개인정보 보호법은 개인정보 처리와 보호에 관한 관련 주체들의 책임을 규정하며, 이를 운영하는 기업과 가업을 포함한다. 이 법은 2026년 1월 1일부터 효력을 발생하며, 소기업과 중소기업은 일정 기간 동안 해당 조항들을 선택적으로 준수하거나 준수하지 않을 수 있다.
적용 범위
베트남에서 개인 정보를 처리하는 모든 기관, 단체 및 개인.
핵심 사항
- 개인정보 관리자와 처리자의 책임에 대한 규정
- 개인 정보 보호 기술 조건 및 기준
- 법률 시행 전에 수행되고 있는 활동에 대한 전환 규정
- 소기업과 중소기업을 위한 유연한 적용 기간
- 관련 주체들은 개인 정보 보호 규정 위반 행위를 통보해야 한다.
🌐 이 문서의 사회적 영향
- 시민의 개인정보 보안 강화
- 안전하고 지속 가능한 정보통신 산업 발전
- 국제 표준 준수를 장려하는 기업
❓ 자주 묻는 질문
이 법률은 언제 효력이 발생하나?
개인정보 보호법은 2026년 1월 1일부터 시행된다.
소기업과 중소기업은 법률 규정을 준수할 권리를 어느 기간 동안 행사할 수 있나?
소기업은 법률 시행 후 5년 동안 해당 조항들을 준수하거나 준수하지 않을 권리를 가지며, 중소기업은 이러한 조항들을 준수하지 않아도 된다.
법률은 개인정보 관리자의 책임을 어떻게 규정하나?
개인정보 관리자는 개인정보 처리와 관련된 협정에서 자신의 책임, 권한 및 의무를 명확히 해야 하며, 개인정보 처리 목적과 방법을 결정하고, 개인정보 보호를 위한 기술적 조치를 취해야 한다.
전문
|
국회 |
사회주의 공화국 베트남 |
|
법률 번호: 91/2025/QH15 |
법률
개인 정보 보호
제1항 본 결의는 2025년 제15기全国人民代表大会常务委员会第203号决议对越南社会主义共和国宪法进行修改和补充的基础上;
국회는 개인 정보 보호 법률을 제정한다.
장 1
총칙
조 1. 적용 범위와 적용 대상
1. 본 법률은 개인 정보, 개인 정보 보호 및 관련 기관, 단체, 개인의 권리, 의무, 책임에 대해 규정한다.
||| 본 법은 다음에 적용된다:
||| 가) 베트남 내 기관, 단체, 개인;
별도의 외국 기관, 단체, 개인
직접 베트남 시민과 베트남 출신 국적 미확인자들의 개인 정보 처리 활동에 참여하거나 관련된 외국 기관, 단체, 개인
조 2. 용어 해석
본 법률에서 다음 용어들은 다음과 같이 해석된다:
1. 개인 정보 개인을 특정하거나 특정할 수 있는 수치 또는 다른 형태의 정보로서 기본 개인 정보와 민감한 개인 정보를 포함하며, 식별 정보가 제거된 후에는 더 이상 개인 정보로 간주되지 않는다.
2. 기본 개인 정보 일반적인 인적 요소와 이력 정보를 반영하고 사회적 거래와 관계에서 자주 사용되며 정부가 지정한 목록에 포함되는 정보이다.
3. 민감한 개인 정보 개인의 사생활과 관련된 정보로서 침해될 경우 해당 기관, 단체, 개인의 합법적인 권익에 직접적인 영향을 미칠 수 있으며 정부가 지정한 목록에 포함되는 정보이다.
4. 개인 정보 보호 기관, 단체, 개인이 개인 정보 침해 활동을 방지하고 대응하기 위해 힘, 수단, 방법을 사용하는 행위이다.
5. 개인 정보 주체 개인 정보를 반영하는 사람이다.
6. 개인 정보 처리개인 정보에 영향을 미치는 활동으로 수집, 분석, 통합, 암호화, 해독, 수정, 삭제, 파기, 식별 제거, 제공, 공개, 전송 등 하나 이상의 활동을 포함한다.
7. 개인 정보 처리 감독자 개인 정보 처리 목적과 수단을 결정하는 기관, 단체, 개인이다.
8. 개인 정보 처리자 개인 정보 처리 감독자의 요청에 따라 개인 정보 처리를 수행하거나, 개인 정보 처리 감독자와 처리자가 계약을 통해 직접 처리하는 기관, 단체, 개인이다.
9. 개인 정보 처리 감독자 및 처리자 개인 정보 처리 목적과 수단을 결정하고 직접 처리하는 기관, 단체, 개인이다.
10. 제3자 주체가 아닌, 처리 감독자, 처리 감독자 및 처리자, 처리자 외에 법률에 따라 개인 정보 처리에 참여하는 기관, 단체, 개인이다.
11. 개인 정보 식별 제거 정보를 변경하거나 삭제하여 특정 개인을 식별하거나 특정할 수 없는 새로운 데이터를 생성하는 과정이다.
12. 개인 정보 처리 영향 평가 개인 정보 처리 과정에서 발생할 수 있는 위험을 분석하고 평가하여 위험을 줄이는 조치를 적용하고 개인 정보를 보호하는 것이다.
제3조. 개인 정보 보호 원칙
1. 헌법, 본 법률 및 관련 법률의 규정을 준수한다.
2. 개인 정보 수집 및 처리는 명확하고 구체적인 범위와 목적 내에서 이루어져야 하며 법률 규정을 준수하도록 보장된다.
3. 개인 정보의 정확성을 보장하고 필요시 수정, 업데이트, 보완하며, 처리 목적에 적합한 기간 동안 보관되도록 한다. 법률이 다르게 규정하지 않는 한.
4. 개인 정보 보호를 위한 제도적, 기술적, 인적 수단을 효과적으로 실행하여 개인 정보를 보호한다.
5. 개인 정보 보호 법률 위반 행위를 예방, 발견, 차단, 대응, 신속하고 엄격하게 처리한다.
6. 개인 정보 보호는 국가와 민족의 이익 보호, 경제-사회 발전, 국방, 안보 및 외교 지원, 개인 정보 보호와 기관, 단체, 개인의 합법적인 권익 보호 사이의 균형을 유지한다.
조 4. 개인정보 주체의 권리와 의무
1. 개인정보 주체의 권리에는 다음이 포함된다:
가) 개인정보 처리 활동에 대한 정보를 알 권리;
나) 개인정보 처리 동의 또는 동의 철회를 요구하고, 개인정보 처리 허용에 대한 동의를 요구하거나 철회할 수 있는 권리를 인정받는 것;
다) 개인정보를 확인, 수정하거나 개인정보 수정을 요청하는 권리;
라) 개인정보 제공, 삭제, 처리 제한을 요청하거나, 개인정보 처리에 대한 반대 요구를 하는 권리;
마) 법에서 정하는 바에 따라 불만 제기, 고발, 소송 제기 및 손해 배상을 청구하는 권리;
사) 법에서 정하는 바에 따라 개인정보 보호를 위한 조치와 해결책을 취하도록 개인정보 처리 관련 기관에 요청하는 권리.
2. 개인정보 주체의 의무에는 다음이 포함된다:
가) 자신의 개인정보를 스스로 보호하는 의무;
나) 다른 사람의 개인정보를 존중하고 보호하는 의무;
다) 법령, 계약 또는 개인정보 처리 허용 동의 시 개인정보를 충분히, 정확하게 제공하는 의무;
라) 개인정보 보호 법률을 준수하고 개인정보 침해 방지를 위한 활동에 참여하는 의무.
3. 개인정보 주체가 자신의 권리와 의무를 행사할 때 다음 원칙을 준수해야 한다:
가) 법령을 준수하고, 개인정보 주체로서의 의무를 계약에 따른다. 개인정보 주체의 권리와 의무는 주체 자신의 합법적인 권리와 이익을 보호하기 위한 목적으로 행사되어야 한다;
나) 개인정보 주체의 권리를 행사함으로써 개인정보 관리자, 개인정보 관리 및 처리자, 개인정보 처리자가 수행하는 법적 의무를 방해하거나 어렵게 하지 않는 것이 요구된다;
다) 국가, 기관, 단체, 개인의 합법적인 권리와 이익을 침해하지 않는 것이 요구된다.
4. 개인정보 주체의 권리와 의무를 행사하는 것을 지원하고 방해하지 않도록 기관, 단체, 개인은 법령에 따라 조건을 마련해야 한다.
5. 개인정보 주체가 본 조항 1항에서 정한 개인정보 주체의 권리를 행사하기 위해 요청하면, 개인정보 관리자는 해당 요청을 법령에서 정한 기간 내에 즉시 처리해야 한다.
정부는 본 조항을 세부 규정한다.
조 5. 개인정보 보호 법률의 적용
1. 베트남 사회주의 공화국 영토 내에서의 개인정보 보호 활동은 본 법률과 관련 법령의 규정에 따라 이루어진다.
2. 본 법률 효력 발생 전에 국회의 법률 또는 결의가 개인정보 보호에 대해 구체적인 규정을 두고 있으며, 본 법률의 개인정보 보호 원칙에 위배되지 않는 경우, 해당 법률 또는 결의의 규정을 적용한다.
3. 본 법률 효력 발생 후에 국회의 법률 또는 결의가 개인정보 보호에 대해 본 법률과 다른 규정을 두는 경우에는, 본 법률의 규정을 따르거나 따르지 않는 구체적인 내용을 명시해야 한다.
4. 본 법률에 따라 개인정보 처리 영향 평가, 국제 경계를 넘는 개인정보 이동 영향 평가를 수행하는 기관, 단체, 개인은 데이터 법률에 따른 개인정보 처리 위험 평가, 국제 경계를 넘는 개인정보 이동 영향 평가를 수행하지 않아도 된다.
조 6. 개인정보 보호를 위한 국제 협력
1. 베트남 사회주의 공화국이 회원인 법률과 국제 조약 및 개인정보 보호에 관한 국제 합의를 평등하고 상호 이익을 존중하며 독립과 주권, 영토의 완전성을 존중하는 기초 위에서 준수한다.
2. 개인정보 보호를 위한 국제 협력의 내용은 다음과 같다.
가) 개인정보 보호 법률의 효율적인 집행을 지원하기 위한 국제 협력 체제 구축
나) 다른 국가의 개인정보 보호에 대한 사법상의 지원 참여
다) 개인정보 침해 행위 예방 및 대응
라) 개인정보 보호를 위한 인적 자원 양성, 과학 연구 및 과학기술 적용
마) 개인정보 보호 법률 제정 및 집행 경험 교환
바) 개인정보 보호를 위한 기술 이전
3. 정부는 국제 협력을 수행하는 책임을 규정한다.
조 7. 금지된 행위
1. 베트남 사회주의 공화국에 반대하여 국가 방위, 국가 안보, 사회 질서 및 안전, 기관, 단체, 개인의 권익을 해치는 개인정보 처리 행위
2. 개인정보 보호 활동 방해
3. 개인정보 보호 활동을 이용한 불법 행위 실시
4. 법률 규정에 위반되는 개인정보 처리 행위
5. 다른 사람의 개인정보 사용 또는 자신의 개인정보를 다른 사람에게 제공하여 불법 행위를 하는 행위
6. 법률이 다르게 규정하지 않는 한 개인정보 매매 행위
7. 개인정보 탈취, 고의적으로 개인정보 노출 또는 손실 행위
조 8. 개인정보 보호 법률 위반 처리
1. 본 법률 및 개인정보 보호와 관련된 다른 법률 규정을 위반한 조직 및 개인은 위반 행위의 성질, 정도 및 결과에 따라 행정처분 또는 형사책임을 물을 수 있으며, 손해를 입힌 경우에는 법령에 따른 배상을 해야 한다.
2. 개인정보 보호 분야의 행정처분은 본 조항의 각 항 3, 4, 5, 6, 7 및 행정처분 법률에 따라 이루어진다.
3. 개인정보 매매 행위에 대한 행정처분의 최고 과태료는 위반행위로 얻은 수입의 10배이며, 위반행위로부터 수입이 없거나 과태료가 위반행위로 얻은 수입의 10배보다 낮다면 본 조항의 각 항 5에 따른 과태료를 적용한다.
4. 범위를 초월한 개인정보 전송 행위에 대한 행정처분의 최고 과태료는 해당 조직의 직전 연도 매출의 5%이며, 직전 연도 매출이 없거나 과태료가 해당 조직의 직전 연도 매출의 5%보다 낮다면 본 조항의 각 항 5에 따른 과태료를 적용한다.
5. 개인정보 보호 분야의 다른 위반 행위에 대한 행정처분의 최고 과태료는 3억 동이다.
6. 본 조항의 각 항 3, 4, 5에 따른 최고 과태료는 조직에 적용되며, 개인이 같은 위반 행위를 저지른 경우 과태료는 조직에 대한 과태료의 절반으로 적용된다.
7. 정부는 개인정보 보호 법률 위반 행위를 실행함으로써 얻은 수입을 계산하는 방법을 규정한다.
장 II
개인 정보 보호
파견, 조정, 임기 연장, 철수 절차
개인정보 처리 과정에서의 개인정보 보호
조 9. 주체 개인 데이터의 동의
1. 주체 개인 데이터의 동의는 주체 개인 데이터가 자신의 개인 데이터 처리를 허용하는 것을 의미하며, 법률이 다른 규정을 정한 경우를 제외한다.
2. 주체 개인 데이터의 동의는 자발적이고 다음 정보를 명확히 인식한 상태에서만 효력이 발생한다:
가) 처리되는 개인 데이터의 종류와 개인 데이터 처리의 목적;
나) 개인 데이터 관리자 또는 개인 데이터 관리 및 처리자;
다) 주체 개인 데이터의 권리와 의무.
3. 주체 개인 데이터의 동의는 명확하고 구체적인 방법으로 표현되며, 이를 문서화하거나 복제할 수 있으며 전자 형식이나 검증 가능한 형식도 포함한다.
4. 주체 개인 데이터의 동의는 다음 원칙을 준수해야 한다:
가) 각각의 목적에 대한 동의를 개별적으로 표시해야 함;
나) 다른 내용에 동의하지 않는 조건을 동의에 부과해서는 안 됨;
다) 동의는 주체 개인 데이터가 동의를 변경하거나 법률이 정한 경우까지 유효함;
라) 침묵 또는 응답 없이는 동의로 간주되지 않음.
5. 정부는 본 조 제3항을 세부 규정한다.
조 10. 동의 철회 요구 및 개인 데이터 처리 제한 요구
1. 주체 개인 데이터는 법률 제19조 또는 법률이 정한 다른 경우를 제외하고, 개인 데이터 처리 범위나 목적에 의심이 있거나 개인 데이터의 정확성에 의심이 있을 때 개인 데이터 처리 동의 철회 요구 또는 개인 데이터 처리 제한 요구를 할 수 있다.
2. 주체 개인 데이터의 동의 철회 요구 또는 개인 데이터 처리 제한 요구는 문서화되어야 하며 전자 형식이나 검증 가능한 형식도 가능하며, 이를 개인 데이터 관리자 또는 개인 데이터 관리 및 처리자에게 제출해야 한다. 주체 개인 데이터의 동의 철회 요구 또는 개인 데이터 처리 제한 요구는 법률과 당사자 간 합의에 따라 이루어진다.
3. 개인 데이터 관리자 또는 개인 데이터 관리 및 처리자는 법률이 정한 기간 내에 주체 개인 데이터의 동의 철회 요구 또는 개인 데이터 처리 제한 요구를 접수하고 이행하며, 이를 처리하는 자에게 이행을 요청한다.
4. 동의 철회 요구 또는 개인 데이터 처리 제한 요구의 이행은 주체 개인 데이터가 동의 철회 요구 또는 개인 데이터 처리 제한 요구를 한 시점 이전의 개인 데이터 처리 활동에는 적용되지 않는다.
조 11. 개인 데이터 수집, 분석 및 통합
1. 개인 데이터는 수집하기 전에 주체 개인 데이터의 동의를 받아야 하며, 법률이 다른 규정을 정한 경우를 제외한다.
2. 당국, 국가 기관은 법률이 정한 바에 따라 자체 수집한 데이터 소스 또는 공유, 제공, 이전, 활용된 데이터 소스로부터 개인 데이터를 분석하고 통합하여 지도, 지시, 국가 관리를 위한 작업, 경제-사회 발전을 지원할 수 있다.
3. 법률이 정한 제2항의 규정에 해당하지 않는 기관, 단체, 개인은 법률이 정한 바에 따라 허가된 개인 데이터 소스로부터 개인 데이터를 분석하고 통합할 수 있다.
조 12. 개인정보 암호화, 복호화
1. 개인정보 암호화는 개인정보를 인식할 수 없는 형태로 변환하는 것을 의미하며, 암호화된 개인정보는 여전히 개인정보로 간주된다.
2. 국가기밀인 개인정보는 국가기밀 보호에 관한 법률과 기관비밀 관련 법률에서 정한 절차에 따라 암호화 및 복호화되어야 한다.
3. 개인정보 암호화 및 복호화는 개인정보 처리 활동에 적합하도록 주체가 결정한다.
조 13. 개인정보 수정
1. 개인정보 주체는 데이터 관리자와 합의한 경우 자신의 개인정보를 직접 수정하거나, 데이터 관리자에게 수정을 요청할 수 있다.
2. 데이터 관리자는 개인정보 주체의 요청에 따라 또는 법령에 따라 개인정보를 수정하고, 데이터 처리자나 제3자에게 개인정보 수정을 요청해야 한다.
3. 개인정보 수정은 정확성을 유지해야 하며, 정당한 이유로 수정이 불가능한 경우, 데이터 관리자는 이를 관련 기관이나 개인에게 통보해야 한다.
조 14. 개인정보 삭제, 파기, 익명화
1. 개인정보 삭제 및 파기는 다음 사항에 따라 이루어진다:
가) 개인정보 주체가 요구하고, 발생 가능한 위험과 손해를 수용하는 경우. 이 경우 주체의 요구는 본 법률 제4조 제3항에서 정한 원칙을 준수해야 한다.
나) 개인정보 처리 목적이 달성된 경우
다) 법령에서 정한 보유기간이 만료된 경우
라) 정부기관의 결정에 따른 경우
마) 합의에 따른 경우
바) 다른 법률에서 정한 경우
2. 본 법률 제19조에서 정한 경우 또는 제4조 제3항에서 정한 규정을 위반하는 경우, 개인정보 주체의 삭제 및 파기 요구는 거절될 수 있다.
3. 데이터 관리자는 본 조 제1항에서 정한 경우에 따라 개인정보를 삭제 또는 파기하고, 데이터 처리자나 제3자에게도 삭제 또는 파기를 요청해야 한다. 삭제 및 파기는 안전한 방법으로 이루어져야 하며, 불법적인 접근 및 복구를 방지해야 한다.
4. 기관, 단체, 개인은 불법적으로 삭제된 개인정보를 복구하지 못하도록 노력해야 한다.
5. 데이터 관리자는 정당한 이유로 개인정보 삭제 또는 파기가 불가능한 경우, 주체의 요청을 받은 후 주체에게 통보해야 한다.
6. 개인정보 익명화는 다음과 같이 정의된다:
가) 익명화 과정을 엄격하게 감독하고, 불법적인 접근, 복제, 탈취, 유출, 손실을 방지해야 한다.
나) 익명화된 개인정보는 다시 식별되지 않으며, 법률에서 다르게 규정하지 않는 한 예외 없이 그러하다.
다) 개인정보 익명화는 본 법률과 관련 법률의 규정을 준수해야 한다.
조 15. 개인정보 제공
1. 개인정보 주체는 법률에 따라 또는 개인정보 주체와 기관, 단체, 개인 간의 합의에 따라 기관, 단체, 개인에게 개인정보를 제공한다.
2. 개인정보 관리자 또는 개인정보 관리 및 처리자는 다음 각 호의 경우에 개인정보를 제공한다.
가) 개인정보 주체가 법률 규정과 합의에 따른 요청을 하는 경우로서, 그러한 제공이 국가 방위, 안보, 사회 질서 및 안전 또는 타인의 생명, 건강, 재산에 해를 끼칠 수 있는 경우를 제외한다.
나) 개인정보 주체의 동의를 얻은 경우로서 법률에서 다른 규정이 있는 경우를 제외한다.
조 16. 개인정보 공개
1. 개인정보는 특정 목적을 위해만 공개되며, 공개 범위와 공개되는 개인정보 종류는 공개 목적에 부합해야 한다. 개인정보 공개는 개인정보 주체의 권익을 침해해서는 안 된다.
2. 개인정보는 다음 각 호의 경우에만 공개될 수 있다.
가) 개인정보 주체의 동의를 얻은 경우;
나) 법률 규정에 따라 공개하는 경우;
다) 본 법 제19조 제1항 각 호에 규정된 경우;
라) 계약상 의무를 이행하는 경우.
3. 공개된 개인정보는 원 데이터로부터 정확하게 반영되어야 하며, 기관, 단체, 개인이 접근, 활용, 사용하기 쉽게 해야 한다.
4. 개인정보 공개 방법에는 전자 정보 사이트, 전자 정보 게이트웨이, 대중 매체 등 법률이 정하는 방법이 포함된다.
5. 개인정보를 공개하는 기관, 단체, 개인은 공개된 개인정보가 법률의 목적, 범위, 규정을 준수하도록 엄격히 통제하고 감독하며, 공개된 개인정보에 대한 불법적인 접근, 사용, 공개, 복사, 수정, 삭제, 파기 등의 행위를 차단해야 한다.
조 17. 개인정보 이전
1. 개인정보 이전은 다음 각 호의 경우에 이루어진다.
가) 개인정보 주체의 동의를 얻은 경우;
나) 같은 기관, 단체 내부 부서간에 개인정보를 처리하기 위한 목적으로 개인정보를 공유하는 경우;
다) 기관, 단체, 행정 단위, 조직의 분할, 합병, 소유 형태 변경 등으로 인해 개인정보 처리를 계속하기 위해 개인정보를 이전하는 경우;
라) 개인정보 관리자 또는 개인정보 관리 및 처리자가 법률 규정에 따라 개인정보 처리자 또는 제3자에게 개인정보를 이전하는 경우;
마) 정부 기관의 요구에 따라 개인정보를 이전하는 경우;
바) 본 법 제19조 제1항 각 호에 규정된 경우.
2. 본 조 제1항 각 호에 따른 개인정보 이전은 유료 또는 무상 여부에 불구하고 개인정보 구매, 판매로 간주되지 않는다.
3. 정부는 본 조를 세부적으로 규정한다.
조 18. 개인정보 처리 외의 활동
1. 개인정보 관리 주체, 개인정보 관리 및 처리 주체, 개인정보 처리 주체, 개인정보를 적절한 방식으로 보관하는 제3자는 개인정보 보관 과정에서 법에 따라 개인정보를 보호해야 한다.
2. 개인정보의 보관, 접근, 추출, 연결, 조정, 확인, 인증, 개인정보에 영향을 미치는 다른 활동은 이 법률, 데이터 관련 법률, 관련 법령의 규정 및 당사자 간 합의에 따라 수행되어야 한다.
3. 국가 과학 기술 혁신 및 디지털 전환을 위한 특별한 정책과 제도를 시험하기 위해 공공기관의 활동을 지원하는 개인정보 활용을 우선시한다.
조 19. 개인정보 처리 시 동의 없이 필요한 경우
1. 개인정보 처리 시 동의 없이 필요한 경우는 다음과 같다:
가) 개인정보 주체 또는 다른 사람의 생명, 건강, 명예, 인간적 가치, 합법적인 권리와 이익을 긴급하게 보호하거나, 자신의 권리나 다른 사람의 권리, 국가 또는 기관의 이익을 보호하기 위해 필요한 경우; 개인정보 관리 주체, 개인정보 처리 주체, 개인정보 관리 및 처리 주체, 제3자는 이러한 상황을 증명할 책임이 있다.
나) 긴급 상황 해결, 국가안보 위협이 있으나 비상사태 선포 단계가 아닌 경우, 폭력, 테러 방지, 범죄 예방 및 법 위반 방지;
다) 행정기관의 활동, 국가 관리를 위한 법령에 따른 활동을 지원하기 위해;
라) 개인정보 주체와 관련 기관, 조직, 개인 사이의 법령에 따른 합의를 이행하기 위해;
마. 법률이 정한 다른 경우
2. 개인정보 처리 시 동의 없이 필요한 경우, 관련 기관, 조직, 개인은 다음을 포함하여 감독 체제를 설정해야 한다:
가) 개인정보 처리 절차와 규정을 설정하고, 개인정보 처리 과정에서 기관, 조직, 개인의 책임을 정의한다;
나) 적절한 개인정보 보호 조치를 시행하고, 개인정보 처리 과정에서 발생할 수 있는 위험을 지속적으로 평가한다;
다) 법령, 처리 절차 및 규정 준수 여부를 정기적으로 검사 및 평가한다;
라) 관련 기관, 조직, 개인으로부터 제보 및 건의를 접수하고 처리하는 메커니즘을 갖추어야 한다.
조 20. 개인정보 국경 횡단 이동
1. 개인정보 국경 횡단 이동의 경우는 다음과 같다:
가) 베트남 내에 보관된 개인정보를 베트남 사회주의 공화국 영토 밖 시스템으로 이동시키는 경우;
나) 베트남 내 기관, 조직, 개인이 베트남 외 기관, 개인에게 개인정보를 이동시키는 경우;
다) 베트남 내 또는 외 기관, 조직, 개인이 베트남 내에서 수집된 개인정보를 베트남 사회주의 공화국 영토 밖 플랫폼을 사용하여 처리하는 경우.
2. 개인정보 국경 횡단 이동을 하는 기관, 조직, 개인은 본 조 제1항에서 정한 활동을 수행할 때 개인정보 국경 횡단 이동 영향평가를 작성하고, 개인정보 국경 횡단 이동 첫날로부터 60일 이내에 개인정보 보호 전담 기관에 원본 1부를 제출하여야 하며, 본 조 제6항에 규정된 경우를 제외한다.
3. 개인정보 국경 횡단 이동 영향평가를 해당 기관, 조직, 개인의 운영 기간 동안 1회만 실시하며, 본 법률 제22조에 따라 업데이트된다.
4. 개인정보 보호 전담 기관은 개인정보 국경 횡단 이동을 정기적으로 연 1회 이상 검사하거나, 개인정보 보호 관련 법률 위반 행위를 발견하거나 개인정보 유출, 손실 사고가 발생했을 때 즉시 검사하도록 결정한다.
5. 개인정보 보호 전담 기관은 개인정보 국경 횡단 이동 중인 개인정보를 국가 방위, 국가안보에 해를 끼칠 수 있는 활동에 사용될 가능성이 있을 때 해당 기관, 조직, 개인의 개인정보 국경 횡단 이동을 중지하도록 요구한다.
6. 개인정보 국경 횡단 이동 영향평가를 실시하지 않는 경우는 다음과 같다:
가) 정부 기관의 개인정보 국경 횡단 이동;
나) 해당 기관, 조직의 근로자의 개인정보를 클라우드 서비스에 보관하는 경우;
다) 개인정보 주체가 자기 개인정보를 국경 횡단 이동하는 경우;
라) 정부가 규정한 다른 경우;
7. 정부는 본 조 제1항, 제5항 및 제6항을 세부 규정하며, 개인정보 국경 횡단 이동 영향평가의 서류 구성, 조건, 절차, 방법을 규정한다.
조 21. 개인정보 처리 영향 평가
1. 개인정보 관리 주체, 개인정보 관리 및 처리 주체는 개인정보 처리 영향 평가를 작성하고 보관하며, 그 원본을 개인정보 보호 전담 기관에 60일 이내에 제출한다. 다만, 본 조 제6항에서 정하는 경우는 제외한다.
2. 개인정보 처리 영향 평가는 개인정보 관리 주체, 개인정보 관리 및 처리 주체의 운영 기간 동안 한 번만 수행되며, 법 제22조에 따라 업데이트된다.
3. 개인정보 처리 주체는 개인정보 관리 주체, 개인정보 관리 및 처리 주체와 협의하여 개인정보 처리 영향 평가를 작성하고 보관한다. 다만, 본 조 제6항에서 정하는 경우는 제외한다.
4. 개인정보 보호 전담 기관은 개인정보 처리 주체, 개인정보 관리 및 처리 주체, 개인정보 처리 주체가 제출한 개인정보 처리 영향 평가가 부족하거나 규정에 맞지 않을 경우 이를 완성하도록 요구한다.
5. 개인정보 관리 주체, 개인정보 관리 및 처리 주체, 개인정보 처리 주체는 개인정보 보호 전담 기관에 제출된 개인정보 처리 영향 평가 내용이 변경될 경우 이를 업데이트하고 보완한다.
6. 국가 기관은 본 조에서 정하는 개인정보 처리 영향 평가 규정을 적용하지 않는다.
7. 정부는 개인정보 처리 영향 평가의 구성 요소, 조건, 절차, 방법을 규정한다.
조 22. 개인정보 처리 영향 평가 및 개인정보 국경 간 이동 영향 평가 기록의 업데이트
1. 개인정보 처리 영향 평가 및 개인정보 국경 간 이동 영향 평가 기록은 변경 사항이 있을 때마다 6개월마다 또는 본 조 제2항에서 정하는 경우 즉시 업데이트된다.
2. 즉시 업데이트가 필요한 변경 사항은 다음과 같다:
가) 법률에 따라 조직 재구성, 사업 종료, 해산, 파산이 이루어진 경우
나) 개인정보 보호 서비스 제공자 정보 변경이 있는 경우
다) 개인정보 처리 영향 평가, 개인정보 국경 간 이동 영향 평가 기록에 등록된 업종, 서비스 변경이 발생한 경우
3. 개인정보 처리 영향 평가 및 개인정보 국경 간 이동 영향 평가 기록의 업데이트는 국가 개인정보 보호 정보 포털 또는 개인정보 보호 전담 기관에서 이루어진다.
4. 정부는 본 조에 대한 구체적인 시행 규정을 정한다.
조 23. 개인정보 보호 규정 위반 통보
1. 개인정보 관리 주체, 개인정보 관리 및 처리 주체, 제3자는 개인정보 보호 규정 위반으로 인해 국가 방위, 안보, 사회 질서, 안전, 생명, 건강, 명예, 인간 존엄성, 재산에 피해를 줄 수 있는 경우, 위반 사실을 발견한 날로부터 최대 72시간 이내에 개인정보 보호 전담 기관에 통보해야 한다. 개인정보 처리 주체가 위반 사실을 발견한 경우에는 즉시 개인정보 관리 주체 또는 개인정보 관리 및 처리 주체에게 통보해야 한다.
2. 개인정보 관리 주체, 개인정보 관리 및 처리 주체는 개인정보 보호 규정 위반 사실을 확인한 후, 개인정보 보호 전담 기관과 협력하여 위반 행위를 처리해야 한다.
3. 다음 각 호의 경우에 개인정보 보호 전담 기관에 통보해야 한다:
가) 개인정보 보호 규정 위반 사실을 발견한 경우
나) 개인정보가 목적 외로 처리되거나 개인정보 주체와 개인정보 관리 주체, 개인정보 관리 및 처리 주체 사이의 합의에 맞지 않게 처리된 경우
다) 개인정보 주체의 권리를 보장하지 않거나 잘못 행사한 경우
d) 법률이 정하는 다른 사유.
4. 개인정보 보호 전담 기관은 위반 통보를 받고, 개인정보 보호 규정 위반 행위를 처리할 책임이 있다. 개인정보 관리 주체, 개인정보 관리 및 처리 주체, 제3자 및 관련 기관, 단체, 개인은 위반 행위를 막고, 발생한 결과를 해결하며, 개인정보 보호 전담 기관과 협력하여 개인정보 보호 규정 위반 행위를 처리해야 한다.
5. 정부는 개인정보 보호 규정 위반 통보의 내용을 규정한다.
절 2
특정 활동에서의 개인정보 보호
조 24. 아동 및 민사 행위능력이 상실 또는 제한된 자, 인식이나 행동통제에 어려움을 가진 자의 개인정보 보호
1. 아동 및 민사 행위능력이 상실 또는 제한된 자, 인식이나 행동통제에 어려움을 가진 자의 개인정보 보호는 이 법률의 규정에 따라 이루어진다.
2. 아동 및 민사 행위능력이 상실 또는 제한된 자, 인식이나 행동통제에 어려움을 가진 자의 경우 법정 대리인은 주체의 개인정보 관련 권리를 대신 행사하되, 법률 제19조 제1항에서 정한 사항을 제외한다. 아동의 개인정보 처리가 아동의 생활비밀 등을 공개하는 경우, 아동이 만 7세 이상일 때에는 아동과 법정 대리인의 동의가 필요하다.
3. 다음 각 호의 경우에는 아동 및 민사 행위능력이 상실 또는 제한된 자, 인식이나 행동통제에 어려움을 가진 자의 개인정보 처리를 중단한다.
가) 제2항에서 정한 동의를 철회하여 아동 및 민사 행위능력이 상실 또는 제한된 자, 인식이나 행동통제에 어려움을 가진 자의 개인정보 처리를 허용하지 않는 경우, 법률에서 다른 규정을 정한 경우를 제외하고는
나) 관계 기관이 적법한 근거로 아동 및 민사 행위능력이 상실 또는 제한된 자, 인식이나 행동통제에 어려움을 가진 자의 권리와 이익을 침해할 수 있는 개인정보 처리를 요구하는 경우, 법률에서 다른 규정을 정한 경우를 제외하고는
조 25. 고용, 관리 및 사용 과정에서의 개인정보 보호
1. 고용 과정에서의 개인정보 보호 책임은 다음과 같이 정의된다.
가) 고용 주체는 법률 규정에 따른 목적에 필요한 정보만 요청하며, 제공된 정보는 고용 목적으로만 사용되며, 법률 규정에 따른 합의된 다른 목적 외에는 사용되지 않음
나) 제공된 정보는 법률 규정에 따라 처리되며, 지원자로부터 동의를 받아야 함
다) 지원자가 채용되지 않은 경우, 합의된 내용이 없는 한 제공된 정보는 삭제 또는 폐기되어야 함
2. 근로자 관리 및 사용 과정에서의 개인정보 보호 책임은 다음과 같이 정의된다.
가) 이 법률, 노동법, 고용법, 데이터법 등 관련 법률 규정을 준수함
나) 근로자의 개인정보는 법률 규정에 따른 기간 동안 보관되거나, 합의된 기간 동안 보관됨
다) 근로계약 종료 시 개인정보는 삭제 또는 폐기되어야 하나, 합의나 법률 규정에 따른 경우를 제외하고는
3. 근로자 관리 과정에서 수집된 개인정보의 처리는 다음과 같이 이루어진다.
가) 법률 규정에 따른 기술적, 업무적 방법을 적용하며, 이를 근로자가 알 수 있도록 함
나) 법률 규정에 위반하여 수집된 개인정보는 처리하거나 사용해서는 안 됨
조 26. 개인정보 보호에 관한 건강 정보 및 보험 사업
1. 건강 정보 및 보험 사업에서 개인정보 보호는 다음과 같이 규정된다.
가) 개인정보 주체의 동의 없이는 개인정보 수집 및 처리가 이루어질 수 없으나, 이 법 제19조 제1항에서 규정한 경우를 제외한다.
나) 개인정보 보호 관련 규정 및 다른 법률에서 정한 관련 규정을 모두 적용한다.
2. 건강 분야에서 활동하는 기관, 단체, 개인은 제3자가 제공하는 의료 서비스 또는 건강보험, 생명보험 서비스를 제공하는 단체에게 개인정보를 제공하지 않으며, 개인정보 주체의 서면 동의가 있거나 이 법 제19조 제1항에서 규정한 경우를 제외한다.
3. 의료 애플리케이션 및 보험 사업 애플리케이션을 개발하는 단체, 개인은 개인정보 보호 관련 규정을 준수해야 한다.
4. 재보험, 재보험 양도와 관련하여 고객과의 계약에서 개인정보 전송 사항을 명시해야 한다.
조 27. 금융, 은행업 및 신용정보 사업에서의 개인정보 보호
1. 금융, 은행업 및 신용정보 사업에서 활동하는 단체, 개인은 다음 책임을 지닌다.
가) 민감한 개인정보 보호, 금융, 은행업 활동에서의 안전 및 보안 기준을 준수한다.
나) 신용정보 주체의 동의 없이는 신용점수, 신용등급, 신용정보 평가, 신용 신뢰도 평가를 수행할 수 없다.
다) 이 법 및 관련 법률에서 정한 바에 따라 신용정보 사업을 위한 적절한 소스로부터 필요한 개인정보만 수집한다.
라) 은행, 금융, 신용, 신용정보에 대한 정보 누출이나 손실이 발생한 경우, 신용정보 주체에게 통보한다.
2. 신용정보 사업을 수행하는 단체, 개인은 이 법을 준수하며, 불법적인 접근, 사용, 공개, 수정 방지를 위한 조치를 취하고, 데이터 손실 시 복구 방법을 마련하며, 고객의 개인정보 수집, 제공, 처리 과정에서 보안을 유지해야 한다.
3. 정부는 본 조를 세부적으로 규정한다.
조 28. 광고 서비스에서의 개인정보 보호
1. 광고 서비스를 운영하는 단체, 개인은 데이터 주체의 동의를 받은 데이터 관리자 또는 데이터 처리자로부터 전달받은 고객의 개인정보 또는 자신의 사업 활동을 통해 수집한 개인정보만 광고 서비스를 위해 사용할 수 있다. 개인정보의 수집, 사용, 전송은 이 법 제4조에서 정한 데이터 주체의 권리를 보장해야 한다.
2. 데이터 관리자 또는 데이터 처리자는 법률에 따라 광고 서비스를 운영하는 단체, 개인에게만 개인정보를 전달할 수 있다.
3. 고객의 개인정보를 광고 서비스를 위해 처리하려면 고객의 동의가 필요하며, 고객이 제품 소개의 내용, 방법, 형태, 빈도를 알 수 있도록 하고, 고객이 광고 정보 수신 거부를 할 수 있는 방법을 제공해야 한다.
4. 개인정보를 광고 목적으로 사용하는 것은 스팸 문자, 스팸 이메일, 스팸 전화 및 광고 법률에서 정한 바에 따라야 한다.
5. 데이터 주체는 광고 서비스로부터 정보 수신을 중단할 수 있는 권리가 있으며, 광고 서비스를 운영하는 단체, 개인은 데이터 주체의 요청에 따라 광고 중단 메커니즘을 제공해야 한다.
6. 광고 서비스를 운영하는 단체, 개인은 다른 단체, 개인에게 대행하도록 광고 서비스 전체를 임대하거나 합의하지 못한다.
7. 광고 서비스를 운영하는 단체, 개인은 고객의 개인정보를 광고 목적으로 사용한 것을 입증해야 하며, 본 조 제1항부터 제3항까지 및 광고 법률에서 정한 바를 준수해야 한다.
8. 특정 행동 또는 목표를 기반으로 한 개인화된 광고를 수행하기 위해 개인정보를 사용하는 단체, 개인은 본 조 및 다음 규정을 준수해야 한다.
가) 개인정보 수집은 웹사이트, 포털 사이트, 애플리케이션 추적을 통해 이루어져야 하며, 데이터 주체의 동의가 있어야 한다.
나) 데이터 주체가 데이터 공유 거부를 할 수 있는 방법을 설정하고, 저장 기간을 결정하며, 더 이상 필요하지 않은 경우 데이터를 삭제하거나 파기해야 한다.
조 29. 소셜미디어 플랫폼 및 온라인 커뮤니케이션 서비스에 대한 개인 정보 보호
소셜미디어 서비스, 온라인 커뮤니케이션 서비스를 제공하는 조직 및 개인은 다음 책임을 가지며:
1. 개인 정보 데이터 주체가 소셜미디어 및 온라인 커뮤니케이션 서비스를 설치하고 사용할 때 수집되는 개인 정보 데이터 내용을 명확하게 통보하며, 고객과의 합의 범위를 초과하거나 불법적으로 개인 정보를 수집하지 않음;
2. 신분증 내용을 포함한 사진 또는 비디오를 계정 인증 요소로 요구하지 않음;
3. 사용자가 개인 정보 파일(쿠키라고 함) 수집 및 공유 거부를 선택할 수 있도록 제공;
4. 사용자의 동의 없이는 소셜미디어 및 온라인 커뮤니케이션 서비스 사용 활동을 추적하지 않거나 추적 선택권을 제공;
5. 개인 정보 데이터 주체의 동의 없이 음성 통화를 도청하거나 녹음하거나 텍스트 메시지를 읽지 않음. 법률에서 다른 규정이 있는 경우 제외;
6. 개인 정보 보안 정책을 공개하고 개인 정보 수집, 사용 및 공유 방법을 명확히 설명하며, 사용자에게 개인 정보 접근, 수정, 삭제 기능 및 개인 정보 프라이버시 설정 기능을 제공하고 보안 및 프라이버시 침해 보고 시스템을 제공하며, 베트남 국민의 개인 정보를 국경 간 이동 시 보호하고, 개인 정보 보호 침해 처리 절차를 빠르고 효과적으로 구축;
조 30. 대용량 데이터, 인공지능, 블록체인, 가상세계, 클라우드 컴퓨팅 환경에서의 개인 정보 보호
1. 대용량 데이터, 인공지능, 블록체인, 가상세계 및 클라우드 컴퓨팅 환경에서의 개인 정보는 목적에 맞게 처리되며, 필요한 범위 내에서만 처리되어 개인 정보 데이터 주체의 합법적인 권리와 이익을 보장해야 함;
2. 대용량 데이터, 인공지능, 블록체인, 가상세계 및 클라우드 컴퓨팅 환경에서의 개인 정보 처리는 본 법률 및 관련 법령의 규정을 준수하며, 베트남의 도덕적이고 순수한 전통과 미풍양속에 부합해야 함;
3. 대용량 데이터, 인공지능, 블록체인, 가상세계 및 클라우드 컴퓨팅을 사용하는 시스템 및 서비스는 적절한 개인 정보 보호 조치를 통합해야 하며, 적절한 인증 및 식별 방법과 권한 설정을 사용하여 개인 정보를 처리해야 함;
4. 인공지능을 사용한 개인 정보 처리는 위험 수준에 따라 분류하여 적절한 개인 정보 보호 조치를 취해야 함;
5. 국가 방위, 안보, 사회 질서 및 안전, 타인의 생명, 건강, 명예, 인간 존엄성 및 재산을 해치는 대용량 데이터, 인공지능, 블록체인, 가상세계, 클라우드 컴퓨팅 시스템 개발 및 사용은 개인 정보를 이용해서는 안 됨;
6. 정부는 본 조항을 세부 규정한다.
조 31. 위치 정보 및 생체 정보에 대한 개인 정보 보호
1. 개인 위치 정보는 위치를 파악하고 특정 개인을 확인하기 위해 위치 기술을 통해 결정된 데이터임;
2. 생체 정보는 개인을 확인하기 위한 물리적 특징 및 안정적인 생물학적 속성을 나타내는 데이터임;
3. 개인 위치 정보에 대한 개인 정보 보호는 다음과 같이 규정됨:
a) 무선 주파수 식별 카드 및 기타 기술을 사용한 위치 추적은 개인 정보 데이터 주체의 동의가 있거나 관련 법률에 따른 관계 기관의 요청이 있을 때만 적용되거나 법률에서 다른 규정이 있는 경우 제외;
b) 모바일 애플리케이션 플랫폼을 제공하는 조직 및 개인은 사용자에게 개인 위치 정보 사용을 통보하며, 관련 없는 조직 및 개인의 위치 정보 수집을 차단하고, 사용자에게 개인 위치 추적 옵션을 제공;
4. 생체 정보에 대한 개인 정보 보호는 다음과 같이 규정됨:
a) 생체 정보를 수집하고 처리하는 기관 및 개인은 자신의 생체 정보 저장 및 전송 장비에 대한 물리적 보안 조치를 취하며, 생체 정보에 대한 접근 권한을 제한하고, 생체 정보 침해를 예방하고 감지하기 위한 시스템을 구축하며, 관련 법률 및 국제 표준을 준수;
b) 생체 정보 처리로 인해 개인 정보 데이터 주체에게 손해가 발생한 경우, 생체 정보를 수집하고 처리한 조직 및 개인은 정부 규정에 따라 해당 개인 정보 데이터 주체에게 통보하여야 함;
조 32. 공공 장소에서의 녹음, 녹화 활동 및 공공 행사에서 수집된 개인 정보 보호
1. 다음 각 호의 경우에 공공 장소에서의 녹음, 녹화 활동 및 공공 행사에서 수집된 개인 정보를 수집하고 처리할 수 있으며, 이는 개인 정보 주체의 동의 없이도 가능하다.
가) 국방, 국가 안보 보호, 사회 질서와 안전 유지, 기관, 단체, 개인의 권익 보호를 위한 목적으로
나) 공공 행사에서 녹음, 녹화된 음성, 영상 또는 다른 식별 정보가 개인 정보 주체의 명예, 인격, 신용을 해치지 않는 범위 내에서 회의, 세미나, 스포츠 경기, 예술 공연 등에 포함되는 경우
c) 법률이 정하는 다른 경우.
2. 본 조 제1항에 따라 녹음, 녹화를 하는 기관, 단체, 개인은 개인 정보 주체에게 자신이 녹음, 녹화되고 있다는 사실을 통보하거나 다른 방법으로 알려야 하며, 법률이 다르게 규정하는 경우를 제외한다.
3. 수집된 개인 정보는 처리 목적에 맞게만 사용되며, 불법적인 목적이나 개인 정보 주체의 합법적 권익 침해를 목적으로 사용될 수 없다.
4. 공공 장소에서의 녹음, 녹화 활동으로 수집된 개인 정보는 수집 목적을 달성하기 위해 필요한 기간 동안만 보관되며, 법률이 다르게 규정하는 경우를 제외한다. 보관 기간이 만료되면 해당 개인 정보는 법률에 따라 삭제되어야 한다.
5. 본 조 제1항에 따라 녹음, 녹화를 하고 수집된 개인 정보를 처리하는 기관, 단체, 개인은 법률과 관련 법령에 따라 개인 정보를 보호해야 한다.
장 III
개인 정보 보호를 위한 인력 및 조건
조 33. 개인 정보 보호 인력
1. 개인 정보 보호 인력은 다음과 같이 구성된다.
가) 경찰청 소속 개인 정보 보호 전담 기관
나) 기관, 단체 내 개인 정보 보호 부서 및 인력
다) 개인 정보 보호 서비스 제공 기관, 개인
라) 개인 정보 보호 활동에 참여하도록 호출된 기관, 개인
2. 기관, 단체는 개인 정보 보호 능력을 갖춘 부서 및 인력을 지정하거나 개인 정보 보호 서비스 제공 기관, 개인을 고용해야 한다.
3. 정부는 기관, 단체 내 개인 정보 보호 부서 및 인력의 조건, 임무, 개인 정보 보호 서비스 제공 기관, 개인, 데이터 처리 서비스에 대한 규정을 정한다.
조 34. 개인 정보 보호 기술 표준 및 규범
1. 개인 정보 보호 기술 표준은 시스템 정보, 하드웨어, 소프트웨어, 관리, 운영, 처리, 보호 등 개인 정보 보호를 위한 기술 표준으로, 베트남에서 공표 및 적용되는 것을 말한다.
2. 개인 정보 보호 기술 규범은 시스템 정보, 하드웨어, 소프트웨어, 관리, 운영, 처리, 보호 등 개인 정보 보호를 위한 기술 규범으로, 베트남에서 작성, 발행 및 적용되는 것을 말한다.
3. 개인 정보 보호 기술 표준 및 규범의 발행은 기술 표준 및 규범에 관한 법률의 규정에 따라 이루어진다.
조 35. 개인정보 보호 활동 검사
개인정보 보호 활동 검사는 본 법률 및 정부 규정에 따라 이루어진다.
장 IV
개인정보 보호와 관련한 기관, 단체, 개인의 책임
조 36. 개인정보 보호 국가 관리 책임
1. 정부는 개인정보 보호 국가 관리를 일원적으로 수행한다.
2. 경찰청은 정부로부터 개인정보 보호 국가 관리를 수행하는 주요 기관으로, 국방부 관할 사항을 제외하고는 정부에 대한 책임을 지고 수행한다.
3. 국방부는 정부로부터 국방부 관할 사항에 대한 개인정보 보호 국가 관리를 수행하는 책임을 지고 수행한다.
4. 부처, 정부 직속 기관은 법령과 그 기관이 부여받은 기능, 임무에 따른 관할 범위 내에서 개인정보 보호 국가 관리를 수행한다.
5. 지방자치단체는 법령과 그 기관이 부여받은 기능, 임무에 따른 관할 범위 내에서 개인정보 보호 국가 관리를 수행한다.
조 37. 개인정보 처리 주체, 개인정보 처리 주체, 개인정보 처리 및 관리 주체의 책임
1. 개인정보 처리 주체의 책임은 다음과 같다:
가) 본 법률 및 관련 법령의 규정에 따라 개인정보 처리와 관련된 계약, 협약에서 각 당사자의 의무, 권한, 준수사항을 명확히 한다;
나) 개인정보 처리 목적 및 방법을 개인정보 주체와의 문서, 협약에서 결정하며, 본 법률의 원칙 및 내용에 맞게 보장한다;
다) 법령의 규정에 따라 적절한 관리, 기술적 조치를 취하여 개인정보를 보호하고 필요 시 이를 점검 및 업데이트한다;
라) 본 법률 제23조의 규정에 따라 개인정보 보호 관련 위반 행위를 통보한다;
마) 개인정보 처리 주체를 선택하여 개인정보를 처리한다;
바) 본 법률 제4조의 규정에 따라 개인정보 주체의 권리들을 보장한다;
사) 개인정보 처리 과정으로 인한 손해에 대해 개인정보 주체에게 책임을 진다;
아) 불법적인 개인정보 수집 활동을 자신의 시스템, 장비, 서비스로부터 차단한다;
자) 경찰청 및 관련 국가 기관과 협력하여 개인정보를 보호하고, 개인정보 보호 관련 법령 위반 행위의 수사 및 처벌을 위한 정보 제공을 한다;
차) 본 법률 및 관련 법령의 규정에 따라 다른 책임을 수행한다.
2. 개인정보 처리 주체의 책임은 다음과 같다:
가) 개인정보 처리 주체, 개인정보 처리 및 관리 주체와의 계약, 협약 체결 후에만 개인정보를 수신한다;
나) 개인정보 처리 주체, 개인정보 처리 및 관리 주체와 체결된 계약, 협약에 따라 개인정보를 처리한다;
다) 본 법률 및 관련 법령의 규정에 따라 개인정보를 보호하기 위한 모든 조치를 수행한다;
라) 개인정보 처리 과정으로 인한 손해에 대해 개인정보 처리 주체, 개인정보 처리 및 관리 주체에게 책임을 진다;
마) 불법적인 개인정보 수집 활동을 자신의 시스템, 장비, 서비스로부터 차단한다;
바) 경찰청 및 관련 국가 기관과 협력하여 개인정보를 보호하고, 개인정보 보호 관련 법령 위반 행위의 수사 및 처벌을 위한 정보 제공을 한다;
사) 본 법률 및 관련 법령의 규정에 따라 다른 책임을 수행한다.
3. 개인정보 처리 및 관리 주체는 본 조항 제1항 및 제2항의 규정을 모두 준수해야 한다.
장 V
시행규정
조 제38조. 효력 발생
1. 본 법률은 2026년 1월 1일부터 효력을 발생한다.
2. 소기업, 스타트업은 본 법률 제21조, 제22조 및 제33조 제2항의 규정을 선택적으로 적용하거나 적용하지 않을 수 있으며, 이는 본 법률의 효력 발생일로부터 5년간 가능하다. 다만, 소기업, 스타트업 중 개인정보 처리 서비스를 운영하거나 민감한 개인정보를 직접 처리하거나 대량의 개인정보 주체의 개인정보를 처리하는 경우는 제외된다.
3. 가정 사업체, 초소규모 기업은 본 법률 제21조, 제22조 및 제33조 제2항의 규정을 적용하지 않아도 되며, 다만, 가정 사업체, 초소규모 기업 중 개인정보 처리 서비스를 운영하거나 민감한 개인정보를 직접 처리하거나 대량의 개인정보 주체의 개인정보를 처리하는 경우는 제외된다.
4. 정부는 이 조 제2항과 제3항을 세부적으로 규정한다.
조 39. 전환 규정
1. 본 법률이 효력 발생하기 전에 정부령 제13호 2023년 제2023-13-NĐ-CP호 2023년 4월 17일에 따른 개인 정보 처리 동의 또는 협정에 따라 진행 중인 개인 정보 처리 활동은 계속 진행되며, 재동의 또는 재협정을 요청할 필요가 없다.
2. 정부령 제13호 2023년 제2023-13-NĐ-CP호 2023년 4월 17일에 따른 개인 정보 처리 영향 평가 문서 및 해외로의 개인 정보 이전 영향 평가 문서는 본 법률이 효력 발생하기 전에 개인 정보 보호 전담 기관에 접수된 경우, 계속 사용되며 본 법률에 따른 개인 정보 처리 영향 평가 문서 및 국경을 넘는 개인 정보 이전 영향 평가 문서를 작성할 필요가 없으며, 본 법률이 효력 발생한 날부터 이러한 문서를 업데이트하는 것은 본 법률에 따라 이루어진다.
본 법률은 사회주의 공화국 베트남 제15기 국민회의 제9차 회의에서 2025년 6월 26일에 통과되었다.
|
国会主席 (인) trần thanh mẫn |
원본 문서(PDF)
관계도
문서를 클릭하면 열립니다. 빨간 테두리=효력을 변경하는 관계.