베트남 사이버보안법 2019년 1월 1일 발효
5개월 지났지만 세부 법령은 아직 미흡
2018년 6월 12일 베트남 국회를 통과한 사이버보안법(Cyber Security Law, 24/2018/QH14)이 2019년 1월 1일부로 발효됐다.
이 법안에 따르면 외국기업과 베트남 기업을 불문하고 베트남에서 온라인 서비스를 제공하는 기업은 베트남 사이버보안법에 따라 반드시 베트남에 물리적인 형태의 사무실(지점 혹은 대표사무소)을 갖추고 베트남 내에 데이터 서버를 구축해야 한다.
올해 1월 1일부터 시행된 베트남 사이버보안법은 국가가 해롭다고 판단하는 콘텐츠를 인터넷 업체들을 통해 삭제할 수 있도록 해주는 내용을 담고 있다. 법안이 통과되는 과정 내내 미국과 유럽연합(EU) 등을 비롯해 여러 국제기관의 비판이 잇따랐지만, 베트남 정부는 시행을 강행했다.
이 새로운 법에는 사용자 데이터를 정부 요청에 따라 넘겨야 한다는 조항도 포함되어 있으며, 은행과 상거래 기업들을 포함해 서버를 가지고 있는 기업이라면 전부 베트남에서 서버를 운영해야 한다는 내용도 있다.
사이버보안법은 발효됐지만, 해당 법을 규율하기 위한 관련 세부 법령은 아직 확정되지 않은 상황이다. 이에 사이버보안법의 규율을 받는 기업들은 대응방법을 세부적으로 확인할 수 없어 기존 방식대로 운영하는 경우가 대부분이었다.
다만 2018년 11월부로 사이버보안법에 대한 시행령 초안이 발표돼 관련 기업들의 궁금증이 다소나마 해결되고 있다.
베트남 사회안전부(MPS)는 시행령 초안을 발표하면서 사이버공격으로부터 베트남 조직들을 지키려는 방법임과 동시에 불법적인 시위나 폭력적인 단체 행동을 조직하는 시도를 미리 뿌리 뽑는 것도 사이버보안법의 목적이라고 밝혔다.
베트남 사이버보안법의 구체적인 내용은 다음과 같다.
법 적용 대상
베트남 사이버보안법에서는 적용 대상 기업에 대한 정의가 명확지 않았지만, 시행령에서는 이를 어느 정도 해결했다. 시행령 초안에 의하면 적용 대상은 전화 혹은 인터넷에서 업무를 수행하면서 개인정보를 수집·활용·분석하는 베트남 및 외국 기업이 해당한다. 특히, 적용대상 업종에 따르면 사실상 인터넷에서 사업을 영위하는 대부분의 업체가 이에 해당한다.
적용 대상 업종은 통신 서비스와 사이버 공간에서의 데이터 저장 및 공유 서비스, 베트남 사용자를 위한 국내 또는 국제 도메인 사업, 전자상거래, 온라인 결제, 결제 대행, 사이버 공간을 통한 교통수단 연결 서비스, 소셜 네트워크 및 소셜 미디어, 온라인 게임, 이메일 서비스 등이며 적용 대상 업종의 근거는 베트남 사회안전부, 사이버보안법 시행령 두 번째 초안, 제25조 1-a항이다.
베트남 내에 저장해야 하는 데이터
사이버보안법에 따르면 베트남 내에 저장해야 하는 데이터는 성명과 생년월일, 출생지, 국적, 직업, 직책, 거주지, 연락 가능 주소, 이메일 주소, 전화번호, 신분증 번호, 개인식별번호, 여권번호, 사회보험번호, 신용카드번호, 건강상태, 의료기록, 생체데이터 등이다.
이 데이터는 서비스 기간 내 계속 보관돼야 한다. 사용자가 생성했거나 서비스상 사용자 관계에 관한 데이터는 최소 36개월 이상, 네트워크 로그는 12개월 이상 저장돼야 한다.
콘텐츠에 관한 검열
온라인으로 제공된 서비스가 ‘금지된’ 콘텐츠에 해당해 사회안전부 혹은 정보통신부(MIC)로부터 삭제 요청을 받은 경우, 서비스 제공자는 해당 콘텐츠를 요청된 시간으로부터 24시간 이내에 삭제해야 한다. 삭제될 데이터에는 정부나 당 또는 해당 구성원에 대한 비판적인 내용, 반대되는 견해의 진술, 정치적인 내용과 반국가 활동이 포함된다.
만약 온라인 서비스 제공자가 금지된 콘텐츠를 발견한다면, 해당 콘텐츠 사용자의 접속을 차단하고 관계 당국에 신고할 책임이 있다. 이에 온라인 서비스 진출 기업은 사이버보안법의 취지와 개인정보보호의 이념에 부합하도록 정책과 약관을 정비할 필요가 있다.
서비스 제공자의 의무
정보 제공에 있어 서비스 제공자는 사회안전부 산하 단체인 사이버보안 테스크포스(CTF)의 정보 제공 요청이 있을 시 이를 제공해야 한다. 정보 차단 요청 시에는 24시간 이내에 해당 정보에 대한 일반 사용자들의 접근을 차단하고, 일정 기간 시스템 로그를 보관해야 하며, 해당 정보 사용자의 서비스 접근을 막아야 한다.
데이터 현지화에 대해서는 서비스 사용자의 개인정보와 관계 정보, 베트남에서 서비스 사용자에 의해 생성된 정보를 정부가 정하는 기간 동안 저장해야 한다. 데이터 저장은 데이터 현지화 요건에 해당하면 베트남 내 지점이나 대표사무소를 설립해 보관해야 한다.
사이버보안법 최소한의 규정 준수 위한 기업의 노력 필요
베트남 사이버보안법의 시행령 초안에 의하면 사이버보안법의 적용대상 기업은 사회안전부의 관련 지침 준수 요청을 받은 후, 1년 이내에만 사이버보안법의 규제를 준수하면 된다. 결국 시행령상으로는 기업이 사이버보안법의 내용을 지키지 않더라도 관계 당국의 준수요청이 없는 한 해당 기업에 대한 제재는 불가능하다고 해석할 수 있다.
더불어 일부 현지 법무법인은 당국의 요청이 있기 전까지는 대표 사무소나 지점의 설치도 강제적이지 않다는 해석도 가능하게 된다.
이에 KOTRA 호치민 무역관은 최종 시행령 발효 혹은 기타 업종별 세부 법률 등에 의해 데이터 현지화 의무가 부여되기 전까지 우리 기업은 별도의 준비를 하지 않아도 무방할 것으로 보인다고 조언하고 있다.
다만, 이는 시행령 초안에 불과하고, 대부분의 인터넷 서비스 제공자가 원칙적으로 지켜야 하는 사이버보안법의 본 취지와는 내용이 다르기 때문에 기업 입장에서 규정을 준수하기 위한 최소한의 노력은 필요하다고 덧붙였다.
사이버보안법 발표 때부터 관심의 대상이었던 구글이나 페이스북도 대표사무소를 개설하지는 않은 것으로 보이나 현지 언론에 따르면, 구글은 현지 법령 준수를 위해 베트남에 대표사무소 설립을 추진 중이며, 해당 시행령에 대해 지속해서 건의하고 있는 것으로 알려졌다.
저장해야 하는 데이터에는 각종 개인정보를 비롯해 생체 데이터와 의료 정보, 사회관계 정보 등 민감한 데이터가 모두 포함된다.
이는 서비스 제공자는 물론 관계 당국의 검열 대상이 되는 만큼 이를 다루는 온라인 서비스 기업은 개인정보처리방침 등을 통해 서비스 사용자에게도 이러한 데이터가 저장된다는 사실을 알려야 한다.
또한, 시행령 초안이 아직 정식으로 발표되지 않았고, 준수하지 않을 경우 가해지는 구체적인 제재 조항도 알려지지 않았기 때문에 우리 기업들도 지속적인 관심을 가지고 대응할 필요가 있다.
[라이프플라자]