2025년 디지털 개인정보 보호 규정 초안은 개인의 동의를 최우선으로 한다. 2023년 디지털 개인정보 보호법(DPDP 법)과 해당 규정 초안은 개인정보 처리의 목적과 방법을 결정하는 수탁자가 데이터와 관련된 정보주체로부터 명확하고 적극적인 동의를 받은 후에만 데이터를 처리할 수 있도록 규정하고 있다. 조직은 전체 동의 생명주기를 관리할 수 있는 견고한 동의 관리 시스템(CMS)을 구축해야 한다. 이러한 시스템에 대한 기대 사항을 명확히 하기 위해 전자정보기술부는 최근 비즈니스 요구사항 문서(BRD)를 발표했다.
파트너 변호사
Phoenix Legal
CMS는 사용자 동의를 처음부터 끝까지 관리한다. BRD는 동의가 수집, 검증, 업데이트, 갱신 및 철회 등 모든 단계에서 추적 가능해야 한다고 요구한다. CMS는 정보주체가 디지털 대시보드를 통해 동의에 접근하고, 모니터링하며, 수정할 수 있도록 해야 한다. 따라서 CMS는 접근성이 뛰어나고, 직관적이며, 접근성 기준을 준수해야 한다.
CMS에는 많은 이해관계자가 관여한다. 정보주체는 동의를 제공하거나 철회하고, 데이터 수탁자는 이를 수신하고 관리한다. 데이터 처리자는 수탁자를 대신해 동의 범위 내에서만 데이터를 처리한다. DPDP 체계는 새로운 책임 주체인 동의 관리자(CM)를 도입하는데, 이는 정보주체와 수탁자 간의 동의 거래를 원활하게 처리하는 등록된 중개자다. CM은 중립성을 유지해야 하며, 보안 기준을 준수하고 데이터 보호 위원회에 등록해야 한다.
DPDP 체계는 동의가 자발적이고, 구체적이며, 충분히 정보가 제공되고, 무조건적이어야 하며, 명확한 긍정적 행위를 통해 이뤄져야 한다고 요구한다. 동의 묶기와 모호한 표현은 명시적으로 금지된다. 정보주체는 수집되는 개인정보의 범주, 처리의 구체적 목적, 그리고 자신의 법적 권리에 대해 안내받아야 한다. 고지문은 명확하고 접근하기 쉬워야 하며, 인도의 지역 언어를 지원해 포용성과 준수성을 확보해야 한다.
DPDP 체계는 목적 제한과 데이터 최소화 원칙을 명확히 규정하고 있다. 데이터는 사용자가 명시적으로 동의한 목적에 한해서만 수집 및 처리될 수 있다. CMS는 동의를 특정 목적에 연계하고, 무단 사용을 차단함으로써 이러한 원칙이 준수되도록 보장한다.
철회 가능성과 그 실행의 용이성은 매우 중요하다. DPDP 법은 동의 철회가 동의 제공만큼 원활하게 이뤄져야 함을 요구한다. CMS는 사용자가 동의를 손쉽게 철회할 수 있도록 해야 하며, 관련 데이터 처리가 즉시 중단되도록 보장해야 한다. 타임스탬프, 목적 ID, 사용자 식별 정보와 같은 메타데이터는 변경 불가능하게 기록되어 감사에 활용되어야 한다. 동의가 철회되면, CMS는 내부 팀과 제3자 처리업체를 포함한 모든 이해관계자에게 즉시 개인정보 처리를 중단하도록 통지해야 한다.
CMS는 기술적 기능과 법적 요건을 통합해야 한다. 동의 수집은 명시적인 사용자 허락을 양식이나 인터페이스를 통해 확보하는 것으로, 명확한 긍정적 행위 없이는 어떠한 처리도 시작되지 않도록 해야 한다. 동의 검증은 데이터 처리가 동의 범위 내에서 이뤄지는지 확인하는 절차이다. 데이터 처리에 앞서 CMS는 유효하고 활성화된 동의가 있었는지 반드시 확인해야 하며, 동의가 없을 경우 처리를 차단해야 한다.
동의 업데이트 및 갱신 절차를 통해 사용자는 자신의 동의를 수정하거나 연장할 수 있다. 목적이 변경될 경우, 시스템은 사용자에게 이를 통지하고 새로운 동의를 요청해야 한다. 또한 지속적인 준수를 위해 사용자가 동의를 갱신하도록 안내해야 한다. 모든 변경 사항은 관련 메타데이터와 함께 기록되어야 한다.
동의 철회가 이뤄지면 해당 목적과 연관된 데이터 처리가 중단되고, 관련 데이터는 삭제되어야 한다. CMS는 철회 지표를 생성하고, 모든 시스템에서 거래 및 상태 변경을 기록해야 한다. 사용자와 관련 팀에게도 철회 사실이 반드시 통지되어야 한다.
추가 기능들은 포괄적인 준수를 보장한다. 여기에는 쿠키 동의 관리와 모든 동의 관련 거래를 변경 불가능하게 기록하고 검증 가능한 이력을 남기는 감사 로그가 포함된다. 시스템은 식별자, 타임스탬프, 작업 유형이 포함된 감사 로그를 생성해야 한다. CMS는 법적 요건에 따라 불만 처리 메커니즘을 제공해야 하며, 이를 통해 불만 사항을 기록하고, 참조 번호를 부여하며, 해결 과정을 추적해야 한다.
DPDP 법은 동의를 진화적이면서 참여적인 것으로 간주한다. 성공은 CMS의 효율성에 달려 있다. 잘 구조화되고 원활한 CMS는 단순한 규제 요건을 넘어, 사용자 자율성을 존중하고 데이터 거버넌스 성숙도를 달성하며 이해관계자 신뢰를 강화하는 전략적 자산이 될 것이다.
Aman AVINAV 변호사는 Phoenix Legal의 파트너 변호사이다
Phoenix Legal
Phoenix House,
254, Okhla Industrial Estate
Phase III, New Delhi – 110 020,
India
Vaswani Mansion, 3/F
120 Dinshaw Vachha Road,
Churchgate
Mumbai – 400 020
India
Contact details:
T: +91 11 4983 0000,
+91 11 4983 0099
+91 22 4340 8500
E: delhi@phoenixlegal.in | mumbai@phoenixlegal.in
