개인정보 보호위원회

베트남: 개인정보보호법(PDPL) – 주요 내용과 시사점

베트남 PDPL은 GDPR과 유사한 원칙 및 역외 적용 도입과 함께 국익과 권리 균형을 강조하고, 강력한 개인정보 영향평가 및 제재 규정을 통해 개인정보 보호를 강화

- 베트남은 2025년 6월 개인정보보호법(Personal Data Protection Law, PDPL)을 공포했으며, 2026년 1월 시행 예정임. 이는 베트남 최초의 포괄적 개인정보 보호 법체계로, 공안부(Ministry of Public Security, MPS)가 제정함.

- PDPL은 베트남 내 기관·개인뿐 아니라 베트남 관련 개인정보를 처리하는 해외 기업에도 적용되어 GDPR의 역외 적용 규정과 유사함. 다만 국익과 인권을 동시에 고려한다는 점에서 차별성이 있음.

- 개인정보 처리 원칙은 ▴적법성 ▴목적 제한 ▴정확성 및 보관 제한 ▴보안 ▴침해 예방 및 대응 ▴국익·권리 균형 등 여섯 가지로, 기본 근거는 동의나 정당한 이익(Legitimate Interest)*도 제한적으로 허용됨.

* 정당한 이익: 조직이 개인정보 처리의 필요성과 정당성을 입증할 수 있는 제한적 근거

- 정보주체 권리는 열람·정정·삭제·처리 제한·처리 반대가 보장되며, 데이터 이동권은 제외됨. 응답 기한은 ‘72시간’에서 ‘적시(timely)’로 완화됨.

- 개인정보 영향평가(Data Protection Impact Assessment, DPIA)**와 국경 간 이전 영향평가(Cross-Border Transfer Impact Assessment, CBTIA)***는 의무 사항으로, DPIA 결과는 처리 60일 전 MPS에 제출해야 함.

** 개인정보 영향평가(DPIA): 개인정보 처리 위험을 사전 분석·평가하는 절차

*** 국경 간 개인정보 이전 영향평가(CBTIA): 국외 이전 시 발생할 위험과 영향을 검토·보고하는 절차

- 위반 시 최대 3억 동(약 11만 5천 달러) 또는 매출의 5%까지 과징금이 부과되며, 불법 개인 정보 매매는 부당이득의 최대 10배까지 제재됨. 일부 범죄에는 형사책임도 적용됨.

- 결론적으로 PDPL은 GDPR와 유사한 틀을 따르면서도 국익과 권리 간 균형을 강조하며, DPIA·CBTIA 등 절차와 강력한 제재를 통해 개인정보 보호를 강화하는 제도로 평가됨.

출처: Vietnam's PDPL in focus: What to know and watch for (IAPP, 2025.08.11.)