2026년 1월 1일부터 시행되는 개인 데이터 보호법은 디지털 공간에서 서비스 제공자들에게 새로운 의무를 부과합니다. 여기에는 소셜 미디어 및 온라인 커뮤니케이션 서비스가 포함됩니다. 이 법의 주요 규정 중 하나는 특히 신분증 관련 민감한 개인 데이터의 수집 및 처리 활동을 강화하는 것입니다. 이에 따라, 소셜 미디어 플랫폼은 서비스 설치 및 사용 시 수집되는 개인 데이터의 내용에 대해 사용자에게 명확하게 알릴 책임이 있으며, 허가되지 않은 데이터 수집이나 합의된 범위를 넘어선 데이터 수집은 금지됩니다. 법 제29조는 “신분증의 전부 또는 일부를 포함한 이미지나 비디오를 계정 인증 요소로 요구할 수 없다”고 명시하고 있습니다.
한 사용자가 스마트폰 애플리케이션에서 주민등록증을 사용해 eKYC 신원 확인을 진행하는 모습입니다. 이 규정은 과거 몇몇 플랫폼이 사용자가 계정 잠금을 해제하거나 복구하기 위해 주민등록증, 신분증 또는 여권 사진을 제출하도록 강요했던 현실과 비교할 때 큰 변화로 평가됩니다. 신분증 데이터의 수집 및 저장은 보안 시스템이 보장되지 않을 경우 정보 유출 및 데이터 남용의 큰 위험을 내포하고 있습니다.
신분증을 통한 인증을 금지하는 것 외에도, 개인 데이터 보호법은 소셜 미디어가 사용자에게 쿠키 수집 및 공유를 거부할 선택권을 제공해야 하며, “추적 금지” 모드를 활성화하거나 명확한 동의 없이 사용 행동을 추적할 수 없도록 요구합니다. 특히, 플랫폼은 개인 데이터 주체의 동의 없이 도청, 몰래 듣기, 전화 통화 녹음 및 문자 메시지를 읽는 것을 금지하고 있으며, 법률에서 다른 규정을 두지 않는 한 이를 준수해야 합니다.
법은 또한 개인 데이터 수집, 사용 및 공유 방식에 대한 보안 정책을 공개하고, 사용자가 개인 데이터에 접근, 수정 및 삭제할 수 있는 메커니즘을 제공해야 하며, 개인 정보 보호 권리 침해를 신고할 수 있도록 해야 합니다. 베트남 시민의 개인 데이터가 해외로 전송될 때, 기관들은 적절한 보호 조치를 적용하고 신속하고 효율적인 위반 처리 절차를 구축해야 합니다.
베트남의 한 메시징 플랫폼의 이용 약관에는 신분증 정보가 포함되어 있습니다. 2024년 말, 정부는 인터넷 서비스 및 온라인 정보 관리에 관한 제147호 행정명령을 발효하여, 소셜 미디어 사용자 계정 인증 메커니즘을 처음으로 규정했습니다. 이 행정명령에 따라 소셜 미디어 플랫폼은 베트남의 휴대전화 번호로 사용자 계정을 인증해야 합니다. 사용자가 베트남의 휴대전화 번호가 없다고 확인하는 경우에만, 서비스 제공자들이 개인 식별 번호를 통해 계정을 인증할 수 있도록 법률에 의해 규정되어 있습니다.
개인 데이터 보호법은 준수해야 할 규정 외에도 위반 행위에 대한 처벌 수준도 제시하고 있습니다. 여기에는 개인 데이터를 거래하는 행위가 불법 수익의 최대 10배까지 벌금에 처해질 수 있다는 내용이 포함됩니다. 개인 데이터의 국경 간 전송 규정을 위반할 경우, 전년도 매출의 최대 5%까지 벌금이 부과될 수 있습니다. 기타 위반 행위에 대해서는 조직에 대해 최대 30억 동의 벌금이 부과됩니다.