디지털 대출에서 차용인의 데이터를 보호하는 인도

지난 10년 동안 인도 소비자들은 구매력을 향상시키는 디지털 대출의 잠재력을 인식하게 됐다. 디지털 대출은 인도 상인들의 소매 성장을 촉진하는 자극제 역할을 하지만, 금융 생태계의 안정성을 유지하고 차용인의 이익을 보호하기 위해 규제가 필요하다고 최종적으로 판단됐다.

제3자의 무분별한 개입, 잘못된 판매, 데이 터 프라이버시 침해, 불공정한 사업 행위, 과도한 이자율 부과 및 비윤리적인 회수 관행과 관련된 우려를 해결하기 위해, 인도준비은행(RBI)은 2021년 1월에 디지털 대출에 관한 실무 그룹을 구성하여 온라인 플랫폼 및 앱을 통한 대출 프레임워크를 검토했다.

실무 그룹은 금융 서비스의 혁신을 촉진하면서도 성장하는 시장의 질서 있는 발전을 보장하는 균형 있는 접근 방식을 채택했다.

디지털 대출 생태계 규제에 대한 권고안은 2021년 11월 실무 그룹에 의해 제안됐다. 산업 이해관계자들과의 광범위한 협의 후, RBI는 2022년 8월에 실행 계획과 전략을 발표했다. 이후 RBI는 2022년 9월에 디지털 대출에 대한 가이드라인의 형태로 인도에서 디지털 대출을 규제하는 프레임워크를 발표했다.

RBI가 이 분야를 규제하는 목적은 실무 그룹이 식별한 비규제 디지털 대출과 관련된 우려를 완화하고, 디지털 대출 생태계 내에서 공공의 신뢰가 침식되는 것을 방지하기 위한 필요성 때문이었다.

디지털 대출이란 무엇인가?

디지털 대출은 이름에서 알 수 있듯이 고객 유치, 신용 평가, 대출 승인, 대출금 지급, 회수 및 관련 고객 서비스에 디지털 기술을 주로 사용하여 수행되는 원격 및 자동화된 대출 프로세스를 말한다.

이 생태계에서 대출 및 디지털 대출 서비스는 사용자 인터페이스를 제공하는 모바일 및 웹 기반 애플리케이션을 통해 이뤄지며, 이를 ‘디지털 대출 앱 또는 플랫폼’(대출 앱)이라고 한다.

이와 관련하여, RBI는 대출 활동에 있어 고객과 일부 물리적 인터페이스가 존재하더라도 이는 특성화에 영향을 미치지 않으며, 계속해서 디지털 대출로 간주될 것이라고 명확히 했다.

생태계 참여자

위에서 언급한 가이드라인을 통해, RBI는 상업 은행과 비은행 금융 회사(NBFC) – 둘 다 RBI에 의해 규제되는 기관(규제 기관) – 및 규제 기관과 협력하는 비규제 핀테크 기관의 활동을 규제한다.

• 규제 기관은 차용인에게 대출 및 신용 시설을 제공한다.
• 대출 서비스 제공자(LSP)로 인정받는 비규제 핀테크 기관은 대출자의 대리인으로서 생태계에 참여하며, 고객 유치, 인수 지원, 가격 지원, 서비스 제공, 모니터링 및 회수를 포함한 대출자의 기능 중 하나 이상을 수행한다. LSP는 규제 기관의 아웃소싱 서비스 제공자로 간주되므로, 규제 기관이 LSP를 고용할 때는 RBI의 적용 가능한 아웃소싱 가이드라인을 준수해야 한다.
• 차용인은 대출 앱을 통해 규제 기관이 제공하는 대출 또는 신용을 디지털 방식으로 이용한다.
• 가이드라인을 통해 RBI는 규제 기관이 대출 앱을 통해 제공하는 대출과 관련하여 차용인의 이익을 보호하려고 한다.

디지털 대출 생태계에서 대출 앱은 규제 기관 또는 LSP에 의해 운영될 수 있다.

가이드라인은 규제 기관과 LSP에 대한 조건을 규정하고 있지만, LSP가 가이드라인을 준수하도록 보장하는 규제 의무는 규제 기관에 있다. 일반적으로 이러한 준수는 규제 기관이 적절한 의무를 부과하는 계약적 합의를 통해 보장된다.

가이드라인의 주제

가이드라인은 규제 기관에 대한 실사 및 LSP 감독, 수수료의 투명성, 신용 시설에 관한 공개 요구 사항 등 다양한 요구 사항을 통해 차용인을 보호한다. 또한, 가이드라인은 데이터 보안을 중심으로 하여 차용인의 데이터와 정보를 보호한다.

차용인 데이터에 대한 초점

가이드라인은 차용인의 데이터에 높은 수준의 보호를 제공한다. 규제 기관과 LSP는 디지털 대출 프레임워크의 매개변수 내에서 차용인의 지시에 따라 이 데이터를 처리하도록 해야 한다.

RBI는 규제 기관이 고객의 개인 정보에 대한 데이터 프라이버시와 보안에 책임이 있다고 명시하고 있다. 차용인 데이터를 처리하는 가이드라인의 주요 조건은 다음과 같다:

• 동의. 가이드라인은 대출 앱이 관련 차용인의 사전 명시적 동의를 기반으로 필요한 경우에만 차용인 데이터를 수집해야 한다고 명확히 하고 있다. 차용인은 특정 데이터 사용에 대한 동의를 주거나 거부할 수 있는 선택권을 가져야 하며, 제3자에게 공개를 제한하고, 데이터 보유 기간을 결정하고, 동의를 철회하거나 데이터를 삭제하도록 지시할 권리를 가져야 한다. 동의를 얻는 목적은 인터페이스의 각 단계에서 대출 앱에 의해 공개되어야 한다. 준수를 입증하기 위해서 동의 확인을 위한 감사 추적이 유지되어야 한다.

전반적으로 이러한 요구 사항은 최근 제정된 2023년 디지털 개인 데이터 보호법을 포함하여 인도에 적용되는 데이터 보호법에 따라 만들어진 개인 데이터 처리를 위한 동의 기반 체제와 일치한다.

• 데이터 최소화. LSP와 대출 앱은 운영을 수행하는 데 필요한 이름, 주소 및 연락처와 같은 기본적인 최소 데이터만 저장할 수 있다. 차용인의 개인 정보는 저장할 수 없다.
• 데이터 공유. 제3자가 대출 앱을 통해 차용인의 개인 데이터를 수집하는 경우, 해당 제3자의 세부 사항을 차용인에게 공개해야 한다. 제3자와의 개인 데이터 공유는 차용인의 사전 명시적 동의에 기반해야 한다.
• 휴대폰 기능 접근. 가이드라인은 대출 앱이 파일 및 미디어, 연락처 목록, 통화 기록 및 전화 기능과 같은 휴대폰 자원에 접근하는 것에 대해 특정 제한을 부과한다. 대출 앱은 차용인의 명시적 동의에 따라 온보딩 및 KYC 요구 사항을 위해 카메라, 마이크 및 위치와 같은 기능을 한 번만 접근할 수 있도록 구성되어야 한다.
• 데이터 관련 정책. 규제 대상 기관은 데이터의 사용, 저장 및 파기, 그리고 보안 침해 처리에 관한 정책을 마련해야 한다. 이러한 정책은 대출 앱에 공개되어야 한다.

가이드라인에 따른 데이터 관련 조건은 규제 대상 기관과 LSP 간의 계약적 합의에서 논쟁의 여지가 있을 가능성이 크다.

인도에서 핀테크 기업이 규제 대상 기관과 협력하여 기존 고객을 위한 신용 채널을 개설하는 것은 일반적인 업계 관행이다. 상업적으로, 이 협력은 핀테크인 LSP가 고객을 규제 대상 기관에 추천하는 방식으로 이뤄지며, 이를 통해 핀테크의 개별 고객이 규제 대상 기관의 고객이 된다.

이러한 상황에서 LSP로 간주되는 핀테크 기업이 고객 데이터를 보유 및 저장하는 데 대한 제한은 핀테크 기업이 혁신적인 솔루션을 찾아야 하는 큰 장애물이 될 수 있다.

핀테크 기업이 신용 제공을 위한 LSP 사업과 결제 사업(예: 결제 중개자 또는 선불 결제 수단 발행자)을 모두 운영하는 상황이 있을 수 있다.

이러한 핀테크는 대출 데이터와 결제 데이터를 모두 저장하고 접근할 수 있다. 고객이 가이드라인에 따라 인정된 권리에 근거하여 데이터 삭제를 요청할 경우, 개별 고객의 데이터가 공통 데이터 저장소에 저장되어 있는 상황에서 핀테크 기업은 딜레마에 빠질 수 있다.

이러한 상황을 해결하기 위해, 규제 요구 사항에도 불구하고 핀테크 기업은 대출 데이터를 결제 데이터와 분리하고 혼합되지 않도록 하는 것이 중요할 수 있다.

이러한 점을 고려할 때, 규제 대상 기관과 LSP는 차용인 데이터 사용에 대한 권리를 주장할 수 없을 것으로 보인다. 차용인은 규제 대상 기관과 LSP가 자신의 데이터를 사용할 수 있는 방식을 동의를 통해 결정할 자율권을 가지며, LSP는 추가적인 규제 제한을 받게 된다.

미래 전망

인도는 지난 몇 년간 디지털 대출에서 상당한 성장을 보였다. 디지털 대출을 통해 발생한 대출은 2028년까지 모든 소매 대출의 5%를 차지할 것으로 예상된다.

가이드라인을 통해 RBI는 금융 안정을 가져오고 차용인의 이익을 보호하기 위한 프레임워크을 마련하여, 인도의 신용 시스템을 유리하게 운영하라는 명령을 수행하고 있다.

규제 대상 기관들은 신용 및 대출에 적용되는 규제 지침을 준수하지 않아 조치를 받고 있다. 일부 조건의 특수성을 고려할 때, RBI가 규정 준수를 모니터링하기 위해 구조와 계약을 엄격히 감시함에 따라 디지털 대출 분야는 주목할 만한 흥미로운 분야가 될 것이다.