 개인 데이터 보호 위원회(프랑스, 아일랜드 등) 또는 데이터 보호 감독원(핀란드, 라트비아 등)과 같은 개인 데이터 보호 기관을 설립할 것을 요구합니다.

EU는 EDPS와 함께 회원국의 국가 데이터 보호 기관 대표와 EU 대표로 구성된 유럽 데이터 보호 위원회(EDPB)를 설립했으며, GDPR이 유럽 연합 전역에 일관되게 적용되도록 책임을 지고 개인 데이터 보호 문제에 대한 주요 독립 자문 기관 역할을 합니다.

GDPR은 물질적, 비물질적 제재를 포함하여 매우 억제력이 강한 제재를 규정하고 있습니다. 또한 EU 개인정보보호기관은 위원회/위원 모델에 따라 시행되므로 조직이 개인정보보호 규정을 위반하는 경우 제재를 부과할 수 있는 광범위하고 독립적인 권한을 가지고 있으며, 개인정보 처리를 독립적으로 평가하고 결정할 수 있습니다.

2021년에 제정된 중국의 개인정보보호법 (PIPL) 은 중국 최초의 포괄적인 국가 차원의 개인정보 보호법으로 간주됩니다. PIPL은 개인정보가 특정 개인을 식별하거나 식별할 수 있는 정보이며, 중국 영토 내의 좁은 범위의 개인 대상 집단을 대상으로 한다는 비교적 통일된 견해를 취합니다(PIPL 제4장 제1장). 동시에, 보다 구체적인 데이터 그룹과 관련된 당사자의 권리와 의무에 대한 규정을 확립하기 위해 민감한 개인 데이터 문제에 대한 규정이 제정되었습니다.

개인정보보호법에 따른 개인정보 권리 침해에 대한 제재는 매우 엄격합니다. 예를 들어, 강제 구제, 불법 소득 몰수, 서비스 중단, 운영 또는 영업 허가 취소, 최대 5,000만 위안 또는 이전 회계연도의 조직 연간 수익의 5%에 해당하는 벌금 부과 등이 있습니다. 또한, 위반 사항은 국가 사회 신용 시스템에 따라 처리 단위의 "신용 파일"에 기록될 수도 있습니다.

또한, 처리단위는 조직 및 개인의 권리와 이익을 침해하는 경우 손해를 배상할 책임을 집니다. 이러한 유형의 위반에 대한 형사 처벌도 중국 형법에 의해 구체적으로 규정되어 있습니다. 이 법은 정보 기밀 유지에 책임이 있는 사람에 대한 더 무거운 형사 책임을 규정하고, 재산 몰수라는 형태를 추가했으며, 가장 높은 징역형으로 종신형을 규정하고 있습니다.

싱가포르 개인정보 보호법 (PDPA) 은 2012년에 통과(2020년 개정)되었습니다. 싱가포르 법률은 개인 데이터 보호 권리를 인정하고 있으며, 특정 상황에서는 조직이 적절한 목적을 위해 정보를 수집, 사용 및 공개할 필요성을 인정합니다.

PDPA는 또한 데이터 침해에 대해 엄격한 재정적 처벌을 규정하고 있습니다. 개인 위반자는 벌금이나 징역형을 받게 됩니다. 벌금은 행위의 성격과 심각성에 따라 달라지며, 2,000~100,000 싱가포르 달러(16억 동에 해당)의 벌금 또는/및 심각한 경우 최대 3년의 징역, 최대 12개월의 징역이 포함됩니다. 법을 위반하는 기관 및 회사에는 연간 매출액의 최대 10%에 달하는 벌금이 부과될 수 있습니다.

PDPA 이행을 보장하는 데 핵심적인 역할을 하는 기관은 개인정보보호위원회(PDPC)입니다. 이는 개인 데이터 처리와 관련된 정보 및 문서 제공을 개인 및 조직에 요청하고, 위반 시 재정적 처벌을 부과하고, 기타 조치로 처리할 권한을 가질 때 막강한 권한과 광범위한 집행 역량을 갖춘 전문 기관입니다.

싱가포르 개인정보보호위원회라는 전문기관을 설립하여 위반 사항을 독립적으로 적극적으로 탐지하고, 처리하고, 제재를 적용하는 것 역시 싱가포르에서 개인정보 보호를 효과적으로 시행하기 위한 조건 중 하나입니다.

베트남 개인정보보호법 개선을 위한 권고사항

현재 베트남에는 헌법, 법전(4), 법률(39), 조례(1), 법령(2), 통지/공동 통지(4), 장관 결정(1) 등 다양한 문서에 규정된 개인정보 보호 문제와 직접 관련된 법률 문서가 69개 있습니다.

이러한 문서들은 기본적으로 개인정보보호 문제에 대해 주체의 프라이버시를 보장하는 원칙을 추진하는 방향으로 접근하고 있으나, 개인정보와 관련된 정보에 대한 규정이 서로 다르고, 주체의 권리와 의무, 정보처리, 개인정보보호방법 등의 문제를 언급하고 있다. 베트남의 개인 데이터 보호를 규제하는 법률은 주목할 만한 성과를 거두었습니다. 특히 2023년 4월 17일 정부는 개인 데이터 보호에 대한 법령 제12/2023/ND-CP호를 발표했습니다. 이는 우리나라에서 이 문제를 규제하는 별도 문서입니다. 이러한 법적 문서는 개인 데이터 보호를 위한 법적 통로를 만들었습니다. 개인정보주체 및 처리당사자의 권리를 명확히 하고, 개인정보보호 위반에 대한 제재조치를 규정하며, 공안부 산하 사이버보안 및 첨단범죄예방부를 개인정보보호 전담기관으로 지정...

베트남은 사이버 공간에서 많은 위험, 과제, 위협에 직면해 있으며, 특히 개인 정보와 데이터의 유출 및 도용이 심각하여 시민과 사회에 많은 해로운 영향을 미치고 있습니다.

그러나 이러한 문서의 실제 시행은 많은 한계점을 드러냈습니다. 예를 들어 현재의 별도의 법률 문서는 법령 수준에만 머물러 있어 개인정보 보호의 중요성을 충족하지 못하고, 많은 내용이 현재 일반적으로 규제되고 불분명하여 각 사례에 대한 구체적인 지침이 부족하고, 제재가 여전히 약하고 억제력이 충분하지 않습니다.

이러한 상황에 직면하여 베트남의 개인정보 보호법을 지속적으로 개선하는 것은 다른 국가의 경험을 바탕으로 연구가 필요한 문제입니다. 구체적으로:

첫째, 개인정보보호법을 제정합니다 . 4차 산업혁명의 맥락에서, 지역 및 국가 차원에서 80개국이 개인정보를 보호하기 위한 별도의 법률 문서를 발행했습니다. 베트남은 EU, 중국, 싱가포르와 같이 개인 데이터를 보호하기 위한 기본 문제와 원칙을 명시한 데이터 개인정보 보호법 등 데이터에 대한 일반적이고 전문적인 법률을 조속히 연구하고 공포해야 합니다. 현재 우리나라의 개인정보보호법률은 용어의 사용이나 내용 규정 측면에서 일관성이 부족한 가운데, 개인정보에 관한 별도의 법률 제정은 개인정보 보호를 위한 중요한 법적 근거가 될 것입니다.

둘째, 개인정보 침해에 대한 제재조치를 침해의 성격과 심각성에 맞춰 더욱 엄중하게 개정·보완합니다. 우리나라의 개인정보 침해에 대한 제재로는 행정제재, 민사제재, 형사제재가 있으나, 전반적으로 매우 가볍고 억제효과가 크지 않습니다. 현재 주된 방법은 여전히 ​​행정 제재를 가하는 것이지만, 규정은 많은 법령에 분산되어 있으며 벌금은 상당히 낮습니다. 가장 높은 벌금은 개인의 경우 1억 VND, 조직의 경우 2억 VND입니다.

개인정보에 대한 행정적 위반으로 인해 발생할 수 있는 피해는 물질적 피해뿐만 아니라 명예와 존엄성에 대한 피해도 포함합니다. 개인정보보호법 제159조, 제288조의 개인정보보호 및 정보통신망 및 네트워크 보안 분야 규정에 따라 개인정보보호 위반에 대한 행정처분 외에 형사처벌도 가능하며, 그 형량은 징역 7년 이하, 벌금 10억 동 이하로 비교적 낮습니다. 이 벌금은 EU의 2,000만 유로, 싱가포르의 100만 싱가포르 달러, 중국의 종신형과 비교해도 여전히 매우 낮으며 많은 위반 사항에 비해 턱없이 낮습니다.

동시에 현재 법률에 명시되지 않은 대규모 데이터 거래, 데이터 침해를 위한 시스템 구축, 마케팅 서비스업 위법행위 등 많은 행위군을 규제할 필요가 있습니다.

셋째, 베트남의 개인정보보호기관 모델에 따른다 . 현재 공안부 산하 사이버보안 및 첨단범죄예방국은 개인정보보호를 전담하는 기관입니다. 국제 규정을 참고하여 개인정보 보호법을 시행하고, 검사와 검토를 실시하고, 지침과 권고안을 발표하고, 위반 사항이 있을 경우 제재를 부과하는 책임을 맡는 독립적인 개인정보 보호 기관을 설립하는 것을 고려할 수 있습니다.

우리는 EU나 싱가포르의 이러한 모델을 참고하여 개인 데이터 보호법을 효과적으로 시행하고, 개인 권리 보호와 네트워크 보안 보장 간의 균형을 이룰 수 있습니다.

개인 데이터를 보호하는 것은 간단한 문제가 아닙니다. 특히 통합의 맥락에서 볼 때 더욱 그렇습니다. 개인 데이터 모니터링 및 수집 활동이 대규모로 이루어지고 있으며 이 문제를 규제하는 베트남 법률 시스템이 아직 구축되고 완성되는 과정에 있기 때문입니다.

베트남의 실제 상황을 참고하여 이 문제에 대한 국제법을 연구하는 것은 국제법과 효과적인 집행에 부합하는 포괄적인 개인 데이터 보호를 위한 법적 틀을 곧 구축하는 데 도움이 될 것입니다.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html