
2026년 클라우드 보안 개요: 점점 더 복잡해지는 현실
2026년 01월 30일
2025년 세계에서 가장 인기 있는 탑10 AI애플리케이션
2026년 02월 03일1편 2026 베트남 개인정보보호법에서 알아야 할 4가지 사항
2026년 2월 1일
작성자: 테크밸리 베트남 김도연
이번 테크밸리 블로그에서는 2026년 1월 베트남에서는 새로운 개인정보 보호법 시행령 13호 (Decree 13/2023/ND-CP)의 개정안이 발표되면서 저희 회사 테크밸리에 클라우드 이용 고객사에게 개별 컨설팅과 테크밸리클라우드 온라인 웨비나 발표 자료를 바탕으로 작성하였습니다.
베트남 최초의 포괄적 개인정보 보호 규정인 시행령 제13/2023/ND-CP는 2023년 7월 1일부터 유예 기간 없이 즉시 시행되어 베트남공안부(MPS)와 A05의 감독 아래 분산된 법률 통합 및 처벌 강화를 통해 데이터 보호의 새로운 시대를 열고 있습니다.
이번 시행령은 새로운 개인정보보호 신법 91/2025/QH1t5)에 따른 신규 시행령이며 2023년 기존 시행령 13/2023/ND-CP 보다 좀더 구체적이고 처벌에 대한 내용도 포함되어 있습니다.
이번 블로그 제1편에서는 2026년 베트남 개인정보보호법 신규 시행령에서 꼭 아셔야 할 부분 주요 4가지를 정리해 드립니다. 단, 베트남의 법률은 모호하고 그레이 (grey) 영역이 다소 있다 보니 주관적 해석과 베트남 기관의 자가해석이 있을 수 있는 점은 미리 양해드립니다.
첫째, 베트남 개인정보법의 적용 범위 – 국경 없는 규제
시행령 1조에 다르면 개인정보의 대상은 단순히 베트남에 있는 베트남인 뿐만 아니라 해외 체류 베트남인, 베트남에 외국인, 베트남에서 사업을 하는 한국인 저도 포함되어 있습니다. 또한 역외 적용 (Extraterritorial)에 의해 베트남 내에 데이터처리와 관련된 개인이나 외국인 기업도 대상이 되니 한국 본사가 베트남 지사에 고객이나 직원의 데이터를 처리할 경우 이 시행령이 적용될 수 있습니다.

보통 베트남 지사에서 운영하는 ABC.vn의 고객 데이터를 SaaS나 클라우드로 운영하는 경우 반드시 시행령의 대상에 포함되며 한국 포함 외국 기업들이 베트남 지사의 직원 인사관리 시스템을 한국 본사에서 관리하거나 HR SaaS 서비스를 도입하려고 하는데 이 경우에도 본 시행령의 주요 요구사항을 따라야 합니다.
둘째, 데이터의 구분 – 일반 데이터 vs 민감 데이터
다음으로 ABC.vn의 창업자로서 여러분이 마주할 첫 번째 질문은 “우리가 수집하려는 사용자 정보 중에 대체 어디까지가 법에서 말하는 개인 데이터지?”입니다.
이 시행령에서 말하는 개인 데이터는 단순한 이름이나 이메일 주소, 이 정도는 아닙니다. 시행령은 데이터를 두가지 기준으로 명확히 나누고 있습니다.
먼저 기본 개인 데이터는 일반적인 이름, 생년월일, 전화번호처럼 우리가 당연히 예상할 수 있는 것들이 대부분 포함됩니다. 하지만 주목해야 할 건 온라인 활동 기록까지 전부 기본 데이터로 본다는 점입니다. ABC.vn 사용자가 어떤 상품을 클릭하고 또 얼마나 오래 페이지에 머물렀는지, 이런 정보도 전부 기본 개인 데이터에 들어간다는 의미입니다. 사용자의 행동 패턴 데이터가 그냥 빅데이터 분석용 데이터가 아니라 이제는 보호해야 할 개인 데이터입니다.
두 번째 유형은 ‘민감 개인 데이터입니다. 이부분은 개인의 사생활과 직결돼서 유출되면 아주 심각한 피해를 줄 수 있는 정보들이죠. 정치적 견해나 종교, 건강 상태 등이 해당됩니다. 또한 사용자의 정확한 위치 데이터나 금융 결제 정보는 전부 민감 데이터로 분류됩니다.
| 기본 개인 정보 (Basic Personal Data) | 민감 개인 정보 (Sensitive Personal Data) |
| 성명, 별칭 | 정치적, 종교적 견해 |
| 생년월일, 사망, 실종일 | 의료 기록, 건강 상태 (혈액형 제외) |
| 성별 | 인종 및 민족 출신 정보 |
| 출생지, 거주지, 연락처 | 개인의 유전적 특성 |
| 국적 | 개인의 고유한 물리적, 생체적 속성 |
| 개인 이미지, 사진 | 개인의 성생활, 성적 지향 정보 |
| 전화번호, 신분증/여권 번호, 차량번호, 세금코드, 사회 보험, 의료보험 정보 | 법 집행 기관이 수집 및 저장한 범죄 기록 |
| 혼인 상태 및 가족 관계 | 신용 기관, 은행의 고객 정보 (계좌, 예금 거래, 거래 내역) |
| 개인 디지털 계정자, 사이버 공간 활동 이력 | 위치 추적 서비스를 통해 확인된 개인의 위치 데이터 |
| 민감 정보에 속하지 않는 기타 식별 정보 | 법률에 의해 특수 및 필요한 보안 조치가 요구되는 기타 개인 정보 |
개인 정보의 분류 (시행령 2조, 3조, 4조)
ABC.vn 온라인 이커머스에서 다룰 수 있는 다른 정보들은 주로 사용자, 일반 정보외에 사용자 위치 데이터나 금융 결제 정보는 전부 민감 데이터로 분류되니까 훨씬 더 엄격한 보호 조치가 필요하다는 걸 꼭 기억해야 합니다.
셋째, 개인정보 주체 및 이해 관계자의 역할
그럼 이제 어떤 데이터를 다루는지 파악습니다. 다음 단계는 이 데이터를 처리하는 과정에 누가 어떤 역할을 맡는지 이해해야 합니다.
시행령13은 개인정보 관리에 관여하는 주요 이해관계자를 크게 개인정보 주체(Data Subject), 개인정보 통제자 (Data Controller), 개인정보 처리자 (Processor), 제3자 (3rd Party)로 구분하여 정의하고 있습니다.

1) 데이터주체 (Data Subject)
우선 ABC.vn의 온라인 이용자는 데이터의 주인이며 이를 데이터 주체 (Data Subject)라고 합니다. 즉 ABC.vn 플랫폼의 사용자 정보에 의해 식별되는 정보의 실제 주인입니다. 시행령은 데이터 주체에게 권리와 의무를 부여하여 정보 관리를 중심적 역할을 수행하도록 규정되어 있습니다.
이는 서비스 제공회사의 마케팅 동의 반대도 당연히 가능하며, 만일 한국의 쿠팡 (Coupang)과 같은 개인정보가 해킹당했을 때 자기 보호를 위한 소송이나 집단 소송도 가능합니다.
데이터 주체는 단순히 정보를 제공하는 수동적인 존재가 아니라, 자신의 정보가 언제, 어떻게, 누구에게 사용되는지 결정하고 감시할 권리를 가지며, 동시에 정확한 정보를 제공하고 법규를 준수할 의무를 지닌 능동적인 관리자로서의 역할을 수행합니다

2) 개인정보 통제자 (Data Controller)
‘개인정보 통제자’ (혹은 개인정보 관리자)는 데이터 처리의 목적과 방법을 결정하는 주체이며, 이 시나리오의 ABC.vn 온라인 커머스 회사가 통제자가 됩니다.
개인정보 통제자는 ABC.vn과 같이 고객의 정보를 기반으로 온라인 혹은 오프라인에서 서비스를 하는 회사가 준수해야 합니다. 이 조직은 개인정보 데이터의 목적과 수단을 결정하고 만일 규정 위반시 72시간내에 이를 반드시 통지해야 합니다.
이 시행령 제38조 및 관련 조항에 명시된 통제자의 주요 역할과 책임은 다음과 같습니다.

개인정보 통제자는 데이터 관리의 ‘설계자’이자 ‘최종 책임자’입니다. 이들은 데이터 처리의 방향을 결정할 뿐만 아니라, 하위 처리자를 감시하고, 사고 발생 시 당국에 보고하며, 정보 주체의 권리를 실질적으로 보장해야 하는 포괄적인 의무를 지닙니다
3) 개인정보처리자 (Data Processor)
개인정보 처리자는 개인정보 통제자와의 계약 또는 합의를 통해, 통제자를 대신하여 개인정보 처리 업무를 수행하는 조직이나 개인을 말합니다.
저희 테크밸리에 자주 질문하시는 내용중에 클라우드 서비스 제공사가 여기에 해당됩니다. 개인정보처리자는 독자적인 판단보다는 통제자와의 계약 범위 내에서 움직여야 하며, 다음과 같은 의무를 집니다.

즉 개인정보 처리자는 통제자의 ‘손발’ 역할을 하지만, 단순히 시키는 일만 하는 것이 아니라 자체적인 보호 조치 수립, 영향 평가 작성, 사고 발생 시 배상 책임까지 지는 막중한 법적 의무를 가집니다.
만일 ABC.vn이 개인정보를 클라우드의 서버에 올렸을 경우에는 클라우드 공급사 (CSP : Cloud Service Provider)가 개인정보 처리자의 역할을 하게 됩니다.
2025년 한국의 쿠팡의 개인정보유출 사고로 청문회에 질의 응답에서 모의원이 쿠팡은 어느 클라우드를 사용하냐고 물은게 개인정보처리자가 누구인지 확인하기 위해서였습니다. 여기 개인정보를 저장하는 AWS 클라우드도 데이터처리자로 개인정보유출에 대한 어느정도 책임을 가지고 있습니다.

흔의 개인정보 관리자 (Data Controller)와 처리자 (Data Processor)의 역할을 헷갈려 하시는 분들이 많아 아래와 같이 정리해 드립니다. 이 두 주체의 역할은 독립적이기 보다는 개인정보 관리자가 기업 (예, ABC.vn 온라인이커머스 회사)의 고객의 개인정보를 총책임을 지며 개인정보처리자 (예, 클라우드 회사)가 데이터를 안전하게 보관하고 데이터의 처리, 베트남 공안부 (A05)에 조사 협조 등입니다.

넷째, 개인정보보호법 기본 원칙 및 준수 사항
시행령 13은 개인정보 통제자(38조, 6항)와 개인정보 처리자(39조, 4항) 모두 데이터 처리 과정에서 발생한 손해에 대해 정보주체에게 직접적인 책임을 진다고 규정하고 있습니다.
이는 관리자를 통해서만 책임이 전가되는 일부 다른 법제와 달리, 정보주체가 손해를 야기한 주체(데이터 통제자 또는 처리자)에게 직접 책임을 물을 수 있음을 의미하므로, 처리자 선정 및 계약 시 책임 소재를 명확히 하는 것이 매우 중요합니다

1편을 마치며
이러한 베트남 개인정보보호 시행령 13의 조치는 민감 정보 처리에 대한 기업의 책임성을 강화하고, 규제 당국과의 원활한 소통 채널을 확보하기 위한 것입니다.
지금까지는 베트남 개인정보보호 시행령 13의 개인정보의 분리, 개인정보 관리 주체와 준수해야 할 원칙을 주로 살펴 보았습니다. 이중에 개인정보관리 주체는 많은 분들이 테크밸리에게 질문을 하는 내용으로 각 주체에 명확한 역할과 의무를 규정할 필요가 있습니다.
테크밸리는 베트남 클라우드 공급사로 ‘개인정보처리자 (Data Processor)’의 역할을 수행합니다. 앞으로 베트남 진출시 IT 인프라 환경이나 클라우드 구축에 개인정보보호법에 대한 안내가 필요하시면 언제든지 연락주시기 바랍니다.
** 본 글의 저작권은 테크밸리베트남, (주)테크밸리글로벌에 있습니다. 인용시에는 연락을 주시기 바랍니다.






