법적으로 보호받기 전에는 개인 데이터가 "핫"한 정보가 됩니다.

잘로는 법을 위반했나요?

2025년 개인정보보호법은 개인정보를 수집 및 처리하는 조직과 기업의 권리와 책임뿐 아니라 정보 주체(사용자)의 권리에 관한 여러 구체적인 규정을 도입했습니다. 이에 따라 개인정보는 사용자의 동의를 얻어 수집해야 합니다. 소셜 미디어 및 온라인 커뮤니케이션 서비스는 수집하는 개인정보의 내용을 명확하게 공개해야 하며, 계정 인증을 명목으로 개인정보의 전부 또는 일부가 포함된 이미지나 동영상을 요구해서는 안 됩니다.

잘로는 2025년 개인정보보호법 시행에 앞서 새로운 서비스 약관을 발표했습니다.

사진: 국회의원

뜻밖에도 법 시행 직전, 베트남에서 가장 널리 사용되는 소셜 네트워크인 잘로(Zalo)가 서비스 약관 업데이트 공지를 게시하여 많은 사용자들의 우려를 샀습니다. 새 약관이 개인정보 보호 권리에 관한 내용인데, 동의하지 않을 경우 잘로 앱을 더 이상 사용할 수 없게 된다는 점에서 많은 사용자들이 의구심을 표했습니다.

예를 들어, "사용자 정보의 수집, 보호 및 이용" 조항에 따르면, 사용자가 Zalo 계정에 로그인할 때 VNG (애플리케이션 개발사)가 기술적 방법을 사용하여 사용자 계정과 관련된 데이터를 수집 및 처리하는 것에 동의하는 것입니다. 사용자가 식별 목적으로 제공하는 기본 개인 정보에는 전화번호, 주민등록증, 성명, 나이, 성별, 가족 관계, 이메일 주소 및 개인 사진이 포함됩니다. 마찬가지로, VNG가 사용자 개인 정보를 수신, 공유 및 계열사에 전송한다는 고지 사항 또한 많은 사용자들 사이에서 개인 정보 유출 가능성에 대한 우려를 불러일으키고 있습니다.

최근 배달 기사, 전기 회사 직원, 온라인 쇼핑객 등을 사칭하는 사기가 급증하고 있는데, 이는 모두 개인정보 유출에서 비롯됩니다. 피해자들은 금전적 손실을 입거나, 계정을 도용하는 가짜 링크나 애플리케이션에 유인되어 심각한 피해를 입습니다. 엄격한 법적 조치가 개인정보 유출을 완전히 막을 수는 없지만, 온라인 사기를 예방하고 근절하는 데 강력한 기반을 제공합니다.

응오 민 히에우 씨 (부정행위 방지 프로젝트 책임자)

아테나 사이버보안 교육센터의 보 도 탕 원장에 따르면, 잘로는 사용자 개인정보에 대한 접근 및 처리 권한을 요구하지만, 이번 공지에는 개인정보 제공 및 이용에 동의했을 때 얻을 수 있는 이점이나 잘로가 제공하는 가치가 명확하게 명시되어 있지 않습니다. 만약 개인 정보가 유출되어 사용자에게 피해가 발생할 경우, 잘로는 어떻게 보상할 것인지에 대한 부분이 사용자들의 우려를 자아냅니다. 따라서 잘로는 사용자의 의무와 권리를 명확히 밝히고, 개인정보 유출 시 배상 책임에 대해서도 분명히 해야 합니다. 또한, 2026년 1월 1일 이후에는 기존 사용자로부터 수집한 개인정보가 어떻게 저장되고 이용될 것인지, 그리고 2026년 1월 1일 이전에 동의한 사용자와 그 이후에 동의한 사용자 간에 권리 차이가 발생하는지에 대한 문제도 제기됩니다. 더 나아가, 잘로가 정책을 변경할 경우 최소 30일 전에 공지하여 사용자들이 대비할 수 있도록 해야 합니다. 이러한 사항들을 잘로가 투명하게 소통하여 사용자들이 충분한 정보를 얻을 수 있도록 해야 합니다.

사이버 보안 전문가인 응우옌 반 투는 잘로의 발표를 다가오는 2025년 개인정보보호법의 취지에 부합하는 업데이트로 해석합니다. 이전에는 많은 소셜 네트워크와 애플리케이션이 가입 시 회사에서 정한 이용 약관에 동의하도록 요구했습니다. 많은 사람들이 약관을 자세히 읽지 않고 자동으로 동의하거나, 심지어 개인정보 관련 약관을 무시하는 경우도 있었습니다. 기업들은 사용자에게 명시적으로 동의를 요구하지도 않았습니다. 그러나 2025년 개인정보보호법이 시행되면 기업은 사용자가 동의한 경우에만 계정 생성을 위해 개인정보를 수집할 수 있습니다. 또한, 2026년부터는 사용자가 애플리케이션 및 소셜 네트워크 이용 중 자신의 개인정보가 동의하지 않은 목적으로 처리되거나 이용되고 있음을 발견할 경우, 잘로를 포함한 모든 기업에 해당 데이터 삭제를 요청할 권리가 있으며, 권리가 침해된 경우 손해배상을 청구할 권리까지 갖게 됩니다.

사기 감소에 기여

2025년 개인정보보호법에서 주목할 만한 또 다른 조항은 개인정보와 관련된 7가지 금지 행위를 명확하게 명시하고 있다는 점입니다. 여기에는 타인의 개인정보를 이용하여 불법 행위를 저지르거나 개인정보를 사고파는 행위가 포함됩니다 . 실제로 최근 개인정보의 사고파는 상당히 만연해 있으며 공공연하게 이루어지고 있는데, 이는 곳곳에서 발생하는 수많은 사기의 근원이 되고 있습니다. 이러한 개인들은 오랜 기간에 걸쳐 페이스북, 잘로, 텔레그램과 같은 소셜 미디어 플랫폼의 웹사이트, 계정, 그룹, 그리고 해커 포럼 등을 통해 대량의 개인정보를 공개적으로 사고파고 있습니다. 특히, 이러한 데이터에는 성명, 생년월일, 주민등록번호, 주소, 전화번호, 은행 계좌번호(잔액 포함), 가족관계, 직책, 직위 등과 같은 매우 상세한 개인정보가 포함되어 있습니다.

소셜 미디어 애플리케이션은 계정 인증 수단으로 신분증의 전체 또는 일부가 포함된 이미지나 동영상을 요구하는 것이 금지되어 있습니다.

사진: 응옥두옹

온라인 사기 방지 프로젝트 책임자인 응오 민 히에우 씨 는 2026년 1월 1일부터 시행되는 개인정보 보호법이 최근 급증하는 온라인 사기를 당장 근절하지는 못하더라도 점차 줄이고 제한하는 데 기여할 것이라고 믿습니다. 그는 다음과 같이 분석했습니다. "이 법은 개인정보 보호를 위한 더욱 강력한 법적 틀을 마련할 것입니다. 예를 들어, 개인정보에 대한 개인의 권리를 명시하여 더 이상 필요하지 않은 정보의 삭제를 요청할 권리를 부여합니다. 동시에, 이 법은 데이터 수집 및 처리를 엄격하게 규제하며, 기업과 조직은 관련 절차와 고객 개인정보를 존중해야 하고, 시스템 및 애플리케이션의 정보 보안과 사이버 보안을 정기적으로 평가해야 합니다."

"기업 시스템이 공격을 받는 경우, 처벌을 피하기 위해 즉시 당국에 신고해야 합니다. 기업이나 조직의 직원 또는 임원이 정보를 외부에 판매하는 경우, 이 법은 형사 처벌부터 연간 매출액에 따른 막대한 행정 벌금에 이르기까지 다양한 제재를 명확히 규정하고 있습니다. 최근 운송업체, 전기 회사, 온라인 쇼핑객 등을 사칭하는 사기가 급증하고 있는데, 이 모든 것은 정보 유출에서 비롯됩니다. 피해자들은 금전적 손실을 입거나 계정을 도용하는 가짜 링크나 애플리케이션에 속아 심각한 피해를 입습니다. 법적 장벽이 강화됨에 따라 정보 유출을 완전히 막을 수는 없겠지만, 이는 온라인 사기를 예방하고 근절하는 데 매우 중요한 기반을 제공합니다."라고 응오 민 히에우 씨는 결론지었습니다.

전문가인 응우옌 반 투(Nguyen Van Thu) 또한 법 시행 전에는 기업들이 고객 정보를 무분별하게 수집 및 이용하여 개인과 사회 전체에 많은 부정적인 결과를 초래했다는 점에 동의했습니다. 따라서 법이 공식적으로 시행되면 이러한 문제는 시간이 지남에 따라 줄어들고 시민과 기업 모두의 개인정보 보호에 대한 인식이 높아질 것입니다. 사람들은 온라인에서 개인정보를 공유할 때 스스로를 보호하는 데 더욱 적극적으로 나설 것입니다. 모든 사람이 데이터 보호에 대한 인식을 갖게 되면 온라인 정보 공유가 줄어들고 개인정보 도용 및 거래 행위가 신속하게 적발되어 국가 관리 기관에 신고되어 적시에 처리될 수 있습니다. 이는 개인정보의 매매를 줄이고 사기 행위를 근절하는 데 기여할 것입니다.

사용자는 데이터 삭제를 요청하고 보상을 청구할 권리가 있습니다.

2025년 개인정보보호법은 개인정보와 관련하여 다양한 사용자 권리를 명시하고 있습니다. 이러한 권리에는 수집 목적 달성에 더 이상 필요하지 않은 경우 데이터의 정정 또는 삭제를 요청할 권리, 개인정보 처리 동의를 철회할 권리 , 그리고 불만 제기, 소송 제기 및 손해 배상을 청구할 권리가 포함됩니다. 예를 들어, 이전에는 사용자가 서비스 가입 시 전화번호, 주소 등의 개인정보를 기업이 이용하는 데 동의했습니다. 그러나 사용자가 더 이상 서비스를 이용하지 않더라도 해당 데이터는 계속 저장되어 기업에서 광고 및 마케팅 목적으로 사용되었습니다. 이제 사용자는 기업에 자신의 개인정보 삭제를 요청할 수 있습니다.

특히, 해당 법률은 일반 개인정보와 민감 개인정보의 분류를 명시하고 있습니다. 이에 따라 민감 개인정보에는 건강 상태, 재정 정보, 생체 정보, 사생활, 정치적 견해 등의 정보가 포함되며, 이러한 정보의 처리는 더욱 엄격한 보호 요건을 준수해야 합니다.

전문가 응오 민 히에우는 새로운 법이 대부분의 사람들에게 영향을 미칠 것이라고 강조했습니다. 특히 인공지능(AI)이 급속도로 발전하는 시대에 개인 정보와 데이터의 중요성이 점점 커지고 있기 때문입니다. 새로운 규정 중 하나는 사용자가 자신의 개인 데이터를 삭제하거나 삭제를 요청할 수 있는 권리입니다. 사람들은 금융이나 통신과 같은 분야에서 더 이상 필요하지 않은 개인 정보가 관리 기관이나 단체에 삭제를 요청할 수 있도록 이러한 새로운 규정에 주의를 기울여야 합니다.

"이 규정은 부동산, 증권, 대출 등에 대한 제안을 끊임없이 받으면서도 이를 어떻게 막아야 할지 모르는 많은 사람들에게 분명히 어려움을 초래할 것입니다. 법이 시행되면 사용자들은 문제 해결을 위한 법적 근거를 갖게 될 것입니다."라고 응오 민 히에우 씨는 덧붙였습니다.

사이버 보안 전문가인 응우옌 반 투에 따르면, 법 시행 초기에는 기업들이 가장 큰 영향을 받을 것으로 예상됩니다. 기업은 개인 정보를 수집 및 저장하는데, 이는 거대한 데이터 저장소와 같아서 해커들의 주요 공격 대상이 되어 사기, 계정 해킹, 금융 사기 등 다양한 목적으로 데이터를 탈취당할 위험이 큽니다. 따라서 기업은 규정을 준수하고 고객의 개인 정보를 보호하기 위해 자체적인 데이터 수집, 처리 및 보호 프로세스를 구축해야 합니다. 동시에 데이터 복제를 방지하고 위험을 최소화하기 위해 하드웨어 및 소프트웨어와 같은 기술적 솔루션을 도입해야 합니다.

이는 외부 공격 이나 내부 직원의 데이터 탈취 및 유포를 방지하는 것을 포함합니다. 이러한 조치는 기업 비용을 증가시킬 수 있지만, 사용자에게는 전적으로 유익하며 기업 스스로도 운영 과정에서 사이버 보안을 강화하게 될 것입니다. 나아가 정부 기관은 위반 기업 및 조직에 대한 검사, 통제 및 제재를 시행할 수 있는 충분한 근거를 확보하여 사용자 보호를 더욱 강화할 수 있습니다.

개인정보 유출 위반 시 차기 매출액의 최대 5%에 해당하는 벌금이 부과될 수 있습니다.

2025년 개인정보보호법은 다음과 같이 규정합니다. 개인정보의 매매와 관련된 행정 위반에 대한 최대 과태료는 위반으로 얻은 수익의 10배입니다. 국경을 넘는 개인정보 전송 관련 규정을 위반한 조직에 대한 행정 위반의 최대 과태료는 전년도 매출액의 5%입니다. 단, 전년도 매출액이 없거나 매출액을 기준으로 계산한 과태료가 규정된 최대 과태료보다 적은 경우에 한합니다. 기타 개인정보보호 관련 위반에 대한 최대 과태료는 30억 VND입니다. 동일한 위반 행위를 저지른 개인에 대한 최대 과태료는 조직에 부과된 과태료의 절반입니다.