인도의 개인 정보 보호법

저자: Apurv Sardeshmukh, Legasis Partners
0
111

전 세계 각국에서 개인정보의 수집과 처리, 사용에 관한 규제를 강화하고 있습니다. 여러 국가들은 개인정보 보호법에서 국가 안보와 기업의 니즈, 국민의 권리 간에 균형을 맞추는 데 어려움을 겪고 있습니다.

지난 3~4년간 전 세계 각국에서는 국민의 개인정보 보호를 위한 규제를 도입했습니다. 그러나 인도에는 아직 개인정보를 위한 통합적인 법이 존재하지 않으며, 이와 관련된 사안은 2000년에 발효된 ‘IT법’과 관련 법규에 의존하고 있습니다. 통합적인 개인정보 보호법을 추진하고자 하는 시도가 몇 차례 있었으나, 안타깝게도 별다른 실효를 거두지 못했습니다.

data
Apurv Sardeshmukh
뭄바이 의 Legasis Partners 파트너
T: +91 22 6617 6500
E: apurv.s@legasispartners.in

EU의 ‘일반개인정보보호법(GDPR)’ 제정을 시작으로, 여러 국가에서 비슷한 수준의 개인정보 보호법이 도입되고 개인정보 보호에 대한 인식이 높아졌습니다. 또한, 최근 몇 년 여러 국가에서는 기업들이 개인정보를 유출해온 것이 드러나 비난을 받고, 개인정보 보호 규제를 시행해야 한다는 대한 목소리가 높아지고 있습니다. 인도에서는 최근 대법원이 ‘KS 푸타스와미 외 대 인도 정부 사건(KS Puttaswamy and Anr v Union of India and Ors)’에서 인도 헌법 제21장에 의거해 프라이버시를 개인의 권리로 인정한 것이 계기가 되어, 인도 국회에서도 개인정보와 정보주체의 권리 보호를 위해 EU의 GDPR과 같은 법적 장치의 필요성을 인식하게 되었습니다.

2017년 7월, 인도의 전자통신기술부는 BN 스리크리슈냐 판사와 9명의 전문가로 구성된 위원회를 발족했고, 위원회에서는 2018년 7월 27일 보고서와 함께 ‘2018년 개인정보 보호 법안(PDP)’의 초안을 수립했습니다. 이후 미미한 수정을 거쳐, ‘2019년 개인정보 보호 법안(PDP)’이라는 이름으로 인도 국회 하원에 상정되어, 국회의 담당 위원회에 회부되었습니다. 해당 법안이 하원과 상원 모두를 통과해 전면 발효되기까지는 IT법과 관련 법규가 인도의 개인정보 보호 관련 사안을 규제합니다.

현행법

위에서 언급한 바와 같이, 개인정보 보호 법안의 발효 전까지는 IT법과 2011년에 제정된 ‘IT 규칙(합리적인 보안 관행 및 절차와 민감한 개인정보 및 정보)’이 인도의 개인정보 보호 관련 문제를 규제합니다.

IT법은 인도 전역에 적용되며, 국외 거주자에 의한 모든 위법 및 위반 행위에도 적용됩니다. IT 규칙은 인도에 소재한 법인과 개인에게만 적용되어, 국외 정보주체의 개인정보를 인도에서 처리하는 경우에는 적용되지 않습니다. 또한, 일부 조항은 기업 간에는 적용되지 않고, 기업의 개인정보 수집에만 적용됩니다.

IT 규칙에 따른 주요 법적 의무는 ‘민감한 개인정보’라고 정의된 정보의 보호와 관련된 것입니다. 민감한 개인정보는 (ㄱ) 비밀번호, (ㄴ) 은행 계좌 및 신용카드, 체크카드 및 기타 결제 수단 정보와 관련된 금융 정보, (ㄷ) 신체, 심리 및 정신적 건강 상태에 관한 정보, (ㄹ) 성적 성향, (ㅁ) 의료 기록 및 병력, (ㅂ) 생체 정보, (ㅅ) 서비스 제공을 위해 해당 조항에 따라 법인이 수집한 정보 및 적법한 계약을 통해 저장 및 처리한 정보를 포함합니다.

IT 규칙은 또한 개인정보의 제3자 공개 및 다른 사업체로의 이전도 규제합니다.

개인정보 보호 법안

개인정보 보호 법안은 주 정부, 인도 법인, 인도 시민 및 인도 회사법에 의해 설립된 법인의 개인정보 처리에 모두 적용됩니다. 또한, 제 2조는 개인정보의 처리가 인도 내 정보주체에게 사업 및 서비스 등을 제공하는 것과 관련이 있는 경우, 정보 신탁 업무 및 정보 처리 사업자의 개인정보 처리에도 적용됩니다.

그러나, 익명화된 정보의 처리에는 일반적으로 적용되지 않으며, 정부에 공유되어야 하는 익명 정보에 대해서만 별도의 예외를 허용하고 있습니다.

개인정보 보호 법안은 ‘정보주체’와 ‘정보수탁자’를 구분합니다. 정보가 수집된 자연인은 ‘정보주체’로 정의되며, 해당 정보의 목적과 처리 수단을 결정하는 취급자는 ‘정보수탁자’로 정의됩니다.

정보수탁자는 주 정부, 법인 및 개인을 포함하며, 수탁자를 대신하여 정보를 처리하는 사업체는 ‘정보처리자’로 정의됩니다. ‘정보의 처리’는 광의로 정의되어, 개인정보에 대한 일련의 업무 수행 행위를 모두 포함합니다. 개인정보 보호 법안은 또한 정보수탁자인 ‘동의관리자’의 개념을 도입하여, 정보주체가 간편성, 투명성, 상호운용성이 보장된 플랫폼을 통해 본인의 개인 정보 처리에 관해 동의 검토, 관리, 철회를 할 수 있도록 지원합니다.

제 4조에 따르면, 개인정보는 명확성, 구체성, 적법성을 충족하는 목적에 기반해서만 처리될 수 있습니다. 개인정보를 처리하는 모든 개인은 정보주체의 개인정보를 존중하고, 공정하고 합리적인 방법으로 개인정보를 처리해야 할 책임이 있습니다.

또한, 해당 법안에 따라 정보주체의 동의가 필요하지 않은 경우를 제외한 모든 정보의 처리는 정보주체의 동의를 먼저 획득할 것을 명시하고 있습니다. 법에 의한 주 정부의 업무 수행, 인도 법원의 명령 및 판결에 따른 행위, 정보주체 및 기타 개인의 생명 위협 또는 건강의 막대한 위협으로 인한 의료적 긴급 상황, 전염병, 질병의 유행 및 공공 보건의 위협으로 인해 개인에게 의료 치료 및 보건 서비스를 제공해야 하는 경우, 재난 및 공공질서의 붕괴로 인해 개인의 안전을 보장하고 지원을 제공해야 하는 경우에는 정보주체의 동의 없이 개인정보의 처리가 가능합니다. 그러나 다른 국가들과는 달리, 본 법안은 적법한 계약에 따른 의무 수행을 위한 개인정보의 처리를 허용하지 않습니다.

2018년 개인정보 보호 법안은 모든 정보수탁자가 정보주체의 개인정보에 대해 최소 1개의 적절한 복사본을 인도에 위치한 서버 및 정보 센터에 저장해야 할 책임이 있음을 명시하고 있으나, 2019년 개정안에서는 이와 같은 ‘정보의 현지화’에 대한 의무 사항이 없어졌습니다. 민감한 정보의 경우에는 인도에 저장해야 할 의무가 있으나, 정보의 처리를 위해 인도 외로의 이전이 가능합니다. ‘적절한 복사본’이라는 애매모호한 용어 또한 개정안에서는 삭제되었습니다. 또한, ‘핵심 개인정보’로 분류된 개인정보의 경우 인도 국내 처리만 가능하다고 명시했으며, 핵심 개인정보의 국외 처리에 관한 예외 사항 또한 구체화하였습니다.

개정안은 또한 정보수탁자의 범주에 ‘소셜미디어 중개자’라는 새로운 항목을 추가했습니다. 이는 이용자가 정보를 제작, 수정, 업로드, 공유, 배포 및 열람할 수 있는 서비스를 제공하는 사업체를 의미합니다. 검색 엔진, 전자 상거래 사업자, 인터넷 서비스 사업자, 이메일 및 클라우드 서비스, 온라인 백과사전 서비스 사업자 등은 제외됩니다. 특정 규모 이상의 이용자를 보유하여 사업 행위가 선거 민주주의 및 인도의 국가 안보, 공공질서, 주권, 투명성 등에 영향을 미칠 가능성이 높은 소셜미디어 중개자의 경우, 인도 정부에서는 해당 사업체를 ‘핵심 정보수탁자’로 분류 및 통보합니다.

특수 목적에 따른 정보 처리의 예외 또한 규정되었습니다. 개인정보가 국가 안보 또는 법의 위반 행위에 대한 예방, 발견, 조사 및 처벌을 위해 처리된 경우와 법적 소송, 연구, 아카이빙 및 통계, 언론과 자국의 목적을 위해 처리된 경우에는 예외로 간주합니다.

개정안은 현재 의회 상정을 앞두고 상임 위원회에 계류 중으로 추가 개정이 이루어질 수도 있어, 인도에 통합적인 개인정보 보호법이 시행되기까지는 상당한 시간이 걸릴 것으로 보입니다. 그전까지는 종래와 마찬가지로 IT법과 2011년 시행 규칙이 주요 규제로 작용할 것입니다.

dataLegasis Partners
12A/09 13/F
Parinee Crescenzo,
G-Block BKC,
Bandra East, Mumbai 400051,
T: +91 22 3354 4000
E: mumbai@legasispartners.com
www.legasispartners.com