인도 정부, 2022 디지털 개인 정보 보호법 초안 발표

2022-12-13

인도 정부는 2018년 7월부터 논의하고 있는 디지털 개인 정보 보호법(Digital Personal Data Protection Bill) 초안이 발표했다. 2022디지털 개인 정보 보호법(Digital Personal Data Protection Bill, 2022) 은 개인 데이터 보호를 목적으로 수집될 데이터 종류 및 수집 목적 등에 대해 "명확하고 분명한 언어(clear and plain language) "로 사용자의 동의를 구하는 것을 목표로 한다. 이 초안은 2022년 12월 17일(토)까지 공청회 (Public Consultation)를 거쳐 의견 수렴을 할 예정이다.

이 법안은 인도 디지털 개인 정보 보호와 관련된 포괄적인 법적 틀을 확립하여, 7억 6천만 명 이상의 인터넷 사용자에 대한 온라인 플랫폼에서 생성되어 사용되는 데이터 남용을 방지하고, 책임과 신뢰를 높이기 위한 개인 정보 보호 규칙을 적용하고자 한다. 개인 데이터가 보호될 권리, 사회적 권리, 합법적인 사용 목적을 위한 개인 데이터의 처리 필요성에 따라, 디지털 개인 데이터를 처리하도록 규정하고 있다.

현재는 데이터 처리업체가 사용자 정보를 보호하고, 데이터 침해 시 사용자에게 보고하여 개인이 계정 삭제를 선택할 경우, 사용자의 데이터를 삭제하도록 충분한 보안 보호 조치에 대해 준수하도록 요구하고 있다.

인도 전자정보기술부(Ministry of Electronics and Information Technology, MeitY)는 개인정보가 수집 시 명시된 목적에 따라 필요한 기간동안 만 개인정보를 저장할 수 있다고 언급했다. 데이터 침해를 방지하기 위한 조치를 취하지 않을 경우, 기업은 최대 25억 루피 (한화 약396억 원)의 위약금을 물게 되며, 기업들이 사용자들에게 위반 사실을 통보하지 않는 것에 대해서도 사실상 총 50억 루피(한화 약 792억 원)에 상당한 벌금을 부가한다. 인터넷 서비스 이용자는 다른 제3자에게 제공된 본인의 개인 데이터 범위를 공유하도록 기업에 요청할 수 있으며, 이 정보가 명확하지 않거나 오해의 소지가 있다고 판단되는 경우 데이터 삭제 또는 업데이트를 요청할 수 있다.

2022디지털 개인 정보 보호 법(Digital Personal Data Protection Bill, 2022) 초안은 개인 데이터의 무단 수집 및 처리를 방지하기 위해, 기업이 추가로 해야 할 보호 조치(guardrail)뿐만 아니라, 데이터 활용의 최소화 의무도 부과하고 있다. 주목할 만한 것은 이 법안이 데이터를 인도 내에서만 사용할 수 있는 것이 아니라, 기술관련 대기업이 인도외 특정 국가로 개인 데이터를 전송할 수 있도록 하는 점이다. 이 법안의 추가 사항으로는 법 준수 노력을 감독할 정부 산하 데이터 보호 위원회(Data Protection Board)의 설립이다.

인도 정부는 인도의 주권, 안보, 공공질서 유지, 범죄 등에 대한 관리를 위해 이 법의 적용을 받지 않는다. 이러한 포괄적인 조항은 데이터를 보호하는 관리 시스템이 없는 경우에 정부가 광범위한 권한을 부여하고 대량 감시를 효과적으로 수행할 수 있게 된다.

인터넷자유재단(Internet Freedom Foundation, IFF)은 "인도 정부가 법 적용으로부터 면제를 받을 것으로 볼 수 있으며, 기준이 지나치게 모호하고 광범위하기 때문에 오용의 소지가 있으며, 인도 시민의 엄청난 사생활 침해를 야기할 수 있습니다."라고 전했다.

Source: https://thehackernews.com/2022/11/indian-government-publishes-draft-of.html