개인정보 보호에 관한 국제법과 베트남에 미치는 영향

세계에서 인터넷 개발 및 활용 속도가 가장 빠른 국가 중 하나인 베트남은 인구의 거의 80%가 인터넷을 사용하고 있으며, 인구의 2/3에 해당하는 개인 데이터가 다양한 형태와 세부 수준으로 사이버 공간에 저장, 게시, 공유 및 수집되고 있습니다.

2022년과 2023년에 베트남은 수천 GB의 데이터와 수십억 건의 개인 정보가 거래된 5건의 형사 사건을 기소했습니다. 이는 국제법에 대한 연구 및 참고를 바탕으로 개인 데이터 보호법을 개선해야 할 필요성이 시급함을 보여줍니다.

개인정보 보호에 관한 국제법

GDPR은 세계에서 가장 엄격한 개인정보 보호 체계를 구축한 중요한 법적 진전으로 여겨집니다.

유럽연합(EU) 일반 데이터 보호 규정(GDPR)은 세계에서 가장 엄격한 개인 정보 보호 메커니즘을 구축한 중요한 법적 진전으로 여겨지며, EU 시민의 개인 데이터를 처리하는 모든 조직 및 기업에 적용됩니다.

GDPR은 유럽 연합 내 모든 기업에 동일한 처벌을 부과합니다. 구체적으로, 경미한 위반의 경우 매출액의 최대 2% 또는 1천만 유로, 중대한 위반의 경우 매출액의 4% 또는 2천만 유로의 벌금이 부과될 수 있습니다. 벌금 외에도 GDPR을 위반한 기업은 데이터 처리 중단 또는 GDPR을 위반하여 처리된 데이터 삭제와 같은 추가적인 제재를 받을 수 있습니다.

EU의 개인 데이터 보호 담당 기관은 EU 데이터 보호 감독관(EDPS)이며, 이 기관은 경험이 풍부한 변호사, IT 전문가 및 관리자로 구성된 독립 기구입니다.

이 기관의 주요 기능은 EU 기관 내 개인 데이터 처리를 감독하고 개인 데이터 관련 문제에 대해 자문하는 것입니다. GDPR은 또한 각 회원국에 개인 데이터 보호 기관을 설립하도록 요구하는데, 예를 들어 국가 개인 데이터 보호 위원회(프랑스, 아일랜드 등) 또는 데이터 보호 감독 기관(핀란드, 라트비아 등)이 있습니다.

유럽연합(EU)은 유럽 데이터 보호 감독관(EDPS)과 함께 회원국의 국가 데이터 보호 당국 대표와 EU 대표로 구성된 유럽 데이터 보호 위원회(EDPB)를 설립했습니다. EDPB는 개인 데이터 보호 문제에 대한 주요 독립 자문 기구로서 EU 전역에서 GDPR이 일관되게 적용되도록 책임지고 있습니다.

GDPR은 물질적 및 무형적 제재를 포함한 강력한 억제책을 규정하고 있습니다. 또한, 집행위원회/위원장 모델을 기반으로 하는 EU 개인정보보호기구는 조직이 개인정보보호 규정을 위반할 경우 광범위하고 독립적인 제재 권한을 행사할 수 있으며, 개인정보 처리 여부를 독립적으로 평가하고 결정할 수 있습니다.

2021년에 제정된 중국 개인정보보호법 (PIPL) 은 중국 최초의 포괄적인 국가 차원의 개인정보보호법으로 여겨집니다. PIPL은 개인정보를 특정 개인을 식별하거나 특정할 수 있는 정보로 비교적 통일적으로 정의하고 있으며, 이는 중국 영토 내의 특정 집단에 적용됩니다(개인정보보호법 제1장 제4조). 동시에, 민감한 개인정보에 대한 문제를 규제하여 보다 구체적인 데이터 집단과 관련된 당사자의 권리와 의무를 규정하고 있습니다.

개인정보보호법(PIPL)에 따른 개인정보 침해에 대한 제재는 매우 엄중하며, 강제 시정, 불법 소득 몰수, 서비스 정지, 영업 또는 사업 허가 취소, 최대 5천만 위안 또는 직전 회계연도 연간 매출액의 5%에 해당하는 벌금 부과 등이 포함됩니다. 또한, 위반 사항은 국가 사회 신용 시스템에 따라 처리 업체의 "신용 파일"에 기록될 수도 있습니다.

또한, 정보 처리 업체는 조직 및 개인의 권익을 침해할 경우 손해 배상 책임을 져야 합니다. 이러한 유형의 위반 행위에 대한 형사 처벌은 중국 형법에 구체적으로 규정되어 있으며, 정보 기밀 유지 의무 위반자에 대한 형사 책임을 강화하고, 재산 몰수 조항을 추가했으며, 최고 형벌로 무기징역을 명시하고 있습니다.

싱가포르 개인정보보호법 (PDPA) 은 2012년에 제정되었고 2020년에 개정되었습니다. 싱가포르 법은 개인정보 보호권을 인정하는 동시에 특정 상황에서 적절한 목적을 위해 정보의 수집, 이용 및 공개를 체계화해야 할 필요성을 규정하고 있습니다.

개인정보보호법(PDPA)은 데이터 유출에 대한 엄중한 금전적 처벌 조항도 포함하고 있습니다. 개인 위반자는 벌금형 또는 징역형에 처해질 수 있습니다. 벌금은 위반 행위의 성격과 심각성에 따라 2,000싱가포르 달러에서 100,000싱가포르 달러(미화 16억 동 상당)까지 부과될 수 있으며, 징역형은 12개월 이하에서 중대 사안의 경우 최대 3년까지 가능합니다.¹ 기관 및 기업의 경우, 위반 시 연간 매출액의 최대 10%에 해당하는 벌금이 부과될 수 있습니다.

개인정보보호법(PDPA)의 시행을 보장하는 데 중요한 역할을 하는 기관은 개인정보보호위원회(PDPC)입니다. PDPC는 광범위한 권한과 집행력을 갖춘 전문 기관으로, 개인 및 단체에 개인정보 처리와 관련된 정보 및 문서 제출을 요구하고, 위반 시 벌금을 부과하거나 기타 조치를 취할 수 있는 권한을 가지고 있습니다.

싱가포르에서 개인정보 보호를 효과적으로 시행하기 위한 조건 중 하나는 개인정보 침해를 적발하고 처리하며 제재를 적용하는 데 있어 독립적이고 적극적으로 활동하는 전문 기관인 싱가포르 개인정보보호위원회를 설립하는 것입니다.

베트남 개인정보보호법 개선을 위한 권고 사항

현재 베트남에는 헌법, 법전(4), 법률(39), 법령(1), 시행령(2), 회람/공동 회람(4), 장관의 결정(1) 등 다양한 문서에 규정된 개인 데이터 보호 문제와 직접적으로 관련된 69개의 법률 문서가 있습니다.

이러한 문서들은 기본적으로 개인정보 보호 문제를 정보 주체의 사생활 보호 원칙을 증진하는 방향으로 접근하지만, 개인정보와 관련된 정보, 즉 정보 주체의 권리와 의무, 정보 처리, 개인정보 보호 방법 등에 대해서는 서로 다른 규정을 제시하고 있습니다. 베트남의 개인정보 보호 관련 법률은 특히 2023년 4월 17일 정부가 개인정보 보호에 관한 시행령 제12/2023/ND-CP호를 발표하면서 주목할 만한 성과를 거두었습니다. 이 시행령은 우리나라에서 개인정보 보호 문제를 별도로 규정하는 문서입니다. 이러한 법률 문서들은 개인정보 보호 활동에 있어 법적 기반을 마련하고, 정보 주체와 정보 처리자의 권리를 명시하며, 개인정보 보호 위반에 대한 제재를 규정하고, 공안부 산하 사이버보안 및 첨단범죄예방국을 개인정보 보호 전담 기관으로 지정했습니다.

베트남은 사이버 공간, 특히 개인 정보 및 데이터 유출과 도용으로부터 많은 위험과 도전에 직면해 있으며, 이는 시민과 사회에 많은 해로운 영향을 미치고 있습니다.

그러나 이러한 문서들을 실제로 시행해 보면 여러 가지 한계점들이 드러나고 있습니다. 현재 별도의 법률 문서들은 단지 법령 수준에 그쳐 개인정보 보호의 중요성을 제대로 반영하지 못하고 있으며, 많은 내용이 일반적이고 불명확하게 규정되어 있어 개별 사례에 대한 구체적인 지침이 부족하고, 제재 조치 또한 미약하여 억제력이 충분하지 못합니다.

이러한 상황에서 베트남의 개인정보보호법 지속적인 개선은 다른 국가들의 경험을 바탕으로 연구해야 할 중요한 과제입니다. 구체적으로는 다음과 같습니다.

첫째, 개인정보 보호법을 제정해야 합니다 . 4차 산업혁명 시대에 접어들면서, 지역 및 국가 차원에서 80여 개국이 개인정보 보호를 위한 별도의 법률을 제정했습니다. 베트남도 EU, 중국, 싱가포르처럼 개인정보 보호의 기본 원칙과 쟁점을 명확히 규정한 개인정보보호법과 같은 일반 및 전문 법률을 조속히 연구하고 제정해야 합니다. 현재 우리나라의 개인정보 관련 법규는 용어와 내용 면에서 통일성이 부족한 상황이므로, 개인정보 보호법 제정은 개인정보 보호를 위한 중요한 법적 기반이 될 것입니다.

둘째, 개인정보 침해에 대한 제재를 침해의 성격과 심각성에 상응하도록 더욱 강화하고 보완해야 합니다. 우리나라에서는 개인정보 침해에 대한 제재로 행정적, 민사적, 형사적 제재가 존재하지만, 일반적으로 그 강도가 약하여 억제 효과가 미미합니다. 현재 주된 제재 방식은 행정적 제재인데, 관련 규정들이 여러 시행령에 흩어져 있고 벌금액 또한 개인 1억 VND, 단체 2억 VND 정도로 매우 낮습니다.

개인정보보호 관련 행정 위반으로 인한 피해는 물질적 손해뿐 아니라 명예와 존엄성 훼손이라는 심각한 결과를 초래할 수 있습니다. 현행 형법 제159조와 제288조는 개인정보보호 및 정보기술·네트워크보안 분야에 대한 규정을 명시하고 있지만, 징역 7년 이하, 벌금 10억 VND 이하라는 비교적 낮은 수준의 처벌만을 규정하고 있습니다. 이는 EU의 2천만 유로, 싱가포르의 100만 싱가포르 달러, 또는 중국의 종신형과 비교했을 때 여전히 매우 낮은 수준이며, 수많은 위반 행위에 비해 턱없이 부족한 처벌입니다.

동시에, 대규모 데이터 거래, 데이터 침해 시스템 구축, 마케팅 서비스 사업에서의 위법 행위 등 현재 법률에 명시되지 않은 다양한 행위들을 규제할 필요가 있다.

셋째, 베트남의 개인정보보호기관 모델을 살펴보겠습니다 . 현재 공안부 산하 사이버보안 및 첨단범죄예방국이 개인정보보호 전문기관 역할을 하고 있습니다. 국제 규정을 참고하여 개인정보보호법 시행, 점검 및 조사, 지침 및 권고 발표, 위반 시 제재 조치 등을 담당하는 독립적인 개인정보보호기관 설립을 고려해 볼 수 있습니다.

우리는 EU나 싱가포르의 이러한 모델을 참고하여 개인 정보 보호법을 효과적으로 시행하고, 개인의 권리 보호와 네트워크 보안 확보 사이의 균형을 맞출 수 있습니다.

개인정보 보호는 간단한 문제가 아닙니다. 특히 통합 환경에서 개인정보 모니터링 및 수집 활동이 대규모로 이루어지고 있고, 베트남의 관련 법률 체계가 아직 구축 및 완성 단계에 있기 때문에 더욱 그렇습니다.

베트남의 실제 상황을 참고하여 이 문제에 대한 국제법을 연구하는 것은 국제법에 부합하고 실효성 있는 포괄적인 개인정보 보호 법적 틀을 조속히 구축하는 데 도움이 될 것입니다.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html