인도는 2023년 8월 디지털개인정보보호법(Digital Personal Data Protection Act, 이하 "DPDPA")을 제정하였습니다. 이 법은 아직 시행되지 않았으나 2024년 6월 인도의 새 연방정부 구성 후 100일 이내 시행될 가능성이 있습니다. 최근 인도 전자정보기술부(Ministry of Electronics and Information Technology) 장관은 기자회견에서 DPDPA 시행을 위한 준비가 마무리되고 있다고 언급하기도 하였습니다. 인도의 첫 포괄적인 개인정보보호법으로 개인정보를 수집, 사용 및 공개하는 방식에 광범위한 영향을 미칠 수 있는 DPDPA가 곧 시행될 가능성이 있으므로 인도에서 개인정보를 수집하고 처리하는 기업은 이 법을 준수하기 위한 준비를 하여야 합니다. 이 법의 주요 내용은 아래와 같습니다.
I. 적용범위
DPDPA는 인도에 있는 "정보주체(data principals)"에게 재화나 용역을 제공하는 활동과 관련된 경우 인도 내외에서 정보주체로부터 수집한 디지털 개인정보의 처리에 적용됩니다. 이는 비디지털 형식으로 수집된 개인정보가 이후 디지털화된 경우에도 적용됩니다. 또한, 이 법은 인도에서 수집된 개인정보가 인도 밖에서 처리되는 경우에도 역외 적용됩니다.
그러나 DPDPA는 개인정보가 그 개인정보와 관련된 해당 개인에 의해 공개되거나 인도 법률에 따라 공개의무를 지는 다른 사람에 의해 공개된 경우에는 적용되지 않습니다.
DPDPA는 다음의 당사자가 처리하는 개인정보에 적용됩니다:
1) 데이터 수탁자(data fiduciaries): 개인정보 처리 목적과 수단을 결정하는 개인 또는 단체
2) 데이터 처리자(data processors): 데이터 수탁자를 대신하여 개인정보를 처리하는 개인 또는 단체
II. 주요내용
1. 개인정보처리의 근거
DPDPA는 개인정보가 정보주체의 동의가 있거나, 고용, 법률 또는 법원 명령의 준수, 의료 비상 상황, 전염병 등 특정한 합법적 목적이 있는 경우에만 처리될 수 있다고 규정하고 있습니다. 유럽연합의 일반정보보호규정(GDPR)과 마찬가지로, 정보주체의 동의는 "자유롭고, 구체적이며, 충분히 설명된 상태에서, 무조건적이고 명확한 능동적 의사표시"여야 합니다.
2. 동의 요청
정보주체에게 동의를 요청할 때는 개인정보의 세부 내용, 사용 목적, 동의 철회 및 구제에 대한 정보주체의 권리, 그리고 정보주체가 인도 개인정보보호위원회(이하 “위원회”)에 고충을 제기하는 방법에 관한 내용이 사전에 또는 동시에 고지되어야 합니다. 이 요건은 소급 적용됩니다.
또한, 정보주체가 위 고지를 영어 또는 현재 인도 헌법에 명시된 22개의 언어 중 하나로 접근할 수 있는 옵션을 제공해야 합니다.
어린이 또는 법적 보호자가 있는 장애인의 개인정보에 관해서는, 이 법에 따라 데이터 수탁자가 어린이의 부모나 법적 보호자의 동의를 반드시 얻어야 합니다.
3. 데이터 수탁자의 의무
데이터 수탁자는 데이터를 처리하기 위해 데이터 처리자를 고용했는지 여부와 상관없이 이 법을 준수할 책임이 있습니다. 데이터 수탁자는 이 법의 효과적인 준수를 위해 적절한 기술적 및 조직적 보호조치를 구현해야 합니다. 데이터 수탁자가 부담하는 여타의 주요 의무는 다음과 같습니다:
1) 적절한 보안 조치를 통해 자신이 소유하거나 통제하는 개인정보를 보호해야 합니다.
2) 정보주체에게 개인정보의 내용, 처리 목적, 처리에 대한 동의를 철회할 권리 및 고충 해결 방법을 알려야 합니다.
3) 요청 시 정보주체에게 처리 중인 개인정보의 요약, 해당 정보와 관련된 처리 작업, 개인정보를 공유한 데이터 수탁자 및 데이터 처리자의 신원, 그리고 향후 요구될 수 있는 기타 정보를 제공해야 합니다.
4) 정보주체를 위한 즉각적인 고충 처리 수단을 마련해야 합니다.
5) 개인정보가 정보주체에 영향을 미치는 결정을 내리는데 사용되거나 다른 데이터 수탁자에게 공개될 가능성이 있는 경우, 해당 개인정보의 완전성, 정확성 및 일관성을 보장해야 합니다.
4. 중요 데이터 수탁자 (Significant Data Fiduciaries)
인도 정부는 처리되는 개인정보의 양과 민감성, 정보주체의 권리에 대한 위험성, 인도의 주권 및 통합성에 대한 잠재적 영향력, 선거 민주주의에 대한 위험, 국가안보 및 공공질서 등을 고려하여 ‘중요 데이터 수탁자’를 지정할 수 있습니다. 중요 데이터 수탁자는 다음과 같은 의무가 있습니다.
1) 인도에 소재하는 개인정보보호책임자(Data Protection Officer)를 임명하여 중요 데이터 수탁자를 대리하도록 하고, 이 법에 따른 고충 처리 메커니즘의 연락 담당자로 지정해야 합니다.
2) 독립적인 개인정보 감사인을 임명해야 합니다.
3) 정기적인 개인정보보호 영향평가, 정기적 감사 및 향후 규정될 수 있는 기타 조치를 수행해야 합니다.
5. 동의 관리자 (Consent Manager)
DPDPA는 동의 관리자라는 새로운 개념을 도입하고 있습니다. 동의 관리자는 위원회에 등록된 사람들로, 정보주체가 “접근 가능하고 투명하며 상호 운용 가능한 플랫폼”을 통해 그들의 동의를 제공, 관리, 검토 및 철회할 수 있도록 하는 단일 연락 창구 역할을 합니다.
6. 국외 이전
인도 정부는 특정 국가나 지역으로의 개인정보 이전을 제한할 것을 데이터 수탁자에게 통지할 권한을 가지고 있습니다. 특정 법률에서 이러한 데이터 이전에 대해 더 높은 수준의 보호 또는 제한을 규정한다면 해당 법률이 우선 적용됩니다.
7. 고충 및 분쟁해결
개인정보 침해에 대한 긴급한 구제 또는 완화 조치를 명령하고, 정보주체의 고충 및 기타 이 법에 따른 고충을 처리하며, 필요 시 벌금을 부과할 권한을 가진 위원회를 설립합니다.
위원회는 필요한 경우 누구든지 소환하고 출석을 강제할 수 있으며, 어떤 문서든지 검사할 수 있습니다. 또한, 당사자들에게 중재를 통해 분쟁을 해결하도록 지시할 권한도 가지고 있습니다. 또한, 위원회의 명령과 지시에 대한 불복절차를 심판할 항소재판소(Appellate Tribunal)를 설립합니다.
데이터 관리자가 개인정보 침해를 방지하기 위하여 합리적인 예방조치 의무를 준수하지 않으면 최대 250 크로레 루피(약 3천만 달러)의 벌금이 부과될 수 있습니다.
III. EU의 GDPR과의 비교
DPDPA는 여러 측면에서 EU의 GDPR으로부터 영향을 받았지만 두 법률이 정한 요구사항에는 다음과 같은 중요한 차이가 있습니다.
