KOTRA, "당장 지점이나 대표사무소를 설치할 필요는 없으나 지속적인 관심 필요"

[KOTRA_해외시장동향_2019.2.27]

베트남 사이버보안법 시행령, 기업 부담 덜어주나

- 당초보다 다소 약해진 논조
- 당장 지점이나 대표사무소를 설치할 필요는 없으나 지속적인 관심 필요

□ 베트남 사이버 보안법 발효

ㅇ 2018년 6월 12일, 사이버 보안법(Cyber security Law, 24/2018/QH14)이 베트남 국회를 통과해 2019년 1월 1일부로 발효됨

ㅇ 이에 따르면 외국 기업, 베트남 기업을 불문, 베트남에서 온라인 서비스를 제공하는 기업은 베트남 사이버보안법에 따라 반드시 베트남에 물리적인 사무실 형태(지점 혹은 대표사무소)를 갖추고 베트남 내에 데이터 서버를 구축해야 함

□ 베트남 사이버 보안법 시행령 초안 발표

ㅇ 사이버보안법은 발효가 되었으나, 해당 법을 규율하기 위한 관련 세부 법령은 아직 확립되지 않았음. 따라서 동법의 규율을 받는 기업들은 동법에 따른 대응방법을 확인할 수 없어 기존 방식대로 운영하는 경우가 대부분이었음

ㅇ 다만 2018. 11.부로 동법에 대한 시행령 초안이 발표되어 관련 기업들의 궁금증이 다소나마 해결되고 있음

□ 사이버 보안법 시행령의 구체적인 내용

ㅇ 법 적용 대상

- 사이버 보안법에서는 적용 대상 기업에 대한 정의가 명확치 않았으나, 시행령에서는 이를 일부 해결하고 있음. 시행령 초안에 의하면 적용 대상은 전화 혹은 인터넷에서 다음 업무를 수행하면서 개인정보를 수집, 활용, 분석하는 베트남 및 외국 기업임. 아래 동법 적용 대상 업종에 따르면, 사실상 인터넷에서 사업을 영위하는 대부분의 업체가 해당될 것으로 보임.

- 적용 대상 업종(근거 : 베트남 공안부, 사이버 보안법 시행령 두 번째 초안, 제25조 1-a항)

ㆍ통신 서비스
ㆍ사이버 공간에서의 데이터 저장 및 공유 서비스
ㆍ베트남 사용자를 위한 국내 또는 국제 도메인(domain) 사업
ㆍ전자상거래
ㆍ온라인 결제
ㆍ결제 대행
ㆍ사이버공간을 통한 교통수단 연결 서비스
ㆍ소셜 네트워크 및 소셜 미디어
ㆍ온라인 게임
ㆍ이메일 서비스

ㅇ 베트남 내에 저장해야 하는 데이터

- (종류) 성명, 생년월일, 출생지, 국적, 직업, 직책, 거주지, 연락 가능 주소, 이메일 주소, 전화번호, 신분증 번호, 개인 식별 번호, 여권 번호, 사회보험 번호, 신용카드 번호, 건강상태, 의료기록, 생체데이터

- (기간) 위 데이터는 서비스 기간 내 계속 보관되어야 하며, 사용자가 생성하였거나 서비스 상 사용자 관계에 관한 데이터는 최소 36개월 이상, 그리고 네트워크 로그는 12개월 이상 저장되어야 함

ㅇ 컨텐츠에 관한 검열

- 온라인으로 제공된 서비스가 '금지된' 컨텐츠에 해당하여 공안부(MPS) 혹은 정보통신부(MIC)로부터 삭제 요청을 받은 경우, 서비스 제공자는 해당 컨텐츠를 공안부(MPS) 혹은 정보통신부(MIC)가 요청한 시간으로부터 24시간 이내에 삭제해야 함

- 삭제될 데이터에는 정부, 당 및 그 구성원에 관한 비판적인 내용, 반대되는 견해의 진술, 정치적인 내용 및 반국가 활동이 포함됨

- 만약 온라인 서비스 제공자가 금지된 컨텐츠를 발견한다면, 해당 컨텐츠 사용자의 접속을 차단하고 관계 당국에 신고할 책임이 있음

- 이러한 의미에서 온라인 서비스 진출 기업은 사이버보안법의 취지 및 개인 정보 보호의 이념에 부합하도록 정책과 약관을 정비할 필요가 있음

ㅇ 서비스 제공자의 의무

- (정보 제공) 서비스 제공자는 공안부 산하 기관인 사이버 보안 테스크포스(CTF)의 정보 제공 요청이 있을 시 이를 제공하여야 함

- (검열) CTF의 요청이 있을 시 24시간 이내에 해당 정보에 대한 일반 사용자들의 접근을 차단하고, 일정 기간 시스템 로그를 보관해야 하며, 해당 정보 사용자의 서비스 접근을 막아야 함

- (데이터 현지화) 서비스 사용자의 개인 정보, 관계 정보, 베트남에서 서비스 사용자에 의해 생성된 정보를 정부가 정하는 기간 동안 저장하여야 함

- (베트남 내 저장) 데이터 현지화 요건에 해당하는 경우 베트남 내 지점 혹은 대표사무소 설립 필요

□ 시사점 및 우리 기업에 미치는 영향

ㅇ 시행령 초안에 의하면 사이버 보안법의 적용 대상 기업은 공안부의 관련 지침 준수 요청을 받은 후로부터 1년 이내에만 사이버보안법의 규제를 준수하면 됨(1년의 경과 규정)

- 즉, 문언 상으로는 기업이 사이버보안법의 내용을 지키지 않더라도 관계 당국의 준수요청이 없는 한 해당 기업에 대한 제재는 불가하다는 해석이 가능하고, 나아가 일부 현지 법무법인은 당국의 요청이 있기 전까지는 대표 사무소 혹은 지점의 설치도 강제적이지 않다는 해석도 있음. 따라서 최종 시행령 발효 혹은 기타 업종별 세부 법률 등에 의하여 데이터 현지화 의무가 부여되기 전까지는 우리 기업은 별도의 준비를 하지 않아도 무방할 것으로 보임.

ㅇ 다만 이는 시행령 초안의 내용에 불과하고, 대부분의 인터넷 서비스 제공자가 원칙적으로 지켜야 하는 사이버보안법의 본 취지와는 다른 내용이므로 기업 입장에서는 최소한의 규정 준수 노력은 필요함

ㅇ 법 발표 때부터 관심의 대상이었던 구글이나 페이스북도 여전히 대표사무소를 개설하지는 않은 것으로 보임. 다만 현지 언론에 따르면, 구글은 현지 법령을 준수하기 위해 베트남에 대표사무소 설립을 추진 중이며, 해당 시행령에 대한 건의도 지속적으로 할 예정으로 알려짐

ㅇ 또한 저장해야 하는 데이터에 각종 개인 정보는 물론 생체 데이터, 의료 정보, 사회 관계 정보 등 민감한 데이터가 모두 포함되고, 서비스제공자는 물론 관계 당국의 검열의 대상이 되는 만큼 이를 다루는 온라인 서비스 기업은 개인정보처리방침 등을 통해 서비스 사용자에게도 이러한 데이터가 저장된다는 사실을 알려야 할 것임

ㅇ 해당 시행령 초안이 예상과 달리 아직 정식으로 발표되지 않았고, 준수하지 않을 경우 구체적으로 어떠한 방식으로 제재를 할 것인지도 알려지지 않은 만큼 우리 기업은 지속적인 관심을 가지고 대응할 필요가 있음

출처 : 베트남 공안부, 현지 언론 보도 및 KOTRA 호치민무역관 자료 종합
작성자: 이주현 베트남 호치민무역관

△ 원문 보러 가기 : 뉴스 → 칼럼

키워드

#N
저작권자 © 의료기기뉴스라인 무단전재 및 재배포 금지