2023년 인도의 디지털 개인 데이터 보호법: 디지털 개인 정보 보호의 랜드마크

게시 됨: 2023-09-21

인도의 새로운 디지털 개인 데이터 보호법(2023)은 개인 데이터 수집 또는 관리와 관련된 모든 조직 또는 기업에 적용됩니다. 이 법은 인도 내 데이터 처리에만 적용되는 것이 아닙니다. 또한 인도 외부에서 발생하는 데이터 처리에 대한 권한도 있습니다.

빠르게 발전하는 인도의 기술 환경은 2022년 DPDP(디지털 개인 데이터 보호) 법안의 도입 및 통과를 통해 중요한 이정표를 달성했습니다. 이 중추적인 법안은 7월 5일 연합 내각의 승인을 얻었고 의회 몬순 회의에서 발표되었습니다. 2023년 7월 20일에 시작된 이 법안은 8월 7일 하원(Lok Sabha)과 8월 9일 상원(Rajya Sabha)에서 모두 승인을 얻는 등 신속하게 입법 절차를 통과했습니다.

인도 정부 관보 공지에 명시된 바와 같이 2023년 8월 11일 대통령의 공식 승인이 승인됨에 따라 2022년 디지털 개인 데이터 보호 법안은 공식적으로 2023년 디지털 개인 데이터 보호법으로 전환되었습니다.

2023년 디지털 개인 데이터 보호법의 적용 범위는 인도 국경을 넘어 해외에서 수행되는 경우에도 디지털 개인 데이터 처리를 포괄합니다.

ProcessIT Global의 회장 겸 상무이사인 Rajarshi Bhattacharyya는 이 법안을 유럽 연합(EU)의 기존 일반 데이터 보호 규정(GDPR)과 비교했습니다. 그는 “GDPR이 나온 지 얼마 되지 않아서 더 발전됐다. 이 정책은 더욱 발전되고 포괄적이어서 인도의 발전을 더욱 촉진할 것입니다.”

Rajarshi Bhattacharyya: 사이버 탄력성, 정부 정책 및 데이터 보안 통찰력
ProcessIT Global의 Rajarshi Bhattacharyya로부터 사이버 탄력성, 정부 정책 영향, 오늘날의 디지털 환경에서 데이터 보안의 중요한 측면을 자세히 살펴보는 귀중한 통찰력을 얻으세요.
사얀탄 몬달 StartupTalky

업계 조직인 IAMAI와 시장 데이터 분석 회사인 Kantar의 공동 보고서인 '인도 인터넷 보고서 2022'에 따르면 인도 인구의 절반 이상, 즉 7억 5900만명이 인터넷을 적극적으로 사용하는 것으로 나타났습니다. 보고서는 또한 이러한 활성 사용자 중 3억 9900만 명이 인도 시골에 거주하며 도시 지역의 3억 6000만 사용자를 능가한다고 강조합니다. 이는 인도의 인터넷 확장이 주로 인도 시골 지역에서 추진되고 있음을 시사합니다.

새로운 데이터 보호법은 윤리적인 AI와 글로벌 접근을 강조합니다.
단체에 대한 의무
귀하의 개인 데이터에 관한 귀하의 권리와 의무
의료 부문의 영향에 대한 대비

새로운 데이터 보호법은 윤리적인 AI와 글로벌 접근을 강조합니다.

HaiVE의 CEO인 Deepika Loganathan은 “인도 의회의 2023년 디지털 개인정보 보호법(DPDPA-2023) 제정을 환영하게 되어 기쁘게 생각합니다. 이 획기적인 법안은 윤리적인 AI 및 데이터 보호에 대한 우리의 오랜 노력과 완벽하게 일치합니다. 우리는 온프레미스 AI 솔루션을 위한 기존 프레임워크가 이미 이 법에 명시된 7가지 원칙과 의무를 밀접하게 준수하고 있음을 발표하게 되어 기쁘게 생각합니다.”

이 법은 개인 데이터의 수집 또는 관리와 관련된 모든 조직이나 기업에 적용됩니다. 이는 이러한 조직을 처리 이유와 방법을 결정하는 그룹( 데이터 수탁자 라고 함)과 데이터 수탁자의 지시에 따라 처리를 수행하는 그룹( 데이터 프로세서 라고 함)의 두 그룹으로 분류합니다.

이 법은 인도 내 데이터 처리에만 적용되는 것이 아닙니다. 또한 인도 외부에서 발생하는 데이터 처리, 특히 인도 내 개인에게 제공되는 상품 및 서비스에 대한 권한도 있습니다. 이는 물리적 위치에 관계없이 인도 거주자에게 상품이나 서비스를 제공하는 모든 기업이 해당 관할권에 속한다는 것을 의미합니다.

Digitap의 CEO인 Nageen Kommu는 다음과 같이 말했습니다. “Digitap에서는 우리 자신을 데이터 프로세서라고 생각합니다. 우리는 데이터를 저장하지 않습니다. 우리는 데이터 수탁자인 고객을 대신하여 이를 처리합니다. 데이터 처리자에 대한 구체적인 지침은 없을 수 있지만 당사는 데이터 수탁자가 따르는 것과 동일한 정책 및 절차를 자발적으로 채택합니다. 고객이 동의를 철회하기를 원하는 경우, 우리는 법의 요구 사항에 따라 데이터가 삭제되도록 보장합니다."

그는 또한 이 법안이 저장 및 전송 중 데이터 보안을 다루고 있으며 Digitap은 인도 내에서 데이터 현지화를 의무화하는 RBI의 아웃소싱 규범을 다루기 때문에 이미 강력한 보안 메커니즘을 갖추고 있다고 언급했습니다.

단체에 대한 의무

이 법은 개인 데이터를 처리할 때 기업이 준수해야 하는 몇 가지 의무를 간략하게 설명합니다. 주요 책임 중 일부는 다음과 같습니다.

  1. 개인 데이터를 수집하기 전에 개인에게 알리고, 수집할 데이터, 사용 목적, 개인의 권리를 명시합니다.
  2. 필요한 경우 동의를 얻거나 적법한 이유에 의존합니다.
  3. 명시된 목적에 필요한 개인정보만 수집합니다.
  4. 개인정보는 해당 목적에 필요한 기간 동안만 보관하고 이후에는 삭제합니다.
  5. 개인이 제기한 불만과 우려 사항을 해결하기 위한 메커니즘을 확립합니다.
  6. 적절한 기술 및 조직 보안 조치를 구현합니다.
  7. 개인 데이터 침해가 발생한 경우 데이터 보호위원회 및 영향을 받는 개인에게 알립니다.
  8. 부모 또는 보호자의 동의를 구하고 아동이나 장애가 있는 개인에게 해를 끼칠 수 있는 행동 모니터링, 추적 또는 처리와 같은 활동을 삼가합니다.
  9. 인도 외부의 개인 데이터 전송을 특정 지역으로 제한합니다.
  10. 데이터 보호 영향 평가, 정기적인 데이터 감사를 수행하고 중요 데이터 수탁자를 위한 데이터 보호 책임자 및 감사자를 임명합니다.
  11. 개인 데이터의 국경 간 전송에 관한 요구 사항을 준수하고 적용 가능한 면제를 구합니다.

Loganathan은 2023년 디지털 개인 데이터 보호법의 의무를 더욱 준수하기 위해 HaiVE가 회사 정책과 프로세스를 미세 조정하는 과정에 있다고 밝혔습니다. “우리는 우리 팀과 고객을 위한 포괄적인 지침 역할을 할 디지털 개인 데이터 보호법(2023), 규정 준수 프레임워크를 개발 중입니다. 이 프레임워크는 향후 인도에서의 모든 업무에 자동으로 적용되어 해당 법 조항을 원활하게 준수할 수 있도록 보장할 것입니다.”라고 덧붙였습니다.

귀하의 개인 데이터에 관한 귀하의 권리와 의무

개인은 자신의 개인 데이터 처리 방법에 관해 법률에 따라 특정 권리를 부여 받았습니다. 이러한 권리에는 다음이 포함됩니다.

  • 접근권 : 개인은 자신의 개인정보가 처리되고 있는지 알 권리가 있습니다. 처리 중인 데이터 요약, 처리 활동에 대한 세부 정보(예: 타겟 광고에 사용), 데이터가 공유된 개체(예: 프로세서 또는 제3자)의 신원, 공유된 데이터 유형을 요청할 수 있습니다. .
  • 수정 및 삭제에 대한 권리 : 개인은 부정확하거나 오해의 소지가 있는 데이터를 수정하고, 불완전한 데이터를 완성하고, 개인 데이터를 업데이트할 권리가 있습니다. 특히 이 데이터가 다른 단체와 공유되거나 의사 결정에 사용될 경우 더욱 그렇습니다. 또한 기업은 법률 준수를 위해 필요한 경우 개인 데이터를 보관할 수 있지만 개인 데이터 삭제를 요청할 수 있습니다(동의가 기본인 경우 동의 철회).
  • 고충처리 및 지명에 대한 권리 : 이 법은 개인이 법 준수와 관련하여 기관에 불만을 제기할 수 있는 고충처리 메커니즘을 도입합니다. 엔터티는 지정된 시간 내에 응답해야 합니다. 응답이 만족스럽지 않은 경우 개인은 해당 문제를 데이터 보호 위원회에 에스컬레이션할 수 있습니다. 또한 개인은 자신의 무능력 또는 사망 시 개인 데이터에 관한 권리를 행사할 사람을 지명할 수 있습니다.
  • 의무 : 이 법은 또한 정확한 정보 제공, 명의 도용 금지, 중요한 정보 보류 또는 데이터 보호 위원회에 허위 불만 사항 제출과 같은 개인의 특정 책임을 명시합니다.

법안 및 법률: 디지털 개인 데이터 보호법, 2023 | 2023년 8월 19일

의료 부문의 영향에 대한 대비

Artemis Hospitals Gurugram의 의료 정보학 최고 기술 책임자인 Kapil Kumar는 의료 부문에 미치는 영향에 대해 우려를 제기했습니다. 그는 "전자 건강 기록 및 원격 의료와 같은 디지털 건강 기술의 활용이 증가함에 따라 2023년 디지털 개인 데이터 보호법은 의료 부문에 상당한 영향을 미칠 것입니다."라고 말했습니다.

Kumar 씨에 따르면, 이 법안의 목표는 민감한 환자 데이터의 수집, 저장 및 배포를 규제하여 개인의 개인 정보 보호 권리를 보호하는 것입니다. 그는 또한 그 중요성을 강조하는 이전 사건을 언급했습니다. 예를 들어, 2019년에는 약 680만 명의 환자와 의사의 건강 기록이 손상되는 무단 액세스 침해가 발생했습니다. 마찬가지로, 2021년에는 인도 정부 웹사이트가 침해되어 1,500명 이상의 주민에 대한 코로나19 연구 결과가 노출되었습니다. 케랄라에서는 20만 명 이상의 환자의 개인정보가 의도치 않게 공개되었습니다. 이 규정은 의료 부문에서 데이터 개인 정보 보호의 옹호자로 등장합니다.

이 법은 주로 보안 위반의 경우 특정 유형의 데이터(민감한 개인 데이터)에 대해서만 제한적인 보호를 제공하는 기존 법률과 크게 다릅니다. 이와 대조적으로, 이 법은 책임을 부과하고 개인에게 자신의 개인 정보에 대한 더 큰 통제력과 인식을 부여함으로써 개인 데이터에 대한 광범위한 보호 장치를 제공합니다.

이 법은 의심할 바 없이 개인의 디지털 권리를 보호하는 데 상당한 진전을 이루었지만, 데이터 보호 위원회의 후속 규칙 제정 및 옹호 노력은 이러한 권리를 강화할 뿐만 아니라 데이터 처리를 위한 구조화된 프레임워크를 구축하는 데 중요한 역할을 할 것입니다.