
베트남 양자컴퓨팅 및 보안 산업 2편
2026년 01월 12일
베트남, 암호화자산 거래 규제 제도화 개시
2026년 01월 15일디지털 전환이 빠르게 진행되는 가운데, 개인정보는 개인의 사생활과 정당한 권익에 직결된 중요한 자산으로 자리 잡고 있다. 개인정보의 수집, 처리 및 보호에 대한 통일된 법적 기준을 마련하기 위해, 베트남 정부는 2023년 4월 17일 「개인정보 보호에 관한 시행령 제13/2023/NĐ-CP」를 제정·공포하였다. 본 시행령은 디지털 환경에서 국가기관, 기업 및 개인의 활동에 직접적인 영향을 미치는 핵심적인 법적 기반으로 평가된다.
I. 개인 데이터란 무엇인가?
1. 개인 데이터의 정의
시행령 제13/2023/NĐ-CP에 따르면, 개인 데이터란 전자적 환경에서 기호, 문자, 숫자, 이미지, 음성 또는 이와 유사한 형태로 존재하며, 특정 개인과 직접적으로 관련되거나 해당 개인을 식별할 수 있게 하는 정보를 의미한다.
개인 데이터에는 단순한 직접 식별 정보뿐만 아니라, 개인의 활동 과정에서 생성된 정보로서 다른 정보와 결합될 경우 개인의 신원을 식별할 수 있는 데이터도 포함된다.
2. 기본 개인 데이터와 민감 개인 데이터

본 시행령은 개인 데이터를 다음의 두 가지 주요 유형으로 구분한다.
- 기본 개인 데이터: 성명, 생년월일, 성별, 국적, 거주 주소, 개인 사진, 전화번호, 주민등록번호, 여권 번호, 혼인 상태, 디지털 계정 정보, 온라인 활동 이력 등 특정 개인을 식별할 수 있는 일반적인 정보를 포함함
- 민감 개인 데이터: 침해될 경우 개인의 권리와 정당한 이익에 직접적인 영향을 미칠 수 있는 사생활 관련 정보로서, 정치적·종교적 견해, 건강 및 성생활 정보, 생체·유전 정보, 범죄 관련 데이터, 금융·은행 정보, 위치 정보 및 기타 법률에서 규정한 특수 데이터가 이에 해당함
이러한 분류는 개인 데이터 유형별로 상응하는 보호 조치를 적용하기 위한 중요한 법적 근거가 된다.
3. 시행령에서 규정한 개인 데이터 관련 대상
시행령 제13/2023/NĐ-CP는 개인 데이터 처리 과정에 관여하는 대상을 다음과 같이 명확히 규정한다.
- 정보주체(Data Subject): 개인 데이터가 반영되는 개인으로서, 개인 데이터 보호 활동의 중심에 위치하며 자신의 데이터에 대한 다양한 권리를 법적으로 보장받는다.

- 개인 데이터 처리 관리자(Data Controller): 개인 데이터 처리의 목적과 수단을 결정하는 조직 또는 개인으로, 일반적으로 데이터를 수집·활용하는 주체이다.
- 개인 데이터 처리자(Data Processor): 계약 또는 합의에 따라 개인 데이터 처리 관리자를 대신하여 개인 데이터를 처리하는 조직 또는 개인이다.
- 제3자: 정보주체, 개인 데이터 처리 관리자 및 처리자 외의 조직 또는 개인으로, 법률에 따라 개인 데이터 처리가 허용된 주체를 의미한다.

II. 시행령 제13/2023/NĐ-CP의 주목할 내용
1. 개인 데이터 보호의 8대 원칙
시행령은 개인 데이터 보호를 위한 다음의 8가지 핵심 원칙을 규정하고 있다.
- 법률 규정에 따른 적법한 개인 데이터 처리
- 정보주체의 알 권리 보장
- 신고·공표된 목적에 부합하는 개인 데이터 처리
- 적정하고 제한적인 수집 및 불법적 매매 금지
- 개인 데이터의 정확성 및 최신성 보장
- 처리 전 과정에서의 보안 조치 적용
- 처리 목적에 부합하는 기간 내 보관
- 개인 데이터 처리 관리자의 책임 및 준수 입증 의무
2. 정보주체의 동의에 관한 규정
정보주체의 동의는 시행령의 핵심 요소 중 하나로, 제11조에 규정되어 있다. 동의는 명확하고 자발적이며 검증 가능해야 하고, 정보주체가 처리되는 데이터의 유형, 처리 목적, 처리 주체 및 자신의 권리·의무를 충분히 인지한 상태에서 이루어져야 한다.
동의는 동일한 목적에 대해 이루어져야 하며, 여러 목적이 존재하는 경우 개인 데이터 처리 관리자 및 처리자는 각 목적을 명시하여 정보주체가 하나 또는 여러 목적에 대해 선택적으로 동의할 수 있도록 해야 한다.
시행령은 침묵이나 무응답은 동의로 간주되지 않음을 명확히 하며, 정보주체가 언제든지 동의를 철회할 권리를 가진다는 점을 강조한다.

3. 아동의 개인 데이터 처리
아동의 개인 데이터 처리에 있어 시행령은 아동의 최선의 이익 보호 원칙을 적용한다. 아동의 개인 데이터를 처리하기 위해서는 부모 또는 법적 보호자의 동의가 필요하며, 만 7세 이상의 아동은 본인의 동의 의사 표시에도 참여해야 한다.
개인 데이터 처리 주체는 아동의 연령을 확인할 책임이 있으며, 적법한 요청이 있거나 처리 행위가 아동의 권리·이익에 영향을 미칠 경우 즉시 처리 중단, 삭제 또는 파기를 수행해야 한다.
4. 개인 데이터의 국외 이전
시행령은 베트남 국민의 개인 데이터를 국외로 이전하는 행위에 대해 엄격한 규정을 두고 있다. 이전 주체는 개인 데이터 국외 이전 영향평가 보고서를 작성하여 관할 기관에 제출하고, 정보주체의 동의를 확보해야 한다.
해당 보고서에는 이전·수령 주체의 정보, 이전 목적, 이전되는 개인 데이터 유형, 적용되는 보호 조치, 사고 발생 시 영향 평가, 정보주체의 동의 등 상세한 내용이 포함되어야 한다.
공안부는 위반 사항이나 국가 안보 및 국익에 영향을 미칠 위험이 발견될 경우 개인 데이터 국외 이전의 중단을 요구할 권한을 가진다.


국외 데이터 이전 관련 규정 (사진: 테크밸리 제작)


국외 이전 관련 Form 0.4 양식
III. 개인 데이터 보호 위반 시 처리
시행령 제13/2023/NĐ-CP에 따르면, 개인 데이터 보호 규정을 위반한 행위는 성격과 정도에 따라 징계, 행정처분 또는 형사 책임 추궁의 대상이 될 수 있다.
또한, 조직과 개인은 개인 데이터 침해 사고 발생 시 72시간 이내에 관할 기관에 통보하고, 조사에 협조하며 피해를 최소화하기 위한 시정 조치를 취해야 할 의무가 있다.

결론
시행령 제13/2023/NĐ-CP는 베트남의 개인 데이터 보호 법제 정비에 있어 중요한 이정표를 마련했다. 개인의 데이터에 대한 권리를 강화하는 동시에, 디지털 시대에 국가기관과 기업이 부담해야 할 법적 책임을 명확히 함으로써, 안전하고 투명하며 지속 가능한 디지털 환경 구축에 기여하고 있다. 다만, 이렇게 철저한 법률이 베트남의 디지털 경제 발전 목표에 억제가 아니라 발판이 될 수 있도록 베트남은 큰 과제에 직면하고 있다.
** 이 글의 저작권은 테크밸리에 있으며 인용 시 허락 및 출처를 명시해 주시기 바랍니다.

Patrick Kim 김도연
CEO & Founder
TECH VALLEY VIETNAM
+ 84 966 589 300 (Vietnam mobile & Zalo)
+ 82 10 3167 5274 (Korean mobile & Kakao)
1101A, Epic Tower, 19 Duy Tan, Cau Giay, Hanoi, Vietnam
www.linkedin.com/in/patrickdykim
www.techvalley.biz




