베트남 개인정보 보호 법령 및 법률: 2026년 쿠키 동의 및 퍼블리셔 컴플라이언스 가이드
베트남은 3년 남짓한 기간 동안 통합된 개인정보 보호 체계가 거의 없는 상태에서 동남아시아에서 가장 까다로운 동의 체계 중 하나를 갖춘 나라로 변모했습니다. 개인정보 보호 법령(PDPD), 법령 13/2023/ND-CP는 2023년 7월에 발효되었습니다. 개인정보 보호법(PDPL)은 2025년 국회에서 통과되어 2026년 1월 1일 발효되었으며, 법령의 원칙 대부분을 더 강력한 집행과 더 넓은 적용 범위를 가진 1차 법률로 격상시켰습니다. 베트남에 기반을 두든 그렇지 않든 베트남 사용자의 데이터를 처리하는 모든 퍼블리셔, 광고주 또는 플랫폼에게 2026년 환경은 불과 1년 전과는 실질적으로 다릅니다. 이 가이드는 법률이 실제로 무엇을 요구하는지, 쿠키 동의를 어떻게 구성해야 하는지, 국경 간 이전이 어떻게 작동하는지, 실제 집행이 어떻게 이루어지는지를 다룹니다.
2026년 베트남 데이터 보호법의 구조
베트남의 체계는 현재 2층 구조입니다: 2023년의 PDPD와 2026년의 PDPL. 둘 다 시행 중이며, 퍼블리셔들은 어느 층이 어느 의무를 규율하는지 이해해야 합니다.
PDPD — 법령 13/2023/ND-CP
이 법령은 베트남 최초의 포괄적인 개인정보 정의, 정보주체 권리 목록, 동의 요건, 국경 간 데이터 이전 규칙, 그리고 기본적인 개인정보 처리 영향 평가(DPIA) 의무를 도입했습니다. 여전히 시행 중이며 운영상 세부 사항을 계속 규율합니다.
PDPL — 2026년부터 시행
PDPL은 더 높은 제재와 더 넓은 범위로 체계를 1차 법률로 격상시킵니다. 동의 중심 모델을 강화하고, 정보주체의 권리를 강화하며, 주요 규제기관으로 남아 있는 공안부(MPS)의 집행 권한을 확대합니다. PDPL은 또한 민감한 개인정보, 자동화된 의사결정, 미성년자 데이터 처리에 대한 더 명확한 규칙을 도입합니다.
규제 대상
이 법은 처리자의 위치에 관계없이 베트남 개인정보의 모든 처리에 적용됩니다. 현지화된 사이트를 통해 베트남 사용자에게 서비스를 제공하는 미국 기반 퍼블리셔나 베트남 인벤토리에 입찰하는 프로그래매틱 바이어는 적용 범위 내에 있습니다. 이 역외 적용은 GDPR 패턴을 반영하며 베트남 체계의 가장 공격적인 요소 중 하나입니다.
개인정보로 간주되는 것
베트남의 개인정보 정의는 광범위하며 국제 표준을 밀접하게 따릅니다. 개인정보는 특정 자연인을 식별하거나 식별할 수 있는 모든 정보로, 쿠키 동의에 매우 중요한 두 가지 범주로 나뉩니다.
기본 개인정보
기본 개인정보에는 이름, 생년월일, 식별 번호, 연락처 세부 정보, 기기 식별자, IP 주소, 온라인 활동 데이터가 포함됩니다. 쿠키로 수집되는 데이터의 대부분이 여기에 해당하며, 광고 식별자, 세션 ID, 브라우징 기록으로 구축된 행동 프로필을 포함합니다.
민감한 개인정보
민감한 개인정보에는 정치적·종교적 견해, 건강 정보, 유전자 데이터, 생체 인식 데이터, 성적 지향, 범죄 기록, 금융 데이터, 그리고 — 중요하게도 — 특정 개인을 식별하는 데 사용될 수 있는 위치 데이터가 포함됩니다. 민감한 데이터는 가장 엄격한 동의 요건을 촉발하며, 구체적이고, 별도의, 경우에 따라서는 서면 또는 전자적으로 확인 가능한 동의를 포함합니다.
이것이 쿠키에 중요한 이유
기본 세션 식별자만 수집하는 쿠키는 기본 개인정보입니다. 위치 기반 광고 오디언스를 공급하는 쿠키 — 리타겟팅 및 지오타겟 캠페인에서 일반적 — 는 위치가 식별 가능해지는 순간 민감한 개인정보를 건드릴 가능성이 높습니다. CMP 구성은 이러한 목적을 분리해야 합니다.
베트남 법에 따른 쿠키 동의
베트남은 옵트인 동의 모델을 따릅니다. 개인정보를 수집하는 쿠키에 대한 통지 및 선택 대체 수단은 없으며, 유효한 동의의 기준은 GDPR 표준과 유사합니다.
네 가지 동의 요건
베트남 법에 따른 동의는 다음과 같아야 합니다:
- 구체적 — 일반적인 포괄 동의가 아닌 명확하게 식별된 처리 목적에 연결됨
- 정보에 입각 — 정보주체는 어떤 데이터가 처리되는지, 왜, 누가 받는지, 얼마나 오래인지를 이해함
- 자발적 — 미리 체크된 상자 없음, 비필수 처리를 위한 동의 또는 떠남 강제 없음
- 표현 및 철회 가능 — 사용자는 명확한 메커니즘을 통해 동의를 제공하고 철회할 수 있음
준수 CMP의 모습
2026년 베트남 트래픽을 위해 구성된 CMP는 다음을 제시해야 합니다:
- 비필수 쿠키나 트래커가 작동하기 전에 표시되는 가시적인 배너, 베트남 사용자에게는 기본적으로 베트남어(Tiếng Việt)로
- 동등한 시각적 강조도를 가진 별도의 수락, 거부, 맞춤 설정 액션 — 다크 패턴 없음
- 최소한 다음 목적에 대한 세분화된 제어: 분석, 광고, 개인화, 국경 간 이전, 정확한 위치와 같은 민감한 범주 처리
- 초기 선택 후 동의를 변경하거나 철회하기 위한 지속적이고 쉽게 찾을 수 있는 메커니즘
- 처리자, 데이터 범주, 보유, 사용자 권리에 대한 명확한 공개가 포함된 베트남어 개인정보 처리 방침
동의 기록
처리자는 동의 기록을 유지해야 합니다 — 누가 동의했는지, 언제, 무엇에, 어떤 인터페이스를 통해. 베트남의 집행 조치는 이미 누락되거나 확인할 수 없는 동의 로그를 인용했으며, PDPL은 이 의무를 공식화합니다. 내보내기 가능하고 타임스탬프가 찍힌 동의 로그를 생성하지 않는 CMP는 준수하지 않는 것입니다.
국경 간 데이터 이전 — 가장 어려운 부분
베트남의 국경 간 이전 체계는 이 지역에서 가장 까다로운 것 중 하나이며, 대부분의 외국 퍼블리셔가 어려움을 겪는 요소입니다.
이전 영향 평가
베트남 개인정보를 해외로 이전하기 전에 — 쿠키에서 파생된 식별자를 해외 광고 거래소나 분석 벤더에게 전송하는 것을 포함하여 — 컨트롤러는 이전 영향 평가를 준비해야 합니다. 평가서에는 목적, 데이터 범주, 수신 국가와 수신자, 기술적·조직적 보호 조치, 이전의 법적 근거를 문서화해야 합니다.
MPS 제출
평가서는 처리 시작 후 60일 이내에 공안부에 제출해야 합니다. MPS는 평가가 부적절하거나 목적지 법역이 불충분한 것으로 간주되는 경우 국경 간 이전을 중단시킬 권한을 가집니다.
퍼블리셔에 대한 실질적 함의
일반적인 프로그래매틱 광고 스택은 밀리초 단위로 수십 개의 해외 벤더를 통해 사용자 데이터를 라우팅합니다. 이러한 각 플로우는 엄밀히 말해 베트남 개인정보의 국경 간 이전입니다. 2026년의 현실은 대부분의 외국 퍼블리셔가 전체 벤더 목록에 대한 통합 평가를 제출하거나 평가 부담을 줄이기 위해 벤더 세트를 줄이고 있다는 것입니다. 어느 것도 간단하지 않으며, MPS는 2026년 중 국경 간 플로우에 대한 더 적극적인 집행을 시작할 것이라고 신호를 보냈습니다.
정보주체 권리
PDPL은 법령에 따라 부여된 권리를 통합하고 강화합니다. 베트남 정보주체는 다음 권리를 가집니다:
- 데이터 처리에 대해 통보받을 권리
- 처리 중인 데이터에 접근할 권리
- 부정확한 데이터를 수정할 권리
- 처리가 더 이상 정당화되지 않는 경우 데이터를 삭제할 권리
- 지정된 상황에서 처리를 제한할 권리
- 동의를 제공한 것만큼 쉽게 철회할 권리
- 중대한 영향을 미치는 자동화된 의사결정에 이의를 제기할 권리
- 공안부에 민원을 제기할 권리
응답 기한
컨트롤러는 대부분의 경우 정보주체 요청에 72시간 이내에 응답해야 합니다 — GDPR의 30일 표준보다 훨씬 더 좁은 기간입니다. 이 기한에 대한 운영 준비는 외국 퍼블리셔에게 가장 일반적인 컴플라이언스 격차 중 하나이며, 다른 지역에서 일반적인 것보다 더 빠른 도구와 런북을 필요로 합니다.
미성년자에 대한 특별 규칙
PDPL은 미성년자 개인정보 처리에 대한 전용 보호를 도입합니다. 15세 미만 사람의 데이터 처리에 대한 동의는 부모 또는 법정 후견인이 제공해야 합니다. 15세에서 18세 사이의 사람에 대한 데이터 처리는 미성년자 본인의 동의가 필요하지만, 투명성과 주의 의무가 강화됩니다. 18세 미만 오디언스를 상당히 많이 유치하는 사이트의 쿠키 동의 UI에는 연령 인식 플로우가 필요하며, 이를 기본적으로 구축한 외국 퍼블리셔는 거의 없습니다.
제재 및 집행
PDPL은 행정 과태료 한도를 크게 높입니다. 제재에는 다음이 포함됩니다:
- 민감한 개인정보를 포함하거나 체계적 실패에 해당하는 심각한 위반에 대해 연간 글로벌 매출의 5퍼센트까지의 과태료
- 처리 활동 중단
- 국경 간 이전 강제 중단
- 위반의 공개 공시
- 개인정보의 불법 판매를 포함한 중대한 사례에 대한 형사 책임
집행 동향
MPS는 법령이 자리를 잡는 동안 2023년과 2024년 초에는 비교적 조용했지만, 2025년을 거쳐 2026년으로 접어들면서 집행이 가속화되었습니다. 외국 퍼블리셔들은 여러 공개된 조치에서 언급되었으며, 거의 항상 세 가지 문제 중 하나를 중심으로 합니다: 누락되거나 부적절한 동의, 제출되지 않은 국경 간 이전 평가, 또는 72시간 창 내에 정보주체 요청에 응답하지 못한 것.
2026년 베트남 트래픽 감사 체크리스트
- CMP 배너가 베트남 사용자를 위해 베트남어로 제공되며, 수락, 거부, 맞춤 설정이 동등한 강조도로 표시됨
- 동의 목적이 세분화되고 정확한 위치와 같은 민감한 처리를 분리함
- 동의 로그가 타임스탬프 처리되고 내보내기 가능하며 처리 기간과 감사 가능한 여유 기간 동안 보유됨
- 개인정보 처리 방침이 처리자, 보유, 권리에 대한 완전한 공개와 함께 베트남어로 제공됨
- 이전 영향 평가가 진행 중인 모든 국경 간 플로우에 대해 MPS에 제출됨
- 정보주체 요청 워크플로우가 엔드투엔드로 72시간 내에 응답할 수 있음
- 미성년자를 포함한 오디언스를 위한 연령 인식 동의 플로우가 마련되어 있음
- 벤더 목록이 필요성 측면에서 검토되고, 국경 간 노출 면적을 줄이기 위해 미사용 또는 중복 벤더가 제거됨
2026년 전망
베트남의 규제 궤도는 명확합니다. PDPD가 체계를 수립했습니다. PDPL이 이를 강화합니다. 집행이 확대되고 있습니다. 베트남을 가벼운 시장으로 취급해온 퍼블리셔와 광고주에게 2026년은 그 접근 방식이 비용을 초래하는 해입니다. 좋은 소식은 현대적인 GDPR 수준의 동의 스택이 필요한 것의 대부분이라는 것입니다 — 격차는 일반적으로 72시간 응답 창, 이전 영향 평가 제출, CMP 및 개인정보 처리 방침의 베트남어 현지화입니다. 이러한 격차는 운영적인 것이지 아키텍처적인 것이 아니며, 분기가 아닌 몇 주 안에 해소할 수 있습니다. MPS가 문 앞에 도착하기 전에 이를 해소하는 퍼블리셔는 전환을 느끼지 못할 것입니다. 기다리는 퍼블리셔는 느낄 것입니다.