EU가 개인정보보호규정(GDPR)을 통해 개인정보에 대한 보호를 한층 강화하면서, 정보의 취약성을 줄이고 이용자의 프라이버시 훼손을 막기 위한 조치들을 시행해야 한다는 목소리가 전세계적으로 공감을 얻고 있다.
‘테크’ 공룡기업들이 개인정보를 남용하거나 잘못 취급했다는 일련의 주장은 정보 프라이버시 침해 문제를 바라보는 일반인들의 시각에 변화가 나타나는 중대한 계기가 되었다. 이에 따라 많은 국가들이 한층 엄격한 규제 정책으로 나아가는 토대를 마련하기 위해 기존 법을 대대적으로 점검하기 시작했다.
인도 또한 예외가 아니기 때문에 이 부분에 대한 노력을 기울이고 있다.
현재는 정보기술(IT)법과 정보기술(합리적인 보안 실무와 절차 및 민감한 개인정보) 규칙으로 관련 분야를 규제하고 있다. IT법 43A항에 따라, 정보 주체는 민감한 개인정보의 무단 공개에 대한 보상을 요구할 수 있다. 72A항은 처벌에 관한 조항으로, 이에 의거하여 누구나(민감한 개인정보를 동의 없이 공개하는 중개업자 포함) 징역형이나 벌금형의 처벌을 받을 수 있다.
파트너
New Delhi 소재 LexOrbis
이메일: manisha@lexorbis.com
그러나 이러한 법들은 그 범위가 제한적이기 때문에 충분하지 않다는 것이 중론이다. 이에 따라, 관련 규제 정책을 개편하기 위해 2018년 개인정보보호법안이라는 포괄적인 법안이 발의되었다. 이 법안의 목적은 국가 차원에서 정보의 ‘힘’을 적절하게 관리할 수 있도록 올바른 관리 장치를 마련하고 견고한 정보 인프라를 구축하는 것이다.
하지만 이 법안은 많은 논란을 불러일으키면서 지금까지 3차례나 수정되었다.
상원의원과 하원의원으로 구성된 공동의회위원회(JPC)에서 작성한 JPC 보고서가 2021년 12월 16일 수정된 정보보호법안과 함께 발표되었다. 새 법안은 ‘개인정보’와 ‘개인정보가 포함되지 않은 정보’ 모두를 규제하는 내용인데, 이는 관련 법의 범위가 확대되었다는 것을 의미한다.
발의된 법안은 KS Puttaswamy v Union of India 사건에서 인도 대법원이 제시한 원칙에 기반하고 있는데, 이에 따르면 개인의 프라이버시 권리를 제한하는 요소들은 법으로 금지하여 이를 남용하지 못하도록 절차적 안전장치를 마련해야 한다.
이 법안에서 가장 논란이 되었던 부분은 정부가 실질적으로는 아무런 책임도 부담하지 않는다는 내용이다. 35조를 보면, 인도의 주권과 영토보전, 국가 안보, 외국과의 우호관계 및 공공 질서를 위해 필요한 경우에는 정부의 조항 준수 의무가 면제된다. 그러나, 쏟아지는 비판에도 불구하고 JPC는 35조를 그대로 두었다.
정부의 감시 권한을 제한한다는 취지로 JPC는 모든 절차가 “공평하고 공정하고 합리적이고 균형을 유지해야 한다”는 설명을 덧붙였다. 면책 기준을 추가한 것은 환영할 만한 움직임이지만, 이것 만으로는 충분하지 않을 수 있다.
정부의 독단적인 조치를 막으려면 사법적 감독이 무엇보다 중요하고, 정부가 면책 조항의 적용을 요청하는 경우에는 법원의 허가를 받도록 해야 한다. 또한, 안전장치를 충분하게 제공하는 폭넓은 절차적 기준이 법안 자체에 반영되어 있어야 하고, 일부 JPC 의원들이 반대 의견서에서 주장한 바 대로 관련 조항을 구체적으로 적용할 수 있도록 “공공 질서”라는 포괄적인 표현은 삭제되어야 한다.
소속 파트너
New Delhi 소재 LexOrbis
이메일: simrat@lexorbis.com
정보보호법 준수 및 이행 여부를 모니터링하는 정보보호국(DPA)에도 문제가 있다. 2019년 법안에 따르면, 모든 DPA 구성원은 국무조정실장 및 실장급 관료 2인으로 구성된 인선 위원회의 추천에 따라 중앙 정부에서 지정한다. 원안(原案)의 내용 때문에 비판을 받았던 JPC는 2021년 위원회 구성원으로 법무장권을 포함시켰다. JPA의 독립성을 충분하게 확보하려면 사법 기관의 참여를 고려할 수 있고, 선임 판사(데이터 및 개인정보보호와 관련하여 주목할 만한 판결을 내린 판사)가 구성원이 되어야 한다.
‘특정 국가에서 수집한 자료는 해당국 안에서만 저장하고 처리해야 한다’는 데이터 현지화 조항 또한 논란의 소지가 많다. 2018년 법안의 원안에는 포괄적인 데이터 현지화 조항이 포함되었는데, 이때문에 엄청난 비판을 받았다. 다른 국가들까지 크게 반발하면서 이후 해당 법안은 그 내용이 완화되었다. 2021년 정보보호법은 ‘절충된’ 현지화 조항을 명시하여 민감한 개인정보는 관련 파일을 복제하고 중요한 데이터는 반드시 현지에서 처리하도록 했다. 달리 말하면, 인도 이외의 지역에서도 민감한 개인정보의 이전이나 저장이 가능하지만 해당 사본은 현지에서 저장해야 한다.
민감한 개인정보에는 건강, 종교, 성생활, 정치적 신념, 생체, 유전 및 금융 등과 관련한 정보가 포함된다. 이러한 정보는 특정 조건에 부합되는 경우에만, 엄밀하게 말하면 GDPR의 개인정보보호 기준을 따르는 경우에만 역외로 이전할 수 있다. 그러나 매우 중요한 데이터를 나라 밖으로 이전할 때에는 제약을 받게 되는데, 반드시 인도 내에서만 해당 데이터를 처리하고 저장해야 한다. 하지만 ‘중요한 데이터’가 구체적으로 정의되어 있지 않기 때문에 어떤 유형의 데이터가 여기에 해당하는지는 확실하지 않다.
정부에서는 데이터 현지화가 인도에 어떤 도움을 주는지 적지 않은 근거를 제시해왔다. 데이터 시장 자체가 매우 크기 때문에 데이터의 상당 부분은 미국이나 아일랜드 등에 소재한 서버에 저장된다. 현지 저장을 의무화하면 대규모 데이터 센터가 인도로 통합되므로 현지 일자리 창출에 도움을 줄 수 있다. 인도의 전반적인 IT 또는 데이터 인프라가 활성화되면 경제 발전이 한층 빨라지는 것은 물론 글로벌 데이터 처리의 허브(hub)로 성장할 수 있을 것이다.
데이터 역외 이전에 대한 보호주의 정책이 좋게 보일 수도 있지만, 이를 실행하기 전에 어떤 부분에서 실질적인 혜택을 볼 수 있는지 면밀하게 따져보아야 한다. 이러한 정책을 통해 누릴 수 있는 이점이 무엇인지 확인하려면 데이터 현지화 요건을 준수해야 하는 부담이 가중되어 인도 내에서 데이터 기반 서비스를 제공하는 많은 외국 기업들이 떠날 가능성은 없는지 살펴보는 일이 무엇보다 중요하다. 또한, 외국 정부들이 인도 기업에 대해 보복 조치를 취할 가능성도 염두에 두어야 한다.
법 집행이 용이하다는 부분도 이점 중 하나이다. 인도의 집행기관들은 다른 나라에 저장된 데이터에 접근할 때 많은 제약을 받는다. 예를 들면, 인도에서 중대한 범죄가 발생하여 이에 대한 수사가 진행되는데 핵심 증거가 미국에 소재하는 서비스 제공업체에게 있는 경우에 정부는 인도와 미국이 체결한 국제사법공조조약(MLAT)에 의거하여 제공되는 데이터 수집 장치를 이용할 수밖에 없는데, 이는 매우 번거로운 과정이다.
미국 정부는 MLAT의 요청을 받아들이기 전에 법원 명령을 받으려 할 것이다. 미국 법원은 명령을 내리기 전에 인도의 요청이 법적 요건을 충족하고 있는지 확인한다. 법원에서 명령을 내리면, 미국의 서비스 제공업체는 필수적인 데이터를 생산하여 이를 최종적으로 인도로 이전하기 전에 법적 준수 여부를 확인하기 위해 미국 법무부와 그 내용을 공유한다. 하지만 이러한 과정에는 수 개월이 소요되기 때문에 적절한 시기에 데이터에 접근할 수 없으므로 수사에 지장을 줄 수 있다.
데이터 현지화를 통해 인도의 정부 기관들은 데이터에 쉽게 접근할 수 있다. 그러나, MLAT 시스템에 어느 정도 의존해야 하는 것인지 따져보고 분석하는 일이 매우 중요하다. 집행하는 기관들이 요구하는 데이터나 증거의 비율을 살펴볼 수도 있는데, (모든 개인정보가 아니라) 민감한 개인정보의 파일만 복제하도록 약간 변형된 데이터 현지화 프로그램을 채택하면 접근이 한층 쉬워질 것이다. 이러한 현지화 작업을 통해 MLAT 시스템은 물론 데이터에 직접 접근할 수 있도록 체결한 기타 양국간 실행 협약 내용을 보충할 수 있을 것이다. 그러나 과연 인도가 이러한 협약을 체결할 수 있는 자격이 있는지에 대한 문제까지 거론될 수 있는 ‘현지에 저장해야 한다는 강제 조항’ 부분에 대해서도 면밀하게 검토하여 이로 인한 부작용은 없는지 살펴보는 일이 중요하다.
이에 대한 각계 각층의 의견 또한 다양하다. 인도에 거점을 두고 있는 글로벌 싱크탱크 Observer Research Foundation은 인도의 ‘현지저장 강제조항’은 해외정보이용 합법화법(Clarifying Lawful Overseas Use of Data Act(CLOUD 법)에 의거하여 미국과 실무 협약을 체결할 때 장애 요소가 될 수 있다고 주장한다. CLOUD 법은 국가간 데이터 관련 법이 상충되는 경우에 “중대한 범죄”에 대해 수사할 수 있도록 외국 정부가 데이터에 접근할 수 있는 국제 공조의 길을 열어주는 미국의 수권법(授權法)이다.
인도가 CLOUD 협약에 서명하여 미국에 거점을 두고 있는 서비스 제공업체가 저장한 관련 데이터를 이용하여 범죄를 수사하는 경우, 미국의 영장이나 법원 명령 없이 해당 데이터에 접근할 수 있다. 이를 위해 인도 법원의 명령을 활용할 수 있다. 인도의 정부기관들은 미국의 서비스 제공업체에게 직접 연락하여 꼭 필요한 정보를 요구할 수 있다. 그러나, CLOUD 법에는 어느 정도까지 정보를 요구할 수 있는지 명시되어 있지 않다.
상황은 이러하지만, 인도는 아직까지 CLOUD 협약에 서명할 의사를 보이지 않고 있다. 설령 이에 대해 검토를 하고 있더라도, 현지화 강제 조항과 정부의 감시 권한 확대는 인도의 자격 적절성에 대해 영향을 줄 수 있다는 점을 명심해야 한다.
글로벌 데이터 경제의 규모가 방대하고 인터넷 이용자 수 또한 엄청나기 때문에 인도는 이를 최대한 활용할 계획을 갖고 있다. 그러나 실제로 제정되는 법이 국가의 비전에 반(反)하는 방향으로 가지 않도록 이번에 추진하는 법에 대해, 그리고 일부 조항의 위험 요소(특히 역외 이전 문제)에 대해 전반적으로 검토해야 한다는 점에 있어서 정보보호법안은 무엇보다 중요하다.
대두되는 문제들이 간단하지 않다는 부분에서 핵심 조항을 세밀하게 조율하여 공감을 이끌어내는 일이 결코 쉽지 않다는 것은 자명하다. 결국, 관련 법이 빛을 보려면 아직 더 많은 시간이 필요할 수 있다.
LEXORBIS
709-710 Tolstoy House
15-17 Tolstoy Road
New Delhi – 110001, India
이메일: mail@lexorbis.com
