[India] 인도 전자정보기술부, 논쟁적인 데이터보호 규칙 초안 발표

인도의 전자정보기술부(Ministry of Electronics and Information Technology, MeitY)는 2025년 1월 4일 디지털 개인데이터 보호(the Digital Personal Data Protection, DPDP)법을 구체화하기 위한 초안 규칙을 발표함에 따라, 이 규칙이 데이터 프라이버시 권리에 미치는 영향을 놓고 상당한 논쟁을 불러일으키고 있다.

2025년 2월 18일까지 공개 협의를 거치게 될 2025년 디지털 개인 데이터 보호 규칙 초안(Draft Digital Personal Data Protection Rules, 2025)은 데이터 수탁자가 개인 데이터를 처리하는 방법에 대한 중요한 규정을 설명하고 있다.

초안 규칙은 데이터 수탁자가 아동의 개인 데이터를 처리하기 전에 부모로부터 검증 가능한 동의를 받아야 한다고 규정하고 있다 . 이 조항은 미성년자에 대한 보호를 강화하는 것을 목표로 하지만, 동의 검증 프로세스를 준수하도록 회사에 추가적인 부담을 주고 있다. 또한, 규칙에서는 필요한 기간 동안만 데이터를 보관하고 동의 철회 시 삭제하도록 요구하고 있다. 그러나 비판자들은 이러한 요구 사항을 둘러싼 모호한 언어로 인해 다양한 해석과 다양한 부문에서 일관되지 않은 상황이 발생할 수 있다고 지적하고 있다.

초안 규칙의 주목할 만한 부분은 위반에 대한 특정한 처벌이 없다는 점인데, 이 부분과 관련해서도 개인정보 보호 옹호자와 업계 이해 관계자들 사이에서 우려를 불러일으키고 있다 . 비판론자들은 처벌 조치가 없는 것이 개인의 개인 데이터를 오용으로부터 보호하기 위해 고안된 DPDP법의 효과를 훼손할 수 있다고 주장한다. 그들은 또한 명확한 결과가 없다면 민감한 정보를 처리하는 조직에서 준수할 인센티브가 거의 없다고 주장하고 있다 .

초안 규칙의 또 다른 논란이 되는 요소는 데이터 처리 관행과 관련된 불만사항을 감독하는 데이터보호위원회(the Data Protection Board, DPB)의 구조이다. 정부는 이러한 규칙이 규제와 혁신 간의 균형을 촉진할 것이라고 주장하지만, 빠르게 진화하는 기술 환경에서 디지털 데이터 관리의 복잡성을 적절히 해결하지 못할 수 있다는 우려를 낳고 있다.

인도에서 DPDP법의 여정은 광범위한 심의와 여러 번의 반복을 보여 주고 있다. 처음에는 개인 데이터 보호법으로 제안된 이 법안은 2023년 8월 11일에 최종 제정되기 전에 5번의 개정을 거쳤다. 이러한 획기적인 법안은 개인 데이터를 보호하기 위한 포괄적 프레임워크의 필요성을 강조한 공개 협의에 따라 2022년 11월에 전자정보기술부가 발표한 초안에서 나왔다. 또한 DPDP법의 이행을 용이하게 하기 위해 MeitY는 DPDP법을 효과적으로 이행하기 위한 규칙 초안을 마련해 왔다.

금번 초안 규칙은 다양한 의견을 수렴하여 보완이 이루어질 것으로 예상되며, 최종 규정은 올해 말에 나올 것으로 예상된다. 공개 협의가 진행됨에 따라 권리 옹호자들은 이해 관계자들이 이러한 규칙을 개선하고 개인 권리를 효과적으로 보호하기 위해 논의에 적극적으로 참여해야 한다고 강조하고 있다.