인도의 디지털 개인 데이터 보호법(DPDPA) 이해

개인정보 보호에 대한 우려가 커지면서, 점점 더 많은 국가에서 강력한 데이터 보호 규정을 시행하고 있습니다. 2023년 인도는 세계적인 다인구 국가 중 처음으로 디지털 개인정보 보호법(DPDPA)을 통과시켰습니다.

DPDPA는 귀하의 조직에 어떤 영향을 미칠까요? 그리고 가장 중요한 질문은, 어떻게 그 요건을 준수할 수 있을까요?입니다. 이 규제 법률에 대한 자세한 내용과 시작하는 방법을 알아보십시오.

• 디지털 개인정보 보호법이란 무엇입니까?
• DPDPA는 어떻게 작동합니까?
• DPDPA 대 GDPR
• DPDPA 규정 준수를 준비하는 방법

디지털 개인정보 보호법은 인도 역사상 가장 포괄적인 데이터 규정으로, 약 15억 명의 사람들의 개인정보 보호 권리를 확정했습니다. 이는 다음을 포함하여 인도의 이전 데이터 보호법 패치 작업을 대체합니다.

• 2000년에 제정된 정보기술법 제43A조 및 87(2)(ob)조.
• 2011년에 제정된 정보기술(합리적 보안 관행 및 절차와 민감한 개인 데이터 또는 개인정보) 규칙.

DPDPA 이전에는 인도에 데이터 프라이버시와 보호를 규제하는 단일 입법 프레임워크가 없었습니다. 2017년에 국가 대법원이 개인정보 보호가 기본적 권리라고 판결하면서 이러한 상황이 바뀌기 시작했습니다. 이에 따라 해당 법안에 대한 수년간의 심의와 협상이 이어졌습니다.

결국 2023년 8월 11일 인도 의회는 최종 승인을 받은 지 일주일 남짓 만에 DPDP 법을 통과시켰습니다. 이는 규모나 사적 지위에 관계없이 인도 내에서 '디지털 개인정보'를 처리하는 모든 기관을 포괄합니다.

디지털 개인정보란 무엇입니까?

DPDPA는 특히 명칭에 '디지털'이라는 용어를 포함하고 있으며 이는 의도적인 것입니다. 다른 규정과 달리, 이 법은 특히 디지털화된 개인정보에 초점을 맞추고 있으며, 이를 '이러한 데이터로 또는 이와 관련하여 개인을 식별하는 데 사용할 수 있는 개인에 관한 데이터'로 정의합니다. 여기에는 다음이 포함됩니다.

• 이름
• 주소
• 전화번호 
• 생년월일
• 이메일 주소
• 교육
• 금융 세부 사항
• 의료 기록
• 비밀번호

법적 의무에 따라 공개된 데이터, 연구 목적으로 처리된 데이터 등 몇 가지 예외가 있습니다.

DPDPA 규정 준수 대상은 누구입니까?

DPDPA는 다음과 같은 경로로 해당 정보를 수집하는, 인도 영토 내에서 개인 데이터를 처리하는 모든 조직에 적용됩니다.

• 디지털 경로
• 비디지털 경로이지만 이후 디지털화된 경로

또한 다른 주요 규정과 마찬가지로 이 법안은 법역 외의 규정입니다. 즉, 데이터 수집이 어디에서 이루어지는지는 관계없이 인도에서 상품 또는 서비스를 제공하기 위해 개인정보를 처리하는 모든 기업에도 적용된다는 의미입니다.

DPDPA를 준수하지 않을 경우, 전 세계 연간 매출의 최대 4% 또는 25억 루피(INR)(약 3,000만 달러) 중 더 높은 금액으로 벌금을 부과하는 등 상당한 처벌을 받을 수 있습니다.

DPDPA의 핵심 개념, 권리 및 요건을 분석해 보겠습니다.

DPDPA에 따른 정의

DPDP법에는 다른 주요 규정에서 사용되는 것과 유사하지만 다른 몇 가지 고유한 용어가 있습니다. 여기에는 다음이 포함됩니다.

• 데이터 수탁자: 여기에는 데이터 수집 및 처리 활동을 담당하는 모든 기관이 포함됩니다. 이 개념은 개인정보보호 규정(GDPR)에서 차용한 것으로, 이 기관을 '데이터 통제자'라고 합니다.
• 중요 데이터 수탁자(SDF): SDF는 인도 정부에서 데이터의 용량, 민감성, 위험, 국가 안보 영향 등을 기준으로 구체적으로 지정한 수탁자입니다. SDF는 추가적인 데이터 보호 요건을 충족해야 합니다.
• 데이터 주체자(Data principal): '데이터 주체(Data subject)'와 동일한 의미로, 수탁자가 개인정보를 수집하는 개인을 말합니다.
• 동의 관리자: 동의 관리자는 투명한 플랫폼을 통해 데이터 주체의 동의를 독립적으로 관리, 검토, 철회할 수 있는 권한을 가진 제3자 기관입니다. 이러한 기관들은 수탁자가 법적 요건을 수월하게 준수하도록 합니다.

프라이버시권

DPDPA는 시민이 자신의 개인정보를 통제할 수 있는 표준화된 권리를 확립합니다. 이러한 권리는 또한 데이터 처리 규칙 및 요건에 대한 주요 법적 기준을 설정합니다. 여기에는 다음이 포함됩니다.

• 개인정보 접근권: 조직은 데이터 주체가 개인정보에 대한 액세스를 요청할 수 있는 수단을 제공해야 하며, 이를 통해 투명성을 보장해야 합니다.
• 삭제 요청권: 개인은 수탁자에게 언제든지 자신의 디지털 개인정보를 삭제하도록 요청할 수도 있습니다.
• 부정확한 내용을 수정할 권리: 데이터 주체는 불완전하거나 부정확한 정보에 대한 수정 또는 업데이트를 요청할 수 있습니다.
• 데이터 수집에 동의할 권리: 데이터 수탁자는 개인이 데이터 수집 및 처리에 대해 알고 동의하도록 하여 명확하고 정보에 입각한 동의를 얻어야 합니다.
• 불만 처리 권리: 개인은 자신의 권리가 침해되었다고 생각할 경우 불만을 제기하고 구제를 요구할 수 있습니다.

규정 준수 요건

2024년 1월 보고서에 따르면 데이터 수탁자의 85%가 DPDPA 준수를 준비하기 위한 예비 단계에 들어섰지만 DPDPA는 아직 발효되지 않았습니다. 하지만, 이 규정의 "많은 조항에 대한 이행의 실체를 구성하는 규칙이 없기 때문에 준비가 방해받고 있습니다."

간단히 말해, 정확한 요건은 아직 결정되지 않았습니다. 그럼에도 일부 상위 수준의 의무는 이미 확정되었습니다.

• 동의 확보: 조직은 개인의 데이터를 수집하거나 처리하기 전에 개인으로부터 명확하고 구체적이며 정보에 입각한 동의를 받아야 합니다. 여기에는 어떤 데이터가 수집되는지, 왜 수집하는지, 어떻게 사용되는지 알리는 것이 포함됩니다.
• 데이터 수집 제한: 수탁자는 지정된 목적에 필요한 데이터만 수집할 수 있으며, 그 목표를 벗어난 데이터는 수집할 수 없습니다.
• 데이터 정확성 보장: 기업은 수집한 데이터를 정확하고 최신 상태로 유지해야 하며, 개인으로부터 부정확한 정보가 있을 경우 이를 수정해야 합니다. 이는 데이터 주체가 업데이트를 요청할 수 있는 메커니즘을 구현해야 한다는 것을 의미합니다.
• 보안 조치 구현: 수탁자는 적절한 기술적, 조직적 조치를 시행하여 개인정보를 무단 접근, 침해 및 기타 보안 위험으로부터 보호할 법적 의무가 있습니다. 여기에는 암호화, 공개 키 인프라(PKI) 및 이와 유사한 보호 기능이 포함됩니다.
• 데이터 침해 통지: 데이터 침해가 발생한 경우, 관련 기관은 데이터 보호 위원회와 피해를 입은 개인에게 통보해야 합니다. DPDPA에 따르면 데이터 침해에는 승인되지 않은 데이터 처리, 공개, 변경, 손실 또는 데이터 기밀성, 무결성 또는 가용성을 손상시키는 모든 행위가 포함됩니다.
• 데이터 보존 기간 제한: 수탁자는 법률에 의해 요구되지 않는 한 명시된 목적을 위해 필요한 기간 이상으로 개인정보를 보관할 수 없으며, 기간이 지나면 정보를 삭제해야 합니다.

개인정보보호 규정. 그러나 이 규정은 여러 면에서 GDPR과 다릅니다.

범위

• GDPR: EU 내 개인의 개인정보 처리에 적용되며, 처리가 어디에서 이루어지는지와는 관계가 없습니다.
• DPDPA: 인도 내에서 이루어지는 디지털 개인정보 처리에 적용되며, 처리가 인도 내 개인에게 상품 또는 서비스를 제공하는 것과 관련된 경우 법역 외 효력이 있습니다.

민감도

• GDPR: 개인정보와 더 높은 수준의 보호가 필요한 특수 범주의 데이터를 구별합니다. 또한 이 규정은 다양한 연령 제한(일반적으로 16세 미만)에 따라 아동을 정의하며 아동의 데이터 보호에 대한 구체적인 조항을 두고 있습니다.
• DPDPA: 개인정보와 민감한 개인정보를 구분하지 않습니다. 그러나 이 규정은 18세 미만의 개인을 아동으로 정의하고 아동에 대한 추적 또는 행동 모니터링과 아동을 대상으로 하는 표적으로 하는 광고 금지 등 더 엄격한 의무를 부과합니다.

데이터 전송

• GDPR: EU 외부로 데이터를 전송하기 위한 표준 계약 조항과 같은 특정 전송 메커니즘이 필요합니다.
• DPDPA: 인도 정부가 제한한 국가를 제외하고는 국경 간 데이터 전송을 허용합니다.

Entrust는 DPDPA 준수를 간소화하고 조직 전체에서 개인 데이터를 보호하는 데 도움이 되는 광범위한 제품과 솔루션을 제공합니다.