개인 데이터 보호에 관한 국제법 및 베트남에 대한 의미

베트남은 세계에서 가장 인터넷 개발 및 적용 속도가 빠른 나라 중 하나로, 인구의 약 80%가 인터넷을 사용하고 있으며, 베트남 인구의 3분의 2에 달하는 개인 데이터가 사이버공간에 다양한 형태와 세부 수준으로 저장, 게시, 공유 및 수집되고 있습니다.

베트남은 2022년과 2023년에 수천 GB의 데이터와 수십억 개의 개인 정보를 매매한 것과 관련된 형사 사건 5건을 기소했습니다. 이는 국제법을 참고하고 연구한 결과를 토대로 개인정보 보호법을 개선하는 것이 시급하다는 점을 보여줍니다.

개인정보보호에 관한 국제법

GDPR은 현재 전 세계에서 가장 엄격한 개인정보 보호 메커니즘을 만들어낸 중요한 법적 진전으로 여겨진다.

유럽연합(EU) 일반 데이터 보호 규정(GDPR) . GDPR은 현재 세계에서 가장 엄격한 개인정보 보호 메커니즘을 만들어낸 중요한 법적 진전으로 간주되며 EU 내 시민의 개인정보를 처리하는 모든 조직과 기업에 적용됩니다.

GDPR은 모든 기업에 동일한 제재를 적용합니다. 구체적으로, 사소한 위반의 경우 벌금은 매출의 최대 2% 또는 1,000만 유로이며, 중대한 위반의 경우 벌금은 매출의 최대 4% 또는 2,000만 유로입니다. GDPR을 위반한 기업은 벌금 외에도 다른 제재를 받을 수도 있습니다. 예를 들어, 데이터 처리를 중단하거나 GDPR을 위반하여 처리된 데이터를 삭제하는 등의 제재를 받을 수도 있습니다.

EU의 개인 데이터 보호 기관은 EU 데이터 보호 감독 기관(EDPS)으로, 경험이 풍부한 변호사, IT 전문가, 관리자가 포함된 독립 기관입니다.

주요 기능은 EU 기관 및 기관에서의 개인 데이터 처리를 감독하고, 개인 데이터와 관련된 사항에 대해 조언하는 것입니다. GDPR은 또한 각 회원국에 국가 개인 데이터 보호 위원회(프랑스, 아일랜드 등) 또는 데이터 보호 감독원(핀란드, 라트비아 등)과 같은 개인 데이터 보호 기관을 설립할 것을 요구합니다.

EU는 EDPS와 함께 회원국의 국가 데이터 보호 기관 대표와 EU 대표로 구성된 유럽 데이터 보호 위원회(EDPB)를 설립했으며, 개인 데이터 보호 문제에 대한 주요 독립 자문 기관으로서 GDPR이 유럽 연합 전역에 일관되게 적용되도록 책임을 집니다.

GDPR은 물질적, 비물질적 제재를 모두 포함하여 높은 억제력의 제재를 규정하고 있습니다. 또한 EU의 개인정보 보호 기관은 위원회/위원 모델에 따라 시행되므로 조직이 개인정보 보호 규정을 위반하는 경우 광범위하고 독립적인 제재 권한을 가지고 있으며, 개인정보 처리를 독립적으로 평가하고 결정할 수 있습니다.

2021년에 제정된 중국의 개인정보 보호법 (PIPL)은 중국 최초의 포괄적인 국가 차원의 개인정보 보호법으로 간주됩니다. 개인정보보호법은 개인 데이터/개인정보를 특정 개인을 식별하거나 식별할 수 있는 정보로 비교적 통일된 견해를 취하며, 중국 영토 내의 좁은 범위의 개인 대상 집단을 대상으로 합니다(개인정보보호법 제4장 제1장). 동시에, 보다 구체적인 데이터 그룹과 관련한 당사자의 권리와 의무에 관한 규정을 제정하기 위해 민감한 개인 데이터 문제에 대한 규정이 제정되었습니다.

개인정보보호법에 따른 개인정보 권리 위반에 대한 제재는 매우 엄격합니다. 예를 들어, 강제적 시정, 불법소득 몰수, 서비스 중단, 운영 또는 영업 허가 취소, 이전 회계연도의 연간 매출의 5% 또는 5,000만 위안 이하에 해당하는 벌금 부과 등이 있습니다. 또한, 위반 사항은 국가 사회 신용 시스템에 따른 처리 단위의 "신용 파일"에 기록될 수도 있습니다.

또한, 처리단위는 조직 및 개인의 권리와 이익을 침해할 경우 손해를 배상할 책임을 집니다. 이러한 유형의 위반에 대한 형사 처벌도 중국 형법에 의해 구체적으로 규정되어 있습니다. 이 법은 정보 기밀 유지에 책임이 있는 사람에 대한 더 무거운 형사 책임을 규정하고, 재산 몰수 형식을 추가했으며, 가장 높은 징역형으로 종신형을 규정하고 있습니다.

싱가포르 개인정보 보호법 (PDPA) 은 2012년에 통과(2020년 개정)되었습니다. 싱가포르 법은 개인 데이터 보호 권리를 인정하고 있으며, 특정 상황에서는 조직이 적절한 목적을 위해 정보를 수집, 사용 및 공개할 필요성을 인정합니다.

PDPA는 또한 데이터 침해에 대해 엄격한 재정적 처벌을 규정합니다. 개인 위반자는 벌금 또는 징역형을 받게 됩니다. 벌금은 행위의 성격과 심각성에 따라 달라지며, 2,000~100,000 싱가포르 달러(16억 베트남 동에 해당)의 벌금 또는/및 심각한 경우 최대 12개월의 징역, 최대 3년1에 달할 수 있습니다. 법을 위반한 기관이나 회사의 경우, 연간 매출액의 최대 10%에 달하는 벌금이 부과될 수 있습니다.

PDPA 이행을 보장하는 데 핵심적인 역할을 하는 기관은 개인정보 보호 위원회(PDPC)입니다. 이는 개인 정보 처리와 관련된 정보 및 문서를 제공하도록 개인 및 조직에 요청하고, 위반 시 벌금을 부과하고, 기타 조치로 처리할 권리가 있을 때 강력한 권한과 광범위한 집행 역량을 갖춘 전문 기관입니다.

위반 사항을 독립적으로, 적극적으로 탐지하고, 처리하고, 제재를 적용하는 전문 기관인 싱가포르 개인정보보호위원회를 설립하는 것도 싱가포르에서 개인정보 보호를 효과적으로 시행하기 위한 조건 중 하나입니다.

베트남 개인정보보호법 개선을 위한 권고사항

현재 베트남에는 헌법, 법전(4), 법률(39), 조례(1), 법령(2), 통지/공동 통지(4), 장관 결정(1)을 포함한 다양한 문서에 규정된 개인정보 보호 문제와 직접 관련된 법률 문서가 69개 있습니다.

이러한 문서들은 기본적으로 개인정보보호 문제에 대해 주체의 프라이버시를 보장하는 원칙을 촉진하는 방향으로 접근하고 있으나, 개인정보와 관련된 정보에 대한 규정이 서로 다르고, 주체의 권리와 의무, 정보처리, 개인정보보호방법 등의 문제를 언급하고 있다. 베트남의 개인 데이터 보호를 규정하는 법률은 괄목할 만한 성과를 이루었습니다. 특히, 2023년 4월 17일 정부는 개인 데이터 보호에 대한 법령 12/2023/ND-CP를 발표했습니다. 이는 우리나라에서 이 문제를 규정하는 별도 문서입니다. 이러한 법적 문서는 개인 정보 보호를 위한 법적 통로를 마련했습니다. 개인정보주체 및 처리당사자의 권리를 구체적으로 명시하고, 개인정보 보호 위반 시 제재수단을 규정하며, 개인정보 보호를 전담하는 기관을 공안부 산하 사이버보안 및 첨단범죄예방과로 지정한다...

베트남은 사이버공간으로 인해 많은 위험과 도전, 위협에 직면해 있으며, 특히 개인 정보와 데이터의 유출과 도용이 심각하여 시민과 사회에 많은 해로운 영향을 미치고 있습니다.

그러나 이러한 문서를 실제로 시행하면서 많은 한계가 드러났습니다. 현재의 별도의 법률 문서는 법령 수준에만 있으며, 개인정보 보호의 중요성을 충족하지 못하고, 많은 내용이 현재 일반적으로 규제되고 불분명하여 각 사례에 대한 구체적인 지침이 부족하고, 제재가 여전히 가볍고 억제력이 충분하지 않습니다.

이러한 상황에 직면하여 베트남의 개인정보 보호법을 지속적으로 개선하는 것은 다른 국가의 경험을 바탕으로 연구가 필요한 문제입니다. 구체적으로:

첫째, 개인정보 보호법을 제정합니다 . 4차 산업 혁명의 맥락에서 지역 및 국가 차원에서 80개국이 개인정보를 보호하기 위한 별도의 법률 문서를 발행했습니다. 베트남은 EU, 중국, 싱가포르와 같이 개인 데이터 보호를 위한 기본 문제와 원칙을 명시한 데이터 보호법과 같은 일반적이고 전문적인 데이터 법률을 조만간 연구하고 공포해야 합니다. 현재 우리나라의 개인정보보호법률은 용어 사용이나 내용 규정 측면에서 일관성이 없는 상태이며, 개인정보에 관한 별도의 법률 제정은 개인정보를 보호하기 위한 중요한 법적 근거가 될 것입니다.

둘째, 개인정보 침해에 대한 제재 규정을 위반 행위의 성격과 심각성에 맞춰 보다 엄중하게 개정·보완합니다. 우리나라의 개인정보 침해에 대한 제재로는 행정적 제재, 민사적 제재, 형사적 제재가 있으나, 전반적으로 상당히 가볍고 억제효과가 크지 않습니다. 현재 가장 주된 방법은 여전히 ​​행정 위반에 대한 제재를 가하는 것이지만, 규정은 많은 법령에 분산되어 있으며 벌금이 상당히 낮습니다. 가장 높은 벌금은 개인의 경우 1억 VND, 조직의 경우 2억 VND입니다.

개인정보에 대한 행정적 위반으로 인해 발생할 수 있는 피해는 물질적 피해뿐만 아니라 명예와 존엄성에 대한 피해도 포함합니다. 개인정보 침해에 대한 형사처벌은 행정처분 외에 현행 형법 제159조, 제288조의 개인정보보호 및 정보기술, 네트워크 보안 분야 규정에만 규정돼 있으며, 최대 7년의 징역형과 10억 VND 이하의 벌금으로 비교적 낮은 수준입니다. 이러한 벌금은 EU의 2,000만 유로, 싱가포르의 100만 싱가포르 달러, 중국의 종신형과 비교해보면 여전히 매우 낮은 수준이며 많은 위반 행위에 비해 턱없이 낮습니다.

동시에 현재 법률에 명시되지 않은 대규모 데이터 거래, 데이터 침해를 위한 제도 구축, 마케팅 서비스업 위법 행위 등 많은 집단의 행위를 규제할 필요가 있습니다.

셋째, 베트남의 개인정보 보호 기관 모델에 따라 . 현재 공안부 산하 사이버보안 및 첨단범죄예방국이 개인정보보호를 전담하는 기관입니다. 국제 규정을 참고하여 개인정보 보호법을 시행하고, 검사와 검토를 실시하고, 지침과 권고안을 발표하고, 위반 사항이 있을 경우 제재를 부과하는 책임을 맡는 독립적인 개인정보 보호 기관을 설립하는 것을 고려할 수 있습니다.

우리는 EU나 싱가포르의 이러한 모델을 참고하여 개인 정보 보호법을 효과적으로 시행하고, 개인 권리 보호와 네트워크 보안 보장의 균형을 이룰 수 있습니다.

개인 데이터를 보호하는 것은 간단한 문제가 아닙니다. 특히 통합의 맥락에서 볼 때 개인 데이터 모니터링 및 수집 활동이 대규모로 이루어지고 있으며, 이 문제를 규제하는 베트남 법률 시스템이 아직 구축되고 완성되는 과정에 있기 때문입니다.

베트남의 실질적 상황을 참고하여 이 문제에 대한 국제법을 연구하는 것은 곧 국제법과 효과적인 집행에 부합하는 포괄적인 개인 정보 보호를 위한 법적 틀을 구축하는 데 도움이 될 것입니다.

1 https://nhandan.vn/추트롱바오베두리우카난포스트780834.html