2023년 인도는 디지털 개인 데이터 보호법(DPDP법)을 제정하며 데이터 보호의 새로운 시대를 열었다. 이후 정부는 2025년 1월에 이해관계자 협의를 위해 디지털 개인 데이터 보호 규칙 초안(DPDP 규칙 초안)을 발표했으며, 이는 2025년 3월 5일에 마무리됐다.
Managing Counsel
ADP Law Offices
인도
전화: +91 99100 31747
이메일: ameet@adplawoffices.com
DPDP법은 인도 대통령에 의해 서명되어 법으로 제정되었지만 아직 시행되지 않았다. 시행되기 전까지는 2011년 SPDI(민감한 개인 데이터 또는 정보) 규칙이 인도의 데이터 보호를 규율할 예정이다. 전자정보기술부(MeitY)는 기업이 DPDP법과 앞으로 제정될 규칙에 적응할 수 있도록 2년의 전환 기간을 고려하고 있다.
MeitY 장관의 최근 발언 중 일부는 정부가 기업이 DPDP법에 맞춰 정책과 관행을 조정하기를 기대하고 있지만, 이는 말처럼 쉽지 않다는 점을 시사한다. 이는 DPDP법의 다양한 조항에 대한 세부 사항이 아직 확정되지 않은 향후 규칙을 통해 명확해질 뿐만 아니라, 정부와 인도 데이터 보호 위원회(DPB)가 더 많은 운영적 측면을 의무화할 것으로 예상되기 때문이다. DPDP 규칙 초안이 확정되고 DPDP법이 시행되기 전까지, 기업은 SPDI 규칙을 계속 준수해야 하며 동시에 DPDP법과 규칙이 발효될 때 이를 준수할 수 있도록 정책과 관행을 미리 준비해야 한다.
한 가지 규제를 준수하면서 다른 규제에 맞출 준비를 하는 것은 특히 2년의 전환 기간을 고려할 때 실행 가능해 보인다. 그러나 현실은 크게 다르다. SPDI 규칙은 인도의 데이터 보호 관련하여 기초적인 프레임워크만을 제공하며, 요구 사항이 덜 엄격하고 집행이 일관되지 않아 DPDP법 준수로의 전환을 복잡하게 만든다. 게다가 DPDP법은 예상되는 DPDP 규칙과 함께 기본적인 데이터 보호 프레임워크로 작용하며, 특정 영역에서는 부문별 법률에 따르고 특히 개인 데이터의 크로스보더 전송 관련하여 부문별 규제가 추가적이거나 더 엄격한 요구 사항을 시행할 수 있도록 한다. 다른 규제와 일치해야 할 필요성은 운영 및 물류상에 상당한 장애를 초래할 수 있으며, 이는 특히 인프라와 자원이 부족한 스타트업과 소규모 기업의 비즈니스 용이성에 영향을 미칠 수 있다.
DPDP법의 원칙 기반 접근 방식은 정책 및 운영 측면에서 추가적인 과제를 제시한다.
잠재적인 정책 불확실성. DPDP법의 조항은 특히 부문별 법률의 요구 사항과 함께 해석될 때 정책 불확실성을 초래할 여지를 남긴다. 예를 들어, 2020년 정부는 ‘사용자 데이터를 무단으로 도용하고 전송’한 중국 모바일 앱들을 금지한 바 있다. 그러나 현재 정부의 중국 기술에 대한 입장은 설명되지 않은 채 변화를 보였다. 이는 데이터 보안 및 프라이버시 문제에 대한 우려를 완화하기 위해 중국의 오픈소스 AI 모델인 DeepSeek을 인도 서버에 호스팅하는 것과 관련하여 MeitY 장관이 최근 언급한 내용에서 드러난다.
시니어 소속 변호사
ADP Law Offices
India
전화: +91 85114 69232
이메일: jasman@adplawoffices.com
DPDP법은 중앙 정부에 개인 데이터의 외국 또는 지역으로의 전송을 제한할 권한을 부여한다. 이러한 크로스보더 데이터 전송은 부문별 법률에 명시된 엄격한 보호 조치를 준수해야 한다. DPDP 규칙 초안은 인도 내외의 모든 데이터 전송이 중앙 정부의 일반 또는 특별 명령에서 명시된 제한, 특히 외국인이나 외국 국가와 관련된 기관에 대한 접근성과 관련된 제한을 준수해야 한다고 추가로 규정하고 있다.
그러나 이 법안은 크로스보더 데이터 전송에 대한 구체적인 보호 조치가 부족하고 행정 재량에 의존함으로써 자의적인 의사 결정과 빈번한 규제 변경의 위험을 초래할 수 있다. 이는 정책 불확실성을 야기하여 법적 체계에 대한 신뢰를 약화시킬 수 있다. 이러한 통지와 정책의 잠재적인 변화 가능성은 기업과 이해관계자들에게 준수의 어려움을 가중시키고 규제 위험을 높인다.
정책 불확실성을 초래할 가능성이 있는 또 다른 조항은 개인 데이터 침해 통지와 관련된 DPDP 규칙 초안의 조항이다. 해당 조항에 따르면, 데이터 신탁자는 모든 개인 데이터 침해 관련하여 영향을 받은 각 데이터 주체와 DPB에 ‘지체 없이’ 통보해야 한다. 이후 데이터 신탁자는 72시간 이내에 DPB에 상세 보고서를 제출해야 한다. 그러나 DPDP 규칙 초안에서는 ‘지체 없이’라는 용어가 정의되지 않았다. 초기 보고 기한이 명확히 규정되지 않은 점은 CERT-In이 의무화한 기존 규정과 충돌할 가능성이 있으며, 이는 고위험 사례에서 정책 불확실성과 불필요한 중복 노력을 초래할 수 있다.
개인 데이터 침해 통지의 어려움. DPDP 규칙 초안과 DPDP법은 모든 개인 데이터 침해를 DPB와 영향을 받은 데이터 주체에게 보고하도록 요구하지만, 이러한 침해를 보고할 기준이나 임곗값은 제공하지 않는다. 이로 인해 데이터 신탁자는 사소한 경우라도 모든 개인 데이터 침해 사례를 보고해야 하는 의무를 지게 된다. 사건의 성격, 규모 및 관련 위험에 대한 지침이 부족한 이 요구 사항은 DPB에 과도한 보고를 초래할 수 있으며, 침해로 인한 위험을 효과적으로 완화하는 능력을 저해할 수 있다. 또한, 이 규정은 시스템 장애를 개인 데이터 침해로 잘못 표현하여 혼란을 가중시키고, 영향을 받은 개인과 DPB에 엄청난 부담을 줘 궁극적으로 평판 손상을 초래할 가능성이 있다.
개인 데이터 침해 보고 요구 사항은 CERT-In의 사이버 보안 지침이나 2023년 통신법에 따라 발효된 2024년 통신(통신 사이버 보안) 규칙과 같은 다른 부문별 규정을 고려하지 않고 있다. 이러한 규정들은 유사한 데이터 침해를 다양한 규제 당국에 통지하도록 의무화하고 있다. 이러한 간과는 정부 당국이 개인 데이터 침해 보고를 위한 단일 창구 규제 경로를 수립하는 포괄적인 정부 차원의 접근 방식을 채택하지 않고, 분리된 방식으로 접근한 데서 비롯됐다. 여러 ‘보고 노드’는 취약성을 완화하기보다는 오히려 악화시킬 가능성이 크다.
시니어 소속 변호사
ADP Law Offices
India
전화: +91 99588 15862
이메일: rishikaa@adplawoffices.com
모호한 데이터 현지화 요구 사항. 데이터 현지화 의무는 외국 정부 기관에 개인 데이터를 공개하거나 이전하는 것과 관련된 외국 법률의 다양한 요구 사항과 충돌할 가능성이 크다. DPDP 규칙 초안은 주요 데이터 신탁자에 대한 데이터 현지화 요구 사항을 제안하고 있으며, 중앙 정부가 설립한 위원회의 권고에 따라 특정 개인 데이터 세트와 트래픽 데이터의 인도 외부 이전을 금지하고 있다. 이는 엄격한 데이터 현지화 요구 사항에서 벗어나려는 정부의 이전 입장에서 바뀐 것을 나타낸다.
정보 요구에 대한 자의적인 권한. 데이터 신탁자 및 중개자로부터 정보를 요구할 수 있는 권한이 절차적 안전장치 없이 부여됐으며, 인도 헌법 제21조에 보장된 기본적 권리인 프라이버시 권리를 인정한 Justice KS Puttaswamy (Retd) & Anr v Union of India & Ors (2017) 사건에서의 대법원 판결과 모순되는 것으로 보인다. 해당 판결은 프라이버시 권리를 침해하는 데이터 공개 요청이 다음 세 가지 요건을 충족해야 한다고 명시했다:
-
- 해당 조치는 법에 의해 승인되어야 한다;
- 제안된 조치는 민주 사회에서 정당한 목적을 위해 필요해야 한다;
- 해당 조치는 비례적이어야 하며, 목표와 이를 달성하기 위해 채택된 수단 간에 합리적인 연관성이 있어야 한다.
DPDP 규칙 초안과 DPDP법은 이러한 세 가지 요건을 고려하지 않고, 대신 정부에 모든 정보를 요구할 수 있는 광범위한 재량권을 부여하고 있다. 이 권한은 절차적 안전장치나 정보를 요구할 근거가 없어 모호하고 자의적이다. DPDP법은 데이터 신탁자나 중개자가 정보 요청에 대해 이의를 제기하거나 이를 다툴 수 있는 선택권이나 구제책조차 제공하지 않는다.
DPDP 규칙 초안은 국가 안보, 법정 기능 수행 등 특정 목적을 위해 정보를 수집하도록 제안하고 있지만, 이러한 목적은 광범위하게 표현되어 있다. 이는 정부에 모든 정보를 수집할 수 있는 과도한 권한을 부여하며, 개인의 프라이버시 권리뿐만 아니라 비즈니스의 용이성에 비해 정부에 유리한 불균형을 초래한다.
결론적으로, DPDP법과 DPDP 규칙 초안은 전용 데이터 보호 법적 프레임워크를 제공하고 인도를 글로벌 프라이버시 기준에 맞추는 데 있어 중요한 진전을 이루긴 했지만, 여전히 여러 모호함과 운영상의 과제가 남아 있다. 이러한 과제 중 일부는 DPDP법 자체에서 비롯되지만, 일부 문제는 DPDP 규칙을 신중하게 설계하고 실행함을 통해 해결될 수 있을 것이다. 이는 개인의 프라이버시 권리, 보안, 혁신, 그리고 비즈니스 친화적인 시스템 간의 적절한 균형을 이루는 데 필수적일 것이다.
ADP LAW OFFICESB 809, ATS Bouquet, Sector 132, Noida
Uttar Pradesh 201304, India
전화: +91 99100 31747
이메일: ameet@adplawoffices.com | www.adplawoffices.com
