개인정보 보호의 책임을 엄격하게 요구하는 건 이제 거스를 수 없는 흐름이다. GDPR로부터 시작된 이 흐름은 인도로까지 이어졌다. 인도 정부는 오늘 DPDP라는 인도식 GDPR의 초안을 발표하며 대중의 의견을 받겠다고 알렸다.
3줄 요약
1. 세계 최대 시장인 인도에서도 세계 추세에 맞는 개인정보 보호법 등장.
2. 사용자 동의에 대한 의존도가 높고, 명확한 설명 반복적으로 요구.
3. 동의 관리자 등 새로운 개념이 나타나기도 함.
[보안뉴스 문가용 기자] 2024년이 인도에는 매우 상징적인 해였다. 처음으로 중국을 제치고 인구 1위 국가가 됐기 때문이다. 가뜩이나 IT 강국, 제약 강국으로 꼽히는 나라가 이제 가장 큰 (잠재적) 구매력까지 갖추게 됐으니, 마치 호랑이 등에 날개를 단 격이다. 물론 극심한 빈부 격차와 종교 갈등 등 내부적으로 해결할 일이 산적해 있기 때문에 빠른 시일 안에 세계 유수의 강대국이나 주요 경제국이 되지는 않겠지만 그럼에도 무시할 수 없는 시장이 된 것은 사실이다.
[이미지 = gettyimagesbank]
실제로 이러한 사실을 인도의 모디 총리도 잘 알고 있다. 그래서 중국이 코로나의 여파는 물론 서방 국가들과의 악화된 관계 때문에 주춤하여 경제 성장 둔화로 허덕이고 있을 때 그 틈바구니를 노려 활발한 외교 활동을 벌이기도 했다. 그의 외교 활동의 핵심은 ‘인도를 팝니다’였다. 그는 ‘이제 중국은 세계의 공장이 아니다. 인도가 세계의 공장이다’를 열심히 피력했고, 많은 기업과 투자를 유치하려 백방으로 돌아다녔다. 그 성과에 대해서는 아직까지 정확히 알려진 바가 없으나, 주요 글로벌 기업들이 인도 시장을 중국의 대체제로 검토하고 실제 진출까지 하기도 했었다. 애플은 이러한 인도의 상황을 예견한 것인지 이미 2023년부터 인도 첫 애플 매장을 열고, 오픈 기념식에 팀 쿡 CEO가 직접 참가하기도 했었다.
이렇게 어마어마한 시장이 활짝 열리려 하는 시점에 인도 정부는 세계적인 흐름에 발을 맞추겠다며 새로운 법안을 하나 마련했다. 디지털개인데이터보호법(Digital Personal Data Protection, DPDP)이 바로 그것이다. 원래 2023년 8월 11일에 대통령의 재가를 받은 것인데, 세부 규칙의 초안이 이제 완성돼 대중들에게 공개된 것은 이번 주의 일이다. 그러면서 법안 작성에 참여한 사람들은 해당 법안의 설명서까지 따로 내 대중들의 적극적인 피드백을 받아 반영하겠다는 공언이 허언이 아님을 증명하기도 했다.
현대 사회에서 기업 활동을 한다는 건 필연적으로 소비자의 개인정보를 다룬다는 것과 동의어가 된다. 따라서 기업가라면 사업을 기획할 때 개인정보와 관련된 법을 꼼꼼하게 검토해야만 한다. 특히 유럽연합이 GDPR을 시행하기 시작하면서 이런 흐름은 보다 분명하게 ‘세계화’의 흐름을 타고 있으며, 이제 인도에서도 사업을 하려면 인도의 개인정보 보호법을 학습해야만 하는 때가 됐다. 아직 법안이 최종 버전이 나온 건 아니지만 인도 정부가 앞으로 기업들에 어떤 것을 요구할 것인지 윤곽을 잡기에는 충분하다. 그래서 이번 주에는 인도의 새 개인정보 보호법이 될 예정인 DPDP에 대해 알아보겠다. 법안과 같이 발간된 설명서는 총 22개 항목으로 구성되어 있으며, 중요한 것만 소개해 본다.
데이터 관리자가 데이터 주체에게 고지할 때
고지는 명확하고 독립적이며 이해하기 쉬운 형태로 제공되어야 한다. 데이터 관리자가 제공하는 다른 정보와 분명하게 구분되어 있어야 한다. 단순하고 평이한 언어를 사용하여 데이터 주체가 개인정보 처리에 대해 ‘잘 이해한 상태에서’ 동의하거나 거절할 수 있도록 해야 한다. 또 데이터 주체가 개인정보에 대한 권리를 행사할 수 있도록 데이터 관리자와 소통할 방법과 창구가 잘 설명되어 있어야 한다.
동의 관리자의 등록 및 의무
사용자의 동의를 관리하는 회사(이를 consent manager라고 한다)는 인도에서 설립된 회사여야 하며, 안정적인 재정 및 운영 역량을 갖추고, 최소 2억 루피의 순자산을 보유하고 있어야 한다. 공정성과 청렴성으로 신뢰 받는 경영 이력을 갖추고 있어야 하며, 데이터 주체와 소통할 수 있는 인증된 상호 운영 플랫폼을 제공해야 한다. 준수해야 할 의무는 다음과 같다.
- 데이터 주체가 데이터 처리에 대한 동의를 쉽게 제공, 관리, 검토, 철회할 수 있도록 보장한다.
- 동의 및 데이터 공유 기록을 유지한다.
- 이러한 기록에 대한 투명한 접근을 허용한다.
동의 관리자는 개인정보를 보호하기 위해 강력한 보안 조치를 실행해야 하며, 이해 상충을 피하고 주요 경영 정보 및 소유 구조를 공개해야 한다. 투명성을 위해서다. 동의 관리자의 운영을 감사할 수 있는 위원회도 마련되어야 하며, 필요시 사업을 정지 및 취소시킬 수도 있다. 시정 명령도 가능하다. 또한 다른 어떤 세력에도 휘둘리지 않도록 독립된 단체여야 한다.
국가나 그 산하 기관의 서비스 제공 및 발급을 위한 처리
국가나 산하 기관은 데이터 주체의 개인정보를 법률 또는 정책에 따라 처리할 수 있다. 혹은 공적 자금을 사용하여 보조금, 혜택, 서비스, 증명서, 라이선스, 또는 승인(허가)을 제공하거나 발급하기 위해서도 처리가 가능하다. 이러한 경우 개인정보 처리는 따로 명시된 특정 기준을 준수해야 하며, 이는 해당 목적을 위해 개인정보를 합법적이고 투명하며 안전하게 처리하도록 보장한다.
합리적 보안 조치
데이터 관리 책임자(이를 data fiduciary라고 한다)는 개인정보를 보호하기 위해 합리적인 보안 조치를 구현해야 한다. 암호화, 접근 제어, 무단 접근 모니터링, 데이터 백업 등이 포함된다. 이러한 보안 조치는 데이터의 기밀성과 무결성, 가용성을 보장하며, 데이터 유출을 미리 탐지하고 해결하기 위한 프로세스까지도 포함하고 있어야 하며, 수사를 돕기 위한 로그 기록 유지도 필수적이다.
개인정보 유출 통지
데이터 관리 책임자는 개인정보가 유출되었을 때, 그 사실을 인지하고 나서는 즉시 모든 관련 데이터 주체에게 이를 알려야 할 책임을 가지고 있다. 명확하고 간단하게 작성된 통지가 나가야 하며, 유출의 성격, 범위, 발생 시점을 상세히 알리기도 해야 한다. 뿐만 아니라 그로 인해 미칠 수 있는 잠재적 영향까지도 설명되어야 하며, 위험을 완화하고 보안을 강화하기 위한 권장 사항도 제공되어야 한다. 문의를 받을 수 있는 담당자의 연락처 정보도 필수적으로 포함되어야 한다.
당사자들에게 연락을 취했다면, 관련 위원회에도 유출 사실을 보고해야 한다. 72시간 이내(혹은 경우에 따라 더 긴 시간이 허용될 수도 있다)에 유출로 이어진 사건의 경위, 위험 완화 조치, 책임자 정보 등을 전부 넣어서 보고해야 한다. 다만 보고가 들어가는 시점에 알려지지 않은 정보가 있다면 그 정보는 보고서에서 빼도 무방하다.
개인정보 처리 관련 문의를 위한 연락처 정보
모든 데이터 관리 책임자는 개인정보 처리와 관련된 질문에 답할 수 있는 담당자를 지정하고, 그 사람의 연락처 정보를 반드시 명확하게 공개해야 한다. 지정된 담당자는 데이터 보호 책임자일 수 있으며, 해당 정보는 데이터 주체가 쉽게 접근할 수 있도록 분명하게, 또 눈에 잘 띄게 제공되어야 한다. 이를 통해 데이터 주체는 자신의 개인정보 처리 방식에 대해 문의나 불만을 접수시킬 수 있다.
아동 및 장애인의 개인정보 처리를 위한 동의
이 조항은 아동이나 장애인의 개인정보를 처리하기 전에 부모나 법적 보호자로부터 동의를 위한 요구 사항이 무엇인지를 설정한다. 기본적으로는 동의할 수 있는 사람은 반드시 그 아동의 부모이거나 법적 보호자여야 한다. 개인정보 처리를 위한 안내문은 부모나 법적 동의자가 분명하게 식별할 수 있도록 작성되어야 한다. 데이터 관리 책임자는 신뢰할 수 있는 신원 정보나 가상 토큰을 사용하여 부모가 성인임을 검증해야 하는데, 이 절차는 필수이며 따라서 반드시 준수되어야 한다.
주요 데이터 관리 책임자의 추가 이무
주요 데이터 관리 책임자(이를 significant data fiduciary라고 한다)에게 특정 책임을 부과하기 위한 조항으로, 여기에 속한 사람들은 매년 데이터 보호 영향 평가 및 포괄적 감사를 수행해야 하며, 그 결과를 위원회에 보고해야 한다. 보고서에는 데이터 보호 요구 사항 준수 여부에 대한 주요 결과가 포함되어 있어야 한다. 여기에 더해 주요 데이터 관리 책임자는 개인정보 처리를 위해 사용하는 알고리즘과 소프트웨어가 데이터 주체의 권리에 위협이 되지 않도록 검증할 책임을 가지고 있다. 중앙정부가 특정 개인정보를 지정한 경우 해당 데이터는 특정 제한 사항을 준수하여 처리되어야 하며, 관련 트래픽 데이터가 인도 바깥으로 전송되지 않도록 해야 한다.
데이터 주체의 권리
데이터 관리 책임자와 동의 관리자는 데이터 주체가 법에 따라 자신의 권리를 행사할 수 있는 절차를 반드시 웹사이트나 앱에 명확하고 쉽게 공개해야 한다. 데이터 주체의 확실한 식별을 위한 세부 정보 역시 포함되어야 한다. 데이터 주체는 데이터 관리 책임자에게 연락하여 자신의 개인정보에 대한 접근 및 삭제를 요청할 수 있다. 그러면 데이터 관리 책임자는 명확한 응답 기한을 제공해야 하며, 효과적이고 안전한 처리를 보장해야 한다.
인도 외부에서의 개인정보 처리
인도 내에서 데이터를 처리하거나 인도 외부에서 데이터 주체에게 상품이나 서비스를 제공하는 것과 관련된 데이터 관리 책임자는 해당 개인정보를 외국 국가나 그 산하 기관에 제공하지 못한다. 그렇게 해야만 하는 경우, 인도 중앙정부가 정한 요건을 반드시 충족시키고 준수해야 한다.
연구, 보관, 통계 목적을 위한 법 적용
연구, 보관, 통계를 목적으로 하는 개인정보 처리는 스케줄2에 명시된 특정 기준을 준수하기만 한다면 법의 적용을 받지 않는다. 이 예외 규정은 학문적, 법적, 정책적 연구를 위해 필요한 데이터가 올바르게 처리될 수 있도록 보장하며, 동시에 개인정보를 보호하기 위한 것이기도 하다.
DPDP 설명서 전문과 GDPR과의 비교는 1월 9일에 발행될 프리미엄 리포트를 통해 공개될 예정입니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 세계 최대 시장인 인도에서도 세계 추세에 맞는 개인정보 보호법 등장.
2. 사용자 동의에 대한 의존도가 높고, 명확한 설명 반복적으로 요구.
3. 동의 관리자 등 새로운 개념이 나타나기도 함.
[보안뉴스 문가용 기자] 2024년이 인도에는 매우 상징적인 해였다. 처음으로 중국을 제치고 인구 1위 국가가 됐기 때문이다. 가뜩이나 IT 강국, 제약 강국으로 꼽히는 나라가 이제 가장 큰 (잠재적) 구매력까지 갖추게 됐으니, 마치 호랑이 등에 날개를 단 격이다. 물론 극심한 빈부 격차와 종교 갈등 등 내부적으로 해결할 일이 산적해 있기 때문에 빠른 시일 안에 세계 유수의 강대국이나 주요 경제국이 되지는 않겠지만 그럼에도 무시할 수 없는 시장이 된 것은 사실이다.
[이미지 = gettyimagesbank]
실제로 이러한 사실을 인도의 모디 총리도 잘 알고 있다. 그래서 중국이 코로나의 여파는 물론 서방 국가들과의 악화된 관계 때문에 주춤하여 경제 성장 둔화로 허덕이고 있을 때 그 틈바구니를 노려 활발한 외교 활동을 벌이기도 했다. 그의 외교 활동의 핵심은 ‘인도를 팝니다’였다. 그는 ‘이제 중국은 세계의 공장이 아니다. 인도가 세계의 공장이다’를 열심히 피력했고, 많은 기업과 투자를 유치하려 백방으로 돌아다녔다. 그 성과에 대해서는 아직까지 정확히 알려진 바가 없으나, 주요 글로벌 기업들이 인도 시장을 중국의 대체제로 검토하고 실제 진출까지 하기도 했었다. 애플은 이러한 인도의 상황을 예견한 것인지 이미 2023년부터 인도 첫 애플 매장을 열고, 오픈 기념식에 팀 쿡 CEO가 직접 참가하기도 했었다.
이렇게 어마어마한 시장이 활짝 열리려 하는 시점에 인도 정부는 세계적인 흐름에 발을 맞추겠다며 새로운 법안을 하나 마련했다. 디지털개인데이터보호법(Digital Personal Data Protection, DPDP)이 바로 그것이다. 원래 2023년 8월 11일에 대통령의 재가를 받은 것인데, 세부 규칙의 초안이 이제 완성돼 대중들에게 공개된 것은 이번 주의 일이다. 그러면서 법안 작성에 참여한 사람들은 해당 법안의 설명서까지 따로 내 대중들의 적극적인 피드백을 받아 반영하겠다는 공언이 허언이 아님을 증명하기도 했다.
현대 사회에서 기업 활동을 한다는 건 필연적으로 소비자의 개인정보를 다룬다는 것과 동의어가 된다. 따라서 기업가라면 사업을 기획할 때 개인정보와 관련된 법을 꼼꼼하게 검토해야만 한다. 특히 유럽연합이 GDPR을 시행하기 시작하면서 이런 흐름은 보다 분명하게 ‘세계화’의 흐름을 타고 있으며, 이제 인도에서도 사업을 하려면 인도의 개인정보 보호법을 학습해야만 하는 때가 됐다. 아직 법안이 최종 버전이 나온 건 아니지만 인도 정부가 앞으로 기업들에 어떤 것을 요구할 것인지 윤곽을 잡기에는 충분하다. 그래서 이번 주에는 인도의 새 개인정보 보호법이 될 예정인 DPDP에 대해 알아보겠다. 법안과 같이 발간된 설명서는 총 22개 항목으로 구성되어 있으며, 중요한 것만 소개해 본다.
데이터 관리자가 데이터 주체에게 고지할 때
고지는 명확하고 독립적이며 이해하기 쉬운 형태로 제공되어야 한다. 데이터 관리자가 제공하는 다른 정보와 분명하게 구분되어 있어야 한다. 단순하고 평이한 언어를 사용하여 데이터 주체가 개인정보 처리에 대해 ‘잘 이해한 상태에서’ 동의하거나 거절할 수 있도록 해야 한다. 또 데이터 주체가 개인정보에 대한 권리를 행사할 수 있도록 데이터 관리자와 소통할 방법과 창구가 잘 설명되어 있어야 한다.
동의 관리자의 등록 및 의무
사용자의 동의를 관리하는 회사(이를 consent manager라고 한다)는 인도에서 설립된 회사여야 하며, 안정적인 재정 및 운영 역량을 갖추고, 최소 2억 루피의 순자산을 보유하고 있어야 한다. 공정성과 청렴성으로 신뢰 받는 경영 이력을 갖추고 있어야 하며, 데이터 주체와 소통할 수 있는 인증된 상호 운영 플랫폼을 제공해야 한다. 준수해야 할 의무는 다음과 같다.
- 데이터 주체가 데이터 처리에 대한 동의를 쉽게 제공, 관리, 검토, 철회할 수 있도록 보장한다.
- 동의 및 데이터 공유 기록을 유지한다.
- 이러한 기록에 대한 투명한 접근을 허용한다.
동의 관리자는 개인정보를 보호하기 위해 강력한 보안 조치를 실행해야 하며, 이해 상충을 피하고 주요 경영 정보 및 소유 구조를 공개해야 한다. 투명성을 위해서다. 동의 관리자의 운영을 감사할 수 있는 위원회도 마련되어야 하며, 필요시 사업을 정지 및 취소시킬 수도 있다. 시정 명령도 가능하다. 또한 다른 어떤 세력에도 휘둘리지 않도록 독립된 단체여야 한다.
국가나 그 산하 기관의 서비스 제공 및 발급을 위한 처리
국가나 산하 기관은 데이터 주체의 개인정보를 법률 또는 정책에 따라 처리할 수 있다. 혹은 공적 자금을 사용하여 보조금, 혜택, 서비스, 증명서, 라이선스, 또는 승인(허가)을 제공하거나 발급하기 위해서도 처리가 가능하다. 이러한 경우 개인정보 처리는 따로 명시된 특정 기준을 준수해야 하며, 이는 해당 목적을 위해 개인정보를 합법적이고 투명하며 안전하게 처리하도록 보장한다.
합리적 보안 조치
데이터 관리 책임자(이를 data fiduciary라고 한다)는 개인정보를 보호하기 위해 합리적인 보안 조치를 구현해야 한다. 암호화, 접근 제어, 무단 접근 모니터링, 데이터 백업 등이 포함된다. 이러한 보안 조치는 데이터의 기밀성과 무결성, 가용성을 보장하며, 데이터 유출을 미리 탐지하고 해결하기 위한 프로세스까지도 포함하고 있어야 하며, 수사를 돕기 위한 로그 기록 유지도 필수적이다.
개인정보 유출 통지
데이터 관리 책임자는 개인정보가 유출되었을 때, 그 사실을 인지하고 나서는 즉시 모든 관련 데이터 주체에게 이를 알려야 할 책임을 가지고 있다. 명확하고 간단하게 작성된 통지가 나가야 하며, 유출의 성격, 범위, 발생 시점을 상세히 알리기도 해야 한다. 뿐만 아니라 그로 인해 미칠 수 있는 잠재적 영향까지도 설명되어야 하며, 위험을 완화하고 보안을 강화하기 위한 권장 사항도 제공되어야 한다. 문의를 받을 수 있는 담당자의 연락처 정보도 필수적으로 포함되어야 한다.
당사자들에게 연락을 취했다면, 관련 위원회에도 유출 사실을 보고해야 한다. 72시간 이내(혹은 경우에 따라 더 긴 시간이 허용될 수도 있다)에 유출로 이어진 사건의 경위, 위험 완화 조치, 책임자 정보 등을 전부 넣어서 보고해야 한다. 다만 보고가 들어가는 시점에 알려지지 않은 정보가 있다면 그 정보는 보고서에서 빼도 무방하다.
개인정보 처리 관련 문의를 위한 연락처 정보
모든 데이터 관리 책임자는 개인정보 처리와 관련된 질문에 답할 수 있는 담당자를 지정하고, 그 사람의 연락처 정보를 반드시 명확하게 공개해야 한다. 지정된 담당자는 데이터 보호 책임자일 수 있으며, 해당 정보는 데이터 주체가 쉽게 접근할 수 있도록 분명하게, 또 눈에 잘 띄게 제공되어야 한다. 이를 통해 데이터 주체는 자신의 개인정보 처리 방식에 대해 문의나 불만을 접수시킬 수 있다.
아동 및 장애인의 개인정보 처리를 위한 동의
이 조항은 아동이나 장애인의 개인정보를 처리하기 전에 부모나 법적 보호자로부터 동의를 위한 요구 사항이 무엇인지를 설정한다. 기본적으로는 동의할 수 있는 사람은 반드시 그 아동의 부모이거나 법적 보호자여야 한다. 개인정보 처리를 위한 안내문은 부모나 법적 동의자가 분명하게 식별할 수 있도록 작성되어야 한다. 데이터 관리 책임자는 신뢰할 수 있는 신원 정보나 가상 토큰을 사용하여 부모가 성인임을 검증해야 하는데, 이 절차는 필수이며 따라서 반드시 준수되어야 한다.
주요 데이터 관리 책임자의 추가 이무
주요 데이터 관리 책임자(이를 significant data fiduciary라고 한다)에게 특정 책임을 부과하기 위한 조항으로, 여기에 속한 사람들은 매년 데이터 보호 영향 평가 및 포괄적 감사를 수행해야 하며, 그 결과를 위원회에 보고해야 한다. 보고서에는 데이터 보호 요구 사항 준수 여부에 대한 주요 결과가 포함되어 있어야 한다. 여기에 더해 주요 데이터 관리 책임자는 개인정보 처리를 위해 사용하는 알고리즘과 소프트웨어가 데이터 주체의 권리에 위협이 되지 않도록 검증할 책임을 가지고 있다. 중앙정부가 특정 개인정보를 지정한 경우 해당 데이터는 특정 제한 사항을 준수하여 처리되어야 하며, 관련 트래픽 데이터가 인도 바깥으로 전송되지 않도록 해야 한다.
데이터 주체의 권리
데이터 관리 책임자와 동의 관리자는 데이터 주체가 법에 따라 자신의 권리를 행사할 수 있는 절차를 반드시 웹사이트나 앱에 명확하고 쉽게 공개해야 한다. 데이터 주체의 확실한 식별을 위한 세부 정보 역시 포함되어야 한다. 데이터 주체는 데이터 관리 책임자에게 연락하여 자신의 개인정보에 대한 접근 및 삭제를 요청할 수 있다. 그러면 데이터 관리 책임자는 명확한 응답 기한을 제공해야 하며, 효과적이고 안전한 처리를 보장해야 한다.
인도 외부에서의 개인정보 처리
인도 내에서 데이터를 처리하거나 인도 외부에서 데이터 주체에게 상품이나 서비스를 제공하는 것과 관련된 데이터 관리 책임자는 해당 개인정보를 외국 국가나 그 산하 기관에 제공하지 못한다. 그렇게 해야만 하는 경우, 인도 중앙정부가 정한 요건을 반드시 충족시키고 준수해야 한다.
연구, 보관, 통계 목적을 위한 법 적용
연구, 보관, 통계를 목적으로 하는 개인정보 처리는 스케줄2에 명시된 특정 기준을 준수하기만 한다면 법의 적용을 받지 않는다. 이 예외 규정은 학문적, 법적, 정책적 연구를 위해 필요한 데이터가 올바르게 처리될 수 있도록 보장하며, 동시에 개인정보를 보호하기 위한 것이기도 하다.
DPDP 설명서 전문과 GDPR과의 비교는 1월 9일에 발행될 프리미엄 리포트를 통해 공개될 예정입니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
