DPDP Act가 적용되는 대상

DPDP Act는 인도 내에서의 디지털 개인정보 처리뿐만 아니라, 인도에 있는 개인에게 상품이나 서비스를 제공하는 것과 관련하여 인도 외부에서 이루어지는 처리도 규율합니다. 실무적으로, 웹사이트가 인도 사용자에게 접근 가능하고 이를 통해 — 쿠키, SDK, 픽셀, 핑거프린팅 등을 포함한 어떤 방식으로든 — 개인정보를 수집한다면, 본 법은 거의 확실하게 적용됩니다.

본 법은 두 가지 핵심 역할을 사용합니다. GDPR의 컨트롤러에 해당하는 Data Fiduciary와 Data Processor입니다. 가장 규모가 큰 사업자 중 소수는 Significant Data Fiduciary로 지정될 수 있으며, 이 경우 Data Protection Impact Assessment 수행과 인도 거주 Data Protection Officer의 선임과 같은 추가 의무가 발생합니다.

DPDP Act가 쿠키와 트래커를 다루는 방식

ePrivacy Directive와 달리 DPDP Act는 쿠키를 별도의 카테고리로 구분하지 않습니다. 그 대신 디지털 개인정보의 모든 처리를 규율합니다. 즉, 쿠키, 기기 식별자, IP 주소, 광고 ID, 해싱된 이메일 주소는 — 직접적이든 간접적이든 — 식별 가능한 개인과 연결될 때 모두 적용 범위에 포함됩니다.

퍼블리셔에게 주는 시사점은 분명합니다. 사이트상의 쿠키나 태그로 인해 개인정보가 수집되거나 공유된다면, 유효한 법적 근거가 필요합니다. DPDP Act에서 그 근거는 본 법이 정의하는 제한적인 "정당한 이용(legitimate uses)"을 예외로 하고 거의 언제나 동의입니다.

유효한 동의의 조건

DPDP Act는 동의에 대해 높은 기준을 설정합니다. 동의는 자유롭고, 구체적이며, 정보에 입각하고, 조건이 붙지 않으며, 명확해야 하고, 분명한 긍정적 행위를 통해 표현되어야 합니다. 사전에 체크된 체크박스, 계속된 브라우징으로부터 추정되는 묵시적 동의, 접근을 수락과 맞바꾸도록 하는 "쿠키 월(cookie wall)" 방식의 디자인은 이러한 요구 사항과 부합하지 않습니다.

동의 UX에서 중요한 DPDP 고유의 두 가지 추가 규칙이 있습니다:

• 항목별 고지: 동의를 받기 전 또는 받는 시점에, 수집되는 데이터, 처리 목적, 사용자가 동의를 철회하거나 Data Protection Board of India에 불만을 제기할 수 있는 방법을 명확히 알리는 고지를 사용자에게 제공해야 합니다.
• 평이한 언어와 다국어 지원: 고지는 영어와 사용자가 선택한 인도의 22개 공식(scheduled) 언어 중 어느 것으로든 제공되어야 합니다. 힌디어, 타밀어, 벵골어, 마라티어 등 주요 언어로 동의 콘텐츠를 표시할 수 없는 CMP는 규정 준수에 어려움을 겪게 됩니다.

아동 데이터와 부모 동의

DPDP Act는 만 18세 미만을 아동으로 간주하며, 이들의 개인정보를 처리하기 전에 검증 가능한 부모의 동의를 요구합니다. 또한 아동을 대상으로 한 행동 모니터링과 타겟 광고를 금지합니다. 인도에서 미성년자가 접근 가능한 모든 웹사이트 — 실무적으로 거의 모든 사이트를 의미합니다 — 는 연령 확인(age-gating)이나 위험 기반 전략을 갖추어야 하며, 부모 동의가 없는 경우 추적 스크립트를 차단할 수 있어야 합니다.

CMP가 지원해야 하는 사용자 권리

인도의 Data Principal(사용자)은 동의 및 환경설정 레이어를 통해 행사할 수 있어야 하는 일련의 권리를 가집니다:

• 처리 중인 자신의 개인정보 요약에 대한 접근권.
• 자신의 데이터에 대한 정정 및 삭제권.
• 동의를 제공했을 때와 동일한 수준의 용이성으로 언제든지 동의를 철회할 권리.
• 사망 또는 의사 무능력 시 권리 행사를 위해 다른 개인을 지명할 권리.
• 먼저 Data Fiduciary에, 그 다음 Data Protection Board of India에 제기할 수 있는 고충 처리 권리.

규정을 준수하는 CMP는 상시 노출되는 환경설정 링크를 제공하고, 원클릭 동의 철회를 지원하며, 조사 시 요청에 따라 제출할 수 있는 형태로 동의 이벤트를 기록해야 합니다.

국경 간 데이터 이전

DPDP Act는 국제 이전에 대해 "네거티브 리스트" 방식을 채택합니다. 즉, 중앙 정부가 특별히 제한하지 않는 한 개인정보를 인도 외부로 이전할 수 있습니다. 이는 GDPR의 적정성(adequacy) 제도보다 관대하지만, 인도 사용자로부터 어떤 제3국이 데이터를 수신하는지 문서화하고 공표된 제한 목록을 모니터링하는 것은 여전히 필요합니다.

과징금과 집행

DPDP Act에 따른 금전적 제재는 상당합니다. Data Protection Board는 합리적인 보안 조치 이행을 소홀히 한 경우 최대 ₹250 crore(약 3천만 미국 달러), 아동에 대한 의무 이행을 소홀히 한 경우 최대 ₹200 crore의 과징금을 부과할 수 있습니다. 동의 관련 위반 — 규정에 맞지 않는 배너를 통한 동의 수집 포함 — 은 위반 건당 최대 ₹50 crore의 과징금이 부과될 수 있습니다.

CMP에서 DPDP 준수 동의 구현하기

1. 인도 사용자를 지리적으로 감지하고, GDPR 배너를 재사용하는 대신 DPDP 전용 동의 템플릿을 적용합니다. 필수 고지 내용과 언어 옵션이 다릅니다.
2. 여러 인도 언어로 고지를 표시합니다. 최소한 힌디어와 영어를 지원하고, 트래픽 분포에 따라 지역 언어를 추가합니다.
3. 비필수 트래커를 기본적으로 모두 차단합니다. 광고, 분석, 서드파티 SDK는 적극적 동의가 있은 후에만 로드합니다.
4. 목적을 명확히 분리합니다. 사용자가 일부에는 동의하고 일부에는 동의하지 않기를 합리적으로 원할 수 있다면, 광고, 분석, 개인화를 하나의 "수락" 동작으로 묶지 마십시오.
5. 동의 및 철회 이벤트를 기록합니다. 타임스탬프, 표시된 고지의 정확한 버전, 사용자의 언어 선택과 함께 기록하여 규제 당국의 조사 시 준수 여부를 입증할 수 있어야 합니다.
6. 모든 페이지에 표시되는 환경설정 링크를 제공하여 사용자가 언제든지 동의를 검토, 업데이트 또는 철회할 수 있도록 합니다.

DPDP vs. GDPR: 실무적 차이

• "정당한 이익" 근거가 없습니다. DPDP Act는 GDPR과 달리 정당한 이익을 일반적인 법적 근거로 인정하지 않습니다. 동의의 비중이 더 커지므로 UX 디자인이 더 중요해집니다.
• 아동에 대한 더 엄격한 규정. 디지털 동의 연령은 13세나 16세가 아니라 18세이며, 미성년자 대상 타겟 광고는 명시적으로 금지됩니다.
• 다국어 고지 요건은 DPDP Act의 고유 요건으로, 영어 전용 배너만으로는 충족할 수 없습니다.
• Significant Data Fiduciary 의무는 고위험 사업자를 위한 제2의 준수 계층을 만들며, GDPR에 직접적으로 대응되는 제도가 없습니다.

결론

DPDP Act는 자체적인 뚜렷한 특색 — 동의 우선, 설계 단계부터의 다국어 지원, 그리고 이례적인 수준의 미성년자 보호 — 을 가지고 인도를 현대의 글로벌 데이터 보호 환경 안으로 편입시킵니다. 이미 GDPR 수준의 CMP를 운용 중인 퍼블리셔와 플랫폼은 유리한 출발선에 있지만, 그래도 배너 콘텐츠, 언어 지원, 연령 처리, 로깅을 DPDP 요건에 맞게 조정해야 합니다. 인도를 "또 하나의 GDPR 관할지"로 취급하는 것은 Data Protection Board 앞에 서게 되는 가장 빠른 길입니다.