이제 배터리로 구동되는 데이터 프라이버시 및 보호

전 세계적인 규제 환경이 지속가능성과 디지털 거버넌스에 점점 더 많은 관심을 기울이면서, 유럽연합의 배터리법(EU 규정 2023/1542)이 배터리의 생산, 추적 및 폐기 방식을 규정하는 획기적인 프레임워크로 자리매김하고 있다. 이 법의 환경 및 공급망 의무는 매우 광범위하지만, 컴플라이언스를 실현하는 데 있어 데이터 프라이버시 법률의 역할은 종종 간과되곤 한다. 여기에는 특히 유럽연합의 일반데이터보호규정(GDPR)과 2023년 제정된 인도의 디지털 개인정보보호법(DPDPA)이 포함된다.

프라이버시 법률이 중요한 이유는, EU 배터리 규정이 개인정보 저장을 명시적으로 강제하지는 않지만, 모든 산업용 및 전기차(EV) 배터리에 배터리의 구성, 원산지, 사용, 성능, 탄소 발자국, 폐기 이력 등 광범위한 데이터를 저장하는 디지털 배터리 패스포트의 도입을 요구하기 때문이다. 이 정보는 주로 기술적인 성격을 띠지만, 소규모 제조업체, 공급업체, 기술자 등 식별 가능한 주체가 패스포트나 백엔드 시스템에 포함될 경우 개인 데이터가 수집될 수 있다. 배터리 사용이나 재활용 추적을 위해 수집되는 위치 정보도 개인과 연결될 경우 개인정보가 될 수 있다. 또한, 배터리가 전기차나 스마트폰 등 소비자용 기기와 통신할 때 앱이나 차량 연동을 통해서도 간접적으로 개인이 식별될 수 있다.

따라서 배터리 데이터가 개인정보가 아닌 것으로 보이더라도 GDPR의 적용을 받을 수 있다. 이는 배터리 데이터가 EU 플랫폼이나 앱과 연동되는 경우, 이를 관리하는 인도 수출업자나 서비스 제공자가 자신도 모르게 GDPR상 데이터 처리자 또는 관리자가 될 수 있음을 의미한다.

GDPR에 따르면, 유럽경제지역(EEA) 외부 국가로의 개인정보 이전은 해당 국가가 ‘적절한 수준의 보호’를 제공하지 않는 한 허용되지 않는다. 현재 인도는 이 기준을 충족하는 국가에 포함되어 있지 않다. 이에 따라, EU에서 디지털 패스포트가 적용된 배터리를 다루는 인도 기업은 EU로부터 개인정보를 수신하는 자로 간주된다. 따라서 이들은 대체로 안전장치에 의존해야 하며, 이러한 안전장치로는 일반적으로 표준계약조항, 구속력 있는 기업규칙 또는 특정 예외 조항 등이 사용된다. 또한, 유럽사법재판소의 Schrems II 판결 이후, 기업들은 개인정보가 이전되는 국가, 즉 인도의 법적 환경을 평가하기 위한 데이터 이전 영향 평가도 수행해야 한다.

DPDPA는 GDPR처럼 적정성 요건을 부과하거나 승인된 국가 목록을 제공하지는 않지만, 기업에 보호조치 이행을 요구한다. 이는 인도 수출업자에게 컴플라이언스상의 도전 과제가 된다. 디지털 패스포트가 내장된 배터리를 EU에 판매할 경우, 해당 데이터는 GDPR과 DPDPA 모두에 부합해야 한다. 두 법률 모두 동의, 투명성, 데이터 최소화라는 유사한 원칙을 기반으로 하지만, 배터리 규정과 같은 산업적 사용 사례에 적용되는 것은 새로운 시도로, 컴플라이언스 의무는 더욱 강화된다. 이에 따라 인도 배터리 수출업자는 컴플라이언스를 위해 여러 실질적인 조치를 취해야 할 수 있다. 여기에는 디지털 패스포트 시스템 통합 전 데이터 보호 영향 평가 실시, 데이터 책임이 반영된 EU 파트너와의 계약서 작성, DPDPA 및 GDPR 감사를 위한 별도의 컴플라이언스 기록 유지, 데이터 처리 감독을 위한 동의 관리자 또는 데이터 보호 책임자 지정 등이 포함된다.

지속가능성과 프라이버시가 융합됨에 따라, 배터리 제조업체, 전기차 공급업체 및 전자제품 수출업체는 환경 및 데이터 거버넌스를 아우르는 통합 컴플라이언스 프로그램을 구축해야 한다. 프라이버시 중심 설계 아키텍처, 상호운용 가능한 클라우드 스토리지, 그리고 ESG 준수 공급망 문서화에 대한 투자는 필수적이다.

인도 기업들은 GDPR과 DPDPA를 모두 준수함으로써 이러한 전략적 기회를 포착할 수 있다. 이를 통해 EU에서 신뢰받는 공급업체로 자리매김하고, ESG를 중시하는 시장에서 선도적 위치를 확보하며, 향후 더 광범위한 디지털 이니셔티브를 지원할 수 있는 역량을 구축할 수 있다.

따라서 EU 배터리 규정은 환경 문제를 규제하기 위해 도입됐지만, 개인정보를 포함한 데이터에 기반하고 있다. 이로 인해 프라이버시 법률과도 밀접하게 연관된다. GDPR과 DPDPA의 적용 범위가 점점 확대됨에 따라, 인도 기업들은 이제 관세나 재활용 요건에만 국한하지 않고, 변화하는 데이터 거버넌스 및 국제 프라이버시 규정도 준수해야 함을 인식해야 할 것이다.

Ashima OBHAN 변호사는 Obhan and Associates의 시니어 파트너 변호사이고, Arzu CHIMNI 변호사는 Managing Associate이다