지문·얼굴인식 근태시스템은 편리하지만, 베트남 개인정보보호 규정상 민감한 관리 대상이 될 수 있습니다.
베트남에서 지문인식, Face ID, GPS 출근체크, 출입카드 로그를 활용하는 근태관리 시스템은 단순한 HR 장비가 아닙니다. 직원의 생체정보와 위치정보를 처리하는 경우 개인정보보호 규정, 직원 동의, 처리 목적 고지, 보관기간, 접근권한, 외부업체 위탁계약까지 함께 검토해야 합니다.
베트남 법인에서 직원 수가 늘어나면 가장 먼저 도입하는 시스템 중 하나가 지문인식 또는 Face ID 근태관리 시스템입니다.
하지만 지문과 얼굴정보는 일반 출퇴근 시간보다 더 민감한 개인정보로 볼 수 있습니다. 특히 2023년 7월 1일부터 시행된 Decree 13/2023/ND-CP는 베트남 내 개인정보 처리에 대한 기본 법적 틀을 만들었고, 외국계 기업도 적용 대상에 포함될 수 있습니다.
베트남은 Decree 13 이후 개인정보보호 규율을 계속 강화하는 흐름입니다. 2025년 개인정보보호법 제정 이후 2026년부터 개인정보 관련 의무와 제재가 더 강하게 논의되고 있어, HR 시스템도 단순 편의가 아니라 Compliance 관점에서 관리해야 합니다.
1. 지문·Face ID 근태관리, 왜 문제가 될까?
출근시간과 퇴근시간 자체도 개인정보입니다. 여기에 지문, 얼굴정보, 위치정보가 결합되면 직원의 신원 확인과 행동 패턴을 추적할 수 있기 때문에 더 민감하게 관리해야 합니다.
| 수집정보 | 예시 | 개인정보 리스크 |
|---|---|---|
| 출퇴근 기록 | 출근시간, 퇴근시간, OT 시간 | 근무패턴 분석 가능 |
| 지문정보 | 지문인식 출입·근태 | 생체정보 처리 이슈 |
| 얼굴정보 | Face ID 출근체크 | 민감정보성 관리 필요 |
| 위치정보 | 모바일 GPS 출근체크 | 근무 외 시간 추적 논란 |
| 출입로그 | 공장·사무실 출입기록 | 직원 행동기록 관리 이슈 |
근태시스템을 도입할 때는 “직원이 찍으면 된다”가 아니라 “무엇을 수집하고, 왜 수집하며, 누가 접근하고, 언제 삭제하는지”를 문서로 정리해야 합니다.
2. Decree 13 기준으로 봐야 할 핵심 의무
Decree 13/2023/ND-CP는 베트남 최초의 포괄적 개인정보보호 규정으로 소개되며, 베트남 내 개인정보 처리에 관여하는 국내외 조직과 개인에게 적용될 수 있습니다.
| 항목 | 핵심 내용 | HR 적용 예시 |
|---|---|---|
| 처리 목적 | 개인정보를 왜 수집하는지 명확화 | 출퇴근 기록, 임금계산, 보안관리 |
| 동의 | 정보주체의 명확한 동의 필요 | 직원 개인정보 수집·이용 동의서 |
| 고지 | 처리 목적·범위·보관기간 안내 | 근태시스템 운영 안내문 |
| 보안조치 | 접근권한과 보호조치 필요 | HR·IT 관리자 접근 제한 |
| 정보주체 권리 | 열람, 삭제, 제한 등 권리 대응 | 직원 요청 처리 절차 마련 |
특히 Decree 13은 침묵이나 무응답을 동의로 보지 않는다는 해석이 널리 소개되어 있습니다. 따라서 직원에게 안내문만 붙여두고 “반대하지 않았으니 동의”로 처리하는 방식은 위험합니다.
3. 직원 동의서에 넣어야 할 내용
| 동의서 항목 | 기재 내용 | 실무 포인트 |
|---|---|---|
| 수집 정보 | 지문, 얼굴정보, 출퇴근 시간, 출입로그 | 구체적으로 적기 |
| 수집 목적 | 근태관리, 급여계산, 보안관리 | 목적 외 사용 금지 |
| 보관기간 | 재직 중 및 법정 보관기간 | 퇴사 후 삭제 기준 필요 |
| 접근권한 | HR, 회계, IT, 시스템 관리자 | 접근자 최소화 |
| 외부업체 | 근태시스템 공급업체, 클라우드 서버 | 위탁 여부 고지 |
| 직원 권리 | 열람, 수정, 삭제 요청 가능성 | 처리 담당자 지정 |
지문·Face ID 정보를 수집한다면 일반 개인정보 수집동의서와 별도로 “생체정보 기반 근태관리 동의서”를 받는 것이 더 안전합니다.
4. 근태시스템 공급업체도 점검해야 한다
근태시스템이 회사 내부 서버가 아니라 외부 클라우드, 앱, SaaS 방식으로 운영된다면 공급업체도 개인정보 처리에 관여합니다.
| 점검 항목 | 확인 질문 | 주의사항 |
|---|---|---|
| 서버 위치 | 데이터가 베트남 내에 저장되는가? | 국외 이전 가능성 확인 |
| 접근권한 | 공급업체 직원이 데이터에 접근 가능한가? | 권한 제한 필요 |
| 삭제 기준 | 퇴사자 데이터는 언제 삭제되는가? | 삭제요청 절차 필요 |
| 백업정책 | 백업 데이터는 얼마 동안 보관되는가? | 삭제 후 백업 잔존 주의 |
| 계약조항 | 비밀유지·보안·침해통지 조항이 있는가? | 계약서에 명시 |
5. 노무감사에서 같이 확인될 수 있는 항목
근태시스템은 개인정보 이슈뿐 아니라 Payroll·OT·공휴일수당 감사와도 연결됩니다.
| 감사 항목 | 확인 내용 | 문제 사례 |
|---|---|---|
| 출퇴근 기록 | 실제 근무시간 | 근태기록과 급여대장 불일치 |
| OT 승인 | 승인된 초과근무 여부 | 퇴근시간만 보고 OT 지급 |
| 야간근무 | 22:00~06:00 근무 집계 | 야간수당 30% 누락 |
| 공휴일 근무 | 300% 수당 적용 여부 | 일반 OT로 처리 |
| 수기 수정 | 누가 언제 수정했는지 | 수정로그 없음 |
근태시스템 데이터는 Payroll의 근거자료입니다. 직원 개인정보보호와 별도로, 수당 계산이 정확했는지 확인하는 감사자료로도 사용될 수 있습니다.
6. 회사가 자주 하는 실수
| 실수 | 문제점 | 대응 방법 |
|---|---|---|
| 동의서 없이 지문 등록 | 개인정보보호 리스크 | 수집 전 서면 동의 확보 |
| 퇴사자 데이터 방치 | 불필요한 개인정보 보관 | 퇴사자 삭제·비활성화 절차 |
| 근태 수정 로그 없음 | 데이터 조작 의심 가능 | 수정자·수정사유 기록 |
| 외부업체 계약서 미비 | 정보유출 시 책임 불명확 | 보안·비밀유지 조항 추가 |
| GPS 출근체크 남용 | 근무 외 사생활 침해 논란 | 업무시간·업무목적 한정 |
7. HR·IT·회계팀 역할 분담
| 부서 | 담당 역할 | 보관자료 |
|---|---|---|
| HR | 동의서, 근태규정, 직원 안내 | 개인정보 동의서, 근태규정 |
| IT | 시스템 접근권한, 보안설정 | 관리자 권한 리스트, 로그기록 |
| 회계 | Payroll 반영과 수당계산 | 급여대장, OT 계산표 |
| 부서장 | OT 승인과 근태 확인 | OT 승인서, 근무조표 |
| 법무·외부자문 | 동의서·계약서 검토 | 검토 의견서 |
8. 도입 전 체크리스트
- 수집할 개인정보 항목 확정
- 지문·얼굴정보 수집 필요성 검토
- 직원 개인정보 수집·이용 동의서 준비
- 생체정보 처리 고지문 작성
- 근태시스템 운영규정 작성
- 수기 수정 권한자 제한
- 퇴사자 데이터 삭제 기준 마련
- 외부업체와 개인정보 처리 조항 체결
- 서버 위치와 데이터 백업정책 확인
- Payroll 연동 오류 테스트
- 노무감사용 근태자료 출력 양식 확인
9. 대체 방식도 검토할 수 있다
모든 회사가 반드시 지문이나 Face ID를 써야 하는 것은 아닙니다. 개인정보 리스크를 줄이려면 카드, QR, 앱 기반 체크, 부서장 승인 방식 등 대체 수단도 검토할 수 있습니다.
| 방식 | 장점 | 주의사항 |
|---|---|---|
| 출입카드 | 생체정보 미수집 | 대리태그 가능성 |
| QR 체크 | 설치비 낮음 | 위치·기기정보 처리 검토 |
| 모바일 앱 | 외근직 관리 가능 | GPS 정보 과다수집 주의 |
| 지문인식 | 대리출근 방지 | 생체정보 동의 필요 |
| Face ID | 비접촉·빠른 인증 | 얼굴정보 관리 필요 |
10. 마무리
베트남에서 지문·Face ID 근태관리 시스템은 편리하지만, 개인정보보호와 노무감사 리스크를 동시에 갖고 있습니다.
회사는 직원 동의서, 처리 목적 고지, 보관기간, 접근권한, 외부업체 계약, 퇴사자 데이터 삭제 기준을 문서화해야 합니다.
가장 안전한 방식은 HR·IT·회계팀이 함께 근태시스템 운영규정을 만들고, Payroll과 개인정보보호 관점에서 월별로 데이터를 점검하는 것입니다.
Decree 13/2023/ND-CP on Personal Data Protection
DLA Piper - Vietnam Decree 13 and data protection regulations
Frasers Law - Legal Update on Personal Data Protection Decree
Le & Tran - AI in the Workplace: Data Privacy and Legal Risks in Vietnam
Vietnam Law Magazine - Businesses face tightened personal data protection requirements
MOLISA
VN BizLab Business Report