베트남 당국이 메신저 앱 잘로(Zalo)에 사용자 개인정보의 제3자 이전을 일시 중단하라고 명령했다.
국가경쟁위원회(National Competition Commission)는 31일 VNG 그룹 주식회사(VNG Group Joint Stock Company)에 사용자 정보 보호 조치를 취하고 새로 업데이트된 잘로 서비스 약관에 동의한 사용자를 포함해 제3자에게 정보를 이전하는 것을 일시 중단할 것을 요구하는 통지를 발부했다.
뚜오이째(Tuoi Tre) 신문과의 인터뷰에서 전문가들은 잘로의 제3자 데이터 이전 일시 중단 요청이 필요하고 시의적절하다고 평가했다. 이는 아직 많은 논쟁이 있고 관련 위험에 대한 완전한 평가가 이뤄지지 않은 상황에서 데이터 사용 확대를 막는 조치이기도 하다.
잘로는 통제 범위를 벗어나거나 사용자에게 명확히 설명하지 않은 목적으로 데이터가 사용될 위험을 피하기 위해 이 정책을 엄격히 준수해야 한다.
호찌민시 법대(Ho Chi Minh City University of Law) 상법학과 판 프엉 남(Phan Phuong Nam) 부학과장은 민법과 개인정보 보호의 기본 원칙을 강조했다. 사용자가 이용 약관에 “동의”를 클릭했다고 해서 모든 데이터를 공유할 수 있다는 의미는 아니라는 것이다.
남 부학과장에 따르면 기업과 사용자 간 계약은 법을 위반해서는 안 되며, 특히 사생활, 개인 생활 비밀, 개인정보 보호 관련 규정을 지켜야 한다. “계약이 있다고 해서 기업이 데이터로 원하는 모든 일을 할 수 있다고 가정할 수 없다. 모든 계약 내용은 현행 법률에 비춰 검토돼야 한다”고 그는 말했다.
원칙적으로 기업은 사용자의 법적 동의 없이 제3자에게 데이터를 이전할 수 없으며, 그러한 이전은 법을 위반해서는 안 된다. 데이터가 불법적으로 활용되거나 이전되면 사용자의 사생활 및 개인정보에 대한 권리를 직접 침해할 수 있다.
그러나 남 부학과장은 국가 관리 기관이 VNG를 비롯한 많은 기술 기업이 많은 자회사와 관련 법인이 있는 생태계 모델로 운영되는 상황에서 “제3자”의 의미를 명확히 할 필요가 있다고 제안했다. “같은 그룹이나 생태계에 속하더라도 독립적인 법인이라면 여전히 제3자로 간주돼야 한다”고 그는 주장했다.
남 부학과장은 2025년 개인정보 보호법(Law on Personal Data Protection)이 모든 경우에 기업이 운영 목적이든 데이터 주체의 통지나 동의 없는 상업적 활용이든 사용자 데이터 사용을 남용하는 것은 법 위반이라고 명확히 규정한다고 밝혔다.
사용자가 동의했더라도 이 동의는 같은 목적을 위해 이뤄져야 한다. 여러 목적이 있을 때 개인정보를 통제하고 처리하는 당사자는 목적을 나열하고 데이터 주체가 명시된 목적 중 하나 이상에 동의하도록 해야 한다.
과학 커뮤니케이션 및 공공 참여 전문가 지 코아(Dy Khoa) 석사는 규제 기관이 대중 의견에 신속히 대응해 잘로에 적절한 요구사항을 발표했다고 평가했다.
그러나 사용자들 사이에서 회의론이 계속되는 점을 감안해 당국이 잘로에 보안, 데이터 이전, 개인정보 수집 범위와 관련된 내용이 명확해질 때까지 사용자에게 새 약관 동의를 요구하는 절차를 일시 중단하도록 요청하는 것을 고려해야 한다고 제안했다.
코아는 국가경쟁위원회의 요청이 어떤 특정 유형의 데이터를 제3자에게 이전할 수 있는지 아직 명확히 하지 않았다고 지적했다. 잘로 웹사이트에 게시된 공지에서 회사는 공유 데이터에 이름, 프로필 사진, 플랫폼에 연결된 전화번호가 포함될 수 있다고 밝혔다.
그는 이 정보 외에 다른 유형의 사용자 데이터를 수집하고 이전할 수 있는지, 특히 이용 약관에 여러 법인이 언급될 때 그렇게 할 수 있는지 의문을 제기했다.
그에 따르면 제3자에게 데이터 이전을 일시 중단하는 것은 단기적으로 필요한 조치다. 그러나 장기적으로는 규제 기관과 플랫폼 제공자 모두로부터 사용자에게 개인정보 저장과 이전에 대한 명확한 자율권을 부여하는 보다 근본적인 해결책이 필요하다. 플랫폼에 데이터를 사용하고 공유할 완전한 권리를 부여하는 것으로 쉽게 오해될 수 있는 기본 “동의” 메커니즘 대신 말이다.
잘로는 31일 오후 서비스 약관 업데이트에 대한 정보를 공개하며 가장 자주 묻는 질문에 대한 설명을 제공했다.
사용자 데이터가 제3자와 공유될 수 있는지에 대한 우려와 관련해 잘로는 “제3자와의 공유는 법적 요구사항에 따라 사용자의 적극적인 동의와 확인이 필요하다”고 단언했다. “예를 들어 사용자가 제3자 애플리케이션에 액세스할 때 해당 애플리케이션과 정보를 공유할지 사용자가 결정할 수 있도록 화면을 표시한다”고 밝혔다.
플랫폼이 수집 허가를 요청하는 사용자 데이터와 관련해 잘로는 애플리케이션 기능을 제공하고 안정적인 서비스 운영을 보장하며 계정을 보호하기 위해 운영 중 “일부 데이터”가 필요하다고 밝혔다. “이러한 목적은 이용 약관에 자세히 설명돼 있으며, 데이터는 명시된 목적으로만 사용된다”고 잘로는 말했다.
주민등록증(CCCD) 관련 정보는 확인, 계정 보호, 사기 방지를 위해 필요할 때만 제한적인 경우에 수집된다. 이 정보 처리는 항상 법적 규정을 준수한다. 또한 잘로는 16세 미만 개인의 권리를 보장하기 위해 후견인을 확인하고자 가족 관계에 대한 정보를 요청해야 할 의무가 있다.
잘로는 또한 사용자가 잘로의 “권한 관리” 섹션에서 각 애플리케이션에 대한 데이터 공유 권한을 항상 보고 취소할 수 있다고 단언했다. 잘로는 “개인 간 메시지와 통화 내용을 저장하지 않는다. 어떤 목적으로도 개인 간 메시지와 통화 내용을 사용하지 않을 것을 약속한다”고 밝혔다.
